info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

‌باج‌افزار‌‌‌ در دو هفته‌ای که گذشت: دو هفته آخر مهرماه

خلاصه: در دو هفته گذشته اخبار زیادی از نسخه‌های جدید باج‌افزار‌های معروف و باج‌افزار‌های جدید شنیده شد. اما انتشار چند رمزگشا برای قربانیان این باج‌افزار‌های خبرهای خوبی در این دو هفته بود.

 

در دو هفته‌ی گذشته از دنیای باج‌افزارها اخبار زیادی اعم از حملات باج‌افزاری، اطلاعات جدید وابسته به REvill و حمله‌ی باج‌افزار جدیدی به شرکت‌ها شنیده شد. هم‌چنین انتشار رمزگشای STOP Djvu توسط Emsisoft به هزاران قربانی این باج‌افزار اجازه می‌دهد تا فایل‌هایشان را به صورت رایگان بازیابی کنند.

‌شنبه ۲۰ مهر (۱۲ اکتبر)

نسخه جدید Gold Scarab

الکس سویریید یک نسخه جدید از باج افزار Scarab با پسوند .gold کشف کرده که متن باج‌خواهی را در Инструкция по расшифровке файлов.TXT قرار می‌دهد.

نسخه جدید gold باج‌افزار Scarab

مایکل گیلسپی یک نسخه جدید باج‌افزار Scarab  کشف کرده که پسوند .crabs را اضافه می کند.

نسخه جدید باج‌افزار Matrix

یک نسخه جدید از باج‌افزار Matrix کشف شده که پسوند .tgmn را اضافه می‌نماید.

یک‌شنبه ۲۱ مهر (۱۳ اکتبر)

باج‌افزار جدید dishwaher

 یک باج‌افزار جدید که پسوند .clean را به فایل‌های رمز شده اضافه می‌کند کشف شده که تصویر زیر را به عنوان تصویر زمینه صفحه دسکتاپ قرار می‌دهد.

دو‌شنبه ۲۲ مهر (۱۴ اکتبر)

ردیابی پول‌های باج‌افزار Sodinokibi

پس از آنکه کنترل کننده‌های باج‌افزار Sodinokibi مقداری از پولی که به کمک باج‌افزار به دست آورده بودند در یک تراکنش خرج نمودند، کارشناسان موفق به کسب اطلاعاتی در مورد نحوه تبادلات مالی این باج‌افزار شدند.

باج‌افزار جدید Kazkavkovkiz

باج‌افزار Kazkavkovkiz کشف شده که پسوندی از اعداد تصادفی را به فایل‌های رمز شده اضافه می‌کند.

نسخه جدید Cobain Hermes837

یک نسخه جدید از باج‌افزار Hermes837 کشف شده که پسوند .cobain را اضافه می‌کند و متن باج‌خواهی را در !!!READ_ME!!!.txt قرار می‌دهد.

نسخه جدید leto باج‌افزار STOP Djvu

مایکل گیلسپی یک نسخه جدید از باج‌افزار STOP Djvu کشف کرده که پسوند .leto را به فایل‌های رمز شده اضافه می‌کند.

سه‌شنبه ۲۳ مهر (۱۵ اکتبر)

نسخه جدید ۰۰۷‌ باج‌افزار Dharma

یک نسخه جدید از باج‌افزار Dharma کشف شده که پسوند .۰۰۷ را به فایل‌های رمز شده اضافه می‌کند.

چهار‌شنبه ۲۴ مهر (۱۶ اکتبر)

نسخه جدید skynet باج‌افزار MedusaLocker

باج‌افزار MedusaLocker کشف شده که پسوند .skynet را اضافه کرده و متن باج‌خواهی را در Readme.html قرار می‌دهد.

نسخه جدید adair باج‌افزار Phobos

یک نسخه جدید از باج‌افزار Phobos کشف شده که پسوند .adair را به فایل‌های رمز شده اضافه می‌کند.

‌باج‌افزار جدید پسوند .sun

مایکل گیلسپی یک باج‌افزار جدید کشف کرده که پسوند .sun را به فایل‌های رمز شده اضافه می‌کند و متن باج‌خواهی را در DECRYPT_INFORMATION.html قرار می‌دهد.

پنج‌شنبه ۲۵ مهر (۱۷ اکتبر)

نسخه جدید bot باج‌افزار Dharma

ntgnbgیک نسخه جدید از باج‌افزار Dharma کشف شده که پسوند .bot را به فایل‌های رمز شده اضافه می‌کند.

نسخه جدید Uta باج‌افزار Dharma

رابی یک نسخه جدید از باج‌افزار Dharma کشف کرده که پسوند .uta را به فایل‌های رمز شده اضافه می‌کند.

باج‌افزار maze پیام‌هایی را برای محققان می‌گذارد

باج‌افزار maze پیام‌هایی برای محققان متعددی در برنامه‌های اجرایی آن‌ها قرار می‌دهد.

جمعه ۲۶ مهر (۱۸ اکتبر)

انتشار رمزگشای ۱۴۸ نسخه از باج‌افزار stop

مایکل گیلسپی و گروه emsisoft رمزگشای باج‌افزار stop‌ را منتشر کردند که به شما امکان این را می‌دهد که فایل‌های رمزشده را به صورت رایگان برای ۱۴۸ نسخه از این باج‌افزار رمزگشایی کنید.

باج‌افزار Maze توسط اکسپلویت کیت Spelevo توزیع می‌شود

اکسپلویت کیت Spelevo که به تازگی توسط کارشناسان شناسایی شده است باج‌افزار Maze را در یک کمپین باج‌افزاری با استفاده از یک آسیب‌پذیری فلش پلیر توزیع می‌نماید.

باج‌افزار جدید Deadmin Locker

رابی یک باج‌افزار جدید به نام Deadmin Locker کشف کرده که پسوند .DEADMIN را اضافه می‌کند. مایکل گیلسپی فکر می‌کند که Everbe 3 باشد.

نسخه جدید lbkut باج‌افزار Scarab

یک نسخه جدید از باج‌افزار Scarab کشف شده که پسوند lbkut. را اضافه می‌کند.

‌شنبه ۲۷ مهر (۱۹ اکتبر)

سایت فیشینگ Jokeroo راه اندازی شد

دیوید مونته نگرو یک سایت تور  پیدا کرده که ادعا می‌کند باج‌افزارJokeroo  به صورت سرویس ارایه می‌دهد. این باج‌افزار در مه ۲۰۱۹ کشف شده است.

‌یک‌شنبه ۲۸ مهر (۲۰ اکتبر)

نسخه جدید wiki باج‌افزار Dharma

یک نسخه جدید از باج‌افزار Dharma کشف شده که پسوند .wiki را به فایل‌های رمز شده اضافه می‌کند.

‌دوشنبه ۲۹ مهر (۲۱ اکتبر)

توزیع ابزار و تاکتیک‌های باج‌افزار Sodinokibi

کارشناسان مکافی توانستند با استفاده از شبکه‌ای از هانی‌پات‌ها ابزار‌ها و روش‌های باج‌افزار Sodinokibi ‪(REvil)‬ در نحوه آلوده نمودن قربانیان خود و تسخیر دیگر دستگاه‌های یک شبکه را کشف نمایند.

نسخه‌های جدید STOP Djvu

مایکل گیلسپی نسخه‌های جدید باج‌افزار STOP Djvu کشف کرده که پسوند .werd یا .nols را به فایل‌های رمز شده اضافه می‌کند.

رمزگشای باج‌افزار جدید Aurora به‌روزرسانی شد

گروه emsisoft رمزگشایی به‌روز شده از باج‌افزار Aurora را منتشر کرده که پسوند .masked را پشتیبانی می‌کند.

‌سه‌شنبه ۳۰ مهر (۲۲ اکتبر)

ارایه دهنده‌ سرویس مالی billtrust بعد از حمله بدافزار از دسترس خارج شد

ارایه دهنده سرویس مالی ایالات متحده آمریکا billtrust پس از اینکه برخی از سیستم‌های محاسباتی این شرکت در اثر حمله بدافزارها در ۱۷ اکتبر تحت تأثیر قرار گرفت و از دسترس خارج شد.

باج‌افزار MedusaLocker سهمی از پول شما را می‌خواهد

یک باج‌افزار جدید به اسم MedusaLocker به طور فعال در حال توزیع است که قربانیانی در سراسر جهان دارد در حال حاضر مشخص نیست که چگونه مهاجم در حال توزیع باج‌افزار است.

نسخه جدید PBD باج‌افزار Dharma

یک نسخه جدید از باج‌افزار Dharma کشف شده که پسوند .pbd را به فایل‌های رمز شده اضافه می‌کند.

باج‌افزار جدید Foxy

باج‌افزار foxy کشف شده که به نظر می‌رسد در حال توسعه است چراکه رمزگذاری نمی‌شود (و احتمالا هرگز چنین نخواهد شد) و از متن باج‌خواهی READ_ME_IMPORTANT.txt استفاده می‌کند.

باج‌افزار جدید InfoDot

مایکل گیلسپی یک باج افزار جدید به نام InfoDot پیدا کرد که پسوند info@mymail9[dot]com. اضافه می‌کند و از OpenSSL AES-256 + RSA-2048 استفاده می‌کند.

‌چهار‌شنبه ۱ آبان (۲۳ اکتبر)

نسخه جدید one باج‌افزار Dharma

یک نسخه جدید از باج‌افزار Dharma کشف شده که پسوند .one را به فایل‌های رمز شده اضافه می‌کند.

باج‌افزار جدید mockba

مایکل گیلسپی به دنبال یک نمونه باج افزار جدید است که پسوند .mockba را به فایل‌ها اضافه می‌کند و متن باج‌خواهی را در # HOW TO RECOVER YOUR DATA #.txt قرار می‌دهد.

نسخه جدید باج‌افزار Rapid

مایکل گیلسپی نسخه جدید از باج‌افزار Rapid کشف کرده که نام فایل‌ها را به [random‏].droprapid تغییر می‌دهد و متن باج‌خواهی را در !DECRYPT_DROPRAPID.txt قرار می‌دهد.

‌پنج‌شنبه ۲ آبان (۲۴ اکتبر)

انتشار رمزگشای باج‌افزار FTCode برای آن‌ها که دارای کلید هستند

رمزگشای FTCode برای آن‌هایی که توانایی ضبط کلیدها در هنگام رمزگذاری دارند، منتشرشد.

نسخه جدید باج‌افزار Paradise

یک نسخه جدید از باج‌افزار paradise کشف شده که پسوند _Support_{ID}.FC RansomNote را به فایل‌های رمزشده اضافه می‌کند و متن باج‌خواهی را در ---==%$$$OPEN_ME_UP$$$==---.txt قرار می‌دهد.

نسخه‌های جدید Coot و Derp‌ باج‌افزار STOP Djvu

مایکل گیلسپی نسخه جدیدی از باج‌افزار STOP Djvu کشف کرده که پسوند .coot و .derp را به فایل‌های رمزشده اضافه می‌کند.

باج‌افزار جدید HDMR

باج‌افزار جدید HDMR کشف شده که پسوند .hdmr را به فایل‌های رمزشده اضافه می‌کند و متن باج‌خواهی را در ReadMeAndContact.txt قرار می‌دهد.

جمعه ۳ آبان (۲۵ اکتبر)

خاموش شدن سیستم‌های شهر ژوهانسبورگ به دلیل حمله باج‌افزاری

حملات باج‌افزاری به پایتخت افریقای جنوبی موجب از کار افتادن چند سرویس دولتی این شهر شد. چند ماه پیش نیز به دلیل حملات باج‌افزاری شبکه برق این شهر دچار مشکل شده بود!

باج‌افزار جدید DaveSmith

باج‌افزار جدیدی به نام DaveSmith کشف شده که پسوند [daves.smith@aol.com]. را به فایل‌های رمزشده اضافه می‌کند و متن باج‌خواهی را در RECOVERY FILE.txt قرار می‌دهد.

باج‌افزار جدید Mespinoza

باج‌افزار جدیدی به نام Mespinoza کشف شده که پسوند .locked را به فایل‌های رمزشده اضافه می‌کند و متن باج‌خواهی را در Readme.README قرار می‌دهد.

 

در صورتی که دچار حمله باج‌افزاری شدید، می‌توانید از راهنمایی‌های تیم کارشناسان مرکز تخصصی آپا بهره‌مند شوید.

در صورت نیاز با info@nsec.ir یا ۰۳۱۳۳۹۱۵۳۳۶ تماس بگیرید.

 

    

مطالب مرتبط