info[at]nsec.ir
(+98)-31-33915336

باج‌افزار در ماهی که گذشت: تیر ماه

خلاصه: باج‌افزارها همچنان با قدرت در حال فعالیت هستند و از قربانیان خود باج دریافت می‌کنند. قربانیانی که گاهی مجبور به پرداخت باج‌های میلیون دلاری می‌شوند!

 

هفته اول

خبر مهم این هفته درآمد یک میلیون دلاری هکرها از حملات باج‌افزاری به ایالت‌ فلوریدای امریکا بود. نسخه‌های زیادی از باج‌افزار‌های شناخته شده نیز مشاهده شد. همچنین به نظر می‌رسد sodinokibi در تلاش برای پر کردن جای خالی GandCrab است و فعالیت خود را بیشتر نموده است.

یکشنبه 2 تیر (23 ژوئن)

نسخه جدید باج‌افزار Snatch

باج‌افزار جدیدی با نام Snatch مشاهده شده که به فایل‌های رمز شده پسوند .cbsoz را اضافه نموده و متن باج‌خواهی را در فایل متنی RESTORE_CBS0Z_DATA.txt قرار می‌دهد.

دوشنبه 3 تیر (24 ژوئن)

توزیع باج‌افزار Sodinokibi با کمپین‌های بدافزاری و اکسپلویت‌کیت‌ها

باج‌افزار Sodinokibi توسط کمپین‌های بدافزاری که قربانیان را به سمت کیت اکسپلویت RIG هدایت می‌نماید توزیع می‌شود. با کمک اکسپلویت کیت‌ها، اکنون Sodinokibi یک بردار توزیع وسیع و قدرت‌مند را برای آلوده نمودن قربانیان در اختیار دارد.

نسخه Dalle باج‌افزار STOP

مایکل گیلسپی نسخه‌ای از STOP Djvu را کشف نموده که به فایل‌های رمز شده پسوند .dadle را اضافه می‌نماید.

نسخه‌های جدیدی از Dharma

نسخه‌های جدیدی از Dharma مشاهده شده که پسوند‌های .hccapx یا .cap را به فایل‌های رمز شده اضافه می‌کنند.

باج‌افزار جدید Litra

این باج‌افزار جدید به فایل‌های رمز شده پسوند .Litra را اضافه می‌نماید.

نسخه جدیدی از Phobos

نسخه‌ای از Phobos مشاهده شده که از پسوند .wallet برای فایل‌های رمز شده استفاده می‌نماید.

باج‌افزار جدید Walan

باج‌افزار جدیدی مشاهده شده است که به فایل‌های رمز شده پسوند .WALAN را اضافه نموده و متن باج‌خواهی را در DECRYPT_INFO.txt قرار می‌دهد.

باج‌افزار جدید Troll

باج‌افزار جدید Troll به فایل‌های رمز شده پسوند .TROLL را اضافه می‌نماید و متن باج‌خواهی را در HOW TO BACK YOUR FILES.txt قرار می‌دهد.

سه‌شنبه 4 تیر (25 ژوئن)

نسخه Lotep باج‌افزار STOP Djvu

مایکل گیلسپی، محقق حوزه باج‌افزار، نسخه‌ای از STOP را مشاهده نموده که به فایل‌های رمز شده پسوند .lotep را اضافه می‌نماید.

نسخه XXXX از Dharma

نسخه‌ای از Dharma اضافه شده که به فایل‌های رمز شده پسوند .xxxx را اضافه می‌نماید.

نسخه جدیدی از باج‌افزار Zeropadypt

نسخه‌ای از Zeropadypt مشاهده شده که به فایل‌های رمز شده پسوند .limbo را اضافه می‌نماید. متن باج‌خواهی این باج‌افزار در فایلی با نام Read-Me-Now.txt قرار می‌گیرد.

باج‌افزار‌های جدید Peekaboo و Craftul

دو باج‌افزار جدید کشف شده‌اند که به فایل‌های رمز شده پسوند‌های .peekaboo و .craftul را اضافه می‌نمایند و متن باج‌خواهی آن‌ها به ترتیب در فایل‌های @@_TAKE_A_LOOK_@@.txt و FilesInfo.txt قرار می‌گیرد.

حملات دوباره باج‌افزار Troldesh

باج‌افزار Troldesh که در اواخر سال گذشته فعالیت‌هایی داشت، دوباره فعال شده و قربانیانی را در روسیه، مکزیک و امریکا گرفته است.

چهارشنبه 5 تیر (26 ژوئن)

درآمد یک میلیون دلاری هکرها از حملات سایبری به فلوریدا!

هکرهایی که به شهرداری‌های ایالت فلوریدا حمله باج‌افزاری نموده بودند، از حمله به دو شهر این ایالت یک میلیون دلار درآمد داشته‌اند!

باج‌افزار جدید Popotic

این باج‌افزار جدید به فایل‌های رمز شده پسوند .popotic را اضافه نموده و متن باج‌خواهی را در HOW-TO-RESTORE-FILES.txt قرار می‌دهد.

باج‌افزار جدید PZDC

این باج‌افزار جدید به فایل‌های رمز شده پسوند .pzdc را اضافه نموده و متن باج‌خواهی را در 1_VIRUS_SHIFROVALSHIK.txt قرار می‌دهد.

پنج‌شنبه 6 تیر (27 ژوئن)

توزیع تروجان و باج‌افزار از طریق سرور تبلیغاتی هک شده

یک سرور تبلیغات از یک سایت محبوب تغییر فرمت ویدیو هک شده و یک پیام آلوده نشان می‌دهد که اکسپلویت‌کیت GreenFlash را بارگذاری می‌نماید. این اکسپلویت کیت کاربر را به باج‌افزار SEON، تروجان سرقت اطلاعات Pony و ماینر آلوده می‌نماید.

نسخه Nusar از باج‌افزار STOP

نسخه‌ای از باج‌افزار STOP Djvu مشاهده شده که به فایل‌های رمز شده پسوند .Nusar اضافه می‌نماید.

انتشار رمزگشای باج‌افزار Peekaboo

رمزگشای باج‌افزار جدید Peekaboo منتشر شد.

به‌روز‌رسانی رمزگشای باج‌افزار STOP

رمزگشای باج‌افزار STOP با کلید‌های آفلاین مربوط به پسوند‌های .truke، .dalle و .lotep به روز شد.

باج‌افزار جدید مبتنی بر Go که با EternalBlue توزیع می‌شود!

این باج‌افزار جدید که به زبان Go نوشته شده است به کمک ابزار Pyexe از طریق EternalBlue توزیع می‌شود. این باج‌افزار افزونه .locked را به فایل‌های رمز شده اضافه می‌نماید.

باج‌افزار جدید مبتنی بر پاورشل

این باج‌افزار مبتنی بر پاورشل به فایل‌های رمز شده پسوند .Freezing را اضافه می‌نماید.

جمعه 7 تیر (28 ژوئن)

باج‌افزار جدید Wav_list

این باج‌افزار جدید به فایل‌های رمز شده پسوند .wav_list را اضافه نموده و متن باج‌خواهی را در فایل متنی HOW TO DECRYPT[].txt قرار می‌دهد.

نسخه جدیدی از Scarab

این نسخه از Scarab به فایل‌های رمز شده پسوند .alilibat را اضافه می‌نماید و متن باج‌خواهی در فایلی به نام DECRYPT.TXT قرار می‌گیرد.


هفته دوم

هفته دوم تیرماه نسخه‌های زیادی از باج‌افزار‌های شناخته شده گزارش شد. نسخه‌های مختلف STOP که در کشور ما نیز قربانیان زیادی داشته‌اند. همچنین باج‌افزار Sodinokibi فعالیت خود را گسترش داده و در آخرین فعالیت خود، از یک اکسپلویت ویندوزی برای افزایش قربانیان خود استفاده می‌نماید.

شنبه 8 تیر (29 ژوئن)

نسخه Litar از STOP

مایکل گیلسپی، محقق حوزه باج‌افزار، نسخه‌ای از باج‌افزار STOP Djvu را مشاهده نموده که به فایل‌های رمز شده پسوند .litar را اضافه می‌نماید.

دوشنبه 10 تیر (۱ جولای)

پسوند جدید باج‌افزار Cryakl

مایکل گیلسپی باج‌افزاری شبیه به Cryakl را مشاهده نموده که احتمالا همان باج‌افزار با پسوند جدید .cs16 است.

نسخه جدیدی از Phobos

نسخه جدیدی از Phobos مشاهده شده که به فایل‌های رمز شده پسوند .1500dollars را اضافه می‌نماید.

حمله باج‌افزاری به دادگاه ایالت جورجیا

لااقل قسمتی از دادگاه ایالتی جورجیا به دلیل حمله باج‌افزاری آفلاین شده است. این چندمین حمله باج‌افزاری به نهادهای ایالتی ایالت‌های امریکا است.

سه‌شنبه 11 تیر (2 جولای)

باج‌افزار جدید CXK NMSL

باج‌افزار جدیدی با نام CXK NMSL مشاهده شده که به صورت یک فایل batch است. این باج‌افزار پس از رمز فایل‌ها، پسوند  .cxk_nmsl را به فایل‌ها اضافه می‌نماید.

چهارشنبه 12 تیر (3 جولای)

باج‌افزار جدید Crypto Locker

این باج‌افزار جدید به فایل‌های رمز شده پسوند .isolated را اضافه می‌نماید.

باج درخواستی Cryakl CS1.6 را پرداخت ننمایید!

اگر دچار باج‌افزار Cryakl CS1.6 تا قبل از 12 تیر شده‌اید به هیچ وجه باج را پرداخت ننمایید. مراجع قانونی سرور‌های هکرها را در دست گرفته‌اند و به همه کلید‌های خصوصی دست یافته‌اند. هکرها نیز پشتیبانی از آن‌ها ندارند و پرداخت پول تنها جیب آن‌ها را پر می‌کند!

نسخه جدید باج‌افزار SEON

نسخه 0.2 باج‌افزار SEON مشاهده شده است.

باج‌افزار جدید VirusEncoder

این باج‌افزار جدید که با نام VirusEncoder شناخته می‌شود، به فایل‌های رمز شده پسوند .boooam@cock_li را اضافه نموده و متن باج‌خواهی را در فایل HOW_TO_DECRYPT_FILES.html قرار می‌دهد.

رمزگشای به روز شده باج‌افزار Aurora

رمزگشای باج‌افزار Aurora برای پسوند .isolated به‌روز شد.

پنج‌شنبه 13 تیر (4 جولای)

توزیع Sodinokibi با استفاده از اکسپلویت باگ ویندوز

باج‌افزار Sodinokibi با قدرت در تلاش برای افزایش سهم خود در دنیای باج‌افزار است و اکنون با استفاده از اکسپلویت یک آسیب‌پذیری در قسمت Win32k ویندوز‌های ۷ تا ۱۰ به دنبال آلوده نمودن قربانیان بیشتری است.

به‌روز‌رسانی رمزگشای باج‌افزار STOP

مایکل گیلسپی، رمزگشای باج‌افزار STOP را برای کلید‌های آفلاین پسوند‌های .nusar، .litar و .besub به روز نمود.

نسخه جدیدی از باج‌افزار DRCTR

این نسخه از DRCTR از پسوند .CAGO برای فایل‌های رمز شده استفاده می‌نماید و متن باج‌خواهی را در فایل‌های DECRYPT_INFO.txt و DECRYPT_INFO.hta قرار می‌دهد.

جمعه 14 تیر (5 جولای)

نسخه Cezor از STOP

نسخه‌ای از STOP مشاهده شده که به فایل‌های رمز شده پسوند .cezor را اضافه می‌نماید.


هفته سوم

شنبه 15 تیر (6 جولای)

‌باج‌افزار‌‌‌های کشف‌شده

نسخه جدید Dharma با پسوند .crash

مایکل گیلسپی نسخه جدیدی از باج افزار Dharma را کشف کرده است که پسوند .crash را به فایل‌ها اضافه می‌کند.

باج افزار  جدید Basilisque Locker

فردی با نام مستعار Amigo-A ‌‌باج‌افزار‌‌‌‌‌‌ جدیدی به نام Basilisque Locker کشف کرده است که پسوند .basilisque@protonmail_com را به فایل‌ها اضافه می‌کند و یک پیام باج‌خواهی با نام HOW_TO_DECRYPT.txt برای قربانی ارسال می‌کند.

یکشنبه 16 تیر (7 جولای)

خبرهای داغ روز

هکرهای ناشناسی با هک کردن سیستم‌های کامپیوتری یک شهرداری، پرونده‌های شهرداری را رمز کردند. این پرونده‌ها که به مدت یک ماه، قفل‌شده و غیرقابل دسترس بودند، حاوی اطلاعات مهم شهرداری در صد سال اخیر بوده است. هکرها برای آزادسازی اطلاعات درخواست 460 هزار دلار درخواست کرده‌اند. 

 

‌‌باج‌افزار‌‌‌‌‌‌های کشف‌شده

نسخه‌های جدید Dharma با پسوند .php و .dqb

جیکوب کراستک، نسخه جدیدی از Dharma را با پسوندهای .php و .dqb کشف کرده است.

 

دوشنبه هفدهم تیر (8 جولای)

خبرهای داغ روز

چه کسی پشت ‌‌باج‌افزار‌‌‌‌‌‌ GandCrab است؟

کلاهبردان وابسته به ‌‌باج‌افزار‌‌‌‌‌‌ GandCrab در سی و یکم می 2019 اعلام کردند که پس از این که توانستند دو میلیارد دلار از قربانیان اخاذی کنند، به کار این ‌‌باج‌افزار‌‌‌‌‌‌ را خاتمه داده‌اند. اما این سؤال که چه کسی مسئولیت گروه انتشاردهنده این ‌‌باج‌افزار‌‌‌‌‌‌ را بر عهده دارد هنوز بی جواب مانده است.

‌‌باج‌افزار‌‌‌‌‌‌های کشف­شده

نسخه جدید Dharma با پسوند .save

جیکوب کراستک، نسخه جدیدی از Dharma را با پسوند .save و مایکل گیلسپی نسخه دیگری از آن را با پسوند .kick کشف کرده‌اند.

نسخه جدید GarrantyDecrypt

مایکل گیلسپی نسخه جدیدی از باج افزار GarrantyDecrypt را کشف کرده است که پسوند .popoticus را به فایل‌ها اضافه می‌کند.

نسخه جدید STOP Djvu با پسوند lokas

مایکل گیلسپی، نسخه­ی جدیدی از STOP Djvu را کشف کرده است که پسوند .lokas را به فایل‌های رمزشده اضافه می‌کند.

اکسپلویت سفارشی Azera

جروم سگورا، اکسپلویت سفارشی Azera را کشف کرده است که ‌باج‌افزار‌‌‌ ERIS را تقویت می‌کند.

سه­شنبه هجدهم تیر(9 جولای)

خبرهای داغ روز

کیت اکسپلویت Rig ‌باج‌افزار‌‌‌ Eris را به سمت Drive-by Downloads هل می‌دهد.

مشخص شده است که کیت اکسپلویت Rig به عنوان پیلود خود ‌باج‌افزار‌‌‌ Eris را توزیع می‌کند. این کیت سبب می‌شود که در حین بازدید کاربران آسیب‌پذیر از وب‌سایت،  ‌باج‌افزار‌‌‌ روی کامپیوتر آن‌ها نصب شود.

‌باج‌افزار‌‌‌ Revil-Sodinokibi، تجزیه و تحلیل­های فنی و گزارشی از اطلاعات مورد تهدید

نویسندگان ‌باج‌افزار‌‌‌ Sodinokib با این که نسخه اول این ‌باج‌افزار‌‌‌ را منتشر می‌کنند، اما به نظر می‌رسد که سابقه طولانی در جرایم سایبری داشته باشند. پژوهشگران به شباهت این ‌باج‌افزار‌‌‌ به ‌باج‌افزار‌‌‌ GandCrab پی برده‌اند که از ابتدای ژوئن فعالیت خود را متوقف کرده است. به نظر می‌رسد که ‌باج‌افزار‌‌‌ Sodinokib جانشین مناسبی برای پر کردن جای خالی GandCrab باشد.

آنتی ویروس Qihoo 360 ابزاری برای رمزگشایی GandCrab نسخه v5.2 منتشر کرد.

آنتی ویروس Qihoo 360 قبلاً تمامی وجوه مختلف حمله این ‌باج‌افزار‌‌‌ را تفکیک کرده و روش رمزگشایی قدرتمندی برای همه سری‌های آن را ارائه داده است. اخیراً نیز ابزاری برای رمزگشایی GandCrab نسخه v5.2 منتشر کرده است که قربانیان بدون پرداخت باج فایل‌های خود را رمزگشایی کنند.

‌باج‌افزار‌‌‌های کشف شده

‌باج‌افزار‌‌‌ جدید Crown

پترویک، ‌باج‌افزار‌‌‌ جدید به نام Crwon را کشف کرده است که به فایل‌های رمزشده پسوند .crown را اضافه می‌کند.

چهارشنبه نوزدهم تیر (10 جولای)

خبرهای داغ روز

چگونه 15 کمپین فعال ‌باج‌افزار‌‌‌ها را که سرورهای ذخیره‌سازی فایل‌های لینوکس را هدف قرار داده بودند به تصاحب در آوردیم.

اینتزر در مورد  ‌باج‌افزار‌‌‌ eCh0raix که به آن نام QNAPCrypt را داده است می‌گوید که توانسته این ‌باج‌افزار‌‌‌ را که سیستم‌های ذخیره‌سازی فایل‌های مبتنی بر لینوکس را هدف قرار داده بود شناسایی کند و عملیات موقتی DoS را در مورد آن اجرا کند.

‌باج‌افزار‌‌‌های کشف‌شده

باج‌افزار eCh0raix ابزار‌های NAS را هدف قرار می‌دهد!

باج‌افزار جدید مبتنی بر زبان Go که eCh0raix نام دارد در تلاش برای ایجاد حملاتی علیه حافظه‌های متصل به شبکه (NAS) است. این ابزار‌ها برای پشتیبان‌گیری مورد استفاده قرار می‌گیرند.

نسخه جدید Dharma با پسوند .BKP

مایکل گیلسپی، نسخه جدیدی از Dharma را با پسوند .BKP  کشف کرده است.

‌باج‌افزار‌‌‌ جدید Wanna Dead

گروه MalwareHunterTeam، ‌باج‌افزار‌‌‌ جدید به نام Wanna Dead را پیدا کرده‌اند که بر اساس HiddenTearاست و چیزی را رمز نمی‌کند.

‌باج‌افزار‌‌‌ جدید Rodentia

گروه MalwareHunterTeam، ‌باج‌افزار‌‌‌ جدید به نام Rodentia را پیدا کرده‌اند که هیچ چیز را رمز نمی‌کند!

نسخه جدید Nemesis

گروه GrujaRS، نسخه جدیدی از Nemesis را پیدا کرده است که پسوند YOUR_LAST_CHANCE را به فایل‌های رمزشده اضافه می‌کند و یادداشت باج‌خواهی با نام _RESTORE FILES_.txt را قرار می‌دهد.

پنج‌شنبه بیستم تیر (11 جولای)

خبرهای داغ روز

به روزرسانی رمزگشای STOP

مایکل گیلسپی رمزگشای STOP Djvu را به‌روزرسانی کرده است تا از کلیدهای آفلاین برای پسوندهای .cezor و .lokas پشتیبانی کند.

قطعنامه شهرداران در پرداخت باج به ‌باج‌افزار‌‌‌ها

در جریان حمله‌های اخیر ‌باج‌افزار‌‌‌ها، کنفرانس شهرداران ایالات متحده آمریکا، شهرداران را از پرداخت باج به مجرمین سایبری منع کرد.

دانشگاه شمال غربی هند دچار ‌باج‌افزار‌‌‌ شد

این هفته، دانشگاه شمال غربی هند با حمله سایبری از نوع ‌باج‌افزار‌‌‌ Ryuk مواجه شد که بسیاری از فایل‌های مهم آن‌ها از جمله فایل‌های پشتیبان و اطلاعات حقوقی آن‌ها رمز شد.

‌باج‌افزار‌‌‌های کشف‌شده

نسخه HTML جدید Dharma  

فردی با نام Amigo-A، نسخه­ی جدیدی از Dharma را پیدا کرده است که پسوند YOUR_LAST_CHANCE را به فایل‌های رمز شده اضافه می‌کند و یادداشت باج ‌خواهی با نام HOW_TO_DECRYPT.txt/ را قرار می‌دهد.

نسخه جدید STOP Djvu

مایکل گیلسپی نسخه جدید از ‌باج‌افزار‌‌‌ STOP Djvu را کشف کرده است که پسوند .godes را به فایل‌ها اضافه می‌کند.

نسخه جدید Bulba

گروه GrujaRS، نسخه جدیدی از Bulba را پیدا کرده است که پسوند .pos را به فایل‌های رمز شده اضافه می‌کند و یادداشت باج‌خواهی با نام DECRYPT FILES.txt را قرار می‌دهد.

جمعه بیست و یکم تیر(12 جولای)

خبرهای داغ روز

دانشگاه مونرو با ‌باج‌افزار‌‌‌ی رو‌به‌رو شد که تقاضای 2 میلیون دلار باج کرده است

در دانشگاه مونرو نیویورک، سیستم‌های کامپیوتری دچار ‌باج‌افزار‌‌‌ شده‌اند. مهاجمین درخواست دو میلیون دلاری برای آزادسازی فایل‌ها کرده‌اند.

در صورتی که دچار حمله باج‌افزاری شدید، می‌توانید از راهنمایی‌های تیم کارشناسان مرکز تخصصی آپا بهره‌مند شوید.

در صورت نیاز با info@nsec.ir یا 03133915336 تماس بگیرید.