info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

‌باج‌افزار‌‌‌ در هفته‌ای که گذشت: هفته سوم مهر ماه

خلاصه: دنیای باج‌افزار در هفته سوم مهر ماه پر از اخبار جالب و مهم است. در کنار نسخه‌های جدید باج‌افزار‌های شناخته شده و رمزگشاهایی که این هفته منتشر شده، یک خبر جالب حمله یک قربانی باج‌افزار به سرور‌های باج‌افزار و گرفتن انتقام بود!

 

این هفته دنیای باج‌افزار پر بود از اخبار جالب و مهم. انتشار کلیدهای باج‌افزار HildaCrypt، بلوف باج‌افزارRobbinHood  در مورد اکسپلویت‌های گذشته خود، انتشار تمام کلیدهای رمزگشایی باج‌افزار Muhstik توسط یکی از قربانیان آن و انتشار رمزگشای باج‌افزار Nemty از جمله خبرهای مهم این هفته بودند.

در حالی‌که رمزگشاها منتشر می‌شدند‌، متأسفانه شاهد بودیم که نسخه‌های جدیدی از باج‌افزارهایDharma ،Nemty ، Phobos و STOP منتشر می‌شوند. هم‌چنین باج‌افزارOuroboros  ضعف در الگوریتم رمزگذاری خود را برطرف می‌کند تا رمزگشای BloodDolly کار نکند.

 

‌شنبه ۱۳ مهر (۵ اکتبر)

توسعه‌دهنده باج‌افزار HildaCrypt‌ کلیدهای رمزگشایی را منتشر می‌کند!

توسعه دهندگان باج‌افزارHildaCrypt  تصمیم گرفته است تا کلیدهای رمزگشایی خصوصی باج‌افزار را منتشر کنند. با استفاده از این کلیدها می‌توان فایل‌های رمز شده رمزگشایی کرد و به هر قربانی امکان می‌دهد فایل‌های خود را به صورت رایگان بازیابی کند.

باج‌افزار HackdoorCrypt3r

باج‌افزار HackdoorCrypt3r با پسوند .hackdoor کشف شده که متن باج‌خواهی را در how_to_unlock_your_file.txt قرار می‌دهد.

باج‌افزار جدید OnyxLocker

الکس سویریید باج‌افزار جدید OnyxLocker را کشف کرده که پسوند .onx را به فایل های رمزشده اضافه می‌کند.

نسخه جدید Russian Aurora

یک باج‌افزار آفلاین Russian Aurora کشف شده که پسوند .veracrypt را اضافه می‌کند و متن باج‌خواهی را در @@_ATTENTION_@@.txt ، @@_README_@@.txt و @@_README_@@.txt قرار می‌دهد.

 

دو‌شنبه ۱۵ مهر (۷ اکتبر)

تغییر ادبیات متن باج‌خواهی باج‌افزار رابین‌هود برای ترغیب کاربران به پرداخت باج!

 توسعه‌دهندگان باج‌افزار RobbinHood حداقل در یک نسخه از بدافزار، زبان خود را در متن باج‌خواهی تغییر داده‌اند تا قربانیان امیدوار باشند که فایل‌ها به صورت رایگان رمزگشایی می‌شود و قربانیان را مجاب به پرداخت باج برای بازگردانی فایل‌ها می‌کند.

قربانی باج‌افزار Muhstik آن را هک کرد و کلیدهای رمزگشایی را منتشر کرد!

یک قربانی باج‌افزار Muhstik هکرها را هک کرد و نزدیک به ۳۰۰۰ کلید رمزگشایی برای قربانیان را به همراه رمزگشای رایگان این باج‌افزار منتشر کرد تا فایل‌هایشان را برگردانند.

پرداخت بیمارستان DCH برای رمزگشایی کلید به باج‌افزار Ryuk

بیمارستان‌های DCH در ایالت آلابامای امریکا برای دریافت رمزگشا و بازیابی سیستم‌های رایانه‌ای خود، تصمیم به پرداخت باج به باج‌افزارRanuk  گرفته است.

نسخه‌های جدید باج‌افزارهای Scarab و GlobeImposter2

نسخه‌های  جدید از باج‌افزارهای Scarab و GlobeImposter2 کشف شده است که پسوند [sill@tuta.io]. را به فایل‌های رمز شده اضافه می‌کند و متن باج‌خواهی را در help you.txt قرار می‌دهد.

به‌روز شدن رمزگشایAurora  برای پشتیبانی از veracrypt.

رمزگشایی Aurora برای پشتیبانی از نسخه‌های با پسوند veracrypt. به‌روزرسانی شد.

رمزگشای باج‌افزار Muhstik برای ویندوز

رمزگشای ویندوز برای باج‌افزار Muhstik منتشر شد.

نسخه جدید DCRTR

یک نسخه جدید از باج‌افزار DCRTR کشف شده که پسوند LOCK. را به فایل‌های رمزشده اضافه می‌نماید و متن باج‌خواهی را در HOW TO DECRYPT FILES.txt و HOW TO DECRYPT FILES.hta قرار می‌دهد.

نسخه جدید Bora باج‌افزار STOP

مایکل گیلسپی نسخه جدیدی از باج‌افزار STOP کشف کرده که پسوند .bora‌را به فایل‌های رمزشده اضافه می کند.

 

سه‌شنبه ۱۶ مهر (۸ اکتبر)

نسخه جدید باج‌افزار Phobos

مایکل گیلسپی نسخه جدیدی از باج‌افزار STOP کشف کرده که پسوند .deal‌ را به فایل‌های رمزشده اضافه می‌کند.

 

پنج‌‌شنبه ۱۸ مهر (۱۰ اکتبر)

انتشار رمزگشای باج‌افزار Nemty و بازیابی فایل‌ها به صورت رایگان

سرانجام قربانیان باج‌افزار Nemty خوشحال می‌شوند! چراکه محققان یک رمزگشا منتشر نمودند که به آن‌ها اجازه می‌دهد تا فایل‌هایشان را به صورت رایگان بازیابی کنند.

آسیب‌پذیری روز صفر نرم‌افزار به‌روز‌رسانی اپل برای توزیع باج‌افزار BitPaymer استفاده شد

در ماه اوت، چندین شركت از صنعت خودروسازی توسط اپراتورهای باج‌افزار BitPaymer مورد حمله قرار گرفتند، در حملاتی که از آسیب‌پذیری روز صفر اپل که سرویس به‌روز‌رسانی اپل را تحت تاثیر قرار می‌دهد و برنامه‌های iTune و iCloud ویندوز را تحت تاثیر قرار می‌دهد استفاده شده است.

انتشار رمزگشایی Muhstik در پایتون

مایکل گیلسپی رمزگشایی Muhstik در پایتون منتشر کرده که برای کسانی که با آن روبه‌رو می‌شوند مورد استفاده است.

نسخه جدید Odveta Ouroboros نمی‌تواند رمزگشایی شود

سازندگان باج‌افزار Ouroboros یک نسخه جدید با پسوند .odveta منتشر کردند که این نسخه متاسفانه فایل رمزگشایی نیست چراکه نقص در الگوریتم آن برطرف گردیده است.

 

جمعه ۱۹ مهر (۱۱ اکتبر)

‌باج‌افزار‌‌‌ Nemty 1.6 منتشر شد و از طریق اکسپلویت کیت RIG توزیع می‌شود

اکسپلویت کیت RIG اکنون مجموعه‌ای از بدافزارها را توزیع می‌کند که نسخه جدید باج‌افزار nemty را هم شامل می‌شود.

 نسخه جدید Krab باج‌افزار Dharma

یک نسخه جدیدی از باج‌افزار Dharma کشف شده که پسوند .krab را به فایل‌های رمزشده اضافه می‌نماید.

در صورتی که دچار حمله باج‌افزاری شدید، می‌توانید از راهنمایی‌های تیم کارشناسان مرکز تخصصی آپا بهره‌مند شوید.

در صورت نیاز با info@nsec.ir یا ۰۳۱۳۳۹۱۵۳۳۶ تماس بگیرید.