info[at]nsec.ir
(+98)-31-33915336

باج‌افزار در هفته‌ای که گذشت: هفته سوم بهمن

خلاصه: در هفته نسبتا آرام دنیای باج‌افزار سهم بیشتر متعلق به نسخه‌های جدید از باج‌افزار‌های قدیمی بود. باج‌افزار‌های STOP، Jigsaw و Dharma و حتی GandCrab از باج‌افزار‌هایی هستند که همچنان فعالانه به کار خود ادامه می‌دهند.

 

این هفته پر بود از نسخه‌های جدیدی از باج‌افزار‌های شناخته شده مانند STOP، Dharma و Jigsaw. همچنین خبرهایی همچون دانلود کننده‌ باج‌افزار که از پیکسل‌های عکس ساخته می‌شد و شرکت‌کننده‌های بازگرداننده‌های اطلاعات که با باج‌افزار GandCrab همدست شده‌اند در این هفته نسبتا آرام باج‌افزار‌ها مشاهده شد.

شنبه 13 بهمن (2 فوریه)

نسخه جدیدی از PayDay

تیم MalwareHunter نسخه جدیدی از PayDay را کشف نموده‌اند که متن باج‌خواهی خود را در فایل متنی با نام HOW_TO_DECRYPT_MY_FILES.txt قرار می‌دهد.

دوشنبه 15 بهمن (4 فوریه)

نسخه جدیدی از STOP

این نسخه از STOP‌ به فایل‌های رمز شده پسوند .blower را اضافه می‌نماید.

نسخه جدیدی از RotorCrypt

این نسخه جدید از RotorCrypt به فایل‌های رمز شده پسوند !ymayka-email@yahoo.com.cryptotes را اضافه می‌نماید.

نسخه جدیدی از Dharma

این نسخه از Dharma‌ به فایل‌های رمز شده پسوند .888 اضافه می‌نماید.

نسخه PennyWise از باج‌افزار Jigsaw

این نسخه از Jigsaw با تصویر بامزه خود به فایل‌های رمز شده پسوند .PennyWise را اضافه می‌نماید.

سه‌شنبه 16 بهمن (5 فوریه)

باج‌افزار جدید Crypted Pony

این باج‌افزار جدید به فایل‌های رمز شده پسوند .crypted_pony_test_build_xxx_xxx_xxx_xxx_xxx را اضافه می‌نماید.

چهارشنبه 17 بهمن (6 فوریه)

سبقت گرفتن استخراج‌کننده‌های رمز‌ارز از باج‌افزار‌ها! بدافزار به عنوان سرویس رو به رشد

بر اساس گزارش شرکت امنیتی چک‌پوینت، استخراج‌کننده‌های رمزارز ده برابر بیشتر از باج‌افزار‌ها در سال 2018 قربانی گرفتند! با این حال تنها یک‌پنجم از مدیران امنیت سازمان‌های آلوده در جریان آلودگی سیستم‌های خود به این نوع بدافزار‌ها بوده‌اند!

کمک باج‌افزار GandCrab به بازگرداننده‌های اطلاعات برای پنهان نمودن مقدار باج!!!

سایت باج‌افزار معروف GandCrab که روی شبکه تور در دسترس است به شرکت‌های بازگرداننده اطلاعات این امکان را می‌دهد که میزان باج واقعی که قربانی باید بپردازد را پنهان نموده و از قربانیان برای بازگردانی اطلاعات باج بیشتری دریافت نمایند.

باج‌افزار جدید روسی با گواهی دیجیتال معتبر!

تیم MalwareHunter با یک نمونه از باج‌افزار روسی مواجه شده است که متن باج‌خواهی را به زبان روسی در فایل متنی Your files are now encrypted.txt قرار می‌دهد و هیچ پسوندی در انتهای فایل‌های رمز شده قرار نمی‌دهد. این باج‌افزار از گواهی دیجیتال معتبر استفاده می‌نماید!

پنج‌شنبه 18 بهمن (7 فوریه)

باج‌افزار جدید با پسوند .FileSlack

این باج‌افزار جدید به فایل‌های رمز شده پسوند .FileSlack را اضافه نموده و متن باج‌خواهی را در فایل متنی Readme_Restore_Files.txt قرار می‌دهد.

باج‌افزار جدید Pluto

این باج‌افزار جدید به فایل‌های رمز شده پسوند .pluto اضافه نموده و متن باج‌خواهی را در !!!READ_IT!!!.txt قرار می‌دهد.

نسخه LOLSEC باج‌افزار Jigsaw

این نسخه از Jigsaw به فایل‌ها پس از رمزگذاری پسوند .paycoin را اضافه نموده و متن باج‌خواهی را در !!!READ_IT!!!.txt قرار می‌دهد.

نسخه‌های جدیدی از Dharma

این نسخه‌های جدید مشاهده شده به فایل‌های رمز شده پسوند‌های .amber و .frend اضافه می‌نمایند.

جمعه 19 بهمن (8 فوریه)

ضمیمه ایمیل که دانلود کننده باج‌افزار را از عکس سوپر‌ماریو می‌سازد!

یک ضمیمه آلوده ایمیل در حال انتشار است که با استفاده از پیکسل‌های عکس بازی نوستالژیک سوپر ماریو یک دستور پاورشل می‌سازد. این دستور پس از اجرا اقدام به دانلود و اجرای باج‌افزار GandCrab و دیگر بدافزار‌ها می‌نماید.

باج‌افزار جدید Clop

این باج‌افزار جدید به فایل‌های رمز شده پسوند .Clop را اضافه نموده و متن باج‌خواهی را در فایل متنی ClopReadMe.txt قرار می‌دهد.

نسخه‌ای از GandCrab با استفاده از فایل فشرده قفل شده!

عصر جمعه نسخه‌ای از GandCrab  مشاهده شد که با سایر کمپین‌های GandCrab متفاوت بود. این باج‌افزار که با کمک فایل‌های آلوده آفیس و مشخصا ورد با کمک ماکرو‌ها یا دیگر شی‌های تعبیه شده توزیع می‌شود در یک فایل فشرده محافظت شده با پسورد قرار دارد. برای باز نمودن این فایل فشرده نیاز به پسورد invoice123 است.