با ما به‌روز باشید!
info[at]nsec.ir
(+98)-313-3915336

باج‌افزار در هفته‌ای که گذشت: هفته اول آذر

خلاصه: این هفته یکی از جالب‌ترین هفته‌ها در رابطه با باج‌افزار بوده است. اول از همه ماجرای دو ایرانی که توسط دولت آمریکا متهم به درگیری در عملیات باج‌افزار SamSam شدند و سپس ماجرای دولت ایالات متحده آمریکا که برای اولین بار دو شخص مرتبط با ایران را برای درگیری در تبدیل پرداخت باج‌افزار به ارز رایج از طرف گروه SamSam متهم کرد! در این هفته تعدادی از انواع باج‌افزار Dharma و Scarab نیز منتشر شدند.

 

 

این هفته یکی از جالب‌ترین هفته‌ها در رابطه با باج‌افزار بوده است. اول از همه ماجرای دو ایرانی که توسط دولت آمریکا متهم به درگیری در عملیات باج‌افزار SamSam شدند و سپس ماجرای دولت ایالات متحده آمریکا که برای اولین بار دو شخص مرتبط با ایران را برای درگیری در تبدیل پرداخت باج‌افزار به ارز رایج از طرف گروه SamSam متهم کرد! همچنین این افراد به لیست تحریم‌های ایالات متحده‌ی آمریکا اضافه شدند و هر شرکت که پرداخت باج‌افزاری‌ای به آن‌ها داشته باشد اساسا تحریم‌ها را نقض کرده است.

در خبرهای دیگر، تعدادی از انواع باج‌افزار Dharma و Scarab منتشر شد، همچنین انواعی از دیگر باج‌افزارهای کوچک نیز کشف شدند.

 

یکشنبه 4 آذر (25 نوامبر)

 باج‌افزار هسته‌ای EnyBeny کشف شد 

محققان یک باج‌افزار در حال توسعه را کشف کردند که EnyBeny Nuclear نام دارد و فرمت .PERSONAL_ID:.Nuclear را به فایل‌های رمز شده اضافه می‌کند. این باج‌افزار به‌خاطر یک باگ شکست خورد.

EnyBeny Nuclear Ransomware

نوع جدیدی از myjob Dharma

محققان نوع جدیدی از Dharma را کشف کردند که فرمت .myjob را به فایل‌های رمزشده اضافه می‌کند.

 

دوشنبه 5 آذر (26 نوامبر)

باج‌افزار Lucky کشف شد

محققان باج‌افزار جدیدی را کشف کردند که فایل‌های رمزشده را به "[[email]][original].[random].lucky" تغییر نام می‌دهد و یک یادداشت باج با نام  _How_To_Decrypt_My_File_.txt را برجای می‌گذارد.

نوع جدیدی از باج‌افزار Scarab کشف شد

یک نوع جدید از باج‌افزار Scarab کشف شد، که پسوند .lolita را اضافه می‌کند و یک یادداشت باج با نام _How to restore files.TXT را برجای می‌گذارد. نوع دیگری از این باج‌افزار فرمت .stevenseagal@airmail.cc را اضافه می‌کند و یادداشت باج مرتبط با این باج‌افزار HOW TO RECOVER ENCRYPTED FILES.TXT نام دارد.

Scarab Lolita Ransom Note

سه‌شنبه 6 آذر (27 نوامبر)

نوع جدیدی از Dharma کشف شد

محققان نوع جدیدی از Dharma را کشف کردند که پسوند .[cyberwars@qq.com].war را اضافه کرده و یادداشت باجی با نام FILES ENCRYPTED.txt را بر جای می‌گذارد.

چهارشنبه 7 آذر (28 نوامبر)

نوع جدیدی از Dharma

Michael Gillespie نوع جدیدی از باج‌افزار Dharma را کشف کرد که پسوند .risk را به فایل‌های رمزشده اضافه می‌کند.

GarrantyDecrypt کشف شد

MalwareHunterTwam باج‌افزاری به‌نام GarrantyDecrypt را کشف کرد. این باج‌افزار پسوند .decryptgarranty را به فایل‌های رمز شده اضافه می‌کند و یادداشت باجی به نام #RECOVERY_FILES#.txt را برجای می‌گذارد.

نوع جدیدی از باج‌افزار Everbe

Michael Gillespie نوع جدیدی از باج‌افزار Everbe را کشف کرد. این باج‌افزار پسوند .[].lightning را به فایل‌های رمزشده اضافه می‌کند.

نوع جدیدی از باج‌افزار Scarab

محققان نوع جدیدی از باج‌افزار Scarab را کشف کردند که پسوند .online24files@airmail.cc را اضافه می‌کند، این باج‌افزار، یادداشت باجی با نام HOW TO RECOVER ENCRYPTED FILES-online24files@airmail.cc.TXT را بر جای می‌گذارد.

 

 پنج‌شنبه 8 آذر (29 نوامبر)

DOJ دو ایرانی را متهم به عملیات باج‌افزاری SamSam کرد. وزارت دادگستری این هفته اعلام کرد که یک هیئت منصفه‌ی بزرگ محکومیتی را علیه دو دو هکر ایرانی مطرح کرد. این محکومیت به‌خاطر انجام هک و عملیات باج‌افزاری SamSam اعلام شده است.

 

GusCryptor جدید کشف شد

کارشناسان باج‌افزاری به نام GusCryptor را کشف کردند. این باج‌افزار پسوند .bip را اضافه می‌کند. توجه داشته باشید که فرمت .bip توسط نوعی از باج‌افزار Dharma نیز استفاده شده است.

GusCryptor

 

 جمعه 9 آذر (30 نوامبر)

پرداخت‌های مرتبط با باج‌افزار، اکنون نقض تحریم‌های ایالات متحده‌ی آمریکا

آیا در مورد انجام یک پرداخت باج مرتبط با باج‌افزارها فکر می‌کنید؟ اگر اینچنین است، بهتر است دوباره قبل از انجام این کار فکر کنید چرا که ممکن است به خاطر این کار در خطر نقض تحریم‌های دوت آمریکا قرار بگیرید.

cmdRansomware کشف شد

محققان باج‌افزار جدیدی به‌نام cmdRansomware را کشف کردند. این باج‌افزار از یک دسته فایل و GPG برای رمز کردن یک کامپیوتر استفاده می‌کند. CmdRansomware فرمت .ransomware را به فایل‌های رمزشده اضافه می‌کند و یک یادداشت باج با نام cmdRansomware را برجای می‌گذارد.

cmdRansomware

 

رمزگشای باج‌افزار Stop منتشر شد

Michael Gillespie یک رمزگشای رایگان را برای باج‌افزار STOP منتشر کرد. این رمزگشا بر روی فرمت‌های .puma، .pumas و .pumax کار می‌کند.

 

سیستم ماشین کابلی موسکو یک روز پس از افتتاح، به باج‌افزار آلوده شد

موسکو اخیرا اولین سرویس ماشین کابلی خود را افتتاح کرد و برای ماه اول به مردم وعده‌ی سواری رایگان داد. متاسفانه فقط دو روز پس از در دسترس قرار گرفتن این سرویس، مهاجمان سیستم‌های ماشین کابلی را هک کرده و آن را با باج‌افزار آلوده کردند.