info[at]nsec.ir
(+98)-31-33915336

باج‌افزار در هفته‌ای که گذشت: هفته چهارم بهمن

خلاصه: در هفته بسیار آرام دنیای باج‌افزار تنها خبر حمله باج‌افزار GandCrab به ارایه دهندگان خدمات اندکی اهمیت داشت. امیدواریم که همیشه دنیای باج‌افزار به این آرامی باشد؛ اما این بدان معنی نیست که این گونه از بدافزار جدی گرفته نشود!

 

در هفته بسیار آرام و خاموش دنیای باج‌افزار، تنها تعداد کمی باج‌افزار جدید و نسخه‌هایی از باج‌افزار‌های ماتریکس و Dharma مشاهده شد. خبر مهم این هفته شاید هدف قرار دادن آسیب‌پذیری نرم‌افزار مدیریت MSP در سرویس‌دهنده‌ها بود که راهی مناسب برای آلوده کردن چندین دستگاه از طریق یک سرور است.

شنبه 20 بهمن (9 فوریه)

باج‌افزار جدید FCRYPT

این باج‌افزار به فایل‌ها پسوند .FCrypt را اضافه می‌کند و یک یادداشت باج با نام #HELP-DECRYPT-FCRYPT1.1#.txt را بر روی سیستم باقی می‌گذارد. این باج‌افزار قابل رمزگشایی است. این باج‌افزار یک هش MD5 تصادفی ایجاد کرده و از آن به‌عنوان کلید AES استفاده می‌کند.

دوشنبه 22 بهمن (11 فوریه)

نسخه جدید ماتریکس

نوع جدید از باج‌افزار Matrix کشف شده است که پسوند .PLANT را به فایل‌های رمز شده اضافه می‌کند. باج‌افزار ماتریکس قابل رمزگشایی نیست.

باج‌افزاری با غلط املایی!

این باج‌افزار احتمالا می‌خواسته انگلیسی مریخ را که mercury نوشته می‌شود به عنوان پسوند فایل‌ها انتخاب نماید؛ اما پسوند فایل‌ها پس از رمزنگاری به .mecury تغییر می‌کند!

چهارشنبه 24 بهمن (13 فوریه)

باج‌افزار جدید Encrypted5

محققان باج‌افزار جدیدی را کشف کرده‌اند که پسوند .Encrypted5 را به فایل‌ها اضافه می‌کند. این باج‌افزار هنوز ناشناخته است.

نسخه جدیدی از ماتریکس

این نسخه از ماتریکس پسوند .PEDANT را اضافه می‌کند و یک یادداشت باج به نام  !PEDANT_INFO!.rtf را بر روی سیستم باقی می‌گذارد.

پنج‌شنبه 25 بهمن (14 فوریه)

حملات باج‌افزاری ارایه دهندگان سرویس را هدف گرفته‌اند

توزیع‌کنندگان باج‌افزار شروع به هدف قرار دادن MSPها (Managed service Providers) کرده‌اند. دلیل اصلی آن‌ها برای این کارآلوده کردن همه‌ی مجموعه‌ی کلاینت‌های آن‌ها در یک حمله‌ی واحد است. گزارش‌های اخیر نشان می‌دهد که چندین MSP اخیرا هک شده‌اند و این مورد به هزاران مشتری آلوده به باج‌افزار GandCrab منجر می‌شود.

نسخه جدید Dharma

این نسخه از Dharma‌ به فایل‌های رمز شده پسوند .KARLS را اضافه می‌نماید.

باج‌افزار جدید Snatch

نوع جدیدی از باج‌افزار Snatch کشف شده است که پسوند .jupstb را به فایل‌های رمز شده اضافه می‌کند. این باج‌افزار یادداشت باج Readme_Restore_Files.txt را بر روی سیستم کاربر قرار می‌دهد.​