info[at]nsec.ir
(+98)-31-33915336

باج‌افزار در هفته‌ای که گذشت: هفته چهارم دی

خلاصه: در اولین هفته پر کار در سال جدید میلادی تعداد زیادی باج‌افزار جدید در کنار نسخه‌های جدیدی از باج‌افزار‌های قدیمی و شناخته شده منتشر شد. در هفته شلوغ دنیای باج‌افزار، هکرهای ایرانی هم سهم داشتند و با ارایه باج‌افزار به عنوان سرویس از طریق تلگرام خبرساز شدند.

این هفته احتمالا توسعه‌دهندگان بدافزار از تعطیلات سال نو بازگشته‌اند و مشغول به کار شده‌اند. علاوه بر نسخه‌های جدیدی از باج‌افزار‌های شناخته شده مانند Dharma یا Scarab، باج‌افزار‌های جدیدی نیز در این هفته مشاهده شد. شاید مهم‌ترین خبر این هفته توزیع باج‌افزار به عنوان سرویس توسط هکرهای ایرانی از طریق تلگرام بود.

شنبه 22 دی (12 ژانویه)

نسخه Krab از Scarab

این نسخه جدید از باج‌افزار Scarab به فایل‌های رمز شده پسوند .Krab را اضافه نموده و متن باج‌خواهی را در !!!RETURN YOUR FILES!!!.TXT قرار می‌دهد.

دوشنبه 24 دی (14 ژانویه)

نسخه .zzzzzzzz باج‌افزار Scarab

این نسخه از Scarab به فایل‌های رمز شده پسوند zzzzzzzz را اضافه نموده و متن باج‌خواهی در فایل متنی HOW TO RECOVER ENCRYPTED FILES.TXT قرار می‌گیرد.

نسخه جدید PPAM از GlobeImposter2

این نسخه از GlobeImposter2 به فایل‌های رمز شده پسوند .ppam را اضافه می‌نماید.

باج‌افزار جدید mdk4y

این باج‌افزار به فایل‌های رمز شده پسوند mdk4y را اضافه می‌نماید.

نسخه فرانسوی باج‌افزار Jigsaw

این باج‌افزار به فایل‌های رمز شده پسوند .data را اضافه می‌نماید.

نسخه جدیدی از باج‌افزار ماتریکس

این نسخه از باج‌افزار ماتریکس به فایل‌های رمز شده پسوند .GRHAN را اضافه نموده و متن باج‌خواهی را در فایل !README_GRHAN!.rtf قرار می‌دهد.

باج‌افزار جدید TrumpHead

این باج‌افزار جدید به خاطر تشابه متن باج‌خواهی با لحن صحبت‌های ترامپ! به نام TrumpHead نام‌گذاری شده است.

سه‌شنبه 25 دی (15 ژانویه)

نسخه جدید .TRO باج‌افزار Djvu از طریق کرک برنامه‌ها و تبلیغ‌افزار‌ها توزیع می‌شود!

در اوایل دی ماه باج‌افزار جدیدی به نام Djvu منتشر شد که به نظر می‌رسید نسخه‌ای از باج‌افزار STOP باشد. این باج‌افزار از طریق کرک برنامه‌ها و باندل‌های تبلیغ‌افزار‌ها توزیع می‌شد. نسخه اصلی این باج‌افزار به فایل‌های رمز شده پسوند .DJVU را اضافه می‌نمود. اما در نسخه‌های جدید‌تر به فایل‌های رمز شده پسوند .TRO اضافه می‌نماید.

صفحه فیشینگ پی‌پال برای پرداخت باج

این باج‌افزار که هنوز در حال توسعه است نه تنها فایل‌های کاربر را رمز می‌نماید، علاوه بر این تلاش می‌کند که با یک صفحه فیشینگ، اطلاعات کارت اعتباری پی‌پال کاربر را به سرقت ببرد.

نسخه جدیدی از باج‌افزار Paradise

این نسخه از Paradise متن باج‌خواهی را در فایل متنی Instructions with your files.txt قرار داده و به فایل‌های پسوند  _%ID%_{admin@prt-decrypt.xyz}.xyz را اضافه می‌نماید.

باج‌افزار جدید Obfuscated

این باج‌افزار جدید به فایل‌های رمز شده پسوند .obfuscated را اضافه نموده و متن باج‌خواهی را در فایل Read Me.txt قرار می‌دهد.

چهارشنبه 26 دی (16 ژانویه)

باج‌افزار جدید Anatova

این باج‌افزار جدید باج خود را به صورت رمز‌ارز با واحد Dash طلب می‌نماید.

یک باج‌افزار جدید!

این باج‌افزار جدید به فایل‌های پسوند .jundmd@cock.li!! را اضافه نموده و متن باج‌خواهی را در فایل Help to decrypt.txt قرار می‌دهد.

پنج‌شنبه 27 دی (17 ژانویه)

باج‌افزار BlackRouter به عنوان یک باج‌افزار به عنوان سرویس توسط توسعه دهنده ایرانی ارایه می‌شود!

باج‌افزار BlackRouter به صورت یک باج‌افزار به عنوان سرویس ارایه شده و یک هکر ایرانی از طریق تلگرام آن را به فروش می‌رساند. این هکر قبلا نیز یک باج‌افزار به نام BlackHeart‌ را از این طریق به فروش می‌رساند و تاثیرات دیگری همچون تروجان‌های کنترل از راه دور نیز داشته است.

نسخه جدید باج‌افزار 7ZIP

این باج‌افزار به فایل‌های رمز شده پسوند .aes را اضافه نموده و متن باج‌خواهی را در فایل INFORMATION.hta قرار می‌دهد.

باج‌افزار Xcry

این باج‌افزار به فایل‌ها پسوند .xcry7684 را اضافه نموده و متن باج‌خواهی را در فایل HOW_TO_DECRYPT_FILES.html قرار می‌دهد.

نسخه جدیدی از Jigsaw به نام Oscar Venom

این نسخه از Jigsaw به فایل‌های رمز شده پسوند .venom را اضافه می‌نماید.

نسخه‌هایی جعلی از Jigsaw

تیم MalwareHunter یک نسخه جعلی از Jigsaw را مشاهده نموده که فایل‌ها را رمز نمی‌کند و تنها پسورد 1212 را روی فایل‌ها می‌گذارد! پس از آن پیامی را به کاربر نشان می‌دهد با این مضمون که فدراسیون روسیه به شما حمله نموده است!

نسخه‌ای از Jigsaw با پسوند طولانی

این نسخه از Jigsaw پسوندی بسیار طولانی به فایل‌ها اضافه می‌نماید!

نسخه Gif از Dharma

این نسخه از Dharma به فایل‌های رمز شده پسوند .gif را اضافه می‌کند.

رمزگشای StopDecryptor با پشتیبانی از نسخه‌هایی از Djvu به‌روز‌رسانی شد.

مایکل گیلسپی به رمزگشای باج‌افزار STOP با نام STopDecryptor قابلیت رمزگشایی فایل‌های با پسوند .djvu را نیز اضافه نمود.

جمعه 28 دی (18 ژانویه)

بازگشت کیت اکسپلویت Fallout با توانایی‌ها و قدرت بیشتر

کیت اکسپلویت Fallout پس از اندکی عدم فعالیت، اکنون با ابزار‌های جدید مانند اکسپلویت‌های جدید فلش، پشتیبانی از Https و بسیاری از قایلیت‌های جدید بازگشته است. یکی از این قابلیت‌ها پیلود باج‌افزار GandCrab است.

 

نسخه جدید باج‌افزار BitPaymer

این باج‌افزار به فایل‌های رمز شده پسوند .locked را اضافه نموده و متن باج‌خواهی را در فایلی با نام [file_name].readme_txt قرار می‌دهد.

باج‌افزار جدید RickRoll

این باج‌افزار جدید پسوند .cryptoid را به فایل‌ها اضافه نموده و متن باج‌خواهی را در فایل‌های CRYPTOID_BLOCKED.txt، CRYPTOID_HELP.txt و CRYPTOID_MESSAGE.txt قرار می‌دهد. به نظر می‌رسد این باج‌افزار نسخه‌ای از Aurora باشد.

باج‌افزار جدید James

این باج‌افزار جدید به فایل‌های رمز شده پسوند .james را اضافه می‌نماید.

نسخه Phobos از باج‌افزار Dharma

این نسخه از Dharma به فایل‌های رمز شده پسوند .phobos را اضافه می‌کند.