‌باج‌افزار‌‌‌ در هفته‌ای که گذشت: هفته چهارم شهریور

خلاصه: آخرین هفته تابستان در دنیای باج‌افزار، هفته‌ای آرام بود. هفته‌ای که احتمالا مهم‌ترین خبر‌های آن نسخه‌های جدید Dharma و STOP باشند.

 

 

این هفته، هفته‌ای نسبتا آرام و بدون خبری مهم بود.البته خبرهای به‌روزرسانی‌ Nemty، معرفی TFlower و هم‌چنین یک کمپین دیگر Ordynipt با هدف کاربران آلمانی در این هفته مورد توجه بودند. علاوه‌بر این نسخه‌های جدید STOP و Dharma و همچنین نسخه‌های جدیدی که توزیع چندانی نداشتند مشاهده شدند.

 

شنبه ۲۳ شهریور (۱۴ سپتامبر)

باج‌افزار Nemty پرداز‌ش‌ها و سرویس‌های خود را به روز نموده است

باج افزار Nemty در حال توسعه است، گرچه ممکن است که شماره نسخه آن این مساله را نشان ندهد. نویسندگان آن در تلاش هستند تا آن را به یک بدافزار کارآمدتر و پیشرفته‌تر تبدیل کنند و توزیع گسترده‌تری داشته باشد.

بد‌افزار مخرب Ordinypt در یک کمپین جدید هرزنامه، آلمان را هدف قرار داد.

یک کمپین جدید هرزنامه وانمود می‌کند که یک درخواست شغلی از طرف Eva Richter است و عکس و رزومه را می‌فرستد. در حقیقت این رزومه یک فایل pdf است با نصب Ordinypt Wiper فایل‌های قربانی را از بین می‌برد.

نسخه جدید باج‌افزار HildaCrypt

یک نسخه جدید از GlobeImposter با پسوند .HCY‌ کشف شد که متن باج‌خواهی آن در HILDACRYPTReadMe.html قرار دارد.

دوشنبه ۲۵ شهریور (۱۶ سپتامبر)

نحوه فعال‌سازی محافظت از ویندوز ۱۰ در برابر باج‌افزار

‌ ویندوز دیفندر قابلیتی با عنوان محافظت باج‌افزاری دارد که این امکان را به شما می‌دهد تا حفاظت در برابر باج‌افزارها فعال گردد. این قابلیت به صورت پیش‌فرض در ویندوز ۱۰ غیرفعال است اما حائز اهمیت است که به دلیل اجرای گسترده باج‌افزار این قابلیت در کامپیوترها فعال گردد.

نسخه جدید Ebola باج‌افزار Dharma

جاکوب کروستک یک نسخه‌‌ی جدید از Dharma را کشف کرد که پسوند .ebola را به فایل‌های رمز شده اضافه می‌نماید.

باج‌افزار از شماره قربانی برای افزونه فایل‌ها استفاده می‌کند

یک باج‌افزار جدید کشف شده که از اواسط ماه اوت شماره تلفن قربانی را به عنوان افزونه فایل‌ها استفاده می‌کند.

نسخه جدید Kvag باج‌افزار STOP

یک نسخه جدید از باج افزار STOP کشف شد که از پسوند .kvag برای فایل‌های رمز شده استفاده می‌کند.

نسخه جدید Domn باج‌افزار STOP

مایکل گلیسپی یک نسخه جدید از باج‌افزار stop‌ را کشف کرد که پسوند .domn را به فایل‌های رمز شده اضافه می‌نماید.

نسخه جدید باج‌افزار matrix

مایکل گلیسپی یک نسخه جدید از باج‌افزار matrix را کشف کرده که از پسوند .YDHM استفاده می‌نماید و متن باج‌خواهی در فایلی به نام !YDHM_INFO!.rtf قرار گرفته است.

نسخه جدید باج‌افزار Phobos

یک نسخه جدید از باج‌افزار Phobos کشف گردید که پسوند .WannaCry را به فایل‌های رمز شده اضافه می‌نماید و د متن باج‌خواهی را در فایل info.hta قرار می‌دهد.

نسخه جدید باج‌افزار WannaCash

یک نسخه جدید از باج‌افزار WannaCash کشف شده که نام فایل را به файл зашифрован (original_name‏).zip تغییر داده و متن باج‌خواهی آن را در как расшифровать файлы.txt قرار می‌دهد.

 

سه‌شنبه ۲۶ شهریور (۱۷ سپتامبر)

‌باج‌افزار‌‌‌ TFlower- جدیدترین حمله هدفمند به تجارت‌ها

جدیدترین باج‌افزار آلوده کننده محیط‌های سازمانی به نام TFlower است که ابتدا مهاجمان سرویس‌های بدون حفاظ remote desktop را هک می‌کنند و سپس در شبکه‌ها نصب می‌گردد.

کشف باج‌افزار جدید Sherminator

باج‌افزار جدید Sherminator پسوند .[ID‏]XXXXXXXXX‪[ID]‬ را به فایل‌های رمز شده اضافه نموده و متن باج‌خواهی را در فایل Decoder.hta قرار می‌دهد.

نسخه جدید ‌باج‌افزار‌‌‌ Alco

نسخه‌ی جدیدی از باج‌افزار Alco کشف گردید که از پسوند .Artemis865-20 استفاده می‌کند.

 

جمعه ۲۹ شهریور (۲۰ سپتامبر)

باج‌افزار STOP: باج‌افزاری فعال که هیچ‌کس از آن حرف نمی‌زند!

آیا تا به حال باج‌افزار stop را شنیده‌اید؟؟ احتمالاً نه، همان‌طور که تعداد کمی درباره آن می نویسند، اکثر محققان آن را پوشش نمی‌دهند، و بیشتر آن‌ها مصرف کنندگان را از طریق کرک نرم‌افزار هدف قرار می‌دهند.

GoRanson جدید در حال توسعه

‌باج‌افزار GoRanson یک باج‌افزار جدید در حال توسعه با پسوند .gore کشف شده و متن باج‌خواهی آن در فایلی به نام GoRansom.txt قرار دارد.

در صورتی که دچار حمله باج‌افزاری شدید، می‌توانید از راهنمایی‌های تیم کارشناسان مرکز تخصصی آپا بهره‌مند شوید.

در صورت نیاز با info@nsec.ir یا ۰۳۱۳۳۹۱۵۳۳۶ تماس بگیرید.