info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

‌باج‌افزار‌‌‌ در سه‌هفته‌ای که گذشت: هفته آخر مرداد تا هفته دوم شهریور

خلاصه: در این سه هفته در دنیای باج‌افزار خبرهای زیادی شنیده شد. از حملات هدف‌مند باج‌افزار‌ها به مراکز دولتی و درخواست باج‌های کلان تا نسخه‌های جدید باج‌افزار‌های شناخته شده. خبر مهم دیگر تغییر روش رمزنگاری باج‌افزار STOP بود که امکان رمزگشایی آن را دیگر نخواهد داد!

 

 

در این گزارش به رخدادهای سه هفته گذشته دنیای باج‌افزار می‌پردازیم. در طول سه هفته گذشته، شاهد حمله‌های زیادی به مراکز آموزشی، نهادهای دولتی محلی و MSP توسط REvil و Ryuk بوده‌ایم. این حمله‌ها تمایل به پرداخت باج‌های کلان از طریق بیمه دارند و بنابراین اهداف اصلی شرکت‌های باج‌افزار و توسعه‌دهندگان هستند.

علاوه بر این در دو هفته گذشته، شاهد نسخه‌های جدیدی از STOP و Dharma بودیم. متأسفانه STOP روش رمزگذاری را تغییر داد، بنابراین پس از آخرین به‌روزرسانی، رمزگشایی مایکل گیلسپی دیگر عملکردی نخواهد داشت.

 

یک‌شنبه ۲۷ مرداد (۱۸ آگوست)

حمله هماهنگ شده باج‌افزار به ۲۳ نهاد دولت محلی در تگزاس

تگزاس در حال حاضر در حال جنگ با موج بی‌سابقه‌ای از حملات باج‌افزاری است که اشخاص دولتی محلی در این ایالت مورد هدف قرار داده است که حداقل ۲۳ مورد از این حملات موثر بوده است.

 

دوشنبه ۲۸ مرداد (۱۹ آگوست)

نسخه‌های جدید Djvu باج‌افزار STOP

‌ مایکل گیلسپی انواع جدیدی از STOP Djvu را مشاهده کرده که از پسوندهای nuksus. و vesrato. استفاده می‌کنند.

 

سه‌شنبه ۲۹ مرداد (۲۰ آگوست)

نسخه‌ جدید Djvu باج‌افزار STOP

مایکل گیلسپی یک نسخه جدید از STOP Djvu مشاهده کرده که پسوند .masodas را اضافه می‌کند.

به‌روزرسانی رمزگشایی STOP

مایکل گیلسپی رمزگشای باج‌افزار STOP را برای پشتیبانی از کلیدهای آفلاین پسوندهای mtogas.،.nasoh ،.nacro ،.pedro ، .vesrato و masodas.، به‌روزرسانی کرد.

 

چهار‌شنبه ۳۰ مرداد (۲۱ آگوست)

هکرها برای حملات باج‌افزار تگزاس ۲.۵ میلیون دلار باج می‌خواهند

حمله‌کنندگانی که به چندین نهادهای دولتی و محلی تگزاس در هفته گذشته با بدافزار رمز کننده فایل حمله کرده بودند ممکن است این کار را با تسخیر کردن یک ارایه دهنده سرویس انجام داده باشند. شهردار این شهر می‌گوید، مهاجمان خواستار مجموع باج ۲.۵ میلیون دلار بودند.

 

باج‌افزار جدید Nemty پیدا شد

یک باج‌افزار جدید به نام Nemty پیدا شده که پسوند .nemty را اضافه می‌کند و متن باج‌خواهی را در NEMTY-DECRYPT.txt قرار می‌دهد.

پنج‌شنبه ۳۱ مرداد (۲۲ آگوست)

نسخه جدید Stare STOP Djvu

مایکل گیلسپی نسخه جدید STOP Djvu را مشاهده کرده که پسوند stare. اضافه می‌کند.

باج‌افزار جدید sguard

مایکل گیلسپی به دنبال یک باج افزار جدید است که پسوند guard. را ضمیمه می‌کند و متن باج‌خواهی را در SGUARD-README.TXT قرار می‌دهد.

نسخه جدید باج‌افزارDOM Scarab

یک نسخه جدید از باج افزارScarab  کشف شده که پسوند dom. را فایل‌های رمزگذاری شده اضافه می‌کند و متن باج‌خواهی را در How to decrypt files.txt قرار می‌دهد.

نسخه جدید GlobeImposter

یک نسخه جدید از باج‌افزارGlobeImposter2  کشف شده که پسوند makkonahi. را به فایل‌های رمزشده اضافه می‌نماید.

 

دوشنبه ۴ شهریور (۲۶ آگوست)

باج‌افزار جدید Nemty ممکن است از طریق اتصالات RDP تسخیر شده توزیع می‌شود!

در طول آخر هفته باج‌افزار جدیدی مشاهده شده که به رئیس جمهور روسیه و نرم‌افزار آنتی‌ویروس اشاره دارد. محققان آن را Nemty می‌نامند.

نسخه‌های جدید STOP Djvu

مایکل گیلسپی نسخه‌های جدیدی از STOP Djvu را مشاهده کرده که شامل پسوندهای carote.، .gero یا hese. است.

نسخه‌ جدید PDF Dharma

نسخه‌ جدیدی از Dharma کشف شده که پسوند pdf. را اضافه می کند.

انتشار رمزگشای Syrk

رمزگشای باج‌افزار Syrk که خود را به عنوان کد تقلب بازی فرتنایت معرفی می‌کرد منتشر شد.

نسخه‌ جدید Scarab Bomber

نسخه جدیدی از باج‌افزار Scarab کشف شده که پسوند lbiaf6c8. را اضافه می کند و متن باج‌خواهی را در КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT قرار می‌دهد.

 

چهارشنبه ۶ شهریور (۲۸ آگوست)

نسخه جدید Geno STOP Djvu

مایکل گیلسپی نسخه جدیدی از STOP Djvu را مشاهده کرده که پسوند geno. را اضافه ‌می‌کند.

 

پنج‌شنبه ۷ شهریور (۲۹ آگوست)

باج‌افزار Sodinokibi گزارشات صدها دندان‌پزشكي را رمزگذاري مي‌كند

باج‌افزاری به سرویس بک‌آپ دیتا از راه دور و فایل‌های رمزشده دندان‌پزشکی ایالات متحده آمریکا حمله می‌کند و صدها نفر از مشتریانی که به راه‌حل بک‌آپ متکی بودند اطلاعات‌شان توسط بدافزار رمزنگاری فایل Sodinokibi قفل شد.

باج افزار جدید good

لئو یک باج‌افزار جدید پیدا کرده که پسوند .good را برای فایل‌های رمزگذاری شده اضافه می‌کند. نکته جالب توجه این است که این باج‌افزار در متن باج‌خواهی به شما می‌گوید که سایر خدمات رمزگشایی به عنوان واسطه عمل می‌کنند، بنابراین شما با قیمت کمتری با آن‌ها تماس بگیرید! (که در بسیاری موارد متاسفانه درست است!).

 

جمعه ۸ شهریور (۳۰ آگوست)

نگاهی به تجارت بسیار سودمند Sodinokibi

Sodinokibi سودآوری چشمگیری را از قبل برای توسعه‌دهندگان و وابستگان خود به دست آورده است؛ برخی از قربانیان به اندازه ۲۴۰،۰۰۰ دلار پرداخت می‌کنند، درحالی‌که یک ویروس شبکه به طور متوسط ۱۵۰،۰۰۰ دلار درآمد دارد.

رمزگشای ‌باج‌افزار‌‌‌ STOP Djvu دیگر به‌روزرسانی نمی‌شود!

مایکل گیلسپی اعلام کرده است که رمزگشای باج‌افزارSTOP Djvu  دیگر به‌روزرسانی نمی‌شود، چراکه توسعه‌دهندگان باج‌افزار، روش رمزگشایی را تغییر دادند. این کار از رمزگشایی جلوگیری می‌کند. در آخرین نسخه این رمزگشا کلیدهای آفلاین برای پسوندهای nuksus.،.cetori ،.stare ، .carote اضافه می‌شوند.

 

‌شنبه ۹ شهریور (۳۱ آگوست)

نسخه جدید CMD Dharma

نسخه جدیدی از Dharma مشاهده شده که پسوند .cmd را اضافه می‌نماید.

نسخه جدید HorseLiker Phobos

نسخه جدیدی از باج‌افزار Phobos کشف شده که پسوند HorseLiker. را به فایل‌های رمزشده اضافه می‌نماید.

‌باج‌افزار‌‌‌ جدید HildaCrypt v1.0

یک نسخه جدیدی از باج‌افزار GlobeImposter مشاهده شده که پسوند HILDA. را اضافه می‌کند و متن باج‌خواهی را در READ_IT.txt قرار می‌دهد.

 

یک‌شنبه ۱۰ شهریور (۱ سپتامبر)

نسخه جدید Apollon865 GlobeImposter

یک نسخه جدیدی از باج‌افزار GlobeImposter مشاهده شده که پسوند Apollon865. را اضافه می‌کند و متن باج‌خواهی را در HOW TO BACK YOUR FILES.exe قرار می‌دهد.

 

دوشنبه ۱۱ شهریور (۲ سپتامبر)

Sodinokibi از طریق فروم‌های جعلی سایت‌های هک شده توزیع میشود

یک توزیع‌کننده باج‌افزار sodinokibi با هک سایت‌های وردپرسی و تزریق کد جاوااسکریپت در سایت‌ها، یک فروم پرسش و پاسخ جعلی به کاربران نمایش می‌هد که حاوی پاسخ‌هایی از طرف مدیر سایت و محتوی لینک نصب باج‌افزار است.

نسخه جدید  Seto STOP Djvu

یک نسخه جدید از STOP Djvu کشف شده که پسوند .seto ‌را به فایل‌های رمزشده اضافه ‌می‌کند.

 

سه‌شنبه ۱۲ شهریور (۳ سپتامبر)

توزیع باج‌افزار Nemty از طریق اکسپلویت کیت RIG

مدیران باج‌افزار Nemty در تلاش برای هدف قرار دادن سیستم‌های به روز نشده هستند که هنوز  می‌توانند با اکسپلویت‌کیت‌ها آلوده شوند.

نسخه‌های جدید STOP Djvu

مایکل گیلسپی نسخه‌های جدیدی از باج‌افزار STOP Djvu را مشاهده کرده که پسوندهای shariz. و .peta را اضافه می‌کند.

نسخه جدید MGS Dharma

یک نسخه جدیدی از باج‌افزار Dharma کشف شده که پسوند MGS. را اضافه می‌نماید.

نسخه جدید group باج‌افزار Dharma

یک نسخه جدیدی از باج‌افزار Dharma مشاهده شده که پسوند group. را اضافه می‌کند و متن باج‌خواهی را در RETURN FILES.txt قرار می‌دهد.

نسخه جدید Banks باج‌افزار Phobos

یک نسخه جدیدی از باج‌افزار Phobos کشف شده که پسوند banks. را اضافه می‌کند.

 

چهارشنبه ۱۳ شهریور (۴ سپتامبر)

‌کشف‌ باج‌افزار Koko

یک باج افزار جدید به نام Koko را کشف شده که پسوند mailto[kokoklock@cock.li].1be018 را اضافه می‌کند و متن باج‌خواهی را در  ۱BE018-Readme.txtقرار می‌دهد.

 

پنج‌شنبه ۱۴ شهریور (۵ سپتامبر)

تعطیل شدن مدارس به دلیل حملات باج‌افزاری

تعطیلات تابستانی برای دانش‌آموزان در فلگ‌استاف آریزونا به پایان نرسیده است چراکه یک حمله باج‌افزاری به کامپیوترهای مدارس منطقه منجر به لغو کلاس‌های مدارس شد!

هکرها که درخواست باج ۵.۳ میلیون دلاری داشتند، ۴۰۰ هزار دلار آن را تخفیف داده‌اند ولی هنوز پولی دریافت نکرده‌اند!

هکرها سیستم‌های کامپیوتری شهرهای نیو بدفورد، ماساچوست را با باج‌افزار آلوده می‌کنند و با کمتر از ۵.۳ میلیون دلار رمزگشایی اطلاعات را انجام نمی‌دادند. باج بسیار بالا بود و آن‌ها در مقابل چیزی دریافت نکردند!

نسخه جدید Moka STOP Djvu

مایکل گیلسپی نسخه جدیدی از STOP Djvu را مشاهده کرده که پسوند moka. را اضافه می‌کند.

 

جمعه ۱۵ شهریور (۶ سپتامبر)

هدف قرار دادن سرورها و وب‌سایت‌های باج‌افزار Lilocked

باج افزار نسبتاً جدیدی به نام Lilocked توسط محققان، Lilu و توسعه‌دهندگان در حال هدف قرار دادن سرورها و رمزگذاری اطلاعات‌های مستقر در آنها است. همه سرورهای آلوده‌ی شناخته شده، وب‌سایت‌‌ها هستند که باعث می‌شود فایل‌های رمزگذاری شده در نتایج جستجوی گوگل ظاهر شوند.

 

در صورتی که دچار حمله باج‌افزاری شدید، می‌توانید از راهنمایی‌های تیم کارشناسان مرکز تخصصی آپا بهره‌مند شوید.

در صورت نیاز با info@nsec.ir یا ۰۳۱۳۳۹۱۵۳۳۶ تماس بگیرید.

 

    

مطالب مرتبط