info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

باج‌افزار در هفته‌ای که گذشت: هفته اول مرداد

خلاصه: توسعه‌دهندگان باج‌افزار دریافته‌اند که می‌توانند باج‌های سرسام‌آوری از قربانیان بگیرند. قربانیان آن‌ها، شهرهای محلی، مراکز پلیس و مراکز دولتی، مدارس، شرکت‌های بزرگ و به طور کلی هر کسی می‌تواند باشد.

 

این هفته باج‌افزار Sodinokibi با جعل هویت سازمان ملی امنیت سایبری آلمان دردسری تازه ایجاد کرده است. از سمتی دیگر با حملات شدید باج‌افزارها به مدارس لویزیانا، فرماندار این شهر وضعیت را اضطراری اعلام کرده است. موج حملات باج‌افزارها همچنان ادامه دارد اما خبر خوب این است که ابزار رمزگشایی باج‌افزار LooCipherمنتشر شده است.

شنبه ۲۹ تیر (۲۰ جولای)

نسخه جدیدی از Scarab

نسخه‌ای از باج‌افزار Scarab مشاهده شده است که پسوند {Help557@cock.li‏}.exe را به فایل‌های رمزشده اضافه می‌کند.

باج‌افزار جدید LiLocked

مایکل گیلسپی باج‌افزاری را پیدا کرده است که پسوند .lilocked را به فایل‌های رمزشده اضافه می‌کند.

باج‌افزار جدید Haka

مایکل گیلسپی باج‌افزاری را پیدا کرده است که پسوند .haka را به فایل‌های رمزشده اضافه می‌کند و پیغام باج‌خواهی . !!!READ_ME_FIRST!!!.txt را برای قربانی می‌گذارد.

نسخه Tocue از باج‌افزار STOP

مایکل گیلسپی نسخه جدیدی از باج‌افزار STOP Djvu را پیدا کرده است که پسوند .tocue را به فایل‌های رمزشده اضافه می‌کند.

یکشنبه ۳۰ تیر (۲۱ جولای)

نسخه Daris از باج‌افزار STOP Djvu

مایکل گیلسپی نسخه جدیدی از باج‌افزار STOP Djvu را پیدا کرده است که پسوند .daris  را به فایل‌های رمزشده اضافه می‌کند.

به‌روز‌رسانی رمزگشای باج‌افزار STOP

مایکل گیلسپی رمزگشای STOP Djvu را پیدا کرده است که از پسوندهای  .gusau،  .madek و .tocue پشتیبانی می‌کند.

باج‌افزار جدید RotorCrypt

مایکل گیلسپی باج‌افزار جدیدی در رمزکننده روترها پیدا کرده است. این باج‌افزار !-information-...___ingibitor366@cumallover.me___.... RT4BLOCK نامیده می‌شود و پیغام باج‌خواهی NEWS_INGiBiToR.txt را باقی می‌گذارد.

باج‌افزار جدید Lucky Joe

جرمن فرناندز باج‌افزار جدیدی را به نام Lucky Joe پیدا کرده است که به نظر می رسد یکی از نسخه‌های GonnaCry باشد. بنا به ادعای pollo290987 این نسخه، پیغامی با نام GNNCRY_Readme.txt را قرار می‌دهد.

دوشنبه ۳۱ تیر (۲۲ جولای)

رمزگشای باج‌افزار LooCipher

برای باج‌افزار LooCipher، رمزگشایی به نام LooCipher منتشر شده است که به قربانیان این امکان را می‌دهد که فایل‌های خود را به صورت رایگان رمزگشایی کنند. اگر توسط این باج‌افزار مورد جمله قرار گرفته‌اید به جای پرداخت باج، دستورعمل‌های زیر را اجرا کنید.

 

نسخه‌های جدیدی از STOP

مایکل گیلسپی نسخه جدیدی از باج‌افزار STOP Djvu را پیدا کرده است که پسوند .lapoi  یا پسوند .todar را به فایل‌های رمزشده اضافه می‌کند.

نسخه جدیدی از Maoloa

نسخه جدیدی از باج‌افزار Maoloa را پیدا کرده است که پسوند .Hades666 را به فایل‌های رمزشده اضافه می‌کند و پیغام باج‌خواهی HOW TO BACK YOUR FILES.txt را برای قربانی قرار می‌دهد.

           

سه‌شنبه ۱ مرداد (۲۳ جولای)

باج‌افزار Ryuk در کمین سازمان‌های بزرگ

باج‌افزار Ryuk که نسخه تغییریافته‌ای از باج‌افزار Hermes است، اولین حضور خود را در آگوست ۲۰۱۸ رقم زد.

نسخه Dodoc از STOP

مایکل گیلسپی نسخه جدیدی از باج‌افزار STOP Djvu را پیدا کرده است که پسوند .dodoc  را به فایل‌های رمزشده اضافه می‌کند.

نسخه com2 از باج‌افزار Dharma

جیکوب کروستکف نسخه جدیدی از باج‌افزار Dharma را کشف کرده است که پسوند .com2 را به فایل‌ها اضافه می‌کند.

باج‌افزاری که شرکت Emsisoft را دست انداخت!

باج‌افزار جدیدی توسط پترویک کشف شده است که با پسوندهای .xuy و .emsisosisoft شرکت Emsisoft (یکی از شرکت‌های ضدبدافزار) را دست انداخته است.

چهارشنبه ۲ مرداد (۲۴ جولای)

توزیع باج‌افزار Sodinokibi با کمپین ایمیلی

سازمان ملی امنیت سایبری آلمان در مورد کمپین‌های اسپمی که باج‌افزار Sodinokibi را توزیع می‌کنند هشدار داد. این کمپین‌ها برای توزیع  Sodinokibi از ایمیل‌هایی با طراحی مشابه پیام‌های BSI استفاده می‌کنند.

باج‌افزار پر طرفدارترین بدافزار در فروم‌های زیرزمینی

پس از تحلیل‌ ۳.۵ میلیون پست از هکرهای زیرزمینی و انجمن‌های بدافزاری، نشان داده شده است که محبوب‌ترین بدافزار در بین هکرها باج‌افزارها هستند.

نسخه‌های جدیدی از STOP Djvu

مایکل گیلسپی نسخه جدیدی از باج‌افزار STOP Djvu را پیدا کرده است که پسوند .novasof یا پسوند .bopador را به فایل‌های رمزشده اضافه می‌کند.

توزیع باج‌افزار با ابزار NinjaRMM

از ابزار  NinjaRMMدر طول ۳۶ ساعت برای گسترش باج‌افزار در میان چندین نقطه پایانی استفاده شده است. این ابزار از همراهان خود خواسته است که برای متوقف کردن حمله، احراز اصالت دو فاکتوری را حتماً فعال کنند.

نگاهی عمیق‌تر به باج‌افزار Phobos

باج‌افزار Phobos از ابتدای ۲۰۱۹ آغاز به کار کرده است و نشان داده است که نسل جدید این نوع باج‌افزارها بر پایه خانواده معروف باج‌افزار Dharma هستند و به احتمال زیاد توسط همان گروه در حال توزیع شدن هستند.

باج‌افزار جدید DecryptIomega

باج‌افزار جدیدی به نام  DecryptIomega توسط Amigo-A کشف شده است که درایوهای Lenovo Iomega NAS را هدف قرار داده است. در این حمله، فایل‌ها پنهان یا حذف می‌شوند و به این ترتیب مشخص نیست که فایل‌ها رمز می‌شوند یا نه اما پیغام باج‌خواهی با عنوان ‌ YOUR FILES ARE SAFE!!!.txt قرار می‌دهد.

 

پنج‌شنبه ۳ مرداد (۲۵ جولای)

حالت اضطراری ایالت لویزیانا امریکا پس از حمله باج‌افزاری

جان ادواردز، فرماندار ایالت لویزیانا در مورد موج حمله‌های اخیر باج‌افزاری که در این ماه مدارس را هدف قرار داده بود، وضعیت را اضطراری را اعلام کرد. در این بیانیه اضطراری به متخصصین امنیت سایبری این ایالت اجازه داده شده است تا در امن‌سازی شبکه‌ها به فرماندارن محلی کمک کنند.

مشکلات شبکه توزیع برق پس از حمله باج‌افزاری

حمله باج‌افزاری شبکه توزیع برق آفریقای جنوبی به شدت مورد حمله باج‌افزاری قرار گرفت و کل سیستم آن شامل پایگاه‌های داده و برنامه‌هایشان رمز شد.

نسخه Banjo از باج‌افزار Phobos

مایکل گیلسپی نسخه جدید باج‌افزار Phobos را پیدا کرده است که پسوند .banjo را به فایل‌های رمزشده اضافه می‌کند.

نسخه Ntuseg از باج‌افزار STOP Djvu

مایکل گیلسپی نسخه جدیدی از باج‌افزار STOP Djvu را پیدا کرده است که پسوند .ntuseg را به فایل‌های رمزشده اضافه می‌کند.

به‌روز‌رسانی رمزگشای STOP

مایکل گیلسپی رمزگشای STOP Djvu را به‌روزرسانی کرده است که از پسوندهای.lapoi، .todar، .dodoc،  .bopador و .novasof پشتیبانی می‌کند.

نسخه Acuf2 از Dharma

جیکوب کروستک نسخه جدیدی از باج‌افزار Dharma را پیدا کرده است که پسوند .Acuf2 را اضافه می‌کند.

حملات باج‌افزاری به چهار کلینیک درمانی

بنا به گفته انجمن درمان Ann Hagan-Grigsby، چهار کلینک درمانی توسط باج‌افزار مورد حمله قرار گرفتند. این دومین باری است که در امسال این باج‌افزار حمله کرده است. این انجمن بیان کرده است که بلافاصله پس از اطلاع از حمله باج‌افزاری FBI را خبر کرده است.

جمعه  مرداد (۲۶ جولای)

داستان موفقیت کمپین ضد‌باج‌افزاری No More Ransom

امروز سومین سالگرد کمپین ضد‌باج‌افزاری No More Ransom است که توانسته همراهان خود را که از بخش‌های عمومی، خصوصی، دانشگاه‌ها و محققین هستند در بازگرداندن فایل‌های رمزشده‌ی آن‌ها یاری کند.

نسخه Ndarod از باج‌افزار STOP Djvu

مایکل گیلسپی نسخه جدیدی از باج‌افزار STOP Djvu را پیدا کرده است که پسوند .ndarod را به فایل‌های رمزشده اضافه می‌کند.

نسخه جدیدی از Scarab

نسخه جدیدی از باج‌افزار Scarab کشف شده است که پسوند .btchelp@xmpp.jp را به فایل‌های رمزشده اضافه می‌کند و پیغام باج‌خواهی HOW TO RECOVER - btchelp@xmpp.jp ENCRYPTED FILES.TXT را قرار می‌دهد.

در صورتی که دچار حمله باج‌افزاری شدید، می‌توانید از راهنمایی‌های تیم کارشناسان مرکز تخصصی آپا بهره‌مند شوید.

در صورت نیاز با info@nsec.ir یا ۰۳۱۳۳۹۱۵۳۳۶ تماس بگیرید.