info[at]nsec.ir
(+98)-31-33915336

باج‌افزار در هفته‌ای که گذشت: هفته اول بهمن

خلاصه: هفته گذشته جز باج‌افزار‌های جدید و نسخه‌های جدید باج‌افزار‌های قدیمی همچون ماتریکس، Dharma و Scarab، توزیع سریع و تعداد قربانیان زیاد باج‌افزار STOP خبرساز شد. همچنین کارشناسان با بررسی Anatova به پیچیده و حرفه‌ای بودن آن پی برده و احتمالا در آینده خبرهای بیشتری از آن خواهیم شنید.

 

 

در هفته گذشته باج‌افزار STOP فعالیت زیاد خود را حفظ نمود و قربانیان زیادی گرفت. این باج‌افزار که از طریق کرک‌های برنامه‌ها توزیع می‌شود در چند هفته گذشته قربانیان زیادی داشته اشت. باج‌افزار‌های جدید در کنار نسخه‌های جدید باج‌افزار‌های قدیمی مانند Dharma  و ماتریکس از خبرهای این هفته دنیای باج‌افزار بود.

شنبه 29 دی (19 ژانویه)

نسخه AUF از Dharma

این نسخه از Dharma به فایل‌های رمز شده پسوند .AUF را اضافه می‌نماید.

دوشنبه 1 بهمن (21 ژانویه)

نسخه Rumba از STOP باز هم توسط کرک‌ها توزیع می‌شود

باج‌افزار STOP در ماه گذشته با شدت زیادی توزیع شده است. این باج‌افزار از طریق کرک نرم‌افزار‌ها و تبلیغ‌افزار‌ها توزیع می‌گردد. نسخه جدیدی از این باج‌افزار پس از رمزنگاری فایل‌ها، به آن‌ها پسوند .rumba اضافه می‌نماید. همچنین نسخه‌های دیگری از این باج‌افزار به فایل‌های رمز شده .shadow اضافه می‌کند.

سه‌شنبه 2 بهمن (22 ژانویه)

نسخه‌های جدیدی از Dharma

نسخه‌های جدیدی از Dharma به فایل‌های رمز شده پسوند‌های .USA، .xwx، و .best را اضافه می‌نماید.

نسخه جدیدی از Ryuk با نام Cryptor 2.0

این نسخه جدید از Ryuk، با نام پروژه Cryptor 2.0 توزیع می‌شود.

نسخه جدیدی از ماتریکس

این نسخه از ماتریکس به فایل‌های رمز شده پسوند .GMBN را اضافه نموده و متن باج‌خواهی را در فایل !README_GMBN!.rtf قرار می‌دهد. البته نسخه‌ای نیز مشاهده شده که از پسوند .SPCT استفاده می‌نماید.

نسخه heets از Dharma

این نسخه Dharma از پسوند .heets برای فایل‌های رمز شده استفاده می‌نماید.

چهارشنبه 3 بهمن (23 ژانویه)

نسخه جدید Anatova با پشتیبانی از ماژول‌هایی برای کارایی بیشتر!

این خانواده جدید از باج‌افزار توجه کارشناسان این حوزه را جلب نموده است. کارشناسان معتقدند این باج‌افزار توسط یک تیم متخصص نوشته شده و می‌تواند به یک بدافزار با قابلیت‌های چندگانه تبدیل شود.

نسخه جدیدی از STOP

این نسخه از STOP به فال‌های رمز شده پسوند .adobe را اضافه می‌نماید. این پسوند قبلا توسط یکی از نسخه‌های Dharma نیز استفاده شده بود.

نسخه BSS از HiddenTear

یک فرد به نام Dennis نسخه‌ای از HiddenTear را دستکاری کرده و نام Ransomware by BSS روی آن گذاشته است.

باج‌افزار جدید به دنبال دستگاه‌های استخراج رمز‌ارز

اخیرا مشاهده شده که باج‌افزار‌ها به دنبال دستگاه‌های استخراج رمز‌ارز هستند. در هفته گذشته تعداد زیادی آلودگی در چین، کشوری که بیشترین مجموعه‌های استخراج رمزارز را دارد، گزارش شده است.

باج‌افزار جدید JSWorm

این باج‌افزار جدید به فایل‌های رمز شده پسوند .JSWORM را اضافه نموده و متن باج‌خواهی را در JSWORM-DECRYPT.html قرار می‌دهد.

پنج‌شنبه 4 بهمن (24 ژانویه)

هرزنامه‌های نقشه خروج از ساختمان با محتوای باج‌افزار

یک کمپین هرزنامه جدید که خود را نقشه خروج از ساختمان برای شرایط اضطراری جا می‌زند باج‌افزار GandCrab را نصب می‌نماید. این هرزنامه‌ها حاوی فایل‌های ورد آلوده‌ای هستند که باج‌افزار را دانلود نموده و روی سیستم قربانی نصب می‌نماید.

نسخه جدید Xorist

این نسخه از Xorist به فایل‌های رمز شده پسوند .vaca را اضافه می‌نماید.

جمعه 5 بهمن (25 ژانویه)

باج‌افزار جدید Cyspt

این باج‌افزار جدید به فایل‌های رمز شده پسوند .OOFNIK را اضافه می‌نماید.

نسخه جدیدی از Scarab

این نسخه از Scarab به فایل‌های رمز شده پسوند .GEFEST را اضافه نموده و متن باج‌خواهی را در فایل متنی HOW TO RECOVER ENCRYPTED FILES.TXT قرار می‌دهد.

باج‌افزار جدید ناشناخته!

این باج‌افزار جدید که به تازگی کشف شده است به فایل‌های رمز شده پسوند .locked را اضافه نموده و در فایل متنی README-NOW.txt متن باج‌خواهی را قرار می‌دهد.