info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

‌باج‌افزار‌‌‌ در هفته‌ای که گذشت: هفته دوم مهر ماه

خلاصه: دنیای باج‌افزارها در این هفته دنیای پر سر و صدایی بود. از نسخه‌های متعدد باج‌افزار‌های شناخته شده و باج‌افزار‌های جدید تا حملات مخرب باج‌افزاری. با ما باشید با خبرهای هفته دوم پاییز در دنیای پر سر و صدای باج‌افزار‌ها.

 

این هفته، هفته‌ای پر از خبر در دنیای باج‌افزار بود. نسخه‌های جدید باج‌افزار‌های شناخته شده، حملات باج‌افزارهای جدید از جمله حمله به بیمارستان‌ها و اطلاعات تازه‌ای درمورد باج‌افزار REvil/Sodinokibi در این هفته منتشر شد. خبرهای ویژه این هفته حمله به بیمارستان‌های ایالات متحده آمریکا و استرالیا، هدف قرار دادن ایتالیا با باج افزار FTCode، هشدار FBI و یک گزارش عالی از مک‌آفی در مورد GandCrab و Sodinokibi (Revil) RaaS است.

 

شنبه ۶ مهر (۲۸ سپتامبر)

نسخه جدید ‌باج‌افزار‌‌‌ Boot STOP

مایکل گیلسپی یک نسخه جدید باج افزار STOP کشف کرده است که پسوند .boot را به فایل‌های رمز شده اضافه می‌کند.

باج‌افزار جدید لهستانی

‌یک باج‌افزار‌‌‌ جدید کاربران لهستانی را مورد هدف قرار داد که پسوند .proced را به فایل‌های رمز شده اضافه می‌کند.

باج‌افزار جدید GalctiCrypter

یک باج افزار جدید به نام GalctiCrypter کشف شد.

باج‌افزار joke به نام FBI-Ware

تیم MalwareHunter یک باج افزار جدید joke کشف کرده که به نام FBI-Ware شناخته می‌شود.

نسخه جدید باج‌افزار باج‌افزارPhobos 

یک نسخه جدید باج‌افزارPhobos  کشف شد که پسوند .deal را به فایل‌های رمزگذاری شده اضافه می‌نماید.

کشف باج‌افزار جدید ویندوز ۱۰

یک باج‌افزار جدید ویندوزی کشف شده که پسوند RANSOMED. را به فایل‌های رمز شده اضافه می‌کند و متن باج‌خواهی را در DECRYPT_INSTRUCTION_%TARGET_ID%.txt قرار می‌دهد.

باج‌افزار جدید در حال توسعه Bwall

یک باج‌افزار در حال توسعه به نام BWall کشف شده که پسوند bwall. را به فایل‌های رمز شده اضافه می‌نماید.

نسخه جدید MegaCortex

نسخه جدیدی از MegaCortex پیدا شده که از نشان‌گر M3GA-S2= استفاده می‌کند.

 

دوشنبه ۸ مهر (۳۰ سپتامبر)

باج‌افزار جدید QNAPCrypt

‌یک نسخه جدید از باج‌افزار‌‌‌ QNAPCrypt پیدا شده که پسوند muhstik . را به فایل‌های رمز شده می‌افزاید و متن باج‌خواهی را در فایل متنی به نام README_FOR_DECRYPT.txt قرار می‌دهد.

Dharma از اینجکتور Power sploit استفاده می‌نماید!

یک نسخه از باج‌افزار vbox Dharma از اینجکتور PowerSploit که معمولاً در حملات MSP Sodinokibi ‎/ Revil مشاهده می شود، استفاده می‌کند.

 

سه‌شنبه ۹ مهر (۱ اکتبر)

حملات باج‌افزار جدید به بیمارستان‌های ایالات متحده آمریکا و استرالیا

چندین بیمارستان و ارائه دهنده خدمات بهداشتی از ایالات متحده آمریکا و استرالیا مجبور شدند که برخی از سیستم های خود را تعطیل کنند؛ چراکه پس از حملات باج‌افزارها، سیستم های IT آن‌ها آسیب دید.

نسخه جدید Kuub باج‌افزار STOP

مایکل گلیسپی یک نسخه جدید از باج‌افزار stop‌ را پیدا کرد که پسوند kuub. را به فایل‌های رمز شده اضافه می‌کند.

نسخه جدید BadDay GlobeImposter 2.0

رابی یک نسخه جدید از باج‌افزار GlobeImposter 2.0را پیدا کرد که پسوند badday. را به فایل‌های رمز شده اضافه می‌کند و متن باج‌خواهی آن را در فایل متنی how_to_back_files.html قرار می‌دهد.

‌نسخه جدید Angus Zeropadypt

یک نسخه جدید از Zeropadypt کشف شد که به فایل‌های رمز شده پسوند‌ .angus را اضافه می‌نماید.

 

چهارشنبه ۱۰ مهر (۲ اکتبر)

باج‌افزار sodinokibi در حال ساخت تیم ستاره‌ها

اخیرا باج‌افزار Sodinokibi ‎/ REvil مورد توجه اخبار قرار گرفته ، زیرا آنها شرکت‌ها ، MSP ها و نهادهای دولتی را به صورت گلچین شده و با استفاده از گروه ابزار‌های قدرتمند خود هدف قرار می دهند. به نظر می رسد این ابزار‌های وابسته دارای سابقه قبلی با GandCrab RaaS بوده و از روش های توزیع مشابه استفاده می کنند.

FBI به سازمان‌های ایالات متحده آمریکا درباره باج‌افزار باتأثیر زیاد هشدار داد.

اداره تحقیقات فدرال (FBI) و مرکز شکایت جرائم اینترنت (IC3) اطلاعیه ای را در رابطه با افزایش تعداد حملات باج‌افزار با تأثیر زیاد در برابر سازمان‌های دولتی و خصوصی ایالات متحده آمریکا، منتشر کرد.

به روزرسانی‌های جعلی مرورگر باعث آلوده شدن شرکت‌ها با استفاده از باج‌افزار شد

مهاجمان وب‌سایت‌های هک شده را برای انتشار به‌روز‌رسانی‌های جعلی مرورگرها بهینه نموده‌اند تا تروجان‌های بانکی را توزیع نمایند.

در برخی موارد، در گام بعدی با استفاده از تولکیت‌های اکسپلویت برای رمز کردن کامپیوترهای شبکه تسخیر شده و توزیع باج‌افزار استفاده نموده‌اند.

نسخه جدید Noos  باج‌افزار STOP

مایکل گلیسپی یک نسخه جدید از باج‌افزار stop‌ را پیدا کرده که پسوند noos. را به فایل‌های رمز شده اضافه می‌کند.

نسخه جدید باج‌افزار Esemani

یک نسخه از باج‌افزار Esemani کشف شده که پسوندی به فایل‌های رمز شده اضافه نمی‌گردد و متن باج‌خواهی را در @_READ_TO_RECOVER_FILES_@.txt قرار می‌دهد.

 

پنج‌شنبه ۱۱ مهر (۳ اکتبر)

از بین برنده داده 'Lost Files' به عنوان یک اسکنر امنیتی ویندوز معرفی می‌شود!

یک اسکنر امنیتی ویندوز ادعا می‌کند که فایل‌های شما را با استفاده از هرزنامه توزیع شده رمزگذاری کرده است. اما به دلیل باگ یا مشکل طراحی فایل‌های باینری خراب را روی فایل‌های کاربر جایگزین می‌کند.

باج افزار پاورشل Ftcode در یک کمپین هرزنامه‌ای مشاهده شده

یک باج‌افزار قدیمی پاورشل در یک کمپین هرزنامه‌ای علیه کاربران ایتالیایی مشاهده شده است. این باج‌افزار که Ftcode نام دارد و به طور کامل مبتنی بر پاورشل است. این بدان معنی است که توانایی این را دارد که بدون دانلود هیچ کامپوننت اضافی می‌تواند همه کامپیوتر را رمز نماید.

‌باج‌افزار‌‌‌ D00mEd Virus

یک باج‌افزار جدید به نام D00mEd Virus کشف شده که پسوند D00mEd. را به فایل های رمز شده اضافه می‌کند.

‌باج‌افزار‌‌‌ Pay it or Lose it

یک ‌باج‌افزار‌‌‌ جدید با عنوان Pay it or Lose it کشف شده است.

‌باج‌افزار‌‌‌ جدی AepCrypt 

یک باج‌افزار جدید به اسم AepCrypt کشف شده که پسوند .aep را به فایل‌های رمز شده اضافه می‌کند و متن باج‌خواهی را در فایل متنی #READ ME - YOUR FILES ARE LOCKED#.rtf قرار می‌دهد.

‌ Phobos از اینجکتور PowerSploit استفاده می‌کند

کایل هانسلوان یک نسخه از باج‌افزار phobos  با پسوند .calix را کشف کرده که با استفاده از تکنیک اینجکتور PowerSploit توزیع می‌شود.

 

جمعه ۱۲ مهر (۴ اکتبر)

نسخه جدید Cash باج‌افزار Dharma

یک نسخه از باج‌افزار Dharma کشف شد که پسوند .CASH را به فایل‌های رمز شده اضافه می‌کند.

نسخه جدید Xoza ‌باج‌افزار‌‌‌ STOP

مایکل گیلسپی یک نسخه از باج‌افزار STOP را کشف کرده که پسوند .Xoza را به فایل‌های رمز شده اضافه می‌کند.

نسخه جدید باج‌افزار Mike HildaCrypt

نسخه جدیدی از باج‌افزار HildaCrypt کشف شده که به فایل‌های رمز شده پسوند .mike را اضافه می‌نماید.

نسخه جدید ABAT باج‌افزار Matrix

مایکل گیلسپی یک نسخه از باج‌افزار Matrix را کشف کرده که پسوند .ABAT را به فایل‌های رمز شده اضافه می‌کند و متن باج‌خواهی را در فایل متنی !ABAT_INFO!.rtf قرار می‌دهد.

نسخه جدید Sapphire باج‌افزار Stupid

یک نسخه جدید از باج‌افزار Stupid به نام Sapphire کشف شده که پسوند .sapphire را به فایل‌های رمز شده اضافه می‌نماید و دارای کلید رمزگشای sapphire_is_a_good_color است.

باج‌افزار  BGUUکشف گردید

یک نسخه از باج‌افزار HiddenTear به نام BGUU کشف شده که از تصویر زمینه جذابی استفاده می‌کند!

نمونه جدیدی از RobbinHood

یک نسخه جدید از باج‌افزار RobbinHood کشف شده که متن باج‌خواهی جالبی دارد.

در صورتی که دچار حمله باج‌افزاری شدید، می‌توانید از راهنمایی‌های تیم کارشناسان مرکز تخصصی آپا بهره‌مند شوید.

در صورت نیاز با info@nsec.ir یا ۰۳۱۳۳۹۱۵۳۳۶ تماس بگیرید.

 

    

مطالب مرتبط