‌باج‌افزار‌‌‌ در هفته‌ای که گذشت: هفته دوم اسفند – قفل با نشت اضافی!

خلاصه: در این هفته نسخه‌های زیادی از باج‌افزار‌های شناخته شده دیدیم. با تغییر ماهیت باج‌‌افزار‌ها و روی آوردن به حملات هدفمند با هدف درخواست باج بیشتر در کنار انتشار اطلاعات قربانیانی که باج‌ را پرداخت نمی‌کنند، هر حمله باج‌افزاری را باید یک نشت داده نیز تلقی نمود.

 

باج‌افزارها هنوز به امید یک حجم بادآورده بیت‌کوین، شرکت‌ها، سازمان‌ها و دولت‌های محلی را مورد هدف قرار می‌دهند. علاوه‌بر این نسخه‌های جدید باج‌افزارهای Stop، Dharma و دیگر گروه‌های باج‌افزارهای شناخته شده به انتشار خود ادامه می‌دهند.

در این هفته ما شاهد این بودیم که شهر لاسله ایالت ایلینویز امریکا و شهر نووی‌ساد صربستان مورد حمله باج‌افزاری به نام PwndLocker قرار گرفتند.. خوشبختانه شرکت Emsisoft قادر به کشف راهی برای رمزگشایی پرونده‌ها بدون پرداخت باج بود.

باج‌افزار Ryuk نیز در این هفته با حمله علیه اهدافی همچون Epiq Global، EMCOR حضور پررنگی داشته است.

همچنین مسئولان باج‌افزار‌ها به نشر اطلاعات قربانیانی که باج پرداخت نمی‌کنند ادامه می‌دهد و اطلاعات شخصی قربانیانی در این حملات فاش شده است.

به همین دلیل است که باید تمام حملات باج‌افزار را نشت داده نیز در نظر گرفت!

‌‌یک‌شنبه ۱۱ اسفند (۱ مارس)

نسخه‌ جدید Rezm باج‌افزار STOP

مایکل گیلسپی یک نسخه جدید از باج‌افزار STOP کشف کرده که پسوند‌ه .rezm را به فایل‌های رمزشده اضافه می‌کند.

‌‌دو‌شنبه ۱۲ اسفند (۲ مارس)

انتشار اطلاعات سرقت شده توسط باج‌افزار Nemty

باج‌افزار Nemty در جدیدترین عملیات جرایم سایبری خود سایتی را درست کرده است که در آن اطلاعات قربانیانی که باج پرداخت نمی‌کنند را منتشر می‌کند.

حمله به شهرها و شرکت‌های ایالات متحده آمریکا توسط باج‌افزار PwndLocker

یک باج‌افزار جدید به نام PwndLocker حمله به شبکه‌های شرکت‌ها و دولت‌های محلی را برای گرفتن باج بیش از ۶۵۰۰۰۰ دلار آغاز کرده است.

نسخه‌ جدید RXX باج‌افزارDhrama 

نسخه جدیدی از باج‌افزار Dharma‌ کشف شده که پسوند .rxx را به فایل‌های رمزشده اضافه می‌کند.

باج‌افزار جدید Everbe 3.0 خود را Culex Locker می‌نامد

مارسلو ریورو نسخه جدیدی از Everbe 3.0 کشف کرده که آن را Culex Locker می‌نامد. این باج‌افزار پسوند [culex@cock.li‏].CULEX. را اضافه می‌کند و متن باج‌خواهی را در HOW_RECOVERY_FILES_!.txt_! قرار می‌دهد.

سه‌شنبه ۱۳ اسفند (۳ مارس)

استفاده از بک‌آپ ابری علیه شما

پشتیبان‌گیری مهم‌ترین و تقریبا تنها راه مقابله با حملات باج‌افزاری است. اما اگر پشتیبان‌گیری به درستی پیکربندی نشده باشد، مهاجمان از آن بر علیه شما استفاده خواهند کرد! اخیرا صاحبان باج‌افزارDoppelPaymer اطلاعات پنل مدیریت نرم‌افزار پشتیبان‌گیر یک شرکت را منتشر نموده‌اند تا نشان دهند نه تنها به شبکه آن دسترسی کامل دارند، می‌توانند پشتیبان‌های آن را نیز به دست بگیرند! 

توصیه‌ی آژانس امنیت اطلاعات فدرال آلمان به مقامات دولتی در خصوص پرداخت باج

آژانس امنیت اطلاعات فدرال آلمان به مقامات دولتی و موسسات شهری توصیه می‌کند که پس از آن که تحت تاثیر حمله‌ی باج‌افزاری قرار گرفتند باج را پرداخت نکنند.

نسخه جدید FDFK‌ باج‌افزار Matrix

مایکل گیلسپی نسخه جدیدی از باج‌افزار Matrix را کشف کرده که پسوند .FDFK را به فایل‌های رمزشده اضافه می‌کند و متن باج‌خواهی را در FDFK_INFO!.rtf! قرار می‌دهد.

چهار‌شنبه ۱۴ اسفند (۴ مارس)

استفاده از ویندوز اکسپلورر برای فرار از شناسایی توسط باج‌افزار Mailto

باج‌افزار Mailto یا NetWalker که اخیرا کشف شده، می‌تواند کدهای مخرب را به پردازش ویندوز اکسپلورر اضافه کند تا از شناسایی بدافزار جلوگیری کند.

حمله باج‌افزار Ryuk به Epiq Global از طریق بات TrickBot

غول خدمات حقوقی و اکتشاف الکترونیکی Epiq Global در روز شنبه پس از حمله باج‌افزار Ryuk و رمزگداری شبکه‌های آن، سیستم‌هایش خاموش شد.

نسخه جدید باج‌افزار Ouroboros

مایکل گیلسپی نسخه جدیدی از باج‌افزار Ouroboros را کشف کرد که پسوند .vash‌ را به فایل‌های رمزشده اضافه می‌کند.

باج‌افزار جدید Onix

مایکل گیلسپی باج‌افزار جدید Onix را کشف کرده که بخشی از گروه‌های اصلی باج‌افزارها است که پسوند .ONIX را به فایل‌های رمزشده اضافه می‌کند.

پنج‌‌شنبه ۱۵ اسفند (۵ مارس)

رمزگشایی برای باج‌افزار PwndLocker و بازیابی اطلاعات بدون پرداخت باج

شرکت امنیتی Emsisoft راه‌حلی برای رمزگشایی فایل‌های رمزشده توسط  PwndLocker کشف نموده که می‌تواند اطلاعات قربانیان باج‌افزار PwndLocker را بدون پرداخت باج بازیابی نماید.

اشتراک تاکتیک‌های استفاده شده در حملات مبتنی بر انسان

مایکروسافت به دنبال حملات صورت گرفته به شرکت‌ها و اشخاص دولتی، نکاتی را در رابطه با چگونگی دفاع در برابر این حملات باج‌افزار مبتنی بر انسان که میلیون‌ها دلار ضرر دارد را به اشتراک گذاشت.

آفلاین شدن پیمانکار صنایع دفاعی CPI پس از حمله باج‌افزاری

یك تولیدکننده بزرگ قطعات الكترونيكی در صنایع دفاعي و ارتباطات پس از يك حمله باج‌افزاری آفلاین شد.

باج‌افزار جدید Mzr

باج‌افزار جدید Mzr  کشف شده که پسوند .MZR‌ را به فایل‌های رمز شده اضافه می‌کند و متن باج‌خواهی را در MZReverengeReadME.txt قرار می‌دهد.

 

در صورتی که دچار حمله باج‌افزاری شدید، می‌توانید از راهنمایی‌های تیم کارشناسان مرکز تخصصی آپا بهره‌مند شوید.

در صورت نیاز با info@nsec.ir یا ۰۳۱۳۳۹۱۵۳۳۶ تماس بگیرید.