‌باج‌افزار‌‌‌ در هفته‌ای که گذشت: هفته سوم آذر ماه

خلاصه: در هفته گذشته شاهد حملات باج‌افزاری به سازمان‌های دولتی و شرکت‌های خصوصی بوده‌ایم. همچنین باج‌افزار‌هایی که برای دور زدن آنتی‌ویروس و سایر مکانیزم‌های امنیتی از روش‌های مختلفی استفاده می‌نمایند در این هفته مشاهده شدند.

 

این هفته، هفته‌ایی شلوغ بود و شاهد حملات گسترده به سازمان‌ها و دولت‌های محلی بودیم. هم‌چنین نسخه‌های جدید باج‌افزارها و دیگر باج‌افزارهایی که با سرقت اطلاعات و داده‌ها باج‌گیری می‌کنند، منتشر شدند.

همانند هفته گذشته شاهد نسخه‌های جدید Dharma، STOP و دیگر نسخه‌ها بودیم. هم‌چنین باج‌افزار Maze اعتراف کرد که شهر پنساکولا را هک کرده و برای بازگردانی داده‌های آن‌ها مبلغ ۱ میلیون دلار باج درخواست می‌کند.

علاوه‌بر این یک باج‌افزار ناشناخته به شهر نیواورلئان حمله کرده، اما طبق گزارش مطبوعاتی توسط شهردار تقاضای باجی صورت نگرفته است.

و در نهایت تعدادی خبر جالب درباره باج‌افزارهای ویروسی Snatch و Ryuk داریم. باج‌افزار snatch برای دور زدن آنتی‌ویروس سیستم قربانی را ریست کرده و در حالت safe mode بالا می‌آورد. Ryuk نیز یک نسخه خراب را منتشر نموده که بایت آخر فایل‌های بزرگ را حذف می‌نماید!

‌‌شنبه ۱۶ آذر (۷ دسامبر)

نسخه‌ جدید GESD باج‌افزار ر STOP Djvu

مایکل گیلسپی نسخه جدیدی از باج‌افزارSTOP Djvu  را پیدا کرده که پسوند .gesd را اضافه می‌کند.

‌‌دو‌شنبه ۱۸ آذر (۹ دسامبر)

تحت تأثیر قرار گرفتن خدمات شهری پنساکولا و فلوریدا توسط حمله سایبری

شهر پنساکولا در تلاش است تا از حمله سایبری که در آخر هفته به شبکه رایانه‌ای آن وارد شده است، رهایی یابد. برخی از خدمات هنوز هم تحت تأثیر قرار دارند ولی مورد بحرانی وجود ندارد.

باج‌افزار snatch برای دور زدن آنتی‌ویروس سیستم را در حالت safe mode بالا می‌آورد

محققان یک نسخه از باج‌افزار snatch را کشف کرده‌اند که سیستم‌های آلوده شده را در حالت safe mode بالا می‌آورد تا هرگونه راه‌حل امنیتی غیرفعال شود و بلافاصله شروع به بارگیری فایل‌های رمزگذاری شده می‌کند.

مشکلات رمزگشای باج‌افزار Ryuk و امکان از دست دادن داده‌ها

با توجه به تغییرات جدید باج‌افزار Ryuk در زمان رمزگذاری فایل‌ها، یک باگ در رمزگشای این باج‌افزار می‌تواند موجب از دست رفتن اطلاعات قربانی شود.

Clop در تلاش برای دور زدن Kaspersky

ویتالی کرمز نسخه جدیدی از باج‌افزارClop Cryptomix  را تحلیل کرده که سعی در دور زدن مجموعه محصولات Kaspersky دارد.

نسخه‌ جدید MERL باج‌افزار ر STOP Djvu

مایکل گیلسپی نسخه جدیدی از باج‌افزارSTOP Djvu  را کشف کرده که پسوند .merl را اضافه می‌کند.

سه‌شنبه ۱۹ آذر (۱۰ دسامبر)

نسخه‌ جدید ASD باج‌افزار  Dharma

نسخه جدیدی از باج‌افزار Dharma کشف شده که پسوند .asd را به فایل‌های رمزشده اضافه می‌کند.

چهار‌شنبه ۲۰ آذر (۱۱ دسامبر)

حمله باج‌افزاری به PRIDE فلوریدا در روز شنبه، سیستم ها هنوز خاموش‌اند!

سازمان توانبخشی زندان‌ها و شرکت‌های وابسته (PRIDE) شنبه دچار حمله باج‌افزاری شده است. وب‌سایت این سازمان غیرانتفاعی هنوز تحت تاثیر حمله بوده و از دسترس خارج است.

باج‌افزار Maze پشت حمله سایبری به پنساکولا و باج‌گیری ۱ میلیون دلاری

گردانندگان باج‌افزار Maze مسئولیت حمله سایبری به شهر پنساکولا فلوریدا را برعهده گرفته‌اند اما اظهار می‌کنند که به تیراندازی اخیر در NAS پنساکولا ربطی ندارند.

حمله باج‌افزار Zeppelin به شرکت‌های بهداشت و فناوری اطلاعات

یک نسخه جدیدی از باج‌افزار  VegaLocker/Buranبه نام Zeppelin کشف شده که شرکت‌های آمریکایی و اروپایی را از طریق نصب‌های هدفمند آلوده می‌کند.

پنج‌شنبه ۲۱ آذر (۱۲ دسامبر)

انتشار اطلاعات قربانیان در صورت عدم پرداخت باج

گردانندگان باج‌افزار REvil که با نام Sodinokibi شناخته می‌شود، اعلام کردند که فایل‌ها و اطلاعات دزدیده شده را به عنوان یک اهرم فشار برای گرفتن باج از قربانیان استفاده می‌کند.

درخواست باج ۶ میلیون دلاری از Southwire توسط باج‌افزار Maze

گردانندگان باج‌افزار Maze مسئولیت یک حمله سایبری دیگر در برابر تولید کننده برجسته سیم و کابل شرکتSouthwire ،LLC ‪(Southwire)‬ از کارولتون ، جورجیا برعهده گرفته‌اند.

کشف باج‌افزار جدید DMR

باج‌افزار DMR کشف شده که پسوند .DMR64 را اضافه می‌کند و متن باج‌خواهی را در READ THIS !!!.hta!!! قرار می‌دهد.

جمعه ۲۲ آذر (۱۳ دسامبر)

حمله باج‌افزاری به نیواورلان و صدمه ندیدن سرویس‌های اضطراری

شهر نیواورلئان، لوئیزیانا، دچار یک حمله باج‌افزار شده است که منجر به خاموش کردن سرورها و رایانه‌های این شهر شده است. اما این شهر اظهار داشت که خدمات اضطراری از این حمله باج‌افزاری آسیب ندیده است.

باج‌افزار جدید appends .chch

یک باج‌افزار جدید کشف شده که پسوند .chch‌ را به فایل‌های رمزشده اضافه می‌کند و متن باج‌خواهی را در READ_ME.TXT قرار می‌دهد و از ایمیل squadhack[at]email.tg استفاده می‌کند.

 

در صورتی که دچار حمله باج‌افزاری شدید، می‌توانید از راهنمایی‌های تیم کارشناسان مرکز تخصصی آپا بهره‌مند شوید.

در صورت نیاز با info@nsec.ir یا ۰۳۱۳۳۹۱۵۳۳۶ تماس بگیرید.