با ما به‌روز باشید!
info[at]nsec.ir
(+98)-313-3915336

باج‌افزار‌ها در هفته‌ای که گذشت: هفته سوم شهریور

خلاصه: این هفته نیز خوشبختانه سیر نزولی باج‌افزار‌ها ادامه داشته تعداد کمی باج‌افزار مشاهده شد. با اینکه تعداد باج‌افزار‌های کشف شده کاهش یافته است، اما همچنان باج‌افزار‌هایی همچون Dharma با قدرت قربانیان خود را هدف قرار می‌دهند. لازم است که همیشه برای مواجهه با حملات باج‌افزاری آماده باشیم.

 

 

هفته پیش هفته‌ای ساکت و آرام در حوزه باج‌افزار بود. این هفته تعداد کمی باج‌افزار مشاهده شد و نسخه‌های جدید معدودی نیز کشف شد. روند نزولی باج‌افزار‌ها ادامه دار شده و امیدواریم که هر هفته این تعداد کمتر شوند.

باج‌افزار Dharma همچنان با کمک سرویس‌های باز دسترسی از راه دور به سیستم‌ها، با قدرت سازمان‌ها و شرکت‌ها را هدف قرار می‌دهد. همچنان که قبلا گفته شده، سرویس‌های دسترسی به سیستم از راه دور باید الزاما پشت فایروال قرار گیرند و یا با استفاده از وی‌پی‌ان در دسترس باشند.

یکشنبه 11 شهریور (2 سپتامبر)

ایمیل آلوده به باج‌افزار با نام باراک اوباما

در هفته گذشته افراد زیادی ایمیل‌های مشکوک و آلوده‌ای را دریافت نموده‌اند که محتوی باج‌افزاری است که تنها فایل‌های اجرایی با پسوند .exe را رمز نموده و در متن باج‌خواهی که با عکس باراک اوباما نشان داده می‌شود، از کاربر تقاضای مبلغی برای رمزگشایی فایل‌ها می‌کند.

 

باج‌افزار جدید Locdoor

باج‌افزار جدیدی با نام Locdoor یا DryCry توسط کارشناسان کشف شده که به دلیل اینکه در حال توسعه است یا دچار مشکل است هنوز فایل‌ها را رمز نمی‌کند. در صورت رمز کردن اطلاعات به فایل‌ها پسوند .door[random number] اضافه می‌شود.

نسخه جدیدی از باج‌افزار PyLocky

توزیع جدیدی از باج‌افزار PyLocky به فایل‌ها پس از رمز شدن پسوند .lockedfile و .lockymap را اضافه نموده و متن باج‌خواهی را در فایل متنی LOCKY-README.txt قرار می‌دهد.

دوشنبه 12 شهریور (3 سپتامبر)

باج‌افزار جدیدی که سرور‌ها را هدف می‌گیرد!

باج‌افزار جدیدی که توسط کارشناس امنیتی، دیو، کشف شده وب سرور‌ها را هدف می‌گیرد. متن باج‌خواهی این باج‌افزار به صورت زیر است.

سه‌شنبه 13 شهریور (۴ سپتامبر)

توزیع جدیدی از باج‌افزار ماتریکس

دو توزیع مختلف از باج‌افزار ماتریکس کشف شده که به فایل‌های رمز شده پسوند‌های .FASTBOB و .NEWRAR اضافه نموده و متن باج‌خواهی را به ترتیب در فایل‌های #_#FASTBOB_README#_#.rtf و #NEWRAR_README.rtf قرار می‌دهد.

چهارشنبه 14 شهریور (5 سپتامبر)

توزیع جدیدی از باج‌افزار شیوا

این نسخه جدید از باج‌افزار شیوا به فایل‌های رمز شده پسوند .good را اضافه نموده و متن باج‌خواهی را در فایل متنی HOW_TO_RECOVER_FILES.txt قرار می‌دهد.

نسخه جدیدی از باج‌افزار CryptoJoker

مایکل گیلپس برای این نسخه جدید از باج‌افزار که از پسوند‌های .partially.cryptolocker و .fully.cryptolocker استفاده می‌نماید، یک رمزگشا  ساخته است.

ایجاد قانون YARA برای باج‌افزار Shrug2

یک محقق امنیتی برای باج‌افزار Shrug2 یک قانون YARA ساخته که این باج‌افزار را تشخیص می‌دهد. قانون YARA برای تعیین یک بدافزار بر اساس یک الگوی خاص است.

پنج‌شنبه 15 شهریور (6 سپتامبر)

اکسپلویت کیت Fallout باج‌افزار GandCrab را اجرا می‌نماید.

همانطور که در خبر دیروز گفته شد، یک اکسپلویت کیت جدید با نام Fallout اقدام به توزیع باج‌افزار GandCrab می‌نماید. البته غیر از توزیع باج‌افزار، اقدام به توزیع تروجان و برنامه‌های آلوده دیگر می‌نماید.

باج‌افزار جدید yyy0

این باج‌افزار جدید به فایل‌های رمز شده پسوند .davilarita@mail.com.yyy0 اضافه نموده و متن باج‌خواهی را در فایل متنی help.txt قرار می‌دهد.

نسخه جدید باج‌افزار Bandarchor

این نسخه جدید از باج‌افزار به فایل‌های رمز شده پسوند .id-%ID%-[shivamana@seznam.cz].pip را اضافه می‌نماید.

توزیع جدید باج‌افزار ماتریکس

این نسخه جدید باج‌افزار ماتریکس به فایل‌های رمز شده پسوند .KOKo8 را اضافه نموده و متن باج‌خواهی را در فایل #KOK08_README#.rtf قرار می‌دهد.

باج‌افزار جدید EOEO Autolt

باج‌افزار جدیدی که با نام EOEO Autolt شناخته می‌شود به فایل‌های رمز شده پسوند .eoeo اضافه می‌نماید.

جمعه 16 شهریور (7 سپتامبر)

باج‌افزار جدید 5H311 1NJ3C706

این باج‌افزار جدید که مایکل گیلپس آن را کشف نموده است به نظر می‌رسد به صورت قفل کننده صفحه عمل نماید، اما در واقع فایل‌ها را رمز نموده و پسوند .5H11 1NJ3C706 را به فایل‌های رمز شده اضافه می‌کند. کلمه عبور این قفل کننده صفحه 666HackerThn است!

باج‌افزار جدید Suri

این باج‌افزار جدید پسوند .SLAV را به فایل‌های رمز شده اضافه می‌نماید. این باج‌افزار مبتنی بر باج‌افزار Stupid است.