info[at]nsec.ir
(+98)-31-33915336

باج‌افزار در ماهی که گذشت: خرداد ماه

خلاصه: باج‌افزار‌ها همچنان با قدرت به مسیر خود ادامه می‌دهند و قربانیان خود را شکار می‌نمایند. قبل از اینکه شکار یکی از این بدافزار‌های خطرناک شوید با پشتیبان‌گیری و رعایت مسایل امنیتی از خطر آن‌ها در امان بمانید.

هفته اول

این هفته علاوه بر نسخه‌های جدیدی از باج‌افزار‌های شناخته شده همچون Dharma و STOP، باج‌افزار جالبی مشاهده شد که با توجه به نوع سیستم قیمت باج‌افزار را تغییر می‌داد. همچنین باج‌افزار Sodinokibi در حال افزایش فعالیت‌های خود است.

شنبه 4 خرداد (25 مه)

باج‌افزار در دست توسعه GottaCry

تیم MalwareHunter باج‌افزار جدیدی با نام GottaCry مشاهده نموده‌اند که در دست توسعه است.

باج‌افزار جدید SysFrog

این باج‌افزار جدید به فایل‌های رمز شده پسوند .sysfrog را اضافه نموده و متن باج‌خواهی را در فایل متنی how_to_decrypt.txt قرار می‌دهد.

نسخه QBX باج‌افزار Dharma

مایکل گیلسپی، نسخه‌ای از Dharma را مشاهده نموده که به فایل‌های رمز شده پسوند .qbx را به فایل‌های رمز شده اضافه می‌نماید.

دوشنبه 6 خرداد (27 مه)

نسخه Mogera باج‌افزار STOP Djvu

نسخه‌ای از باج‌افزار STOP مشاهده شده که به فایل‌های رمز شده پسوند .mogera را اضافه می‌نماید.

سه‌شنبه 7 خرداد (28 مه)

نسخه ZOH و BEETS باج‌افزار Dharma

نسخه‌های جدیدی از باج‌افزار Dharma مشاهده شده‌اند که از پسوند‌های .zoh و .beets برای تغییر پسوند فایل‌های رمز شده استفاده می‌نمایند.

نسخه Rezuc از باج‌افزار STOP

نسخه جدیدی از STOP به فایل‌های رمز شده پسوند .rezuc را اضافه می‌نماید.

باج‌افزار جدید Eris

این باج‌افزار جدید به فایل‌های رمز شده پسوند .ERIS را اضافه می‌نماید و متن باج‌خواهی را در @ READ ME TO RECOVER FILES @.txt قرار می‌دهد.

نسخه جدیدی از باج‌افزار GlobeImposter

نسخه جدیدی از GlobeImposter مشاهده شده که به فایل‌های رمز شده پسوند .LotR را اضافه نموده و متن باج‌خواهی را در فایل NEW_WAVE.html قرار می‌دهد.

چهارشنبه 8 خرداد (29 مه)

نسخه‌ای از NMoreira مبتنی بر MBR

نسخه‌ای از باج‌افزار NMoreira مشاهده شده که MBR را هدف قرار می‌دهد.

پنج‌شنبه 9 خرداد (30 مه)

نسخه جعلی واناکرای!

تیم MalwareHunter نسخه جعلی از باج‌افزار واناکرای را مشاهده نموده که در واقع باج‌افزار نبوده و احتمالا برای شوخی طراحی شده است!

نسخه Harma از Dharma

نسخه جدیدی از باج‌افزار Dharma مشاهده شده که به فایل‌های رمز شده پسوند .harma را اضافه می‌نماید.

به‌روز‌رسانی رمزگشای STOP

رمزگشای باج‌افزار STOP با کلید‌های آفلاین برای پسوند‌های .skymap، .mogera و .rezuc به‌روز‌رسانی شد.

باج‌افزار جدید Buran

این باج‌افزار جدید از پسوند‌هایی برای فایل‌های رمز شده استفاده می‌نماید که شبیه به GUID هستند. به عنوان مثال فایل رمز شده ممکن است پسوندی همچون .3674AD9F-5958-4F2A-5CB7-F0F56A8885EA داشته باشد. متن باج‌خواهی نیز در فایل !!! YOUR FILES ARE ENCRYPTED !!!.TXT قرار می‌گیرد.

جمعه 10 خرداد (31 مه)

توزیع Sodinokibi با پیام هشدار!

یک کمپین بدافزاری که هدف آن قربانیان آلمانی است باج‌افزار Sodinokibi را با هرز‌نامه‌ها توزیع می‌نماید. این ایمیل‌ها با ضمیمه‌های آلوده کاربران را به این باج‌افزار آلوده می‌نماید.

تعیین باج با توجه به نوع کامپیوتر!

نسخه‌ای از باج‌افزار Maze که با نام ChaCha نیز شناخته می‌شود، با استفاده از اکسپلویت کیت Falout توزیع می‌گردد. ویژگی جالب این باج‌افزار این است که مبلغ باج درخواستی آن یکسان نیست و برای انواع کامپیوتر‌های شخصی، سرور‌ها و یا کامپیوتر‌های پیشرفته متفاوت است.

نسخه Stone باج‌افزار STOP Djvu

نسخه جدیدی از STOP به فایل‌های رمز شده پسوند .stone را اضافه می‌نماید.

نسخه جدیدی از RotorCrypt

این نسخه جدید از RotorCrypt به فایل‌های رمز شده پسوند !__prontos@cumallover.me__.bak را اضافه می‌نماید.


هفته دوم

خبر پایان فعالیت باج‌افزار GandCrab قطعا مهم‌ترین خبر این هفته بود. نسخه‌های مختلف باج‌افزار‌های شناخته شده‌ای همچون STOP و Dharma نیز به تعداد زیادی مشاهده شدند.

شنبه 11 خرداد (1 ژوئن)

خاموش شدن باج‌افزار GandCrab

تقریبا پس از گذشت یک سال و نیم از شروع فعالیت باج‌افزار GandCrab و درآمد 2.5 میلیارد دلاری این باج‌افزار، توسعه‌دهندگان این باج‌افزار تصمیم به پایان فعالیت خود گرفته‌اند و گفته‌اند که دیگر این باج‌افزار را توزیع نمی‌نمایند.

باج‌افزار جدید Dodger

این باج‌افزار جدید که تیم MalwareHunter آن را کشف نموده‌اند به فایل‌های رمز شده پسوند .dodger را اضافه می‌نماید.

دوشنبه 13 خرداد (۳ ژوئن)

نسخه‌های Lanset و Redmat باج‌افزار STOP Djvu

نسخه‌های جدیدی از STOP Djvu مشاهده شده‌اند که به فایل‌های رمز شده پسوند .lanset و .redmat را اضافه می‌نماید.

نسخه BSC از باج‌افزار Dharma

این نسخه از Dharma به فایل‌های رمز شده پسوند .bsc را اضافه می‌نماید.

سه‌شنبه 14 خرداد (4 ژوئن)

نسخه Davda باج‌افزار STOP

مایکل گیلسپی نسخه‌ای از باج‌افزار STOP را مشاهده نموده که پس از رمزگذاری فایل‌ها، پسوند .dadva را اضافه می‌نماید.

چهارشنبه 15 خرداد (5 ژوئن)

نسخه‌های Pidom و Poret از باج‌افزار STOP Djvu

مایکل گیلسپی نسخه‌هایی از باج‌افزار STOP Djvu را کشف نموده که به فایل‌های رمز شده پسوند .pidom و .poret را اضافه می‌نماید.

نسخه Kjh از باج‌افزار Dharma

این نسخه از Dharma پسوند فایل‌های رمز شده را به .kjh تغییر می‌دهد.

باج‌افزار جدید Wannacash

این باج‌افزار جدید فایل‌های رمز شده را به پسوند файл зашифрован (original_filename) .punisher تغییر می‌دهد.

پنج‌شنبه 16 خرداد (6 ژوئن)

اکسپلویت کیت RIG اکنون از باج‌افزار Buran استفاده می‌نماید.

اکسپلویت کیت RIG اکنون به باج‌افزار جدید Buran روی آورده و قربانیان خود را با این باج‌افزار آلوده می‌نماید. این باج‌افزار نوعی از باج‌افزار Vega است که قبلا توسط کمپین‌های بدافزاری روسی توزیع می‌شدند.

نسخه Heroset باج‌افزار STOP

نسخه جدید باج‌افزار STOP به فایل‌های رمز شده پسوند .heroset را اضافه می‌نماید.

به‌روز‌رسانی باج‌افزار STOP

رمزگشای باج‌افزار STOP Djvu با اضافه نمودن کلید‌های آفلاین .stone، .lanset، .davda، .poret و .pidon به روز شد.

نسخه جدیدی از GlobeImposter 2

نسخه جدیدی از GlobeImposter 2 مشاهده شده است که به فایل‌های رمز شده پسوند  .{dresdent@protonmail.com} DDT را اضافه می‌نماید.

باج‌افزار جدید Euclid

مایکل گیلسپی، محقق حوزه باج‌افزار، باج‌افزار جدیدی را کشف نموده که پسوند .euclid را به فایل‌های رمز شده اضافه می‌نماید و متن باج‌خواهی را در how to recovery.txt قرار می‌دهد.

جمعه 17 خرداد (7 ژوئن)

ادامه حملات باج‌افزاری هکرها به شهرهای امریکا

واشنگتن پست گزارش داده که دو نفوذ در شبکه شهر رخ داده که یکی از این نفوذ‌ها با استفاده از EternalBlue و نفوذ دیگر با استفاده از RobbinHood رخ داده است.


هفته سوم

خبر خوش این هفته انتشار رمزگشای باج‌افزار pyLocky یود. همچنین توزیع نسخه‌های مختلف باج‌افزار STOP Djvu همانند هفته‌های گذشته بالا بوده و قربانیان زیادی را می‌گیرد.

شنبه 18 خرداد (8 ژوئن)

نسخه‌های Myskle و Boston باج‌افزار STOP

دو نسخه جدید از باج‌افزار STOP Djvu کشف شده که به فایل‌های رمز شده پسوند‌های .myskle و .boston را اضافه می‌نمایند.

به‌روز‌رسانی رمزگشای STOP

رمزگشای باج‌افزار STOP برای پسوند‌های .heroset به روز شد.

یکشنبه 19 خرداد (9 ژوئن)

نسخه Zoh از باج‌افزار Dharma

نسخه جدیدی از Dharma مشاهده شده است که به فایل‌های رمز شده پسوند .zoh را اضافه می‌نماید.

نسخه جدید JSWorm 3.1

نسخه جدیدی از JSWorm با شماره نسخه 3.1 منتشر شده که به فایل‌های رمز شده پسوند .jsworm را اضافه نموده و متن باج‌خواهی را در فایل JSWORM-DECRYPT.hta قرار می‌دهد.

دوشنبه 20 خرداد (10 ژوئن)

نسخه Muslat از باج‌افزار STOP Djvu

نسخه جدیدی از STOP Djvu به فایل‌های رمز شده پسوند .muslat را اضافه می‌نماید.

سه‌شنبه 21 خرداد (11 ژوئن)

نسخه Gerosan باج‌افزار STOP

نسخه جدید STOP به فایل‌های رمز شده پسوند .gerosan را اضافه می‌نماید.

 نسخه جدیدی از Dharma با پسوند Html

نسخه جدیدی از Dharma به فایل‌های رمز شده پسوند آشنای .html را اضافه می‌نماید.

باج‌افزار جدید Bisquilla

این باج‌افزار جدید که به تازگی کشف شده در حال توسعه بوده و هنوز فایل‌ها را رمز نمی‌نماید.

باج‌افزار جدید Cephalo

این باج‌افزار جدید به صورت یک فایل با پسوند LNK توزیع می‌شود که شامل یک دستور پاورشل است.

چهارشنبه 22 خرداد (12 ژوئن)

باج‌افزار جدید SD 1.1

این باج‌افزار جدید که احتمالا نوعی از باج‌افزار Amigo-A است به فایل‌های رمز شده پسوند .[Unlock11@protonmail.com].enc را اضافه می‌نماید.

پنج‌شنبه 23 خرداد (13 ژوئن)

رمزگشای باج‌افزار pyLocky

رمزگشایی برای نسخه‌های ۱ و ۲ باج‌افزار pyLocky منتشر شده که به قربانیان این باج‌افزار امکان رمزگشایی فایل‌های خود را می‌دهد.

نسخه Vesad از باج‌افزار STOP Djvu

این نسخه از STOP به فایل‌های رمز شده پسوند .vesad را اضافه می‌نماید.

به‌روز‌رسانی رمزگشای STOP

رمزگشای باج‌افزار STOP برای پسوند‌های .boston، .muslat و .gerosan به روز شده است.

نسخه Harma از باج‌افزار Dharma

این نسخه جدید از Dharma به فایل‌های رمز شده پسوند .harma را اضافه می‌نماید.

باج‌افزار جدید Armageddon

این باج‌افزار جدید بر خلاف ادعای خود همه فایل‌ها را رمز نمی‌نماید.

باج‌افزار جدید Poop

این باج‌افزار جدید به فایل‌های رمز شده پسوند .poop را اضافه می‌نماید.

جمعه 24 خرداد (14 ژوئن)

GandCrab در حال پاک کردن ردپاهای خود

توسعه‌دهندگان GandCrab در حال پاک کردن رد پاهای خود هستند و از سایت Exploit.in درخواست نموده‌اند که پست‌های آن‌ها را در این سایت حذف نماید.


هفته چهارم

در هفته‌ای که با انتشار رمزگشای GandCrab عملا تهدید این باج‌افزار معروف برطرف شد، نسخه‌های زیادی از باج‌افزار‌های قدیمی و چند باج‌افزار جدید مشاهده شد.

شنبه 25 خرداد (15 ژوئن)

باج‌افزار جدید [Locked]

باج‌افزار جدیدی کشف شده که به فایل‌های رمز شده پسوند [Locked] را اضافه نموده و متن باج‌خواهی را در فایل متنی UNLOCK INSTRUCTIONS.txt قرار می‌دهد.

نسخه جدید Hack از باج‌افزار Dharma

نسخه جدیدی از Dharma کشف شده که به فایل‌های رمز شده پسوند .HACK اضافه می‌نماید.

نسخه 0day از Dharma

نسخه جدید Dharma به فایل‌های رمز شده پسوند .oDay را اضافه می‌نماید.

به‌روز‌رسانی رمزگشای باج‌افزار STOP

رمزگشای باج‌افزار STOP Djvu برای فایل‌های با پسوند .vesad به روز شده است.

دوشنبه 27 خرداد (17 ژوئن)

پایان داستان GandCrab‌ با انتشار رمزگشای همه نسخه‌های آن

شرکت امنیتی بیت‌دیفندر با همکاری آژانس‌های قانونی در سراسر دنیا، رمزگشای باج‌افزار GandCrab را به روز نموده است. این رمزگشا همه نسخه‌های GandCrab شامل نسخه‌های ۱ و ۴ و ۵ تا نسخه 5.2 را رمزگشایی می‌نماید.

نسخه Horon از باج‌افزار STOP

نسخه‌ای از STOP Djvu کشف شده است که به فایل‌های رمز شده پسوند .horon را اضافه می‌نماید.

نسخه جدید Orion‌ باج‌افزار Major

این نسخه از باج‌افزار Major به فایل‌های رمز شده پسوند .orion را اضافه می‌نماید و متن باج‌خواهی را در فایل READ_ME.orion قرار می‌دهد.

سه‌شنبه 28 خرداد (18 ژوئن)

به‌روز‌رسانی رمزگشای WannaCash

رمزگشای باج‌افزار WannaCash به منظور پشتیبانی از نسخه‌های جدید به روز شده است.

باج‌افزار جدید Middleman

این باج‌افزار جدید به فایل‌های رمز شده پسوند  .middleman2020 را اضافه نموده و متن باج‌خواهی را در فایل متنی !INSTRUCTI0NS!.TXT قرار می‌دهد.

باج‌افزار جدید Copan DCRTR

این نسخه جدید از باج‌افزار DCRTR به فایل‌های رمز شده پسوند .middleman2020 را اضافه نموده و متن باج‌خواهی را در فایل‌های HOW TO DECRYPT FILES.txt و HOW TO DECRYPT FILES.hta قرار می‌دهد.

چهارشنبه 29 خرداد (19 ژوئن)

لیست سیاه باج‌افزار Ryuk

نسخه جدید باج‌افزار Ryuk مشاهده شده که برخی از کامپیوتر‌ها و آدرس‌های آی‌پی را به لیست سیاه خود اضافه می‌نماید تا رمزنگاری نشوند.

نسخه Neras از باج‌افزار STOP Djvu

این نسخه جدید از STOP به فایل‌های رمز شده پسوند .neras را اضافه می‌نماید.

نسخه Adage  باج‌افزار Phobos

نسخه جدیدی از Phobos کشف شده است که به فایل‌های رمز شده پسوند طولانی .id[********-****].[helpteam38@protonmail.com].adage را اضافه می‌نماید.

پرداخت باج 600 هزار دلاری شهری در فلوریدا

یکی از شهر‌های ایالت فلوریدای امریکا به دلیل حمله باج‌افزاری مقدار ۶۰۰ هزار دلار باج پرداخت نموده که بتواند فایل‌های خود را بازگردانی نماید.

پنج‌شنبه 30 خرداد (20 ژوئن)

به‌روز‌رسانی رمزگشای STOP

رمزگشای باج‌افزار STOP برای پسوند .horon به روز شده است.

نسخه جدید باج‌افزار Ransomnix

این نسخه از Ransomnix به فایل‌های رمز شده پسوند .dmo را اضافه نموده و متن باج‌خواهی را در فایل متنی HOW_TO_RETURN_FILES.txt قرار می‌دهد.

جمعه 31 خرداد (21 ژوئن)

توزیع باج‌افزار Sodinokibi

باج‌افزار Sodinokibi با روش‌های گسترده‌ای در حال توزیع بوده و در تلاش برای افزایش قربانیان خود است.

باج‌افزار جدید LooCipher

باج‌افزار جدیدی با نام LooCipher کشف شده که در حال آلوده نمودن کاربران است. هنوز روش توزیع این باج‌افزار مشخص نشده است و احتمال داده می‌شود که از طریق هرزنامه‌ها توزیع شود.

نسخه Truke باج‌افزار STOP Djvu

این نسخه از باج‌افزار STOP به فایل‌های رمز شده پسوند .truke را اضافه می‌نماید.

باج‌افزار جدید

باج‌افزار جدیدی کشف شده است که نام خود را Bi**h Ransomware گذاشته است!

در صورتی که دچار حمله باج‌افزاری شدید، می‌توانید از راهنمایی‌های تیم کارشناسان مرکز تخصصی آپا بهره‌مند شوید.

در صورت نیاز با info@nsec.ir یا 03133915336 تماس بگیرید.