info[at]nsec.ir
(+98)-31-33915336

باج‌افزار در هفته‌ای که گذشت: هفته سوم اردیبهشت

خلاصه: در هفته گذشته دنیای باج‌افزار نسخه‌های جدیدی از باج‌افزار‌های شناخته شده را به خود دید. این باج‌افزار‌های شناخته شده با نسخه‌های جدید در تلاش برای افزایش قربانیان خود هستند.

 

در هفته گذشته نسخه‌های زیادی از باج‌افزارهای شناخته شده مانند STOP Djvu و Dharma مشاهده شدند. همچنین باج‌افزار MegaCortex که در حملات به شبکه‌های تجاری به کار گرفته شده توسط کارشناسان Sophos تحلیل شد. باج‌افزار Jokeroo هم مثل اینکه می‌خواهد با تظاهر به دستگیری از کاربران خود کلاه‌برداری نماید.

شنبه 14 اردیبهشت (4 مه)

باج‌افزار MegaCortex شبکه‌های تجاری را هدف قرار می‌دهد!

باج‌افزاری که به تازگی کشف شده است و MegaCortex نام دارد شبکه‌های تجاری و کامپیوتر‌های روی آن شبکه‌ها را هدف قرار می‌دهد. زمانی که به یک شبکه نفوذ می‌شود، مهاجم همه شبکه را با استفاده از استفاده از کنترل‌کننده‌های مانته ویندوز به باج‌افزار آلوده می‌نماید.

یکشنبه 15 اردیبهشت (5 مه)

نسخه جدیدی از STOP

نسخه جدیدی از باج‌افزار STOP Djvu منتشر شده که به فایل‌های رمز شده پسوند .sarut را اضافه می‌نماید.

نسخه Navi از Scarab

این نسخه از Scarab به فایل‌های رمز شده پسوند .Navi را اضافه می‌نماید.

نسخه BAT باج‌افزار Dharma

این نسخه از باج‌افزار Dharma به فایل‌های رمز شده پسوند .bat را اضافه می‌نماید.

نسخه جدیدی از Scarab

نسخه جدیدی از Scarab به فایل‌های رمز شده پسوند .kes$ را اضافه نموده و متن باج‌خواهی را در فایل متنی Инструкция по расшифровке.TXT قرار می‌دهد.

نسخه zoro‌ باج‌افزار Scarab

این نسخه از Scarab پسوند فایل‌های رمز شده را به .zoro تغییر می‌دهد و متن باج‌خواهی را در فایل  !!! RESTORE DATA !!!.TXT قرار می‌دهد.

دوشنبه 16 اردیبهشت (6 مه)

نسخه‌های جدیدی از Dharma

چند نسخه جدید از Dharma کشف شده‌اند که به فایل‌های رمز شده پسوند‌های .qbix، .aa1 و یا .wal را اضافه می‌نمایند.

نسخه جدیدی از STOP

این نسخه جدید از STOP به فایل‌های رمز شده پسوند .fedasot را اضافه نموده و متن باج‌خواهی را در فایل  _readme.txt قرار می‌گیرد.

نسخه جدیدی از GlobeImposter 2.0

مایکل گیلسپی نسخه‌ای از باج‌افزار GlobeImposter 2.0 را یافته است که به فایل‌های رمز شده پسوند .{Killback@protonmail.com}KBK را اضافه می‌نماید.

باج‌افزار جدید Recry

این باج‌افزار جدید که به تازگی مشاهده شده است، به فایل‌های رمز شده پسوند .recry1 را اضافه می‌نماید و متن باج‌خواهی را در فایل متنی decryption_help.txt قرار می‌دهد.

نسخه‌های جدیدی از STOP

نسخه‌های جدید باج‌افزار STOP Djvu به فایل‌های رمز شده پسوند‌های .forasom یا .berost  را اضافه می‌نماید.

سه‌شنبه 17 اردیبهشت (7 مه)

مقامات محلی در تگزاس و مریلند هدف حمله باج‌افزاری قرار گرفتند!

سرور‌های شهر‌های بالتیمور، آماریلو، TX و Potter County با اینکه سرور‌های خود را خاموش نموده بودند، با اتصال دوباره به اینترنت مورد حمله باج‌افزاری قرار گرفتند.

به‌روز‌رسانی رمزگشای باج‌افزار STOP Decryptor

مایکل گیلسپی رمزگشای باج‌افزار STOP را برای پسوند‌های .roldat، .dutan، .sarut، .berost و .forasom به‌روز نموده است.

چهارشنبه 18 اردیبهشت (8 مه)

باج‌افزار Dharma از ابزار‌های رسمی آنتی‌ویروس برای فریب قربانیان استفاده می‌نماید!

یکی از جدیدترین نسخه‌های Dharma از نسخه‌ پاک کننده آنتی‌ویروس ESET برای فریب کاربر به نصب این باج‌افزار استفاده می‌نماید.

نسخه MERS از باج‌افزار Dharma

این نسخه جدید Dharma به فایل‌های رمز شده پسوند .MERS را اضافه می‌نماید.

باج‌افزار جدید Blitzkrieg

این باج‌افزار جدید به فایل‌های رمز شده پسوند .bkc را اضافه نموده و متن باج‌خواهی را در فایل HowToBackFiles.txt قرار می‌دهد.

پنج‌شنبه 19 اردیبهشت (9 مه)

باج‌افزار Jokeroo به عنوان باج‌افزار به عنوان سرویس

سایت ارایه باج‌افزار به عنوان سرویس باج‌افزار Jokeroo روی شبکه تور از دو روز پیش اخطاری را منتشر نموده که بیان می‌نماید سرور توسط پلیس تایلند با همکاری پلیس هند و یوروپل ضبط شده است. اینطور به نظر می‌رسد که این یک کلاه‌برداری بوده و Jokeroo در حال کلاه‌برداری از کاربران خود است.

نسخه جدیدی از GlobeImposter 2.0

این نسخه جدید GlobeImposter 2.0 به فایل‌های رمز شده پسوند [blellockr@godzym.me].bkc را اضافه می‌نماید.

نسخه جدیدی از STOP

این نسخه جدید از STOP به فایل‌های رمز شده پسوند .fordan را اضافه می‌نماید.

جمعه 20 اردیبهشت (10 مه)

نسخه جدیدی از ماتریکس

این نسخه جدید ماتریکس به فایل‌های رمز شده پسوند .QH24 را اضافه نموده و متن باج‌خواهی را در فایل !QH24_INFO!.rtf قرار می‌دهد.

نسخه جدیدی از FLKR

نسخه جدید FLKR پسوند .+jabber-theone@safetyjabber.com را به فایل‌های رمز شده اضافه می‌نماید.

 

در صورتی که دچار حمله باج‌افزاری شدید، می‌توانید از راهنمایی‌های تیم کارشناسان مرکز تخصصی آپا بهره‌مند شوید.

در صورت نیاز با info@nsec.ir یا 03133915336 تماس بگیرید.