گزارشات تحلیلی | مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای

گزارشات تحلیلی
تحلیل فنی باج‌افزار Delphimorix رصد فضای سایبری در حوزه #‫باج_افزار، از ظهور باج‌افزار Delphimorix خبر می دهد. بر اساس گزارش وبسایت Id-ransomware.blogspot.ru این باج‌افزار با استفاده از کد باج‌افزار InducVirus توسعه یافته است و نخستین بار در تاریخ 21نوامبر 2018 میلادی مشاهده شده است. به فاصله دو روز بعد از این تاریخ، دوبار به روز رسانی شده است و تحلیل پیش رو مربوط به به‌روزرسانی در تاریخ 23نوامبر می‌باشد. دانلود پیوست
تحلیل فنی باج‌افزار win_defender_patch مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام win_defender_patch خبر می‌دهد. بررسی ها نشان می دهد فعالیت این باج افزار در نیمه‌ی دوم ماه دسامبر سال 2018 میلادی شروع شده است. این باج‌افزار از الگوریتم رمزنگاری DES برای رمزگذاری فایل‌ها استفاده می‌کند و تنها فایل‌های موجود در دایرکتوری‌هایی خاص را که در ادامه به آن‌ها اشاره خواهیم نمود، رمزگذاری می‌کند. دانلود پیوست
تحلیل فنی باج‌افزار SaveFiles مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ی جدیدی از خانواده‌ی STOP به نام SaveFiles خبر می‌دهد. که پس از رمزگذاری فایل‌ها، پسوند آن‌ها را به.SAVEfiles تغییر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در تاریخ 10 سپتامبر سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. دانلود پیوست
تحلیل فنی باج‌افزار Qinynore مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ی HiddenTear به نام Qinynore خبر می‌دهد. بررسی ها نشان می دهد فعالیت این باج افزار در نیمه‌ی دوم ماه سپتامبر سال 2018 میلادی شروع شده است و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. این باج‌افزار از الگوریتم رمزنگاری AES در حالت CBC - 256 بیتی برای رمزگذاری فایل‌ها استفاده می‌کند و تنها فایل‌های موجود در دایرکتوری‌هایی خاص و با پسوندهایی مشخص را که در ادامه به آن‌ها اشاره خواهیم نمود، رمزگذاری می‌کند
گزارش تحلیل باج‌افزار PrincessLocker 3.0 مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت باج افزار PrincessLocker خبر می‌دهد. طبق بررسی های صورت گرفته، باج افزار PrincessLocker در اواسط آگوست سال 2018 شروع به فعالیت کرده که این باج‌افزار نسخه سوم آن می‌باشد . دانلود پیوست
تحلیل فنی باج‌افزار LockCryptV2 مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام LockCryptV2خبر می‌دهد. طبق مشاهدات صورت گرفته، به نظر می‌رسد که این باج‌افزار از خانواده ی باج افزار Satan می‌باشد و پس از رمزگذاری فایل‌ها پسوند .BDKRرا به انتهای فایل‌های رمزگذاری شده اضافه می‌کند و نام فایل را نیز طبق الگوی خاص تغییر می‌دهد. بررسی ها نشان می دهد که این باج افزار در 23 سپتامبر سال 2018 میلادی به روز رسانی شده است. این باج‌افزار از الگوریتم رمزنگاری AES-256 + RSA-2048 استفاده می‌کند.
تحلیل فنی باج‌افزار Project GameOver X مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت باج‌افزار Project GameOver X خبر می‌دهد. براساس گزارشات بدست آمده، فعالیت این باج‌افزار در ماه جولای سال 2018میلادی آغاز گردیده است و به نظر می‌رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. دانلود پیوست
تحلیل فنی باج‌افزار LockCrypt مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام LockCrypt خبر می‌دهد. این باج‌افزار از خانواده ی باج افزار Satan می باشد و پس از رمزگذاری فایل‌ها پسوند .BadNews را به انتهای فایل‌های رمزگذاری شده اضافه می‌کند و نام فایل را نیز طبق الگوی خاص تغییر می‌دهد. بررسی ها نشان می دهد که این باج افزار در 28 آگوست سال 2018 میلادی به روز رسانی شده است و بیشترین حمله را همان اوایل به ایالت متحده بدلیل باز بودن RDP در شرکت ها انجام داده است. این باج‌افزار از الگوریتم رمزنگاری AES-256 + RSA-2048 استفاده می‌کند.
تحلیل فنی باج‌افزار Ranion 1.09 رصد فضای سایبری در حوزه #‫باج_افزار، از ظهور باج افزار Ranion 1.09 خبر می دهد. فعالیت این نسخه از باج‌افزار در اوایل ماه اوت سال 2018 میلادی شروع شده است. مشاهدات حاکی از آن است که باج افزار مورد اشاره پس از نفوذ به سیستم قربانی و اتمام فرایند رمزگذاری، به انتهای فایل‌ها پسوند .ransom را اضافه می کند و پیغام باج‌خواهی را به صورت یک پنجره توسط یکی از مرورگرها بر روی دسکتاپ قربانی قرار می‌دهد. نکته قابل توجه در خصوص این باج‌افزار این است که باج افزار پیغام باج‌خواهی را به چند زبان و حتی زبان فارسی نیز به صورت فایل متنی بر روی دسکتاپ قرار می‌دهد.
تحلیل فنی باج‌افزار ZOLDON Crypter V3.0 مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ی باج‌افزار ZOLDON Crypter V3.0 که با نام های encryptor-extortionist, doxware نیز شناخته می‌شود خبر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اوایل ماه آگوست سال 2018 میلادی شروع شده است و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. این باج‌افزار برای محیط‌های دارای سیستم عامل ویندوز 64 بیتی توسعه یافته و برخلاف اکثریت باج افزارها پسوند فایل ها را پس از رمزگذاری عوض نمی کند.

دسترسی سریع

تماس با ما