#‫گوگل اخیرا یک نقص امنیتی در مرورگر #‫کروم اندرویدی وصله کرده است که اطلاعات مربوط به مدل سخت‌افزاری گوشی‌های هوشمند، نسخه‌ی سفت‌افزار و به طور غیرمستقیم سطح وصله‌ی امنیتی دستگاه را افشا می‌سازد.
این نقص اولین بار سه سال پیش، در ماه می سال 2015 گزارش شده بود؛ اما تا سه سال نادیده گرفته شد. تا زمانی که کارکنان Chrome متوجه شدند اطلاعاتی که مرورگر کروم دستگاه‌های اندرودی منتشر می‌سازد خطرناک است.
این نقص ابتدا توسط محققان امنیتی شرکت امنیت سایبری Nightwatch کشف شد. آن‌ها دریافتند که رشته‌های User-Agent مرورگر کروم نسخه‌های اندرویدی دارای اطلاعات بیشتری نسبت به نسخه‌های دسکتاپی آن است. رشته‌های User-Agent مرورگر کروم اندرویدی علاوه بر جزئیات مرورگر کروم و اطلاعات مربوطه به نسخه‌ی سیستم‌عامل، دارای اطلاعات مربوط به نام دستگاه و شماره ساخت سفت‌افزار آن نیز است. شماره ساخت سفت‌افزار نه تنها برای شناسایی دستگاه بلکه برای شناسایی سرویس‌گیرنده و کشور نیز می‌تواند استفاده شود. شماره ساخت به راحتی از وب‌سایت‌های سازنده و سرویس‌گیرنده‌ی تلفن همراه قابل دستیابی است. علاوه‌براین، با دانستن شماره ساخت، مهاجمان می‌توانند شماره دقیق سفت‌افزار را تعیین کنند و به‌طور غیرمستقیم تعیین کنند دستگاه در حال اجرای چه سطحی از وصله امنیتی است و دستگاه، متأثر به چه آسیب‌پذیری‌هایی است. لذا چنین اطلاعات حساسی هرگز نباید در رشته‌ی User-Agent گنجانده شوند.
مهندسان گوگل این نقص را با حذف شماره ساخت از رشته‌ی‌ User-Agent مرورگر کروم اندرویدی برطرف ساختند و در اواسط ماه اکتبر سال 2018، با انتشار نسخه‌ی Chrome 70، بی‌سروصدا به کاربران این مرورگر عرضه کردند. البته این رفع نقص هنوز کامل نیست. رشته‌های نام دستگاه هنوز وجود دارند. علاوه‌براین، هر دو رشته‌ی نام دستگاه و شماره ساخت هنوز در WebView و Custom Tabs وجود دارند. WebView و Custom Tabs اجزایی اندرویدی و نسخه‌های پایین‌تر موتور Chrome هستند که برنامه‌های دیگر می‌توانند درون کد آن‌ها تعبیه شوند، بنابراین کاربران می‌توانند محتوای وب را بااستفاده از یک مرورگر داخلی شبه کروم مشاهد نمایند. Custom Tabs در حال حاضر به‌ندرت استفاده می‌شود؛ اما WebView بسیار محبوب است. از آنجاییکه رفع نقص به مرورگر WebView اعمال نشده است، توسعه‌دهندگان برنامه کاربردی باید به صورت دستی پیکربندی User Agent را تغییر دهند یا کاربران از مرورگر دیگری استفاده کنند.
جهت رفع موقت این نقص، کاربران می‌توانند از گزینه‌ی "Request Desktop Site" در تنظیمات مرورگر کروم اندرویدی هنگام مشاهده‌ی وب‌سایت‌ها در دستگاه تلفن همراهشان استفاده کنند. استفاده از این گزینه در مرورگر کروم اندرویدی، یک رشته‌ی User Agent شبیه Linux منتشر می‌سازد که دارای نام دستگاه و شماره ساخت سفت‌افزار نیست.
محققان امنیتی بر این باورند که تمامی نسخه‌های قبلی مرورگر کروم تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند و به تمامی کاربران توصیه می‌کنند مرورگر کروم خود را به نسخه‌ی 70 یا نسخه‌های بعدتر ارتقا دهند.

امروزه استفاده از گواهینامه #SSL در وب سایتها جهت #‫رمزنگاری داده های بین کاربر و سرویس دهنده استفاده میگردد. رمز نگاری داده ها میتواند امنیت حریم خصوصی کاربر را افزایش داده و از دستکاری، سرقت و استراق سمع اطلاعات در مسیر ارتباط کاربر تا سرویس دهنده جلوگیری نماید. هرچند مزایای استفاده از گواهینامه SSL جهت رمز نگاری بر کسی پوشیده نیست اما با توجه به تحمیل هزینه های مالی برای دارندگان وب سایت ها و همچنین دشواری تعامل با CA های خارجی ارائه دهنده‌ی این خدمات، بسیاری از سایت ها از خرید گواهینامه SSL صرف نظر میکنند.
سامانه https://letsencrypt.cert.ir بمنظور تسهیل فرایند درخواست و دریافت گواهینامه SSL از LetsEncrypt CA ایجاد شده است. در این سامانه شما میتوانید برای وبسایت یا سامانه‌های خود گواهینامه SSL معتبر بصورت رایگان دریافت نمایید. این گواهینامه‌ها توسط موسسه‌ی LetsEncrypt CA* صادر می‌گردد. برای این منظور مجموعه ابزاری تهیه گردیده است که بر حسب نیاز، کاربر میتواند با استفاده از آن تمامی مراحل دریافت، نصب، پیکربندی و صدور مجدد گواهینامه‌ی SSL را به صورت خودکار انجام دهد. با استفاده از ابزار تحت وب (آنلاین) سامانه نیز کاربر میتواند تنها با چند کلیک و بعد از احراز مالکیت دامنه، گواهینامه SSL را دریافت نماید.

تمامی مراحل تولید کلید خصوصی (Private Key) بصورت امن طراحی گردیده و این کلید در سامانه نگهداری نمی‌گردد.
گواهینامه های SSL صادر شده توسط LetsEncrypt CA از نظر فنی و امنیتی تفاوتی با سایر گواهینامه‌های تجاری ندارند. اما باید توجه داشت در صدور این گواهینامه‌ها صرفا مالکیت دامنه توسط CA احراز می‌گردد و هویت مالک مورد بررسی قرار نمی‌گیرد. در واقع گواهینامه‌های صادره از نوع DV (Domain Validation) می باشد. در خصوص سامانه‌ها و وبسایت‌هایی که نیاز به تایید هویت ارایه دهنده‌ی خدمات دارند، توصیه می‌گردد از گواهینامه‌های تجاری OV (Organization Validation) یا EV (Extended Validation) استفاده نمایند.
لازم به توجه است در حال حاضر Lets encrypt CA برای دامنه‌های .iran.gov.ir* گواهینامه صادر نمی کند.

https://letsencrypt.org/about

خلاصه آسیب‌پذیری:
یک #‫آسیب‌پذیری در IBM WebSphere Application Server کشف شده که مهاجم با سوءاستفاده از آن می‌تواند از راه دور کد دلخواه خود را اجرا کند. این آسیب‌پذیری ناشی از بررسی ناامن JAVA object deserialization از طریق اتصال SOAP است. مهاجم می‌تواند با ارسال یک شیء ساختگی خاص از طریق اتصال SOAP از این آسیب‌پذیری سوءاستفاده کند.
IBM WebSphere Application Server یک فریم‌ورک نرم‌افزاری و میان‌افزار است که میزبان برنامه‌های کاربردی وب مبتنی بر جاوا است.
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد تا از راه دور کد جاوا را در محتوای برنامه تحت‌تأثیر اجرا کند. بسته به امتیازات مربوط به برنامه مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند. در ساده‌ترین حالت بهره‌برداری ناموفق می‌تواند به حمله منع سرویس منجر گردد.
این آسیب‌پذیری که با شناسه CVE-2018-17481 معرفی شده ناشی از نقص use-after-free در PDFium می‌باشد.
سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی در حد متوسط و زیاد است.
در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری دریافت نشده است.

نسخه‌های تحت‌تأثیر:

•    IBM WebSphere Application Server 9.0 prior to 9.0.0.10
•    IBM WebSphere Application Server 9.0 prior to 9.0.0.9 (Interim Fix PH04060)
•    IBM WebSphere Application Server 8.5 prior to 8.5.5.15
•    IBM WebSphere Application Server 8.5 prior to 8.5.5.14 (Interim Fix PH04060)
•    IBM WebSphere Application Server 8.0 prior to 8.0.0.15 (Interim Fix PH04060)
•    IBM WebSphere Application Server 7.0 prior to 7.0.0.45 (Interim Fix PH04060)

توصیه‌ها

• نسخه IBM WebSphere Application Server را به آخرین نسخه به‌روز رسانی کنید.
• قبل از اعمال پچ، بدون احراز اصالت هیچگونه تغییری در سیستم را تأیید نکنید.
• به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها

خلاصه آسیب‌پذیری:
#‫آسیب‌پذیری‌ های چندگانه در Mozilla Firefox و Firefox Extended Support Release (ESR) کشف شده است که شدیدترین آنها می‌تواند به مهاجم اجازه دهد کد دلخواه را اجرا کند.
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به اجرای کد دلخواه شود. بسته به امتیازات مربوط به برنامه مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند.
اگر این برنامه با حقوق کاربری پایین‌تری پیکربندی شده‌باشد بهره‌برداری از این آسیب‌پذیری می‌تواند تاثیر کمتری داشته‌باشد، مگر اینکه با حقوق administrative تنظیم شود. سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی متوسط و زیاد است.

نسخه‌های تحت‌تأثیر:
   • Mozilla Firefox versions prior to 64
   • Mozilla Firefox ESR version prior to 60.4

جزییات:
جزییات مربوط به این آسیب‌پذیری‌ها در زیر آمده است.
 

توصیه‌ها

• به کاربران Mozilla به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.
• برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
• به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
• اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد
• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها

خلاصه آسیب‌پذیری:
یک #‫آسیب‌پذیری در کروم کشف شده که مهاجم با سوءاستفاده از آن می‌تواند کد دلخواه را اجرا کند.
بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد تا کد دلخواه را در متن مرورگر اجرا کند. بسته به امتیازات مربوط به برنامه مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند.
اگر این برنامه با حقوق کاربری پایین‌تری پیکربندی شده‌باشد بهره‌برداری از این آسیب‌پذیری می‌تواند تاثیر کمتری داشته‌باشد، مگر اینکه با حقوق administrative تنظیم شود.
این آسیب‌پذیری که با شناسه CVE-2018-17481 معرفی شده ناشی از نقص use-after-free در PDFium می‌باشد.
سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی در حد متوسط و زیاد است.
در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری دریافت نشده است.

نسخه‌های تحت‌تأثیر:
   • گوگل‌کروم نسخه‌های قبل از 71.0.3578.98

توصیه‌ها
   • به کاربران گوگل کروم به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.
   • برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
   • به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
   • اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد
   • رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها

یک #‫آسیب‌پذیری با شناسه CVE-2018-8653 در مایکروسافت اینترنت اکسپلورر کشف شده است که می‌تواند منجر به اجرای کد دلخواه شود. کد بهره‌برداری از این آسیب‌پذیری در آدرس https://github.com/p0w3rsh3ll/MSRC-data در دسترس عموم قرار دارد.
این آسیب‌پذیری می‌تواند منجر به اجرای کد دلخواه در محتوای برنامه آسیب‌دیده شود. بسته به امتیازات مربوط به برنامه مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند.
این آسیب‌پذیری می‌تواند حافظه را به گونه‌ای تخریب کند که یک مهاجم بتواند کد دلخواه را در چارچوب کاربر فعلی اجرا کند. این مهاجم می‌تواند همان حقوق کاربر را به عنوان کاربر فعلی بدست آورد. اگر این برنامه در سیستم با حقوق کاربری کمتری پیکربندی شده باشد، بهره‌برداری از این آسیب‌پذیری‌ می‌تواند تأثیر کمتری داشته باشد، مگر اینکه با حقوق administrative پیکربندی شود.
در یک سناریوی حمله مبتنی بر وب، مهاجم می‌تواند یک وب سایت مخصوص ساختگی را طراحی کند که از طریق اینترنت اکسپلورر از آسیب‌پذیری سوءاستفاده می‌کند و سپس کاربر را مجبور به مشاهده وب‌سایت می‌کند (به عنوان مثال از طریق ایمیل).
افرادی که به‌روزرسانی ویندوز را فعال و آخرین به‌روزرسانی‌های امنیتی را اعمال کرده‌اند، به طور خودکار در برابر این آسیب‌پذیری محافظت می‌شوند در غیر این صورت می‌توانند وصله امنیتی آن را در لینک زیر دانلود و نصب نمایند.

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653

نسخه‌های تحت‌تأثیر:
   • اینترنت اکسپلورر 8 برای Windows Embedded Standard 2009 XP، POSReady 2009
   • اینترنت اکسپلورر 9 برای ویندوز سرور 2008
   • اینترنت اکسپلورر 10 برای ویندوز سرور 2012
   • اینترنت اکسپلورر 11 برای ویندوز 7، 8.1، RT 8.1، 10
   • اینترنت اکسپلورر 11 برای ویندوز سرور 2008 R2، 2012 R2، 2016، 2019

توصیه‌ها
   • به کاربران مایکروسافت اینترنت اکسپلورر به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.
   • برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
  • به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
   • اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد
   • رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها

#‫آسیب‌پذیری‌ های چندگانه در Adobe Acrobat و Adobe Reader کشف شده است که می‌توانند منجر به اجرای کد دلخواه شود.
این آسیب‌پذیری می‌تواند منجر به کنترل سیستم آسیب‌دیده شود. بسته به امتیازات مربوط به کاربر، مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند.
اگر این برنامه در سیستم با حقوق کاربری کمتری پیکربندی شده باشد، بهره‌برداری از این آسیب‌پذیری‌ می‌تواند تأثیر کمتری داشته باشد، مگر اینکه با حقوق administrative پیکربندی شود. نام این آسیب‌پذیری‌ها و شناسه آنها به شرح زیر است:
   • آسیب‌پذیری چندگانه افزایش امتیاز Multiple security bypass privilege escalation با شناسه CVE-2018-16018
   • آسیب‌پذیری چندگانه اجرای کد دلخواه Multiple use after free arbitrary code execution با شناسه CVE-2018-16011

سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی متوسط و زیاد است. در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری دریافت نشده است.

نسخه‌های تحت‌تأثیر:
   • برنامه Acrobat DC برای ویندوز و مک نسخه 2019.010.20064 و قبل از آن
   • برنامه Acrobat Reader DC برای ویندوز و مک نسخه 2019.010.20064 و قبل از آن
   • برنامه Acrobat 20217 برای ویندوز و مک نسخه 2017.011.30110 و قبل از آن
   • برنامه Acrobat Reader DC 2017 برای ویندوز و مک نسخه 2019.010.20064 و قبل از آن
   • برنامه Acrobat DC برای ویندوز و مک نسخه 2015.006.30461 و قبل از آن
   • برنامه Acrobat Reader DC برای ویندوز و مک نسخه 2015.006.30461 و قبل از آن

توصیه‌ها
   • به کاربران Adobe Acrobat و Adobe Reader به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.
   • برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
   • اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد
   • رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها

بازی های قدیمی کنسول، دسته ای از برنامه های موجود در فروشگاه های اندرویدی هستند که به دلیل خاطره انگیز بودن آن ها، در بین کاربران اندرویدی طرفداران زیادی دارد. برای اجرای این بازی های قدیمی در محیط اندروید لازم است شبیه سازی به منظور پیاده سازی و اجرای بازی وجود داشته باشد. این فایل شبیه ساز اغلب در فایل نصبی برنامه (فایل apk) قرار دارد و پس از نصب، از کاربر خواسته می شود تا برنامه شبیه ساز را نصب نماید. با تایید کاربر، فایل ثانویه شبیه ساز روی دستگاه نصب شده و کاربر می تواند بازی کنسول را روی دستگاه اندرویدی خود اجرا کند. متاسفانه همین فرآیند به ظاهر ساده، یکی از ترفندهای مهاجمان برای سواستفاده از دستگاه کاربران و مخفی کردن رفتار مخرب خود است.
از آنجا که در اغلب این برنامه ها، فایل مربوط به شبیه ساز، بدون پسوند apk در پوشه های جانبی برنامه اصلی قرار داده شده است، در بررسی های امنیتی برنامه، توسط فروشگاه های اندرویدی، به وجود چنین فایلی توجه نمی شود و فایل شبیه ساز مورد بررسی قرار نمی گیرد. در مجوزهای نمایش داده شده در فروشگاه های اندرویدی نیز، تنها به مجوزهای فایل اولیه اشاره شده است و مجوزهایی که شبیه ساز از کاربر می گیرد، ذکر نمی شود. این فرصتی است که مهاجم با استفاده از آن می تواند رفتار مخرب موردنظر خود را در این فایل مخفی کرده و بدافزار را در قالب برنامه ای سالم در فروشگاه اندرویدی منتشر سازد.
علاوه بر این، فایل شبیه ساز پس از نصب آیکون خود را مخفی کرده و کاربران عادی قادر به شناسایی و حذف آن نخواهند بود. حتی با حذف برنامه اصلی نیز، فایل شبیه ساز حذف نشده و پایگاه ثابتی روی دستگاه قربانی برای مهاجم ایجاد خواهد شد.
رفتار مخرب مربوط به این برنامه ها، که عموما ساختاری یکسان و تکراری دارند را می توان به سه دسته تقسیم کرد:
   • استفاده از سرویس های تبلیغاتی، علاوه بر سرویس های تبلیغاتی موجود روی برنامه اصلی
   • دانلود و نصب برنامه های دیگر (بدافزار یا برنامه های دارای سرویس های ارزش افزوده)
   • جاسوسی و ارسال اطلاعات کاربر به مهاجم
در فایل پیوست به بررسی ۳۰۰ بازی از سه توسعه دهنده که جمعا حدود صد هزار نصب فعال دارند، پرداخته شده است.

نسخه جدید #‫اکسپلویت EternalBlue در حال گسترش بوده و کارشناسان امنیتی جهان مشاهده نموده‌اند که این بدافزار اقدام به نصب نسخه جدید بدافزار استخراج رمز‌ارز #NRSMiner نیز می‌نماید. اکسپلویت EternalBlue یکی از ابزار‌های جاسوسی سازمان امنیت ملی امریکا (NSA) است که توسط گروه دلالان سایه افشا شد و در حمله باج‌افزاری واناکرای نقش اصلی را بازی می‌نمود. این اکسپلویت پروتکل SMB نسخه ۱ را که نسخه پرطرفداری بین هکرها است هدف قرار می‌دهد.

بررسی‌های شرکت امنیتی F-Secure نشان می‌دهد که جدید‌ترین نسخه بدافزار NRSMiner از اواسط ماه نوامبر شروع به توزیع نموده و با استفاده از اکسپلویت EternalBlue در کامپیوتر‌های آسیب‌پذیر در یک شبکه محلی توزیع می‌شود. این بدافزار بیشتر در آسیا توزیع شده و بعد از ویتنام که 54 درصد این آلودگی را به خود اختصاص داده، کشور ایران رتبه دوم آلودگی به این بدافزار را با بیش از 16 درصد دارد.

این بدافزار نسخه‌های قبلی خود را نیز با استفاده از دانلود ماژول‌های جدید و پاک کردن فایل‌های قدیمی به‌روز نموده است. این بدافزار به صورت چند‌نخی اجرا می‌شود تا بتواند همزمان قابلیت‌های مختلفی مانند استخراج رمز‌ارز و فشرده‌سازی اطلاعات را انجام دهد.

این بدافزار بقیه تجهیزات محلی در دسترس را اسکن نموده و اگر پورت TCP شماره 445 آن‌ها در دسترس باشد، روی آن اکسپلویت EternalBlue را اجرا نموده و در صورت اجرای موفق درب پشتی DoublePulsar را روی سیستم قربانی جدید نصب می‌نماید.

این بدافزار از استخراج کننده رمز‌ارز XMRig برای استخراج رمز‌ارز استفاده می‌کند.

کاربرانی که به‌روز‌رسانی‌های مایکروسافت برای جلوگیری از حملات واناکرای را نصب نموده باشند از این طریق آلوده نمی‌شوند. اگر این وصله‌ها را به هر دلیلی نمی‌توانید نصب نمائید، توصیه می‌شود که هرچه زودتر پروتکل SMB نسخه ۱ را غیرفعال کنید.

اشکال جدیدی در مرورگر Google Chrome کشف و گزارش شده است که می‌تواند به‌طور بالقوه دستگاه‌های #‫ویندوز 10 را به‌طور کامل فریز سازد. این نقص با معرفی خود به عنوان پشتیبان فنی قلابی، سبب فریزشدن کامل Windows 10 می‌شود و سپس به کاربر می‌گوید دستگاهش آلوده به ویروس شده است.
این نقص جدید بااستفاده از یک کد #‫جاوااسکریپت و ایجاد حلقه، مانع از بستن سربرگ یا مرورگر می‌شود. همچنین یک پنجره‌ی pop-up نمایش داده می‌شود که ادعا می‌کند از سوی وب‌سایت رسمی پشتیبانی مایکروسافت است و رایانه آلوده به ویروسی شده است که می‌تواند گذرواژه‌ها، تاریخچه‌ی مرورگر، اطلاعات کارت اعتباری و سایر داده‌ها را به مخاطره بیندازد. از آنجایی که این یک حلقه است، هر بار که کاربر تلاش می‌کند این pop-up را ببندد، تقریباً بلافاصله دوباره باز می‌شود و این امر منجر به استفاده‌ی 100% از منابع خواهد شد و در نهایت رایانه را ناگهان فریز خواهد کرد.
این مشکل، مسئله‌ی جدیدی در مرورگر کروم نیست و این نوع گروگان‌گیری اینترنتی، یکی از رایج‌ترین کلاهبرداری‌های اینترنتی است؛ اما با اجرای گام‌های زیر به راحتی می‌توان این مشکل رایانه را رفع کرد:
   • بازکردن Task Manager از نوار وظیفه
   • رفتن به سربرگ Processes
   • کلیک‌کردن بر روی Google Chrome (یا GoogleChrome.exe)
   • کلیک‌کردن بر روی دکمه‌ی End Task در گوشه‌ی پایین سمت راست
همچنین باید مطمئن شد که Google Chrome به گونه‌ای تنظیم نشده است که دفعه بعد که این مرورگر باز می‌شود، سربرگ‌های قدیمی دوباره بازگردند. برای این کار بهتر است تاریخچه‌‌ی کوکی از مرورگر پاک شود.
یک راه‌حل خوب برای مقابله با گروگان‌گیری‌های اینترنتی این است که کاربر پیش از اجازه‌ی دسترسی به اطلاعات و پرداخت هرگونه وجهی برای رفع مشکل دستگاه، از واقعی‌بودن اطلاعات و پیشینه‌ی آن‌ها مطمئن شود. این اولین گروگان‌گیری اینترنتی نیست که Google Chrome را هدف قرار داده است. طبق گزارشی، در اوایل سال جاری، حمله‌ی Download Bomb مرورگرهای بزرگ را هدف قرار داده بود و تنها مرورگر Microsoft Edge در برابر این حمله ایمن بود.
در پایان باید به این نکته توجه داشته باشد که شرکتهای بزرگی همچون مایکروسافت معمولاً برای رفع نقص از کاربران خود درخواست پول نمی‌کنند، مگر اینکه دستگاه را به‌طور کامل بررسی و مشکل را شناسایی کرده باشند.