بدافزار جدیدی با نام Reaper ویا IoTroop اولین بدافزاری نیست که وسایل شبکه­ دارای ضعف را هدف قرار می­دهد. براساس گزارش شرکت Check Point کد مخرب این بدافزار به سرعت در حال رشد و آلوده کرده وسایل تحت شبکه می­باشد.
Maya Horowitz مدیر گروه تهدیدات در CheckPoint بیان نمود که این بدافزار صدها هزار وسیله و تجهیزات شبکه را تا کنون آلوده کرده است.
بدافزار Reaper یادآور خاطرات بدافزار Mirai است که با ایجاد یک Botnetغول پیکر در سال 2016 توانست در حدود 500000 وسیله­­IoT را آلوده کند. این امر شروعی بری انجام حملات DDoS به صورت گسترده برروی کل اینترنت و در سطح آمریکا بود.
بدافزار Reaper نیز ممکن است برای انجام چنین حملاتی مورد استفاده قرار گیرد. خبر خوب این است که Botهای آلوده تا کنون شروع به انجام حملات DDoS نکرده‌­اند و تنها تمرکز آنان برروی آلوده کردن دستگاه­‌های جدید است.
محققان امنیتی شرکت Qihoo 360همچنین بیان نمودند که بدافزار Reaper سعی در آلوده کردن حداقل 2 میلیون دستگاه آسیب پذیر دارد. این بدافزار همچنین بخش­هایی از کد Mirai را در خود دارد که باعث گسترش خود می­گردد.
 

برخلاف Mirai که برای دسترسی به وسایل، پسورد آنان را کرک می­نمود، بدافزار Reaper در حدود 12 آسیب پذیری در محصولات D-Link، Netgear، Linksys و سایرین یافته است. همه­ این آسیب پذیری­ها عموما شناخته شده هستند و حداقل چندین شرکت برای آنان آپدیت ­هایی را منتشر ساخته ­اند.
با وجود این موضوع، این امر باعث نشده است تا توسعه دهنده­ی پشت Reaper سوءاستفاده از این آسیب پذیری­ها را متوقف کند. در بسیاری از موارد وسایل IoTهمچنان پچ نشده باقی مانده­ اند و دلیل این امر، دشواری و سخت بودن نصب این آپدیت­ها می­باشد.
چه کسی این بدافزار را ایجاد کرده و هدف از ایجاد آن چه بوده، همچنان سوالاتی بی­ پاسخ هستند اما تمامی ابزارهای مورد نیاز برای تهیهاین بدافزار در اینترنت موجود می­باشد. برای نمونه، کد منبع بدافزار Mirai سال گذشته در فروم­های مربوط به هک در دسترس عموم قرار گرفته است. به علاوه، داده­ های مربوط به آسیب پذیری­های اهداف بدافزار Reaper را می­توان از سایت­های تحقیق امنیتی پیدا نمود.
Horowitz بیان نمود که با وجود این آسیب پذیری­ها و بدافزارهایی که برروی Github قرار می­گیرد ایقای نقش یک تهدید کننده بسیار ساده می­باشد. همچنین وی بیان نمود که استفاده از تکه کدها و ترکیب آنان با یکدیگر برای ساخت یک سلاح امنیتی کار ساده­ای می‌­باشد.
متاسفانه، کارهای کمی برای متوقف کردن بدافزار Reaper انجام گردیده است. محققان امنیتی در خصوص دستگاه­های IoT که آسیب پذیر هستند هشدار داده­ اند اما عده­ی بسیاری به این هشدارها دقت نمی ­کنند. Horowitz بیان نمود که این امر یک هشدار دیگر برای بیداری شرکت­ها می­باشد.

باج افزار جدیدی که به Hacker’s Door مشهور است بسیار شبیه به تروجان­های دسترسی از راه دور (RAT) بوده که در سال 2004 به همین نام نامیده شد ولی در سال 2005 با ویژگی­های جدیدی به روز رسانی شد. هم اکنون این بدافزار با ویژگی­های جدید خود توانایی ادامه فعالیت برروی سیستم­های 64 بیتی را دارد. این ورژن جدید حاوی Back Doorها و Rootkitهای بسیاری است که امکان دسترسی به هسته­ سیستم عامل را به آن می­دهد، از این رو مهاجم می­تواند به اطلاعات سیستم، لیست پردازش­ها و اجرای فرامین دسترسی داشته باشد. محققین همچنین متوجه شدند که این بدافزار قابلیت سرقت فایل­ها و تصاویری از صفحه، دانلود فایل­ها و ابزارهای اضافه و باز کردن پورت Telnet را دارد.
این ابزار همچنین قابلیت استخراج اعتبارنامه های کاربر در Sessionهای فعال و سایر اطلاعات سیستم را دارا می­باشد. ورژن جدید این بدافزار قابلیت پشتیبانی از ویندوز 7 و 8.1 را دارد اما تا لحظه نگارش این خبر شواهدی از قابلیت تحت تاثیر قرار دادن ویندوز 10 در این بدافزار یافت نشده است.
همچنان مشخص نیست که هدف از اجرا و به کار گیری این بدافزار چه می­باشد اما در گذشته هکرها برای ایجاد درسترسی از راه دور برای انجام تقلب های مالی از آن استفاده می­کردند. این گروه برروی­ شرکت­های دارویی بزرگ و شرکت بازی سازی تمرکز دارد، اما Tom Bonner محقق ارشد Cylance بیان نموده است که "ورژن کنونی بد افزار Hacker’s Door در صنعت هوافضا یافت شده است."
همانند موارد گذشته، این بدافزار توسط نویسنده اش به فروش گذاشته شده و با یک گواهی سرقت شده، امضا شده است. این امر، آلوده کردن کامپیوترها را با دور زدن شرایط حفاظتی طراحی شده در آنان برای شناسایی کد­های بدون امضا را بسیار ساده می­کند.
محققان امنیتی می­گویند که این احتمال وجود دارد که این ابزار همچنان بعنوان بخشی از حملات هدفمند برای طولانی مدت باشد، زیرا سهولت استفاده و عملکرد پیشرفته RAT باعث می شود که Hacker’s Door برای مرکز تسلیحاتی دشمنان باشد.

معرفی بدافزار
این نمونه بدافزاری، جاسوس‌افزاری است که اخیراً در ایران مشاهده شده است. این بدافزار از آیکونی مشابه آیکون مورد استفاده برای نمایش فولدرها توسط ویندوز استفاده کرده و با انتخاب نام e_dadsara کاربر را ترغیب به باز کردن پوشه‌ای حاوی اطلاعات الکترونیکی دادسرا می‌کند، در صورتی که جاسوس‌افزاری مخفی شده در شکل پوشه است. هدف اصلی این جاسوس‌افزار، سرقت اطلاعات قربانی به خصوص اطلاعات حساب‌های بانکی کاربران از طریق ضبط کلیدهای فشرده شده توسط کاربر، رویدادهای ماوس، گرفتن تصاویر از سیستم، محتوای کلیپ‌بورد و برنامه‌های اجرا شده توسط کاربر است.

نحوه شناسایی سیستم آلوده از طریق لاگ‌های شبکه
تمامی سیستم‌هایی از شبکه که با آدرس ftp://files.000webhost.com/public_html/Kl36z0fHjrKlemente602KA1/ در ارتباط باشند (با توجه به این که ممکن است بدافزار از سرورهای FTP دیگری برای آپلود اطلاعات استفاده کند، حتما باید علائم آلودگی در سیستم‌های میزبان نیز در نظر گرفته شود).

بررسی وجود آلودگی
1. وجود پوشه‌ای در مسیر زیر در سیستم:

%AppData%Roaming\Adobe\Flash player\AFCache

که در آن فایلی با نام syslog<date>.dat و پوشه‌ای دیگر با نام err قرار گرفته‌اند.

2. وجود فایلی با مشخصات زیر در سیستم:

%AppData%Roaming\Adobe\HostService.exe

3. وجود زیرکلیدی با نام HostService (که مقدار آن مشخصات فایل معرفی شده در قسمت 2 است) در مسیر رجیستری HKCU\Software\Microsoft\Windows\CurrentVersion\Run

4. وجود کلید رجیستری در مسیرهای زیر:

HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths\HostServices.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\HostService.exe
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Custom\HostService.exe

نحوه پاک‌سازی سیستم
   1. پایان دادن به پردازه HostService.exe در صورتی که در حال اجرا در سیستم است.
   2. حذف فایل‌ها و کلید رجیستری ایجاد شده (در صورت وجود) که در قسمت قبلی بدان اشاره شده است.

بررسی پاک بودن سیستم
   1. نبود مقدار زیر در کلید رجیستری ویندوز:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\HostService

   2. نبود فایل‌هایی که توسط بدافزار ایجاد شده و در قسمت وجود آلودگی به آن اشاره شده است.
   3. نبود ارتباطات FTP که در فرایند احراز هویت، از نام کاربری solmondesigner استفاده شده باشد.

توصیه‌های امنیتی برای پیشگیری
   1. خودداری از باز کردن مستندات الحاق شده به ایمیل‌های ناشناس و ...
   2. به‌روز بودن نرم‌افزار ضدبدافزار نصب شده بر روی سیستم
   3. فعال کردن ویژگی نمایش پسوند فایل‌ها در ویندوز و احتیاط در اجرای فایل‌های دارای پسوند exe

چکیده خبر
اگر فکر می‌کنید که حمله‌ی KRACK برای وای‌فای بدترین آسیب‌پذیری سال جاری است، پس این خبر را با دقت بخوانید...
آسیب‌پذیری دیگری وجود دارد که می‌تواند بدتر از حمله KRACK باشد. دیروز شرکت‌های مایکروسافت، گوگل، Lenovo، HP و فوجیتسو به مشتریان خود درباره‌ی یک آسیب‌پذیری جدی در کتابخانه‌ی رمزنگاری RSA هشدار دادند. برای بهره‌برداری از این آسیب‌پذیری فقط داشتن کلید عمومی ضروری است و نیازی به دسترسی فیزیکی به دستگاه آسیب‌پذیر نیست. این آسیب‌پذیری به مهاجم این امکان را می‌دهد که داده‌های حساس قربانی را رمزگشایی کند، کد مخرب به نرم‌افزار امضا‌ء شده‌ی دیجیتالی تزریق کند و حفاظت‌هایی که مانع دسترسی یا سوءاستفاده از کامپیوتر هدف می‌شوند را دور بزند.

شرح خبر
این آسیب‌پذیری (CVE-2017-15361) مرتبط با رمزگذاری، مربوط به خود استاندارد رمزنگاری نبوده بلکه در پیاده‌سازی تولید جفت کلید RSA توسط TPM (Trusted Platform Module) اینفینئون (شرکت آلمانی تولیدکننده تجهیزات الکترونیکی و نیمه‌هادی‌ها) قرار دارد.
TPM یک میکروکنترلر اختصاصی است که به ‌طور گسترده مورد استفاده قرار می‌گیرد و برای امن کردن سخت‌افزار از طریق ادغام کلید رمزنگاری در دستگاه‌ها طراحی شده و برای فرآیندهای رمزنگاری امن‌شده استفاده می‌شود.
این آسیب‌پذیری الگوریتمی سابقه 5 ساله داشته و به تازگی توسط محققان امنیتی در دانشگاه ماساریک در جمهوری چک کشف شده است.

ROCA: حمله‌ی فاکتورگیری برای بازیابی کلیدهای خصوصی RSA
حمله‌ی فاکتورگیری ROCA (Return of Coppersmith's Attack) که توسط محققان معرفی شده است، به مهاجم راه دور این امکان را می‌دهد که فقط با داشتن کلید عمومی هدف، کلید خصوصی رمزنگاری را محاسبه کند.
برای اجرای حمله، فقط داشتن کلید عمومی ضروری است و نیازی به دسترسی فیزیکی به دستگاه آسیب‌پذیر نیست. این آسیب‌پذیری وابسته به تولید‌کننده‌ی عدد تصادفی معیوب و ضعیف نبوده و همه‌ی کلید‌های RSA تولید ‌شده تراشه‌ی آسیب‌پذیر در معرض خطر قرار دارند.
سوء‌استفاده از این آسیب‌پذیری به مهاجم این امکان را می‌دهد که داده‌های حساس قربانی را رمزگشایی کند، کد مخرب به نرم‌افزار امضاء ‌شده‌ی دیجیتالی تزریق کند و حفاظت‌هایی که مانع دسترسی یا سوءاستفاده از کامپیوتر هدف می‌شوند را دور بزند.
حمله‌ی ROCA میلیاردها دستگاه را در معرض خطر قرار می‌دهد
حمله‌ی ROCA بر روی تراشه‌های تولید‌شده از اوایل سال 2012 توسط اینفینئون و برای تمامی طول‌های کلیدی از جمله 1024 و 2048 بیت که معمولاً در کارت‌های شناسایی ملی، مادربردهای PC برای ذخیره‌ی امن رمزهای عبور، در توکن‌های احراز اصالت، در طول مرور امن وب و برای حفاظت از پیام مانند PGP استفاده شده است، تاثیر می‌گذارد.
این آسیب‌پذیری امنیت کامپیوتر‌های دولتی و سازمانی محافظت‌شده با استفاده از تراشه‌ها و کتابخانه‌ی رمزنگاری اینفینئون را نیز تضعیف می‌کند.
اکثر دستگاه‌های ویندوزی و ChromeBook گوگل که توسط HP، Lenovo و Fujitso توسعه‌یافته‌اند، تحت تاثیر حمله‌ی ROCA قرار دارند.
تعداد کل کلید‌های آسیب‌پذیر تایید‌شده تاکنون حدود 760000 است اما احتمالاً این تعداد دو تا سه برابر این مقدار است.
این آسیب‌پذیری در فوریه‌ی سال جاری به شرکت تکنولوژی‌های اینفینئون گزارش داده شد و محققان یافته‌های کامل خود را در تاریخ 2 نوامبر در کنفرانس ACM در بخش امنیت ارتباطات و کامپیوتر ارائه دادند. بنابراین شرکت سازنده زمان کافی برای تغییر کلید‌های رمزنگاری آسیب‌پذیر قبل از اینکه جزئیات نحوه‌ی کار آسیب‌پذیری و نحوه‌ی بهره‌برداری از آن منتشر شود، داشتند.
اکثر فروشندگان از جمله اینفینئون، مایکروسافت، گوگل، HP، لنوو و فوجیتسو به‌روزرسانی‌های نرم‌افزاری‌ای را برای سخت‌افزار‌ها و نرم‌افزار‌های مرتبط و همچنین دستورالعمل‌هایی را برای کاهش آسیب‌پذیری منتشر کرده‌اند. بنابراین به کاربران اکیداً توصیه می‌شود که دستگاه‌هایشان را هرچه زودتر وصله کنند.

چکیده
محققان امنیتی چندین آسیب‌پذیری مدیریت کلید را در هسته‌ی پروتکل WPA2 کشف کردند که به مهاجمان امکان هک شبکه‌ی Wi-Fi و دزدیدن اتصالات اینترنت را می‌دهد. این نقاط ضعف مربوط به یک پیاده‌سازی و یا یک محصول نیستند و در خود استاندارد وجود دارند. از این‌رو تمامی پیاده‌سازی‌های WPA2 تحت‌تأثیر این کشف قرار می‌گیرند. تاثیرات استفاده از این آسیب‌پذیری‌ها شامل رمزگشایی، بازبخش بسته، ربودن اتصال TCP و تزریق محتوای HTTP می‌باشد. برای رفع این آسیب‌پذیری‌ها باید منتظر انتشار به‌روزرسانی برای دستگاه‌ها بود.

شرح خبر
آیا فکر می‌کنید که شبکه‌ی بی‌سیم شما به‌خاطر این‌که از رمزنگاری WPA2 استفاده می‌کند، امن است؟ اگر پاسخ شما مثبت است، درباره‌ی این موضوع کمی بیشتر فکر کنید.
محققان امنیتی چندین آسیب‌پذیری مدیریت کلید را در هسته‌ی پروتکل WPA2 کشف کردند که به مهاجمان امکان هک شبکه‌ی WiFi و دزدیدن اتصالات اینترنت را می‌دهد. WPA2 یک پروتکل احراز اصالت 13 ساله است که به‌ طور گسترده برای امنیت اتصالات WiFi استفاده می‌شود، اما با کشف اخیر، این استاندارد به خطر افتاده است و تقریباً همه‌ی دستگاه‌های Wi-Fi تحت تاثیر قرار گرفته‌اند.
حمله‌ی KRACK یا Key Reinstallation Attack که توسط تیمی از محققان شرح داده شده است، علیه همه‌ی شبکه‌های Wi-Fi محافظت شده به‌کار می‌رود و می‌تواند برای سرقت اطلاعات حساس مانند شماره‌ی کارت اعتباری، رمز‌های عبور، پیام‌های چت، ایمیل‌ها و عکس‌ها به‌کار رود.
این نقاط ضعف در خود استاندارد وجود دارند و مختص یک پیاده‌سازی و یا یک محصول نیستند. به‌گفته‌ی محققان، حملات تازه‌کشف‌شده علیه موارد زیر کار می‌کنند:
   • WPA1 و WPA2
   • شبکه‌های شخصی و سازمانی
   • رمز‌های WPA-TKIP، AES-CCMP، و GCMP
به‌طور خلاصه اگر دستگاه شما از Wi-Fi پشتیبانی می‌کند، به‌احتمال زیاد تحت تاثیر قرار می‌گیرد. محققان در طول تحقیقات اولیه‌ی خود متوجه شدند که اندروید، لینوکس، اپل، ویندوز، OpenBSD، MediaTek، Linksys و غیره همگی نسبت به حملات KRACK آسیب‌پذیر هستند.
لازم به‌ذکر است که حمله‌ی KRACK به مهاجمان در جهت بازیابی رمز عبور WiFi مورد نظر کمک نمی‌کند بلکه به آن‌ها این امکان را می‌دهد که داده‌های کاربران وای‌فای را بدون کرک و دانستن رمز عبور واقعی رمزگشایی کنند. بنابراین صرفاً تغییر گذرواژه‌ی شبکه‌ی WiFi از حمله‌ی KRACK جلوگیری نمی‌کند.
براساس گفته‌ی محققان، حمله‌ی KRACK از روش چهارگانه‌ی پروتکل WPA2 که برای ایجاد یک کلید رمزگذاری ترافیک استفاده می‌شود، بهره‌برداری می‌کند. برای اجرای حمله‌ی KRACK موفقیت‌آمیز، مهاجم باید قربانی را برای بازنصب کلید درحال استفاده فریب دهد. این کار با دستکاری و بازپخش پیام‌های رمزنگاری قابل انجام است.
هنگامی که قربانی کلید را دوباره نصب می‌کند، پارامترهای مربوطه مانند تعداد بسته‌های ارسالی افزایشی (به‌عنوان مثال nonce) و تعداد بسته‌های دریافتی، به مقدار اولیه‌شان بازنشان می‌شوند. اساساً برای تضمین امنیت، باید یک کلید فقط یک بار نصب و استفاده شود ولی متاسفانه پروتکل WPA2 این امر ‌را تضمین نمی‌کند و با دستکاری روش‌های رمزنگاری می‌توان در عمل از این ضعف سوءاستفاده کرد.
تیم تحقیقاتی، موفق به اجرای حمله‌ی KRACK بر روی یک گوشی هوشمند اندروید شدند که نشان می‌دهد مهاجم چگونه می‌تواند همه‌ی داده‌های قربانی که بر روی یک وای‌فای محافظت‌شده در حال انتقال هستند را رمزگشایی کند. محققان می‌گویند که حمله‌ی آن‌ها می‌تواند به‌طور انحصاری علیه لینوکس و اندروید6 یا بالاتر استفاده شود، چرا که اندروید و لینوکس را می‌توان برای باز نصب کلید رمزنگاری فریب داد.
با این حال در حال حاضر جای نگرانی نیست، چراکه برای بهره‌برداری موفق از حمله‌ی KRACK نیاز است که مهاجم به صورت فیزیکی در نزدیکی شبکه‌ی وای‌فای مورد نظر قرار گیرد.
آسیب‌پذیری‌های مدیریت کلید در پروتکل WPA2 در ادامه به‌طور خلاصه آورده شده‌اند:
   • CVE-2017-13077: نصب مجدد کلید رمزنگاری دوگانه (PTK-TK) در رویکرد چهارگانه
   • CVE-2017-13078: نصب مجدد کلید گروهی (GTK) در رویکرد چهارگانه
   • CVE-2017-13079: نصب مجدد کلید یکپارچگی گروه (IGTK) در رویکرد چهارگانه
   • CVE-2017-13080: نصب مجدد کلید گروهی (GTK) در رویکرد کلید گروه
   • CVE-2017-13081: نصب مجدد کلید یکپارچگی گروه (IGTK) در رویکرد کلید گروه
   • CVE-2017-13082: پذیرش یک درخواست پیوستگی انتقال BSS (BT) سریع و بازنصب کلید رمزنگاری دوگانه (PTK-TK) در طول پردازش آن.
   • CVE-2017-13084: نصب مجدد کلید STK در کلید دست‌دهی PeerKey
   • CVE-2017-13086: نصب مجدد کلید TDLS PeerKey (TPK) در دست‌دهی TDLS
   • CVE-2017-13087: نصب مجدد کلید گروهی (GTK) در حین پردازش چارچوب پاسخ حالت Sleep مدیریت شبکه‌ی بی‌سیم (VNM)
   • CVE-2017-13088: نصب مجدد کلید یکپارچه‌ی گروهی (IGTK) در حین پردازش چارچوب پاسخ حالت Sleep مدیریت شبکه‌ی بی‌سیم (VNM)

تاثیرات استفاده از این آسیب‌پذیری‌ها رمزگشایی، بازبخش بسته، ربودن اتصال TCP و تزریق محتوای HTTP می‌باشد. برای رفع این آسیب‌پذیری‌ها باید منتظر به‌روزرسانی‌هایی برای دستگاه‌های خود بود.
به‌گفته‌ی محققان، ارتباطات HTTPS امن هستند (اما نه صد درصد) و قابل رمزگشایی با استفاده از حملات KRACK نمی‌باشند. بنابراین توصیه می‌شود که در هنگام استفاده از شبکه وای‌فای، از یک سرویس VPN امن برای رمزگذاری ترافیک اینترنت استفاده شود.
به‌روزرسانی‌هایی برای hostapd (host access point daemon) و WPA Supplicant در دسترس هستند. در این لینک لیستی از شرکت‌هایی آورده شده است که تجهیزات خود را به‌روزرسانی کرده‌اند. اما بسیاری از شرکت‌ها هنوز به‌روز‌رسانی‌ منتشر نکرده‌اند. در این لینک نیز می‌توان لیستی از وضعیت به‌روزرسانی‌ها که مرجع خوبی برای بررسی تجهیزات است مشاهده کرد.

بررسی های مرکز ماهر نشان می دهد که باج افزاری موسوم به TYRANT با الهام از یک باج افزار متن باز در فضای سایبری منتشر شده است که از صفحه باج خواهی به زبان فارسی به شکل زیر استفاده می کند و طبیعتا برای هدف قرار دادن کاربران فارسی زبان طراحی شده است. این باج افزار در محیط سیستم عامل‌های ویندوزی عمل می کند .تا این لحظه تقریبا فقط نیمی از آنتی ویروس‌های معتبر، قادر به شناسایی این بدافزار هستند.
 

این باج افزار با قفل کردن دسترسی به سامانه های قربانی و رمزنمودن فایل های سیستم ، اقدام به مطالبه 15 دلار باج به شکل ارز الکترونیکی نموده و از بستر غیر قابل پیگیری ‍‍‍تلگرام(@Ttypern) و ایمیل (rastakhiz@protonmail.com) برای برقراری ارتباط با قربانی و بررسی پرداخت باج، استفاده می‌نماید.
در گزارش های واصله، روش انتشار این باج افزار استفاده از پوشش فیلترشکن سایفون بوده و از طریق شبکه های اجتماعی با فریفتن کاربران، آنها را تشویق به دریافت و اجرای فایلی اجرایی با ظاهر سایفون می کند که در حقیقت حاوی بد افزار می باشد. البته با توجه به ماهیت حمله، استفاده از دیگر روش های مرسوم برای توزیع این بدافزار، از جمله پیوست ایمیل، انتشار از طریق وب سایت آلوده یا RDP حفاظت نشده نیز محتمل است.روش انتقال باج که این باج افزار از آن استفاده می کند، Web money می‌باشد و سازنده باج افزار، مدت 24 ساعت فرصت برای پرداخت باج، در نظر گرفته است. همچنین به منظور راهنمایی قربانی، آدرس تعدادی از وب سایت های فارسی ارایه کننده این نوع از ارز الکترونیکی توسط باج افزار معرفی می شوند.
تحلیل‌های اولیه نشان می‌دهد که احتمالا این نسخه اول یا آزمایشی از یک حمله بزرگتر باشد چرا که با وجود مشاهده شدن کدهای مربوط به رمزگذاری فایل ها، گاهی باج افزار موفق به رمزگذاری فایل های قربانی نمی شود و از آن مهمتر اینکه با وجود ایجاد تغییرات بسیار در رجیستری سیستم قربانی، موفق به حفظ قابلیت اجرا در زمان پس از ریستارت کردن سیستم نمی گردد. با این وجود به نظر نمی رسد که تا کنون از محل این باج افزار خسارت قابل توجه ای ایجاد شده باشد.

راهکارهای پیشگیری

1. از دریافت فایلهای اجرایی در شبکه های اجتماعی و اجرای فایلهای ناشناخته و مشکوک پرهیز شود.
2. از دانلود و اجرای فایل‌های پیوست ایمیل‌های ناشناس و هرزنامه‌ها خودداری شود.
3. دقت ویژه در به روزرسانی دایم سیستم عامل و آنتی ویروس
4. دقت ویژه در پرهیز از استفاده از دسترسی راه دور و در صورت عدم امکان حذف دسترسی راه دور و رعایت دقیق تمهیدات امنیتی
5. عدم استفاده از مجوز دسترسیAdministrator بر روی سیستم‌های کاربران سازمان

بررسی های انجام شده در مرکز ماهر حاکی از آن است که همانطور که پیش بینی می شد اولین باج افزار موثر تولید شده برای تلفن های هوشمند مبتنی بر سیستم عامل اندروید، پا به عرصه حملات باج افزاری گذاشته است این باج افزار که محققین نام Double Locker بر آن گذاشته اند در یکی از آزمایشگاه های مرکز ماهر مورد ارزیابی و تحلیل قرار گرفته است.

نحوه آلوده‌سازی
این باج افزار با ترفند سواستفاده از نام و تصویرنرم افزار Adobe Flash Player کاربران راتشویق به نصب می کند در زمان نصب این بدافزار در ابتدا مجوزهایی برای قرار گرفتن صفحه برنامه بر روی سایر برنامه ها و قابلیت تغییر و حذف اطلاعات موجود در کارت حافظه از کاربر درخواست می شود ودر صفحه ای گذرا نیز دسترسی کامل به تمام منابع و امکانات از قبیل حذف تمام اطلاعات موجود در دستگاه ، تغییر رمز ورود دستگاه و تعریف مجدد رمز عبور از سوی باج افزاز و غیره به کاربر نمایش داده می شود پس از تایید کاربر و نصب موفقیت امیز باج افزار در دستگاه قربانی فایل های کاربر با روش AES-256 رمز گذاری می شوند و پسوند انها به cryeye تغییر می یابد .همچنین یک پیغام باج خواهی بروی صفحه دستگاه اندرویدی ظاهر شده و الگو و رمز ورود به دستگاه تغییر می یابد. بدین ترتیب باید این باج افزار را ترکیبی از دو خانواده معروف باج افزارها یعنی باج افزارهای قفل کننده سیستم عامل و باج افزارهای رمزگذاری فایل دانست. باج مطالبه شده 0.013 بیت کوین می باشد و تنها گزینه ای که به جای پرداخت باج در حال حاضر برای رهایی از دست این باج افزار موجود است، reset factory دستگاه و گذشتن از اطلاعات موجود در ان می باشد.

راهکارهای پیشگیری

1. نصب انتی ویروس های معتبر(تا لحظه تنظیم این گزارش از میان انتی ویروس های معتبر موجود برای دستگا های مبتنی بر اندروید اغلب انها قادر به تشخیص این باج افزار می باشند)
2. عدم دانلود و نصب نرم افزار جز از طریق منابع شناخته شده و مطمئن
3. تهیه مستمر نسخه پشتیبان از اطلاعات ارزشمند و حساس
4. عدم نگهداری اطلاعات حساس بروی دستگاه های اندرویدی
5. دقت در ارائه مجوز های دسترسی در زمان نصب نرم افزارها و پرهیز از ارائه مجوز های نامعقول حتی در هنگام نصب برنامه های اجرایی دانلود شده از منابع قابل اعتماد مانند کافه بازار، google play و ...(به عنوان مثال دلیلی وجود ندارد که نرم افزاری که تنها کاربرد آن ویرایش عکس می باشد نجوز دسترسی به فهرست مخاطبان یا متن پیامک ها را داشته باشد)

محققان سیسکو یک کمپین بدافزاری را شناسایی کردند که از باینری VMware قانونی برای انتشار تروجان بانکی استفاده می‌کند.عاملین این کمپین برای اینکه ناشناس بمانند، از روش‌های متعددی برای آلوده‌سازی دستگاه‌های قربانیان استفاده و چندین روش ضد تجزیه و تحلیل را نیز پیاده‌سازی کرده‌اند.
این بدافزار در محیط Delphi که به تازگی برای تروجان‌های بانکی استفاده می‌شود، نوشته شده است.
این کمپین به طور عمده کاربران برزیلی را هدف قرار می‌دهد. مهاجمان از هرزنامه‌های (spam) مخربی استفاده می‌کنند که حاوی پیام‌هایی به زبان پرتغالی است و سعی می‌کند قربانی را متقاعد سازد که یک پیوست HTML مخرب را که به صورت صورتحساب Boleto نمایش داده می‌شود، باز کند. دریافت پست الکترونیکی به زبان مادری باعث می‌شود تا مهاجمان با احتمال بیشتری به هدف خود برسند.
فایل HTML، شامل یک آدرس اینترنتی است که ابتدا به آدرس goo.gl و سپس به یک آرشیو RAR حاوی یک فایل JAR به نام BOLETO_09848378974093798043.jar هدایت می‌شود.
اگر کاربر بر روی فایل JAR دوبارکلیک کند، جاوا کد مخربی را اجرا و شروع به نصب تروجان بانکی خواهد کرد. کد جاوا ابتدا محیط کاری بدافزار را راه‌اندازی می‌کند، سپس فایل‌های اضافی را از یک کارگزار ازراه‌دور دانلود می‌کند.
هنگامی که باینری‌ها توسط کد جاوا دانلود شدند، نام آن‌ها به باینری قانونی VMware تغییر داده می‌شود و این باینری قانونی را VMware اجرا می‌کند. بدین ترتیب برنامه‌های امنیتی فکر می‌کنند که VMware کتابخانه‌های قابل اعتمادی را استفاده کرده است.
یکی از این کتابخانه‌ها، فایل مخربی به نام vmwarebase.dll است که برای تزریق و اجرای کد در Explore.exe و notpad.exe استفاده می‌شود. ماژول اصلی این تروجان بانکی برای پایان‌دادن به فرایندهای ابزار تجزیه و تحلیل و ایجاد کلید رجیستری خودکار، طراحی شده است.
این ماژول همچنین می‌تواند عنوان پنجره‌ی پیش‌زمینه‌ی کاربر را به دست آورد؛ بنابراین می‌تواند هر یک از پنجره‌های مربوط به مؤسسه‌ی مالی هدف واقع در برزیل را شناسایی کند.
باینری دیگری که این ماژول بارگذاری می‌کند، با استفاده از Themida بسته‌بندی شده است. این امر تجزیه و تحلیل باینری را بسیار دشوار می‌سازد. همچنین مشاهده شده است که هر بار که عملی بر روی سیستم آلوده انجام می‌شود، این بدافزار رشته‌های خاصی را به کارگزار کنترل و فرمان ، ارسال می‌کند.
سود مالی انگیزه‌ی بزرگی برای مهاجمان است و به همین دلیل، بدافزارها در حال تکامل هستند. استفاده از بسترهای بسته‌بندی تجاری مانند Themida، تجزیه و تحلیل را برای تحلیل‌گران دشوار می‌سازد و نشان می‌دهد که برخی از مهاجمان مایل هستند این بسته‌بندهای تجاری را به‌دست آورند تا مانع از تحلیل شوند.

MongoDB پایگاه‌داده‌ متن‌باز و محبوبی است که معمولاً برای برنامه‌های با داده‌های بزرگ در اینترنت استفاده می‌شود.
نصب پیش‌فرض نسخه‌های قدیمی‌تر MongoDB، الزامی برای اجرای کنترل‌های امنیتی پایه‌ای مانند ایجاد گذرواژه برای حساب مدیریتی، ندارد. حفاظت در لایه‌های مختلف، نبود کنترل‌های امنیتی را تا حدی جبران می‌کنند.
متأسفانه بسیاری از ارایه‌دهندگان میزبان وب در ابر که اجازه‌ی نصب آسان MongoDB را می‌دهند، آن را مستقیماً از طریق اینترنت در دسترس قرار می‌دهند، بدون اینکه براه ساده‌ای را برای راه‌‌اندازی کنترل‌های امنیتی توسط استفاده کنندگان از سرویس‌های خود در اختیار قرار دهند. نبود کنترل‌های امنیتی در لایه‌های مختلف و عدم استفاده از امنیت در پیکربندی پایه‌ای، خطرات جدی را در پی خواهد داشت.
آسیب‌پذیرترین پایگاه‌داده‌های MongoDB در بستر AWS یافت می‌شوند، زیرا جذاب‌ترین مکان برای سازمان‌هایی است که می‌خواهند کارهای متفاوتی انجام دهند. حدود 78 درصد از این میزبان‌ها، نسخه‌های آسیب‌پذیر شناخته‌شده‌ای را اجرا می‌کردند.
در ماه دسامبر سال 2016، به پایگاه‌‌های داده‌ی MongoDB آسیب‌پذیر، حمله‌ انجام شد. در این حمله، مهاجم محتویات پایگاه‌داده‌ها را بارگیری می‌کند و پیامی را که برای بازگرداندن داده‌‌ها درخواست باج می‌کند را به جای آن‌ها قرار می‌دهد. تا ماه ژانویه، بسیاری از گروه‌های هک وارد عمل شدند و بیش از 20000 پایگاه‌داده‌ی نصب‌شده‌ی MongoDB آسیب‌پذیر، در معرض خطر حمله قرار گرفتند.
از آنجایی‌که گروه‌های زیادی با هم در رقابت بودند، پایگاه‌های داده چندین بار مورد حمله قرار گرفتند و پیام‌های درخواست باج یک گروه جایگزین گروه دیگر می‌شد. این امر باعث می‌شد تا قربانیان ندانند چه کسی داده‌های آن‌ها را به‌سرقت برده است و آن‌ها باید باج را به چه کسی پرداخت کنند.
پس از این طوفان حمله در ماه‌های اول سال 2016، تعداد حملات MongoDB در طول تابستان کاهش یافت. این حملات مجددا در ماه سپتامبر با سرعت بیشتری افزایش یافتند. اولین موج حملات، یک ماه طول کشید تا به 45000 پایگاه‌داده حمله کند، اما گروه Cru3lty تنها طی هفته‌ی گذشته، 22000 حمله را مدیریت کرد.
مهاجمان، سیستم‌های آسیب‌پذیر را از SHODAN پیدا می‌کنند. SHODAN که موتور جستجویی برای دستگاه های متصل به اینترنت است، مکان راحتی برای پیداکردن دستگاه‌های اینترنت اشیا است. یک مکان عالی برای شناسایی وب‌کم‌های آسیب‌پذیر، یخچال‌ها، سیستم‌های کنترل صنعتی، برنامه‌های تحت وب و پایگاه‌‌‌های داده است. اگر این دستگاه‌ها به اینترنت وصل شوند، می‌توان آن‌ها را در SHODAN پیدا کرد.
نمونه‌های جدید MongoDB، توسط موتور جستجوی SHOSAN نشان داده نشده‌اند، بنابراین به آن‌ها آسیبی نرسیده است.
با توجه به پوشش‌های رسانه‌ای و تعداد افرادی که در ابتدای سال، تحت‌تأثیر حمله به پایگاه‌های داده‌ی MongoDB قرار گرفتند، ممکن است این انتظار وجود داشته باشد که استفاده کنندگان، نصب و راه‌اندازی MongoDB خود را بررسی کرده باشند. اما این‌گونه نیست. به دلیل اینکه افرادی که MongoDB را نصب می‌کنند، معمولا تنظیمات پیش‌فرض نصب‌های خود را ایمن‌سازی نمی‌کنند، بنابراین تیم MongoDB در حال تغییر پیش‌فرض‌های تعریف شده در زمان نصب است. در صورتی که کاربران MongoDB را قبلا تصب کرده باشند، باید چک‌لیست امنیتی MongoDB را بررسی کنند تا از برقراری حفاظت، مطمئن شوند و تغییرات مورد نیاز را طبق آن اعمال کنند.

در اوایل ماه سپتامبر، کارشناسان امنیتی تلفن همراه درباره‌ی حمله‌ی جدیدی که از سوءاستفاده‌ی هم‌پوشانی (overlay) تازه کشف شده‌ی Android Toast بهره می‌گیرد، به کاربران اندروید هشدار دادند.
حمله‌ی هم‌پوشانی، حمله‌ای است که در آن برنامه‌ی مهاجم، پنجره‌ای را بر روی پنجره‌های دیگر و برنامه‌های در حال اجرا بر روی دستگاه، ایجاد می‌کند (هم‌پوشانی می‌کند). انجام این کار موجب می‌شود تا مهاجم، کاربر را متقاعد کند که بر روی پنجره کلیک کند؛ اما در واقع، کاربر بر روی پنجره‌ی مورد نظر مهاجم کلیک کرده است.
این پنجره‌ها برای نصب نرم‌افزارهای مخرب بر روی دستگاه اندروید، به‌منظور کنترل یا خراب‌کردن آن، سرقت اطلاعات، تقاضای باج یا انجام همه‌ی این موارد در یک حرکت، به‌کار گرفته می‌شوند.
حملات هم‌پوشانی همچنین می‌توانند با بازکردن پنجره‌هایی که بسته نمی‌شوند، برای ایجاد منع سرویس (DoS) بر روی دستگاه به‌کار گرفته شوند.
پیش از این، اعتقاد بر این بود که برنامه‌های مخرب که سعی در انجام حملات هم‌پوشانی دارند، باید به صراحت، درخواست مجوز «ایجاد در بالا» را از طرف کاربر درخواست کنند و برنامه‌ها باید از طریق Google Play نصب شوند. وجود این دو عامل موجب می‌شد تا حملات هم‌پوشانی به عنوان یک تهدید غیرجدی محسوب شوند؛ اما محققان معتقدند که این حملات ممکن است بدون این دو شرط نیز رخ دهند.
دستگاه‌های اندروید با یک ویژگی با نام “Toast” ساخته شده‌اند. Toast یک اعلان است که بر روی صفحه ظاهر می‌شود و معمولاً برای نمایش اعلان‌ها و پیام‌ها از طریق برنامه‌ها استفاده می‌شود. Toast به مجوزی مشابه با سایر انواع پنجره‌های اندروید نیاز ندارد و می‌تواند تمام صفحه را بپوشاند.
کریستوفر باد، محقق امنیتی Unit 42 توضیح می‌دهد که محققان این شرکت متوجه شده‌اند که اگر یک برنامه‌ی کاربردی از این آسیب‌پذیری استفاده کند، می‌تواند موجب بروز یک حمله‌ی هم‌پوشانی بر روی دستگاه شود. این بدین معنی است که نصب برنامه‌ی مخرب از وب‌سایت‌ها و فروشگاه‌های برنامه‌ی کاربردی به‌جز Google Play می‌توانند موجب حملات هم‌پوشانی شوند. مهم است که کاربران توجه داشته باشند که برنامه‌های وب‌سایت‌ها و فروشگاه برنامه‌ها غیر از Google Play، یک منبع مهم از نرم‌افزارهای مخرب اندروید را تشکیل می‌دهند.
کاربران اندروید باید بسیار مراقب باشند، چرا که حمله‌ی هم‌پوشانی Toast یک مسئله‌ی بسیار مهم است. هدف مهاجمان، ایجاد یک نمونه‌ی رابط کاربری است که برای کاربران اندروید نمایش داده می‌شود. در اغلب موارد، هکرها از ترفندهای مهندسی اجتماعی برای سرقت اعتبارات حساب قربانیان استفاده می‌کنند.
هم‌پوشانی Android Toast، تمامی نسخه‌های پیش از نسخه‌ی Android Oreo را مورد سوءاستفاده قرار می‌دهد. طبق گفته‌ی باد، Android Oreo از این آسیب‌پذیری در امان است؛ اما کاربران همه‌ی نسخه‌های قبل از نسخه‌ی اندروید 8.0 باید برای نصب آخرین به‌روزرسانی‌ها، با سازنده‌ی گوشی خود و یا شرکت‌های تلفن همراه تماس بگیرید. یکی از بهترین محافظت‌ها در برابر برنامه‌های مخرب این است که کاربران، برنامه‌های اندروید خود را فقط از Google Play دریافت کنند.