Click Me نام باج‌افزار جدید ایرانی است که تحت عنوان یک بازی رایگان روی سیستم نصب شده و به‌صورت پنهان فایل‌ها را رمز می‌کند و پس از آن برای دسترسی به فایل‌ها تقاضای باج می‌کند. البته این باج‌افزار در مراحل اولیه توسعه خود قرار دارد و هم اکنون خطر زیادی را ایجاد نخواهد کرد؛ اما ممکن است در آینده خطر‌های جدی‌تری را برای قربانیان ایجاد کند.
بازی ClickMe یک باج‌افزار ایرانی بوده که به تازگی شناخته شده است. این باج‌افزار در قالب یک بازی کامپیوتری سبک ارائه شده و هنگامی که کاربر مشغول بازی است، در پس زمینه به رمز کردن فایل‌های سیستم قربانی می‌پردازد.
صفحه بازی یک صفحه ساده با پس زمینه عکس است و کاربر باید روی دکمه click me کلیک کند. با هر بار کلیک روی این دکمه، پس زمینه صفحه تغییر کرده و درخواست کلیک تکرار می‌شود. پس از چند بار تکرار این عمل، صفحه درخواست هکر از فرد قربانی نشان داده می‌شود. این صفحه از کاربر تقاضای پرداخت پول می‌کند تا پسورد فایل‌های رمز شده سیستم قربانی را در اختیار وی قرار دهد. البته هنوز اطلاعات دقیقی در این صفحه وجود نداشته و مبلغ درخواستی و یا اطلاعاتی برای واریز پول وجود ندارد. اما ممکن است با پیشرفت این باج‌افزار این صفحه تکمیل شود
این باج‌افزار به فایل‌هایی که رمز می‌کند، پسوند “hacked” را اضافه می‌کند. الگوریتم رمز مورد استفاده این باج‌افزار AES با طول کلید 256 بیت است. این برنامه توانایی آسیب رساندن به فایل‌های متنی، چند‌رسانه‌ای و آفیس را دارد. فایل‌های دارای پسوند زیر در معرض آسیب از طرف این باج‌افزار هستند.

.3GP, .APK, .AVI, .BMP, .CDR, .CER, .CHM, CONF, .CSS, .CSV, .DAT, .DB, .DBF, .DJVU, .DBX, .DOCM, ,DOC, .EPUB, .DOCX .FB2, .FLV, .GIF, .GZ, .ISO .IBOOKS,.JPEG, .JPG, .MKV, .MOV, .MP3, .MP4, .MPG .MPEG, .PICT, .PDF, .PPS, .PKG, .PNG, .PPT .PPTX, .PPSX, .PSD, .RTF, .SCR, .SWF, .SAV, .TIFF, .TIF, .TBL, .TORRENT, .TXT, .VSD,.WMV, .XLS, .XLSX, .XPS, .XML, .JAVA, .C, .CPP, .CS, .JS, .PHP, .DACPAC, .RBW, .RB, .MRG, .DCX, .DXF, .DWG, .DRW, .CASB, .CCP.

بررسی بدافزار فوق نشان داده که این باج‌افزار در حال توسعه است و در حال حاضر تنها یک فایل به نام “ransom-flag.png” که در درایو "D:\" ایجاد می‌کند را رمز کرده و بقیه فایل‌ها را دست نخورده باقی می‌گذارد. به همین دلیل اکنون این باج‌افزار خطر جدی ایجاد نمی‌کند. اما این امکان وجود دارد که با توسعه آن، خطرات جدی را متوجه سیستم قربانی کند.
این گونه بدافزارها تقریباً یک استراتژی مشخص برای تکثیر خود دارند. آن‌ها برای نفوذ از روش‌های دانلود نرم‌افزار از سایت‌های غیر معتبر، آپدیت برنامه‌ها از منابع غیر رسمی، فایل‌های پیوست شده به ایمیل‌های آلوده و تروجان‌ها استفاده می‌کنند. پس لازم است برای جلوگیری از آلوده شدن به این گونه برنامه‌های مخرب، از منابع و سایت‌های غیر معتبر دانلود انجام نشود و از باز کردن ایمیل‌های مشکوک خودداری شود؛ همچنین استفاده از یک آنتی‌ویروس قوی و به روز احتمال آلوده شدن به این گونه برنامه‌های مخرب را کاهش می‌دهد.

روش‌های مقابله با این باج‌افزار
وجود فایل‌ها و DLL های زیر می‌تواند نشانه آلودگی سیستم باشد:

• Ransom_CLICKMEG.A
• TR/Agent.jjjkr
• Trojan.GenericKD.3611661
• Trojan.GenericKD.3611661 (B)
• Trojan.MSIL.TrojanClicker
• W32.Troj.Ransom.Filecoder!c

برای پاک کردن این باج‌افزار از روی سیستم، دو راه حل ارائه شده که در ادامه تشریح شده است.

الف) پاک کردن باج‌افزار در محیط Safe Mode
در این روش باید وارد حالت Safe Mode With Networking شده و پس از ورود به حساب کاربری که به باج‌افزار Click Me آلوده شده است، برنامه پاک‌سازی تهیه شده برای این بدافزار را اجرا کرده و اجازه داد تا کل سیستم وارسی شود (برای دریافت ابزار پاک‌سازی، اینجا کلیک شود).

ب) پاک کردن باج‌افزار از طریق بازگردانی سیستم (System Restore)
اگر امکان قرار دادن کامپیوتر در حالت Safe Mode With Networking وجود نداشت، می‌توان این کار را با System Restore انجام داد. برای این کار بایستی پس از راه‌اندازی دوباره، سیستم را در حالت Safe Mode With Command Prompt راه‌اندازی نمود. پس از آماده به کار شدن سیستم در این حالت، بایستی در خط فرمان (Command Prompt) دستور "cd restore" را وارد کرده و پس از آن دستور "rstrui.exe" را وارد نمود. با این دستور، حالت بازگردانی سیستم فعال شده و می‌توان سیستم را به حالت قبل از آلوده شدن سیستم بازگردانید. پس از بازگشت سیستم به حالت قبلی، بهتر است نرم‌افزار ضد بد‌افزار معتبری را دانلود و اجرا کرده تا همه فایل‌های مربوط به باج‌افزار ClickMe را پاک کند.

آسیب‌پذیری که به مدت حداقل 9 سال روی همه نسخه‌های لینوکس وجود داشته، این روز‌ها به داغ‌ترین بحث در حوزه امنیت این سیستم‌عامل محبوب تبدیل شده است. این آسیب‌پذیری که تحت شناسه جهانی CVE-2016-5195 شناخته می‌شود، با نام Dirty COW مشهور شده است. این آسیب‌پذیری به کاربران احراز هویت نشده این امکان را می‌دهد تا سطح دسترسی خود را به بیشترین مقدار ارتقاء داده و اعمال مورد نظر خود را انجام دهند. از دیدگاه کارشناسان، این آسیب‌پذیری جدی‌ترین مشکل امنیتی سیستم‌عامل لینوکس در سال‌های اخیر بوده است.
یک آسیب‌پذیری حیاتی در سیستم‌عامل لینوکس به تازگی کشف شده است که قدمتی نزدیک به 9 سال دارد. این آسیب‌پذیری که از آن به اسم گاو کثیف (Dirty COW) نیز یاد می‌شود، تحت شناسه بین‌المللی CVE-2016-5195 ثبت شده است. این آسیب‌پذیری تنها یک آسیب‌پذیری ارتقاء سطح دسترسی است؛ اما کارشناسان از آن به عنوان مهم‌ترین آسیب‌پذیری اخیر این سیستم‌عامل محبوب یاد می‌کنند.
این آسیب‌پذیری از سال 2007 روی هسته لینوکس قرار داشته است (نسخه 2.6.22). این آسیب‌پذیری به دلایل مختلفی حساسیت‌های زیادی را برانگیخته است؛ اول آن‌که برای این آسیب‌پذیری، کد بهره‌بردار به‌صورت عمومی منتشر شده است و با کمک آن می‌توان به سادگی از آسیب‌پذیری سوء‌استفاده نمود. دلیل دیگر اهمیت این آسیب‌پذیری آن است که این کد بهره‌بردار در قسمتی از هسته لینوکس قرار دارد که در همه توزیع‌های لینوکس استفاده شده است؛ در واقع این آسیب‌پذیری برای مدت طولانی روی همه سیستم‌های بر پایه سیستم‌عامل لینوکس (که شامل تلفن‌های همراهی است که از سیستم‌عامل آندروید استفاده می‌کنند) وجود داشته است. دلیل دیگر اهمیت این آسیب‌پذیری آن است که کارشناسان دریافته‌‌اند که در بعضی از کد‌هایی که برای حمله به سیستم‌ها استفاده می‌شود، از این آسیب‌پذیری استفاده سده است.
آسیب‌پذیری گاو کثیف به یک کاربر با دسترسی محلی اجازه می‌دهد که به بالاترین سطح دسترسی رسیده و کنترل کامل بر سیستم‌عامل داشته باشد. کد‌های بهره‌بردار می‌توانند با حمله به یک ارائه‌دهنده خدمات میزبانی وب که دسترسی شِل ارائه می‌کند، به همه استفاده‌کنندگان از آن سرویس و یا حتی ارائه‌دهنده سرویس آسیب بزند.
این آسیب‌پذیری می‌تواند با دیگر حمله‌ها ترکیب شده و آسیب‌های سنگین‌تری به قربانیان وارد کند. برای مثال، معمولاً آسیب‌پذیری تزریق کد روی پایگاه داده به مهاجم این اجازه را می‌دهد که کد مخربی را در سطح یک کاربر احراز هویت نشده اجرا کند. ترکیب این حمله با آسیب‌پذیری گاو کثیف به مهاجم این اجازه را می‌دهد که کد‌های مخرب را در بالاترین سطح دسترسی اجرا کرده و تخریب بیشتری را انجام دهد.
Phil Oester، کارشناس امنیتی است که این آسیب‌پذیری را با ضبط و بررسی بسته‌های http در ‌‌چند‌سال گذشته روی سرور خود تشخیص داده است. او اعلام کرده که با استفاده از این آسیب‌پذیری یک کاربر با سطح دسترسی محلی می‌تواند در کمتر از 5 ثانیه به بالاترین سطح دسترسی برسد.
این آسیب‌پذیری نام خود را از مکانیزم Copy-On-Write یا COW گرفته است. با استفاده از این مکانیزم، کاربران از دسترسی محلی به سطح دسترسی روت می‌رسند.
برای برطرف شدن این آسیب‌پذیری، برای توزیع‌های مختلف لینوکس آپدیت ارائه شده و تلاش می‌شود که این آسیب‌پذیری به صورت کامل رفع شود. برای برطرف شدن این آسیب‌پذیری لازم است که حتماً سیستم‌عامل لینوکس آپدیت شود.

باتوجه به شیوع گسترده باج افزار معروف locky، اخیرا این باج افزار شناخته شده، بر روی فایلهای رمزنگاری شده، پسوندی با نام shit . را قرار می دهد. در نمونه های قبلی، نحوه ی install این باج افزار بر روی سیستم قربانی توسط یک DLL آلوده بود که توسط برنامه قانونی Rundll32.exe بر روی سیستم عامل ویندوز قربانی نصب می شد. در این نسخه جدید هم روال کار به همین منوال می باشد و پس از اجرای باج افزار، شروع به جستجوی فایلهای خاص بر روی سیستم قربانی کرده و آنها را رمزنگاری می کند و با پسوند .shit نمایان می سازد.
به گفته ی MalwareHunterTeam این باج افزار از طریق هرزنامه ها خود را گسترش می دهد. روش کار بدین صورت است که ایمیل هایی همراه با فایل های پیوستی با پسوند های اسکریپتی همچون HTA-JS و WFS برای قربانیان ارسال می گردد که پس از اجرای آن فایلها توسط قربانیان، یک فایل رمزنگاری شده DLL بر روی سیستم قربانی دانلود می شود و توسط همان اسکریپت ها رمزگشایی شده و توسط برنامه قانونی در خورد ویندوز به نام Rundll32.exe اجرا می گردد که در نهایت باج افزار را بر روی سیستم قربانی نصب می کند.
پس از نصب و اجرای باج افزار، باج افزار به صورت خودکار به دنبال حدود 380 نوع پسوند فایل های مختلف بر روی سیستم قربانی می گردد و آنها را با استفاده از الگوریتم AES رمزنگاری می کند و پسوند .shit را بر روی نام نهایی فایل رمزنگاری شده قرار می دهد.
در زیر لیست تمامی extension فایل هایی که این باج افزار به دنبال آنها می گردد را مشاهده می فرمایید:
در پایان عملیات رمزنگاری فایلها، یک پیغام همراه با روش پرداخت پول برای قربانی ظاهر می گردد. نام های جدید فایلهای پیغام که برای قربانی نمایش داده می شود به ترتیب زیر می باشد:

• _WHAT_is.html
• _[2_digit_number]_WHAT_is.html
• _WHAT_is.bmp

در هفته اخیر باج افزار wildfire با همکاری شرکت کسپرسکی و پلیس هلند خاموش شد. این باج افزار از رمزنگاری AES-256 غیرمتقارن برای رمزکردن فایل های قربانیان خود استفاده کرده و اکثر قربانیان آن در کشورهای بلژیک و هلند بوده اند.
بدافزار wildfire از طریق پیوست های آلوده ایمیل هایی گسترش یافته است که به نظر می رسد، از یک شرکت جهت تحویل کالا ارسال شده است. این فرم های پیوست حاوی اسکریپت های ماکرو آلوده است که از کاربر می خواهد تا با فعال کردن ماکروها محتوای آن را مشاهده کند. به محض فعال شدن، بدافزار دانلود شده و روی سیستم قربانی اجرا می شود.
همان طور که مشاهده می کنید، این بدافزار حتی برای تاخیر در پرداخت نیز پول اضافی درخواست می کند.
با کشف سرورهای C&C این بدافزار توسط پلیس هلند که شامل ۵۷۰۰ کلید رمزگشایی است، شرکت امنیتی کسپرسکی ابزار رمزگشایی برای این بدافزار ایجاد کرده است که می توانید آن را در وب سایت nomoreransom.org یا noransome.kaspersky.com پیدا کرده و استفاده نمایید.

بنابر ادعای محققین شرکت Sucuri، در دو ماه گذشته هزاران وب‌سایتِ مبتنی بر سیستم مدیریت محتوای WordPress و Jamoola تسخیر شده‌اند تا کاربران را به سمت باج‌افزار CryptXXX هدایت کنند.
ظاهراً این کمپین آلوده‌سازی از 20 خرداد آغاز شده است. تخمین زده می‌شود که حداقل دو هزار وب‌سایت با این هدف آلوده شده‌اند؛ اما احتمالاً آمار واقعی حدود پنج برابر این مقدار است چرا که تخمین ذکر شده بر اساس اطلاعات جمع‌آوری شده از طریق اسکنرِ SiteCheck بوده که اطلاعاتی محدود در اختیار دارد.
مشخصه‌ی اصلی این حمله آن است که از دامنه‌های realstatistics[.]info و realstatistics[.]pro استفاده می‌کند تا کاربران را به صفحه‌ی فرودِ[1] مربوط به کیتِ اکسپلویتِ Neutrino هدایت کند. Neutrino که اکنون پیشروترین تهدید در میان کیت‌های اکسپلویت به حساب می‌آید، تلاش می‌کند تا از آسیب‌پذیری‌های Flash یا PDF در سیستم‌های هدف استفاده کرده و باج‌افزار CryptXXX را نصب نماید.
چند روز پیش محققین Forcepoint اعلام کردند که دامنه‌های ذکرشده، به عنوان سیستم‌های هدایت ترافیک (TDS[2]) در حمله‌های توزیع Neutrino و RIG استفاده شده‌اند. محققین نهایتاً موفق به کشف رابطه‌ی دامنه‌ها با Blackhat‑TDS شدند. این نشان می‌دهد که آن‌ها تنها کاربران معمولی را به صفحه‌ی فرود هدایت می‌کردند، در حالی که برای رنج‌های IP مربوط به بلک‌لیست خود، صفحه‌ای پاک تحویل می‌دادند (این لیست عمدتاً مربوط به IP مربوط به فروشنده‌ها، موتورهای جستجو و سرویس‌های اسکنِ وب می‌شود).
با این حال، محققین Forcepoint مشخص نکرده‌اند که شدت این حمله و روش تسخیر وب‌سایت‌ها چگونه بوده است. Sucuri عنوان کرده که شصت درصد سایت‌های آلوده از نسخه‌های قدیمی Wordpress و Jamoola استفاده نموده و هم‌چنین حمله‌گران احتمالاً از مؤلفه‌های آسیب‌پذیری همچون پلاگین‌ها و اکستنشن‌ها استفاده کرده‌اند. محققین این شرکت معتقدند که استفاده از CMS از رده خارج‌شده، معمولاً نشان‌دهنده‌ی آن است که گردانندگان وب‌سایت احتمالاً سایر مؤلفه‌های امنیتی را نیز به‌روزرسانی نکرده‌اند.
با استفاده از هزاران وب‌سایت آلوده (که برخی سایت‌های مرتبط با امنیت همچون PCI Policy Portal را نیز شامل می‌شود)، حمله‌گران می‌توانند ده‌ها هزار کاربر را همزمان مورد حمله قرار دهند که نهایتاً موجب آلودگی بسیاری از آنها به باج‌افزار CryptXXX می‌شود. چند هفته پیش محققین SentinelOne افشاء کردند که گردانندگان CryptXXX در مدت زمان سه هفته‌ای، مبلغ پنجاه هزار دلار در تنها یک آدرسِ بیت‌کوین دست یافته‌اند.
واضح است که گردانندگان حمله همواره از کیت‌های اکسپلویت حاوی بیشترین امکانات‌ترین استفاده می‌کنند. ماه پیش بلافاصله پس از اینکه Angler (که سال‌ها بالاترین کیت اکسپلویت بود) از صحنه خارج شد، حمله‌کنندگان شروع به استفاده از Neutrino کردند.
CryptXXX اکنون به مهمترینِ باج‌افزارها تبدیل شده و در دو ماه گذشته چندین آپدیت برای آن ارائه شده است. آخرین آپدیت اعمال‌شده در CryptXXX عبارت است از:

• تغییر متن درخواست باج
• استفاده از یک سایت پرداخت جدید به نام Microsoft Decryptor

کارخانه‌ی چینیِ Lenovo بار دیگر به خاطر آسیب‌پذیری در BIOS لپ‌تاپ‌های خود زیر ذره‌بین قرار گرفته است. یک محقق امنیتی به نام Dmytro Oleksiuk با نام مستعار Cr4sh اخیراً به کدی دست یافته که آسیب‌پذیریِ دسترسی‌های روزِصفر در BIOSهای Lenovo را تشدید می‌کند.
باگ UEFI، کامپیوترهای Lenovo را در معرض اجرای کدهای اجراییِ دلخواه در حالت مدیریت سیستم یا SMM[1] قرار می‌دهد. این موضوع باعث می‌شود پروتکل‌های امنیتیِ ویندوز بی‌اثر شوند. این باگ از آسیب‌پذیری حفاظت نوشتن در حافظه flash استفاده می‌کند و لذا به کاربر اجازه می‌دهد قابلیت‌هایی مثل UEFI Secure Boot و Virtual Secure Mode و Credential Guard را در کامپیوترهای Lenovo مبتنی بر ویندوز غیرفعال کند. بایستی توجه داشت که این موارد تنها خطرات کشف شده هستند و امکان اضافه شدن به این لیست در روزهای آینده وجود دارد.
لپ‌تاپ‌های سری ThinkPad به دلیل باگ‌های موجود در مدل‌های قدیمی‌ترِ X220s، به عنوان لپ‌تاپ‌هایی بسیار آسیب‌پذیر شناخته می‌شوند. مشابه این آسیب‌پذیری در BIOS قبلاً نیز در سال 2010 در برخی لپ‌تاپ‌های HP یافت شده بود لذا به نظر می‌رسد Lenovo آن آپدیتِ آسیب‌پذیرِ میان‌افزار را تنها کپی-پیست کرده است. با این حال، بنا بر ادعای Cr4sh، شرکت اینتل وجود آسیب‌پذیری در میان‌افزار را در سال 2014 شناسایی کرده و برطرف نموده است. اما این موجب برانگیخته شدن سوال دیگری می‌شود که چگونه این آسیب‌پذیری دوباره در کامپیوترهای Lenovo بروز کرده است. برخی گمانه‌زنی‌ها حکایت از این دارد که این آسیب‌پذیری بدین منظور گنجانده شده تا FBI بتواند از این طریق به جاسوسی بپردازد.
Lenovo در پاسخ به این موضوع در وب‌لاگ خود عنوان کرده که به امنیت محصولات خود پایبند است و با همکاری اینتل و IBVهای خود در حال تصحیح این آسیب‌پذیری در کوتاه‌ترین زمان ممکن هستند. از مطلب وبلاگ اینطور به نظر می‌رسد که Lenovo قصد دارد قصور در این امر را متوجه اینتل (تولیدکننده‌ی اصلی کدهای چیپ) کند و در عین حال نویسنده‌ی اصلی کد را پیدا کرده و هدف پشت این خطای مرموز در BIOS در سری‌های ThinkPad را متوجه شود.

Cr4sh جزئیاتی را برای تشخیص آسیب‌پذیریِ سیستم در برابر این موضوع در Github ارائه کرده است.

TFTP (Trivial File Transfer Protocol) یک پروتکل ساده برای انتقال فایل­ در درون شبکه می­باشد که این امکان را در اختیار کلاینت قرار می­دهد تا فایل مورد نظرش را به یک سیستم راه دور ارسال و یا از آن دریافت کند. این پروتکل قدیمی بوده و در سال 1981 میلادی در قالب یک استاندارد ارائه شده است. در سال‌های بعد نسخه‌های تکمیلی به استاندارد افزوده شده است. از عمده‌ترین کاربردهای این پروتکل می‌توان به انتقال خودکار فایل‌های مربوط به تنظیمات یک دستگاه و یا فایل‌های مورد نیاز یک دستگاه برای بوت شدن در یک شبکه محلی اشاره کرد.
TFTP از پروتکل UDP و شماره پورت 69 برای انتقال فایل استفاده می­کند. این پروتکل از TCP و شماره پورت 8099 نیز گاهی به منظور انتقال اطلاعات مربوط به رابط کاربری استفاده می­کند. هدف طراحی پروتکل TFTP کوچک بودن و سادگی پیاده­سازی آن بوده و بنابراین فاقد بسیاری از ویژگی­هایی است که توسط دیگر پروتکل‌های انتقال فایل قدرتمند ارائه می­گردد. تنها کاری که TFTP انجام می­دهد، خواندن و یا نوشتن فایل­ها از و یا روی سیستم راه دور می­باشد و نمی­تواند فایل­ها و یا دایرکتوری­ها را حذف، تغییر نام و یا لیست کند. همچنین فاقد قابلیت احراز اصالت کاربران می­باشد که بزرگترین نقطه ضعف امنیتی آن محسوب می­شود. TFTP بهترین مصداق "امنیت از طریق گمنام می­باشد و اگر شخصی قصد سوء استفاده از این سرویس را داشته باشد، باید نام فایل مورد نظرش را حتماً بداند. اگرچه این مورد ساده به نظر می­رسد ولی با توجه به عدم امکان ارسال درخواست مبنی بر لیست کردن فایل­ها و یا دایرکتوری­ها در پروتکل TFTP، این گمنامی می­تواند زمان نتیجه گرفتن حمله را به تأخیر بیاندازد. با توجه به امنیت بسیار پایین این پروتکل، توصیه شده است که این پروتکل حداکثر در شبکه‌های محلی به‌کار گرفته شود.
یکی دیگر از تهدیدهای پر اهمیت پروتکل TFTP، امکان سوء استفاده از آن برای انجام حملات DDOS می‌باشد. عدم تعیین سایز پیش فرض برای برخی از فیلدهای پرسش و پاسخ پروتکل، Stateless بودن پروتکل و عدم استفاده از روش‌های احراز اصالت از مهمترین دلایل پیدایش این حمله است. برای اجرای حمله، فرد حمله‌کننده ابتدا اقدام به یافتن سرورهای TFTP ای می‌نماید که از طریق شبکه اینترنت قابل دسترسی هستند. پس از آن یک درخواست PRQ TFTP با حداقل سایز ممکن را ارسال نموده که پاسخ آن حداکثر بوده و به‌جای قرار دادن آدرس IP خود در فیلد آدرس IP فرستنده، آدرس IP فرد قربانی را قرار می‌دهد. درنتیجه پاسخ تولیدی برای فرد قربانی ارسال خواهد شد. به دلیل اینکه تعداد بایت موجود در پیامی که سرور در پاسخ باز می­گرداند نسبت به تعداد بایت موجود در پرسش ارسال شده از سوی کلاینت قابل توجه است، حمله­ کننده می­تواند به ضریب تقویت بالایی دست پیدا کند. بدین صورت با به‌کارگیری یک شبکه بات‌نت می‌توان حجم بسیار زیادی ترافیک به سوی فرد قربانی هدایت نمود. درنتیجه یک سرویس‌دهنده TFTP که پیکربندی صحیحی ندارد می‌تواند به‌طور ناخواسته در حمله DDoS مورد سوء‌استفاده قرار گیرد.
اگر تمام شرایط مورد نظر به درستی وجود داشته باشد، با استفاده از این حمله، ترافیک خروجی می­تواند به میزان 60 برابر ترافیک اولیه نیز برسد. بررسی­ها نشان می­دهد بسیاری از نرم­افزارهای TFTP به طور خودکار ترافیک خروجی در حدود 6 برابر ترافیک ورودی تولید می­کنند.
برای امن­سازی تجهیزات در برابر سوء استفاده از این آسیب‌پذیری، موارد زیر باید اعمال شوند:

• بایستی در صورت عدم نیاز به TFTP، این سرویس غیرفعال گردد.
• بایستی در صورت نیاز به TFTP، تنها در شبکه محلی قابل دسترسی باشد. در صورت نیاز به دسترسی به این سرویس از طریق شبکه اینترنت، بایستی ترافیک وارد شده از بیرون شبکه به این سرویس و همچنین ترافیک خروجی از آن از داخل شبکه به بیرون کنترل شوند. این کار با کنترل کردن ترافیک UDP/69 توسط دیواره آتش قابل انجام است.

به تازگي يک آسيب‌پذيري جدي در سيستم‌عامل ويندوز شناسايي شده است. اين آسيب‌پذيري همه نسخه‌هاي ويندوز از 95 تا ويندوز 10 را تحت تأثير قرار مي‌دهد. اين آسيب‌پذيري مي‌تواند پس از باز نمودن يک لينک، گشودن يک فايل Microsoft Office و يا حتي با اتصال درايو USB، شرايط اجراي حمله فرد مياني را براي مهاجم فراهم نمايد.
Yang Yu کاشف اين آسيب‌پذيري (مؤسس آزمايشگاه Tencent’s Xuanwu) که مبلغ 50000 دلار بابت شناسايي اين آسيب‌پذيري دريافت کرده است، در خصوص اين آسيب‌پذيري اظهار نموده که "اين آسيب‌پذيري به احتمال زياد در کل دوران عمر ويندوز داراي بيشترين تأثيرات امنيتي است".
جزييات دقيق اين آسيب‌پذيري هنوز منتشر نشده است ولي اين آسيب‌پذيري مي‌تواند به عنوان روشي براي NetBios-Spoofing در شبکه به منظور دورزدن تجهيزات NAT و ديواره آتش مورد سوء‌استفاده قرار گيرد. به عبارت ديگر اين رخنه مي‌تواند سيستم قرباني را در معرض سوءاستفاده مهاجميني خارج از شبکه محلي قرار داده و در اين شرايط ديواره آتش عملاً از دور خارج شده است (مگر آنکه پورت 137 UDP بين شبکه و اينترنت بسته شده باشد).
بر اساس گزارش Yang Yu ، اين آسيب‌پذيري ناشي از زنجيره‌اي از رخدادها در پروتکل‌هاي لايه‌هاي انتقال و کاربرد و نحوه استفاده سيستم عامل از اين پروتکل‌ها و نيز نحوه پياده‌سازي برخي از پروتکل‌ها در فايروال‌ها و سيستم‌هاي NAT مي‌باشد. البته مهاجم بايستي از نحوه سوء استفاده از اين زنجيره‌ اطلاع داشته باشد. در صورت وجود اين دانش، براي نوشتن کد سوء‌استفاده نزديک به 20 دقيقه زمان لازم مي‌باشد. کد سوء استفاده در حقيقت ايجاد ابزاري ساده به منظور بسته‌بندي و ارسال بسته‌هاي UDP است.
به نظر مي‌رسد کمپاني مايکروسافت با رفع آسيب‌پذيري در حلقه پاياني اين زنجيره در (Web Proxy Autodiscovery Protocol) WPAD، اين آسيب‌پذيري را کنترل کرده است.
WPAD راه‌کاري در سيستم‌عامل است که به منظور شناسايي خودکار فايل‌هاي تنظيمات مرورگر وب با استفاده از جستجوي آدرس‌هايي ويژه بر روي شبکه‌ محلي آن کامپيوتر مورد استفاده قرار مي‌گيرد. در اين شرايط، مهاجم در صورتي که بتواند يکي از اين آدرس‌ها را تصرف نمايد و يا آدرس جستجو شده را تغيير دهد، امکان دسترسي به فايل‌هاي تنظيمات را خواهد داشت. بنابراين مهاجم مي‌تواند مرورگر قرباني را در جهت ارسال ترافيک به يک مقصد مياني (در قالب حمله فرد مياني) هدايت نمايد. تا پيش از کشف آسيب‌پذيري BadTunnel، به منظور انجام چنين حمله‌اي، مهاجم مي‌بايست به شبکه قرباني دسترسي مي‌يافت و يا با تکيه بر آسيب‌پذيري domain name collisions در WPAD به دنبال چنين هدفي گام بر مي‌داشت که ترفند دشواري بود.
شرکت microsoft يک وصله به روزرساني (MS16-077) به منظور رفع اين آسيب‌پذيري منتشر کرده است. نسخه‌هايي از ويندوز که ديگر پشتيباني نمي‌شوند (مانند ويندوز XP) بايستي NetBios را در TCP/IP غيرفعال نمايند. به منظور رفع اين آسيب‌پذيري، پيشنهاد مي‌گردد کاربران ويندوز وصله به‌روزرساني را نصب و يا پورت 137 udp را مسدود نمايند. به منظور دانلود وصله مي‌توان به آدرس زير مراجعه کرد:

https://technet.microsoft.com/en-us/library/security/ms16-077.aspx

با توجه به نتایج بررسی آزمایشگاه امنیتی سوفوس، باج­ افزار جدیدی در سطح اینترنت منتشر شده است که علاوه بر ویژگی­ های معمول باج­ افزار، می­تواند همانند یک ویروس عمل کرده و خود را بدون دخالت کاربر در سطح شبکه منتشر کند.
تروجان­ ها، برنامه ­هایی هستند که در ظاهر مجاز و کاربردی بوده ولی در باطن کاملاً مخرب می‌­باشند. تروجان­ ها برای انتشار نیاز به تعامل با کاربر دارند و از طریق روش­ هایی مانند ایمیل و یا صفحات وب آلوده منتشر می­شوند و نمی­توانند مانند ویروس ها توسط خودشان منتشر شوند.
ویروس­ ها به گونه ­ای برنامه ­نویسی می­ شوند که بتوانند توسط خودشان از طریق روش ­هایی مانند کپی کردن در دیگر فایل­ها و یا دایرکتوری­های سیستم و یا تحت شبکه و یا کپی کردن در تجهیزات ذخیره­ سازی اطلاعات منتشر شوند.
به تازگی نوع جدیدی از باج ­افزارها منتشر شده­ است که خاصیت انتشار بدون واسطه خود را از ویروس­ ها به ارث برده است (بیشتر باج­افزارها برای هر سیستم قربانی یک کلید رمزنگاری منحصر به فرد تولید می­کنند. بنابراین اگر در یک سازمان چندین سیستم آلوده شدند، باید برای هرکدام از آن­ها کلیدهای جداگانه خریداری شود).
آزمایشگاه امنیتی سوفوس، گونه جدید باج­افزار منتشر شده را Troj/Agent-ARXC و Troj/Mdrop-HGD نامگذاری کرده است. البته با توجه به نتایج به‌دست آمده، این باج­افزار هنوز به گونه مؤثری قادر به انتشار خود نمی­باشد. این باج­ افزار در ابتدا با ارسال یک ایمیل حاوی صورتحساب برای فرد قربانی سعی در فریب وی دارد.
با باز کردن ایمیل و دانلود فایل مربوطه و اجرای فایل invoice-order.exe ، باج­ افزار شروع به رمزکردن فایل‌های مورد نظر خود می­کند و پس از آن پیغام زیر را نشان می­دهد.
با توجه بررسی روند فعالیت این باج ­افزار مشخص شده است که پس از این مرحله باج ­افزار خودش را در پوشه شبکه که به اشتراک گذاشته شده و همچنین در حافظه­ های جانبی متصل به سیستم کپی می­کند. باج­افزار این عمل را با کپی کردن فایل zcrypt.lnk به همراه autorun.inf در مقصد مورد نظر انجام می­دهد. بنابراین با اتصال حافظه جانبی آلوده به سیستم و یا مشاهده پوشه شبکه، باج ­افزار می­تواند در سیستم جدید نیز منتشر شود.
البته با توجه به اینکه Autorun به صورت پیش­فرض در سیستم ­های ویندوزی غیرفعال می باشد، خطر آلوده شدن مجدد یک سیستم دیگر از این طریق کم می­باشد.
همچنین این باج ­افزار خودش را در پوشه AppData\Roaming نیز کپی می­کند و درنتیجه به طور خودکار در سیستم ­هایی که در همان شبکه قرار دارند گسترش پیدا می­کنند.

با توجه به حملات چند روز اخیر به بعضی از وب سایت های عمومی که بیشترآنها از نسخه های بروز نشده و آسیب پذیر سامانه های مدیریت محتوا استفاده نموده اند، اعمال بعضی از رویه های اولیه و پایه ی امنیتی می توانست از حوادث رخ داده جلوگیری نماید. مرکز ماهر به عنوان یک نهاد تخصصی و مرجع در کشور، به دور از اطلاع رسانی های شتابزده، ضمن تماس با مراکز و سایت های موردحمله واقع شده و اعلام آمادگی برای ارائه مشورت های فنی، هماهنگی های لازم را در سطح ملی و حوزه بین المللی بخصوص مراکز CERT کشورهای عربی که محتمل است منابع آنها مورد سوء استفاده هکرها واقع شده باشد، بعمل آورده و کماکان در حال پیگیری موضوع در ابعاد مختلف است. از این رو با توجه به تحلیل ها و جمع بندی های صورت گرفته اعلام می دارد:

1. کلیه سازمان ها و شرکت های متصل به سامانه تعاملی امن مرکز ماهر جهت دریافت بسته اجرایی فوری برای امن سازی پایه که براساس تجربیات و تحلیل های حملات صورت گرفته، تهیه شده است، به سامانه تعاملی مراجعه نمایند.
2. در این زمینه کلیه مراکز و سازمان ها که علی رغم اطلاع رسانی های قبلی، هنوز به سامانه تعاملی متصل نشده اند، اعلان می گردد هرچه سریعتر نسبت به عضویت اقدام نمایند.
3. به زودی گزارشی از نحوه ی همکاری دستگاه ها با مرکز ماهر درزمینه استفاده از راهنمایی ها و هشدارهای ارائه شده و میزان تعامل آنها در هنگام حوادث و رخدادهای امنیتی، به نهادهای مرجع ارائه خواهد شد.