‫ اخبار

رمزگشای باج‌افزار Syrkتوسط پژوهشگران شرکت امنیتی Emsisoftارائه شد.

باج‌افزار Syrkبرای اولین بار در ماه آگوست 2019 میلادی مشاهده گردید. طبق اخبار منتشر شده، این باج‌افزار که ظاهراً در پوشش یک ابزار هک برای بازی ویدیویی Fortniteمنتشر می‌گردد، فایل‌های قربانی را با الگوریتم AES-256رمزگذاری نموده پسوند .Syrkرا به انتهای فایل‌های رمزگذاری شده اضافه می‌کند. باج‌افزار مورد اشاره متن پیغام باج‌خواهی خود را در قالب یک فایل متنی به نام Readme_now.txtو با مضمون زیر در سیستم قربانی قرار می‌دهد:

همچنین صفحه‌ای همانند تصویر زیر نیز بر روی دسکتاپ ظاهر می‌شود.

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .Syrkمی‌باشند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.

لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/syrk

در اوایل ماه آوریل سال 2019 میلادی، خبر انتشار باج‌افزاری قدرتمند به نام #Sodinokibi در فضای سایبری منتشر شد. محققان امنیتی بدلیل رفتار مشابه این باج‌افزار در شیوه رمزگذاری فایل‌ها و همچنین تشابه در کد باج‌افزار، آن را بسیار شبیه به باج‌افزار GandCrab می‌دانند. حتی عده‌ای تیم توسعه دهنده این باج‌افزار را با باج‌افزار GandCrab یکسان می‌دانند و معتقدند که این دو باج‌افزار از یک خانواده هستند. باج‌افزار Sodinokibi به اسامی دیگری از جمله Sodin و Revil نیز شناخته می‌شود. در ادامه تحلیل یکی از جدیدترین نسخه‌های این باج‌افزار را مشاهده می‌کنید.

دانلود پیوست

در اواخر ماه جولای 2019 میلادی، Lukas Stefanko پژوهشگر امنیتی شرکت ESET خبر از کشف باج‌افزار اندرویدی جدیدی داد که از طریق پیامک، لینکی حاوی فایل اصلی باج‌افزار را به تمام مخاطبین قربانی ارسال می‌نمود. این باج‌افزار بسیار خطرناک که توسط شرکت ESETبا کد رمز Android/Filecoder.C (FileCoder) نامگذاری گردیده است، قادر است اطلاعات کاربران دارای تلفن همراه با سیستم‌عامل اندروید 5.1 به بالا را رمزگذاری نماید.

دانلود پیوست

براساس بررسی های انجام شده در فضای بدافزارهای ایرانی، دسته ای از بدافزارها با صدها نمونه ی مختلف کشف شد که همگی آنها مربوط به توسعه دهنده ای به نام “RTR” است. بدافزارهای RTR با رفتارهای مخرب و عناوین متنوعی در حال انتشار و فعالیت هستند. برخی از این بدافزارها در فروشگاه های اندرویدی منتشر شده اند و برخی دیگر از طریق تبلیغات تلگرامی و دانلود خودکار توسط دیگر برنامه ها روی دستگاه قربانیان قرار گرفته اند. به طورکلی بدافزارهای RTR را می توان در5 شاخه مختلف دسته بندی کرد:
1 بدافزارهای مخفی شونده که از نام‌های مستهجن برای جذب مخاطب استفاده می‌کنند.
2 نسخه‌های جعلی و غیررسمی تلگرام که از آن‌ها برای فروش عضو، ارسال تبلیغات در گروه‌ها و ... استفاده می‌کنند.
3 برنامه‌های کاربردی که اغلب با استفاده از سرویس‌های ارسال هشدار، عملیات مخرب مختلفی روی دستگاه قربانی انجام می‌دهند.
4 بدافزارهای ارزش‌افزوده، که برای چندین شرکت مختلف ارزش‌افزوده، بدافزارهای واسطی را منتشر کرده و از این طریق به عضوگیری برای این سرویس‌ها پرداخته‌اند.
5 برنامه‌هایی همنام با برنامه‌های محبوب و معروف خارجی مانند برخی پیام‌رسان‌ها.
به دلیل گستردگی بدافزارهایRTR، سعی شده است هر دسته در گزارشی مجزا تحلیل و بررسی گردد.

برای مطالعه کامل کلیک نمایید

رصد فضای سایبری در حوزه #‫باج_افزار، از ظهور باج‌افزار Jemd خبر می دهد. فعالیت این باج‌‍‌افزار نخستین بار در تاریخ 16 دسامبر 2018 میلادی گزارش شده است. این باج‌افزار، از الگوریتم AES برای رمزگذاری فایل‌های سیستم قربانی استفاده می‌کند. نکته جالب در مورد باج‌افزار Jemd این است که هیچ تغییری در نام فایل‌ها ایجاد نکرده و پسوندی به آن‌ها اضافه نمی‌کند. همچنین تا زمانی که فایل باج‌افزار در سیستم قربانی فعال باشد، نمی‌توان هیچ عملی(تغییرنام،کپی و...) بر روی فایل‌های رمزگذاری شده انجام داد.

دانلود پیوست

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از ظهور فعالیت سایبری جدید مهاجمین فارسی زبان در شبکه‌های اجتماعی در زمینه توسعه و انتشار باج‌افزار خبر می‌دهد. طبق آخرین مشاهدات صورت گرفته، این فعالیت در قالب RaaS (باج‌افزار به عنوان یک سرویس) در گروه‌ها و کانال‌های تلگرامی در حال شکل‌گیری و رشد بوده است. با توجه اینکه امروزه کدمنبع اغلب باج‌افزارها در فضای سایبری (از جمله ‌وب تاریک) موجود بوده و قابل سفارشی‌سازی است، معمولاً مهاجمین با دانش متوسط از طریق کلاهبرداری و اخذ مبالغ هنگفت از کاربران ناآگاه و همچنین با تکیه بر روش‌های مهندسی اجتماعی، برای نیل به اهداف خرابکارانه خود از آن‌ها بهره می‌برند. یکی از فعالیت‌های اخیر این افراد در شبکه‌های اجتماعی فارسی‌زبان، تحت عنوان پروژه BlackRouter Dark Ransomware شناخته شده است. فعالیت این پروژه در زمان نگارش این گزارش متوقف گردیده است. لازم به توضیح است که در این گزارش، از ذکر مشخصات و اسامی افراد و گروه‌ها، خودداری گردیده است.

برای دریافت متن کامل کلیک نمایید

در چند ماه گذشته اطلاعات چندین #‫آسیب‌پذیری روزصفر در سیستم‌عامل ویندوز توسط تحلیلگری امنیتی با نام کاربری SandboxEscaper منتشر شده است. یکی از این آسیب‌پذیری‌ها که poc آن در github و exploitdb با نام Deletebug1 در اختیار عموم قرار گرفته از نوع ارتقای سطح دسترسی به واسطه سرویس #‫Microsoft_Data_Sharing در سیستم عامل ویندوز است.
این آسیب‌پذیری قابلیت ارتقا سطح دسترسی را برای کاربران عضو گروه‌های مهمان و Users فراهم می‌سازد و می‌تواند تمام نسخه‌های ویندوز 10 و ویندوز سرور 2016 و 2019 را تحت شعاع خود قرار ‌دهد. تاکنون مایکروسافت هیچگونه وصله امنیتی خاصی در رابطه با این آسیب‌پذیری محلی ارائه نداده است.
در گزارش پیوست به بررسی جزییات این آسیب‌پذیری و اکسپلویت مربوطه می پردازیم.

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام Ghost خبر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اواسط ماه نوامبر سال 2018 میلادی شروع شده است و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. طبق بررسی‌های صورت گرفته بر روی فایل باج‌افزار Ghost، به نظر می‌رسد فایل‌های مختلفی در آن تعبیه شده است که پس از اجرای باج‌افزار، این فایل‌ها در یک پوشه به نام Ghost، واقع در دایرکتوری Roaming ایجاد می‌شوند و سپس فرایند مربوط به فایل اصلی خاتمه پیدا می‌کند و یک سرویس جدید تحت عنوان GhostService جهت ادامه‌ی فعالیت باج‌افزار، ایجاد می‌شود.

دانلود پیوست

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ی InsaneCrypt به نام Mega Cryptorr خبر می‌دهد که پس از رمزگذاری فایل‌ها، به انتهای آن‌ها پسوند .bip را اضافه می‌کند. بررسی ها نشان می دهد که فعالیت این باج افزار در تاریخ 29 نوامبر سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد.

دانلود پیوست

رصد فضای سایبری در حوزه #‫باج_افزار، از ظهور باج‌افزار Outsider خبر می دهد. فعالیت این باج‌‍‌افزار نخستین بار در تاریخ 8 دسامبر 2018 میلادی گزارش شده است. براساس نتایج بدست آمده از تحلیل‌ها، سیستم‌هایی که زبان صفحه کلید روسی، بلاروسی یا تاتاری فعال دارند، از رمزگذاری توسط این باج‌افزار در امان هستند

دانلود پیوست