‫ اخبار

در تاریخ 30 ژوئیه سال 2019 میلادی، #‫باج‌افزاری با عنوان TFlower مشاهده شد. بر اساس مشاهدات صورت‌گرفته، تمرکز اصلی این باج‌افزار بر روی سازمان‌ها و شرکت‌ها می‌باشد. طبق بررسی‌های انجام‌شده، باج‌افزار TFlower هیچ پسوندی را به فایل‌های رمزگذاری شده اضافه نمی‌کند و تنها نشانه اولیه آلودگی به این باج‌افزار، قرارگرفتن پیغام باج‌خواهی آن با عنوان !_Notice_!.txtدر سیستم قربانی می‌باشد. باج‌افزار TFlower از الگوریتم AES جهت رمزگذاری فایل‌های مورد نظر خود در سیستم قربانی استفاده می‌کند. براساس اخبار منتشر شده، این باج‌افزار معمولاً از طریق پروتکل‌ RDP به اهداف خود نفوذ کرده و مبلغ بسیار بالای 70 بیت‌کوین باج را درخواست می‌دهد.

دانلود پیوست

در تاریخ 6 اکتبر سال 2019 میلادی، اخباری مبنی بر مشاهده #‫باج‌افزاری با عنوان OnyxLocker منتشر شد. طبق مشاهدات صورت گرفته، این باج‌افزار از طریق یک سند مایکروسافت آفیس با فرمت RTF که کد فایل اصلی به آن تزریق شده است، به سیستم قربانی خود نفوذ می‌کند. طبق بررسی‌های صورت گرفته، باج‌افزار OnyxLocker از کتابخانه‌ای با نام XXTEA در فرآیند رمزنگاری خود بهره برده است. الگوریتم رمزنگاری مورد استفاده در کدنویسی این باج‌افزار، DES با طول کلید 192بیت می‌باشد. این باج‌افزار، پسوند فایل‌های رمزگذاری‌شده را به onx. تغییر می‌دهد.

دانلود پیوست

در این گزارش، بدافزاری با عنوان فیلترشکن بررسی و عملکرد آن تشریح خواهد شد. این بدافزار درواقع یکی از فیلترشکن‌هایی را که کد منبع آن­ها در اختیار است تغییر داده و منتشر کرده است. با توجه به اینکه این بدافزار مجوزهای خواندن مخاطبین و ارسال پیامک را دارد، پس از نصب متن تبلیغ به همراه لینک دانلود برنامه را به تمامی مخاطبین ذخیره ­شده بر روی گوشی همراه کاربر فرستاده و ایشان را به دانلود این برنامه ترغیب می‌کند. هم­چنین برنامه برای خرید نسخه ویژه و یا ارتقاء به نسخه­ ی غیر رایگان، یک صفحه ­ی فیشینگ به کاربر نمایش داده می‌شود. البته کنترل لینک و نمایش صفحه فیشینگ در درست توسعه‌دهنده است و تنها زمانی که توسعه‌دهنده قصد نمایش صفحه فیشینگ را داشته باشد، با استفاده از کارگزار کنترل و فرمان، دستور نمایش صفحه پرداخت فعال می‌شود.

دانلود پیوست

#‫رمزگشا ی باج‌افزار Auroraتوسط پژوهشگران به‌روزرسانی شد.

این باج‌افزار که به نام‌های Zorro، Desuو AnimusLockerنیز شناخته می‌شود، با بهره گیری از الگوریتم‌های XTEAو RSAفایل‌های قربانیان را رمزگذاری کرده و پیغام‌ باج‌خواهی خود را در قالب یک فایل متنی و با اسامی زیر در سیستم قربانی قرار می‌دهد:

• !-GET_MY_FILES-!.txt
• #RECOVERY-PC#.txt
• @_RESTORE-FILES_@.txt

دانلود گزارش کامل

#‫رمزگشا ی باج‌افزار Muhstikتوسط پژوهشگران ارائه شد.

این باج‌افزار با نفوذ به ذخیره‌سازهای QNAPو با بهره‌گیری از الگوریتم AES-256فایل‌های قربانیان را رمزگذاری کرده و پیغام‌ باج‌خواهی خود را در قالب یک فایل متنی و با نام‌ README_FOR_DECRYPT.txtدر سیستم قربانی قرار می‌دهد.

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .muhstikمی‌باشند، می توانید با این رمزگشا فایل های خود را رمزگشایی کنید.

به منظور دانلود رمزگشا به لینک زیر مراجعه بفرمایید:

https://www.emsisoft.com/ransomware-decryption-tools/muhstik

#‫رمزگشا ی باج‌افزار HildaCryptتوسط پژوهشگران شرکت امنیتی Emsisoftارائه شد.

#‫باج‌افزار HildaCryptدر ابتدا به عنوان گونه جدیدی از باج‌افزار خانواده STOPشناخته می‌شد اما چیزی نگذشت که مشخص گردید نام این باج‌افزار در واقع HildaCryptاست. این باج‌افزار، فایل‌های قربانی را با الگوریتم‌های AES-256وRSA-2048 رمزگذاری نموده و پسوند .mikeو یا .HCY!را به انتهای فایل‌های رمزگذاری شده اضافه می‌کند. باج‌افزار HildaCryptطبق ادعای سازندگان آن، برای اهداف آموزشی و سرگرمی ساخته شده است.

تصویر زیر پیغام باج‌خواهی باج‌افزار HildaCryptرا نشان می‌دهد:

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .mikeو یا .HCY!می‌باشند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.

لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/hildacrypt

#‫رمزگشا ی باج‌افزار GalactiCrypterتوسط پژوهشگران شرکت امنیتی Emsisoftارائه شد.

باج‌افزار GalactiCrypter، اولین بار در سال ۲۰۱۶ منتشر شد و ادامه فعالیت خود را در سال ۲۰۱۹ مجدداً از سر گرفت. این باج‌افزار که از الگوریتم رمزنگاری AES-256برای رمزگذاری فایل‌ها بهره می‌برد، رشته کاراکتر ENCx45cRرا مانند الگوی زیر به ابتدای فایل‌های رمز شده می‌چسباند.

ENCx45cR.

باج‌افزار مورد اشاره متن پیغام باج‌خواهی خود را در قالب یک پنجره و با مضمون موجود در تصویر در سیستم قربانی قرار می‌دهد.

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای رشته کاراکتر ENCx45cRدر ابتدای آن می‌باشند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.

لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/galacticrypter

#‫رمزگشا ی باج‌افزار WannaCryFake توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.
این باج‌افزار، با پسوند مشابه باج‌افزار مخرب و مشهور WannaCry پس از مدت کوتاهی از انتشار سراسری آن منتشر شد. باج‌افزار WannaCryFake فایل‌های قربانی را با الگوریتم AES-256 رمزگذاری نموده و پسوندی را با الگوی
.[][recoverydata54@protonmail.com].WannaCry
به انتهای فایل‌های رمزگذاری شده اضافه می‌کند. باج‌افزار مورد اشاره متن پیغام باج‌خواهی خود را در قالب یک پنجره و با مضمون موجود در تصویر زیر در سیستم قربانی قرار می‌دهد:

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند
.[][recoverydata54@protonmail.com].WannaCry
می‌باشند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.
لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:
https://www.emsisoft.com/ransomware-decryption-tools/wannacryfake

#‫رمزگشا ی باج‌افزارهای Yatron و FortuneCryptتوسط پژوهشگران شرکت امنیتی Kaspersky ارائه شد.
این باج‌افزار که شهرت خاصی ندارد و به علت بهره گیری از کد باج‌افزار HiddenTear از الگوریتم رمزنگاری ضعیفی استفاده می‌کند، توانسته است حداقل 600 قربانی را آلوده کند. این باج‌افزار، پسوند .Yatron را به انتهای فایل‌های رمزشده اضافه می‌کند. طبق گزارش شرکت Kaspersky، عمده قربانیان این باج‌افزار از کشورهای آلمان، چین، روسیه، هند و میانمار بوده‌اند.
تصویری از فایل‌های رمزشده توسط این باج‌افزار در تصویر زیر قابل مشاهده است:

باج‌افزار FortuneCrypt که عضو خانواده Crypren می‌باشد، توانسته است که 6000 قربانی را عمدتا از کشورهای روسیه، برزیل، آلمان، کره جنوبی و ایران آلوده کند. این باج‌افزار، پسوندی به فایل‌های رمزشده اضافه نمی‌کند و صرفا پنجره‌ای به صورت زیر به عنوان پیام باج‌خواهی باز می‌کند:

در صورتی که فایل‌های رمز شده شما توسط این دو باج‌افزار رمز شده‌اند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.
شرکت Kaspersky ابزار رمزگشای این دو باج‌افزار را به ابزار رمزگشای خود به نام RakhniDecryptor اضافه کرده است.
لینک مستقیم دانلود ابزار رمزگشای RakhniDecryptor در سایت Kaspersky:
http://media.kaspersky.com/utilities/VirusUtilities/RU/RakhniDecryptor.zip

هنگامی‌که آسیب­ پذیری‌های عمده در سیستم ­عامل­ های معمول مانند ویندوز مایکروسافت پیدا می­شود، با سوءاستفاده از این آسیب­ پذیری­ها می­توان میلیون‌ها دستگاه را تحت تأثیر قرار داد. در ماه جولای امسال تیم تحقیقاتی Armis، Armis Labs، 11آسیب پذیری روز صفرم را در VxWorks، پرکاربردترین سیستم عامل مورد استفاده که ممکن است هرگز در مورد آن نشنیده باشید، کشف کرده اند. VxWorksدر بیش از 2 میلیارد دستگاه از جمله دستگاه­های مهم صنعتی، پزشکی و سازمانی مورد استفاده قرار می­گیرد. این آسیب­ پذیری در پشته TCP/IP (IPnet)آن قرار دارد و بر روی همه نسخه‌های آن تا نسخه 6.5 تأثیر می‌گذارد و نمونه ای نادر از آسیب­ پذیری‌های موجود در سیستم ­عامل طی 13 سال گذشته است. آرمیس با Wind River، پشتیبانی ­کننده VxWorks، همکاری نزدیکی داشته است و نسخه VxWorks 7 به عنوان آخرین نسخه که در تاریخ 19 ژوئیه منتشر شد، دارای اصلاحاتی در مورد همه آسیب پذیری‌های کشف شده است.

برای مطالعه کامل کلیک نمایید