‫ اخبار

#‫آسیب_پذیری جدید در وب سایت­های مبتنی بر PHPبر روی سرورهای NGINXکشف شده است.

اگر برای بهبود عملکرد و کارایی اینگونه وب­سایت­ها، قابلیت PHP-FPMرا فعال کرده‌اید، بدانید که در معرض آسیب‌پذیری جدیدی قرار دارید که در آن مهاجمان غیرمجاز می‌توانند از راه دور سرور وب‌سایت شما را هک کنند.

به این آسیب‌پذیری شناسه "CVE-2019-11043" اختصاص داده شده است و وب‌سایت‌هایی با پیکربندی خاصی از PHP-FPM(که ظاهراً غیرمعمول هم نیست) را تحت تأثیر قرار می‌دهد. قابلیت PHP-FPMپیاده‌سازی دیگری از PHP FastCGIاست که پردازش‌هایی پیشرفته و بسیار کارآمد را برای اسکریپت‌های نوشته شده در زبان برنامه‌نویسی PHPارائه می‌دهد.

علت اصلی این آسیب‌پذیری، مشکل حافظه underflow"env_path_info" در ماژول PHP-FPMاست و ترکیب آن با سایر نقص‌ها می‌تواند مهاجمان را قادر سازد تا از راه دور کد دلخواه خود را بر روی وب‌سرورهای آسیب‌پذیر اجرا کنند.

آسیب‌پذیری مذکور، توسط یک محقق امنیتی در Wallarmبه نام Andrew Danauدر زمان برگزاری یکی از مسابقات Capture The Flag(CTF)کشف شد و وی با همکاری دو تن از محققان دیگر به نام‌های Omar Ganievو Emil Lernerتوانستند آن را به صورت یک اکسپلویت اجرای کد از راه دور توسعه دهند.

کدام یک از وب‌سایت‌های مبتنی بر PHPدر برابر مهاجمان آسیب‌پذیرند؟

اگرچه اکسپلویت کد اثبات مفهومی (PoC) آسیب‌پذیری مورد بحث به صورت عمومی متتشر شده است اما به طور خاص برای هدف قرار دادن سرورهای آسیب‌پذیر در حال اجرای نسخه‌های PHP 7+طراحی شده است، با این وجود، نسخه‌های پیشین PHPنیز تحت تأثیر این آسیب‌پذیری قرار دارند.

به طور خلاصه، یک وب‌سایت آسیب‌پذیر خواهد بود اگر:

• وب‌سرور NGINXبه صورتی پیکربندی شده باشد که درخواست‌های صفحات PHPرا به پردازنده PHP-FPMارسال کند.
• دستور "fastcgi_split_path_info" در این پیکربندی وجود داشته و شامل یک عبارت معمولی باشد که با نماد '^' شروع می‌شود و با نماد '$' خاتمه می‌یابد.
• متغیر PATH_INFOبا دستور fastcgi_paramتعریف شده است.
• دستوری شبیه به "try_files $uri =404"و یا "-f $uri" برای مشخص کردن وجود یا عدم وجود یک فایل، وجد نداشته باشد.

پیکربندی آسیب‌پذیر NGINXو PHP-FPMمی‌تواند به صورت زیر باشد:

در این مثال، از دستور " fastcgi_split_path_info" برای تقسیم URLصفحات PHPوب به دو بخش استفاده می‌شود، بخش اول یک موتور PHP-FPMبرای فهمیدن نام اسکریپت و بخش دوم شامل اطلاعات مسیر آن است.

اکسپلویت اجرای کد از راه دور در PHP FPMچگونه عمل می‌کند؟

به گفته محققان، عبارتی که دستور " fastcgi_split_path_info" را تعریف می‌کند، با استفاده از کاراکتر خط جدید می‌تواند به گونه‌ای دستکاری شود که در نهایت تابع تقسیم کننده URLتمامی اطلاعات مسیر را خالی کند.

در مرحله بعد، از آنجا که یک اشاره‌گر محاسباتی در کد FPMوجود دارد که به اشتباه " env_path_info" را بدون تأیید وجود فایلی بر روی سرور، یک پیشوند مساوی با مسیر اسکریپت phpتلقی می‌کند، این مسئله می‌تواند توسط یک مهاجم برای بازنویسی داده‌ها در حافظه با درخواست URLهای خاص ساخته شده از وب‌سایت‌های مورد هدف اکسپلویت شود.

برای مطالعه کامل کلیک نمایید

به گزارش Hacker News، شرکت گوگل با انتشار نسخه 78.0.3904.87 کروم، به میلیاردها کاربر خود هشدار داد که برای وصله دو آسیب‌پذیری با شدت بالا، مرورگر خود را بروزرسانی کنند. در یکی از این آسیب‌پذیری‌ها مهاجمان می‌توانند کامپیوترها را در سراسر جهان اکسپلویت نمایند.

تیم امنیتی کروم بدون انتشار جزئیات فنی این آسیب‌پذیری‌ها، تنها بیان می‌کند که آنها از نوع use-after-freeمی‌باشند و یکی از این آسیب‌پذیری‌ها با شناسه " CVE-2019-13720" بخش‌های مربوط به صدا در این مرورگر و آسیب‌پذیری دیگر با شناسه " CVE-2019-13721" کتابخانه PDFiumرا تحت تأثیر خود قرار خواهد داد.

آسیب‌پذیری use-after-freeنوعی تخریب حافظه است که با تخریب یا تغییر داده‌های موجود در حافظه، یک کاربر غیرمجاز را قادر می‎سازد تا سطح دسترسی و امتیازات خود را در سیستم یا نرم‌افزار آسیب‌دیده افزایش دهد.

بنابراین، به واسطه هردو آسیب‌پذیری مذکور، مهاجمان می‌توانند از راه دور با ترغیب کاربران مورد هدف برای بازدید از یک وب‌سایت مخرب، امتیازاتی را بر روی مرورگر کروم بدست آورند، از محافظت‌های sandboxبگریزند و نیز کد مخرب خود را بر روی سیستم‌های مورد هدف اجرا نمایند.

از اینرو لازم است کاربرانی که از مرورگر کروم در کامپیوترهای ویندوز، مک و لینوکس استفاده می‌کنند سریعاً مرورگر خود را به آخرین نسخه آن بروزرسانی نمایند.

حملات فعال در آسیب‌پذیری روز صفرم گوگل کروم

آسیب‌پذیری روز صفرم در مرورگر کروم توسط محققان کسپرسکی به نام‌های Anton Ivanovو Alexey Kulaevکشف و گزارش شده است، آسیب‌پذیری مربوط به مؤلفه‌های صوتی در برنامه کروم در سراسر جهان مورد اکسپلویت قرار گرفته است، البته در حال حاضر هویت مهاجمان مشخص نیست.

تیم امنیتی گوگل کروم بیان کرد که این شرکت از گزارش‌های منتشر شده مبنی بر اکسپلویت آسیب‌پذیری " CVE-2019-13720" آگاه است.

use-after-freeیکی از رایج‌ترین آسیب‌پذیری‌هایی است که در چند ماه گذشته در مرورگر کروم کشف و وصله شده است.. حدود یک ماه پیش، شرکت گوگل بروزرسانی امنیتی فوری را برای این مرورگر منتشر کرد تا در مجموع 4 آسیب‌پذیری use-after-freeرا در مؤلفه‌های مختلف آن رفع نماید. در شدیدترین آن آسیب‌پذیری‌ها، یک مهاجم از راه دور می‌تواند کنترل کامل سیستم آسیب‌دیده را بدست گیرد.

چند ماه پیش نیز، گوگل پس از اطلاع از اکسپلویت آسیب‌پذیری روز صفرم شبیه به use-after-freeدر کروم که FileReaderاین مرورگر را تحت تأثیر قرار می‌داد بروزرسانی امنیتی دیگری را منتشر کرد.

جزئیات فنی اکسپلویت روز صفرم کروم

یک روز پس از انتشار بروزرسانی گوگل برای رفع دو آسیب‌پذیری با شدت بالا در کروم، شرکت امنیت سایبری کسپرسکی جزئیات فنی بیشتری را در مورد این آسیب‌پذیری‌ها به این شرکت گزارش داد.

به گفته محققان، مهاجمان یک سایت خبری به زبان کره‌ای را مورد حمله قرار دادند. آنها کد اکسپلویتی را بر روی این سایت قرار داده و به واسطه آن، کامپیوترهای بازدید کننده از این سایت که از نسخه‌های آسیب‌پذیر کروم استفاده می‌کنند را مورد حمله خود قرار می‌دادند.

گفته می‌شود که این اکسپلویت پس از اکسپلویت آسیب‌پذیری CVE-2019-13720کروم، در مرحله اول یک بدافزار را بر روی سیستم‌های مورد هدف نصب می‌کند و پس از آن به یک سرور کنترل و فرمان (command-and-control) کدگذاری شده و راه دور برای بارگیری payloadنهایی متصل می‌شود.

محققان Operation WizardOpiumعنوان کردند که این حمله سایبری هنوز به گروه خاصی از هکرها نسبت داده نشده است. با این حال، محققان شباهت‌هایی را در کد این اکسپلویت و گروه هکر Lazarusمشاهده کردند.

برای کسب اطلاعات بیشتر در مورد عملکرد اکسپلویت آسیب‌پذیری تازه وصله شده‌ی کروم، می‌توانید به گزارش جدیدیکه توسط کسپرسکی منتشر شده است مراجعه نمایید.

وصله جدید در دسترس است، سریعاً گوگل کروم را بروزسانی کنید!

برای وصله دو آسیب‌پذیری امنیتی مذکور، شرکت گوگل انتشار نسخه 78.0.3904.87 مرورگر کروم را برای سیستم‌عامل‌های ویندوز، مک و لینوکس را آغاز کرده است.

1. توصیه امنیتی

اگرچه این مرورگر به صورت خودکار، درباره آخرین نسخه موجود به کاربران اطلاع می‌دهد، اما توصیه می‌شود با رفتن به منوی Help → About Google Chrome، روند بروزرسانی را به صورت دستی شروع کنید.

علاوه بر این، به کاربران این مرورگر توصیه می‌شود در سریع‌ترین زمان ممکن تمام نرم‌افزارهای سیستم خود را به عنوان یک کاربر غیرمجاز اجرا کنند.

منبع خبر:

https://thehackernews.com/2019/11/chrome-zero-day-update.html

#‫آسیب پذیری امنیتی کشف شده در آنتی ویروس McAfeeبا شناسه اختصاص داده شده "CVE-2019-3648" می‌باشد و در تاریخ 5 آگوست 2019 به شرکت McAfeeگزارش داده شده است. این آسیب‌پذیری توسط آزمایشگاه‌های SafeBreachدر تمام نسخه‌های McAfeeکشف شد. برای اکسپلویت این آسیب‌پذیری، مهاجم باید به عنوان یک مدیر اقدام به حمله نماید.

مهاجم می‌تواند از آسیب‌پذیری مذکور برای دور زدن مکانیسم‌های حفاظتی McAfeeو دستیابی به پایداری از طریق بارگیری چندین سرویس که به عنوان "NT AUTHORITY\SYSTEM"اجرا می‌شوند، استفاده کند.

از طریق این آنتی‌ویروس، چندین بخش به عنوان یک سرویس اجرا شده ویندوز توسط “NT AUTHORITY\SYSTEM” که دارای مجوز SYSTEMاست، اجرا می‌شوند.

به گفته محققان، آنتی‌ویروس McAfeeبه عنوان "NT AUTHORITY\SYSTEM" در تلاش است تا فایل wbemcomn.dll را از مسیر (c:\Windows\System32\wbem\wbemcomn.dll) بارگذاری کند درحالیکه این فایل به System32مربوط است و نه به پوشه ystem32\Wbem.

این مسئله محققان را قادر می‌سازد تا یک DLLدلخواه را جهت بارگذاری در این فرآیند بارگذاری نمایند و مکانیسم‌های امنیتی این آنتی‌ویروس را دور بزنند. دلیل این امر نیز این است که پوشه‌های این آنتی‌ویروس توسط یک درایور سیستم‌فایل mini-filterمحافظت می‌شوند که حتی توسط یک مدیر، عملیات نوشتن را محدود می‌کند.

این آسیب‌پذیری به مهاجمان امکان بارگذاری و اجرای payloadهای مخرب را با استفاده از چندین سرویس به صورت مداوم و در چارچوب فرآیندهای McAfeeمی‌دهد.

شرکت McAfeeاین آسیب‌پذیری را در تمام نسخه‌های آنتی‌ویروس خود وصله کرده است و از کاربران خواسته است تا نسخه 16.0.R22را جهت رفع این آسیب‌پذیری نصب کنند. در این آسیب‌پذیری و در نسخه کلاینت ویندوز آنتی‌ویروس McAfee، مهاجمان می‌توانند کد دلخواه خود را اجرا کرده و به امتیازات SYSTEMدسترسی پیدا کنند.

حساب کاربری SYSTEMیک حساب کاربری داخلی است که توسط سیستم‌عامل ویندوز برای مدیریت سرویس‌هایی که تحت ویندوز اجرا می‌شوند، استفاده می‌شود.

این آسیب‌پذیری نسخه کلاینت ویندوز را در McAfee Total Protection، McAfee Anti-Virus Plusو McAfee Internet Securityنسخه 16.0.R22و قبل از آن را تحت تأثیر قرار می‌دهد.

منبع خبر:

https://gbhackers.com/vulnerability-mcafee-antivirus/

#‫آسیب_پذیری جدید کشف شده در سیستم مدیریت محتوای Wordpressاز نوع information disclosure به شماره CWE-200می­باشد که در تاریخ 17-11-2019 شناسایی شده است. این آسیب پذیری به نفوذگر امکان دسترسی به نام و نام کاربری عضو وب سایت را میسر می­سازد.

کلیه نسخ پایین تر از Wordpress 5.3دارای این آسیب ­پذیری هستند. و تاکنون اطلاعاتی درمورد شماره CVEاین آسیب پذیری منتشر نشده است.

در صورت بهره ­برداری از آسیب­ پذیری مذکور، نفوذگر قادر است اطلاعات بیشتری درمورد وب­سایت هدف بدست آورد که می تواند در حملات دیگر مانند Bruteforce نیز تاثیرگذار باشد.

روش پیش­گیری از نشت این اطلاعات، بروزرسانی نسخهWordpress به نسخه های بالاتر از 5.3 می­باشد.

منبع :

https://www.exploit-db.com/exploits/47720

اخیراً #‫باج‌افزاری به نام Clop CryptoMix به صورت گسترده منتشر شده است که به­منظور رمزنگاری موفقیت‌آمیز داده‌های یک قربانی، سعی در غیرفعال کردن windows defender و همچنین حذف windows security essentials و برنامه­های مستقل ضد باج افزار(امنیتی) Malwarebytes را دارد.

Clop نوعی از باج‌افزار CryptoMix است که از پسوند Clop استفاده می­کند و یادداشت­های باج­خواهی خود را در قالب یک فایل ClopReadMe.txt با پیام " Don’t Worry C|oP" امضا می­کند. به همین دلیل این باج­افزار به Clop Ransomware معروف شده است.

تلاش برای غیرفعال کردن Windows Defender

طبق تجزیه و تحلیل انجام شده توسط محقق امنیتی و مهندس معکوس ویتالی کرمز (Vitali Kremez) برنامه کوچکی توسط عاملان Clop قبل از رمزنگاری درحال اجرا است که سعی در غیرفعال کردن انواع نرم­افزارهای امنیتی از جمله windows defender را خواهد داشت.

این کار برای جلوگیری از شناسایی الگوریتم‌های رفتاری برای رمز­نگاری پرونده و مسدود کردن باج افزار انجام می‌شود.

برای غیر­فعال سازی windows defender، این باج­افزار مقادیر مختلف registry شامل:

Behavior monitoring
Real time protection
Sample uploading to Microsoft
Tamper protection
Cloud detections
Antispyware detections

برای دریافت متن کامل کلیک نمایید

بدافزارهای مخرب شناسایی شده در ماه اکتبر 2019، با ماه قبل همخوانی زیادی دارد و بار دیگر Emotet به ترکیب اضافه می‌شود. 10 بدافزار مخرب 72% کل فعالیت­های مخرب را در ماه اکتبر را شامل می­شوند که نشان می­دهد این 10 مورد، سرعت آلودگی به بدافزارها را افزایش می‌دهند. آلودگی­های Emotetو متعاقب آن TrickBotبیشترین فعالیت را در ماه انجام داده و %40 از کل اعلان‌های بدافزار را تشکیل می‌دهند.

در اکتبر 2019، بدافزارهای دسته چندگانه که ترکیبی از بدافزارها هستند، بیشترین هشدارها را در لیست 10 بدافزار برتر به خود اختصاص دادند. افزایش شدید در دسته‌های چندگانه و malspamبه کمپین‌های توزیع مجدد Emotetنسبت داده می شود زیرا Emotet ، TrickBotرا بر روی سیستم‌های آلوده اعمال می­کند. همچنین آلودگی­های ZeuSو TrickBotافزایش فعالیت در دسته‌های چندگانه در پنج ماه گذشته را نشان می‌دهد. Emotet ، Dridex ، Kovter ، Ursnifو NanoCoreباعث افزایش آلودگی­های مربوط به دسته malspamدر ماه اکتبر می‌شوند. احتمال زیادی وجود دارد که با شروع فعالیت‌های توزیع Emotet ، malspamهمچنان ادامه یابد.

خانواده‌های مخربی که در این ماه بسیار مطرح بوده‌اند به صورت زیر می‌باشد:

Dropped: این خانواده شامل بدافزارهای موجود بر روی سیستم، کیت‌های اکسپلویت و نرم‌افزارهای آلوده شخص ثالث می‌شود. بدافزارهای Gh0stدر این خانواده قرار دارند.

Multiple: بدافزارهایی که در حال حاضر در حداقل دو خانواده بدافزاری فعالیت دارند. بدافزارهای ZeuS، CoinMinerو Trickbotحداقل در دو خانواده بدافزاری فعالیت دارند.

Malspam: ایمیل‌های ناخواسته که کاربر را ترغیب به دانلود بدافزار از سایت‌های مخرب و یا باز کردن پیوست‌های مخرب موجود در ایمیل‌ها می‌کند. بدافزارهای NanoCore، Dridex، Cerberو Kovterدر این خانواده قرار دارند.

Network: بدافزارهایی که از پروتکل‌های قانونی شبکه یا ابزارهای آن مانند پروتکل SMBیا PowerShellاز راه دور، بهره‌برداری می‌کنند. بدافزارهای WannaCryو Brambulدر این خانواده قرار دارند.

Malvertising: بدافزارهایی که به منظور تبلیغات مخرب استفاده می‌شوند.

لیست ده بدافزار مخرب این ماه به صورت زیر است:

Trickbot: یک تروجان بانکی ماژولار است که توسط تروجان Emotetو از طریق کمپین‌های malspamگسترش پیدا کرد. این تروجان بانکی پس از نصب شدن، تروجان بانکی IcedIDرا دانلود می‌کند. برای حذف کامل این تروجان بانکی از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://howtoremove.guide/trickbot-malware-removal/

https://blog.malwarebytes.com/detections/trojan-trickbot/

Emotet: یک infostealerماژولار است که تروجان‌های بانکی را بارگیری یا رها می‌کند. می‌توان آن را از طریق لینک‌های بارگیری مشکوک یا پیوست‌ها، مانند PDFیا اسناد Wordبه‌صورت گسترده تکثیر شوند. Emotetهمچنین ماژول‌های پراکندگی را به منظور پخش در سراسر شبکه در اختیار دارد. در دسامبر سال 2018، Emotetبا استفاده از یک ماژول جدید که از محتوای ایمیل خارج می‌شود، مشاهده شد.

https://www.cisecurity.org/blog/top-10-malware-october-2019/

ZeuS: یک تروجان بانکی است که همه نسخه‌های ویندوز را تحت‌تاثیر قرار می‌دهد. این تروجان با اجرای keystroke logging و form grabbingمی‌تواند اطلاعات حساس بانکی را سرقت کند و بعد از قرار گرفتن بر روی سیستم قربانی، باج‌افزار CryptoLockerرا هم بر روی آن قرار می‌دهد. برای حذف کامل این تروجان بانکی از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://malwaretips.com/blogs/zeus-trojan-virus/

https://www.2-spyware.com/remove-zeus-trojan.html

Dridex: این بدافزار ویندوزی که همچنین با عنوان‌های Bugatو Cridexشناخته می‌شود، یک تروجان بانکی است که با ماکروهای Microsoft Word & Excelو از طریق پیوست‌ ایمیل‌ها گسترش می‌یابد. برای حذف کامل این تروجان بانکی از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://blog.malwarebytes.com/detections/trojan-dridex/

https://howtoremove.guide/dridex-virus-malware-removal-trojan/

Kovter:یک بدافزار کلاهبرداری بدون فایل و دانلودگر است که با مخفی شدن در کلیدهای رجیستری، از شناسایی شدن جلوگیری می‌کند. این بدافزار قابلیت سرقت اطلاعات شخصی، دانلود بدافزارهای دیگر و دادن دسترسی‌های غیر مجاز به مهاجمان را هم دارد. برای حذف کامل این بدافزار از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://www.bleepingcomputer.com/virus-removal/remove-kovter-trojan

https://blog.malwarebytes.com/detections/trojan-kovter/

https://howtoremove.guide/trojan-kovter/

Cryptowall: باج‌افزاری است که معمولاً از طریق malspamبا پیوست‌های مخرب ZIP، آسیب‌پذیری‌های Javaو تبلیغات مخرب توزیع و تکثیر می‌شود. پس از آلودگی سیستم، CryptoWallفایل‌ها، منابع شبکه و درایوهای قابل جابجایی سیستم را اسکن می‌کند. همچنین بر روی سیستم‌های 32 بیتی و 64 بیتی قابل اجرا است. برای توضیحات بیشتر به لینک زیر مراجعه کنید:

https://www.cisecurity.org/blog/top-10-malware-october-2019/

https://www.knowbe4.com/cryptowall

Gh0st: یک تروجان دسترسی از راه دور می‌باشد که توسط سایر بدافزارها و برای ایجاد یک در پشتی در میزبان آلوده گسترش می‌یابد و توانایی بدست گرفتن کنترل کامل دستگاه آلوده را دارا می‌باشد. برای حذف کامل این بدافزار از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://www.virusresearch.org/gh0st-rat-removal/

https://howtoremove.guide/gh0st-rat/

NanoCore: یک تروجان دسترسی از راه دور می‌باشد که از طریق اسپم‌ها و فایل‌های پیوست اکسل گسترش می‌یابد. این بدافزار دارای دستوراتی برای دانلود و اجرای سایر فایل‌ها، مشاهده وب‌سایت‌ها و ایجاد کلیدهایی در رجیستری برای دوام و پایداری بیشتر است. برای حذف کامل این بدافزار از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://www.pcrisk.com/removal-guides/14031-nanocore-rat-virus

https://howtoremove.guide/nanocore-rat

Cerber: این باج‌افزار قادر به رمزگذاری پرونده‌ها در حالت آفلاین است و به دلیل تغییر نام کامل فایل‌ها و افزودن پسوند تصادفی به آن‌ها شناخته شده است. در حال حاضر شش نسخه از Cerberوجود دارد که هر کدام بطور خاص تکامل یافته و از شناسایی شدن توسط الگوریتم‌های یادگیری ماشین فرار می‌کنند. در حال حاضر، ابزار رمزگشایی فقط برای نسخه اول این باج‌افزار در دسترس می‌باشد:

https://howtoremove.guide/cerber-ransomware-virus-removal/

https://www.2-spyware.com/remove-cerber-virus.html

: Tinbaبا نام مستعار(Tiny Banker) یک تروجان بانکی است که به دلیل حجم پرونده‌های کوچک مشهور است. Tinbaاز تزریق وب برای جمع‌آوری اطلاعات قربانیان از صفحات ورود به سیستم و فرم‌های وب استفاده می کند و در درجه اول از طریق کیت‌های اکسپلویت تکثیر می‌شود. این تروجان آخرین بار در لیست 10 بدافزار مخرب در ژوئن 2019 حضور داشت. برای کسب اطلاعات بیشتر می‌توانید به لینک‌ زیر مراجعه کنید:

https://www.lifewire.com/what-is-tiny-banker-trojan-aka-tinba-4769557

منبع خبر:

https://www.cisecurity.org/blog/top-10-malware-july-2019/

#‫رمزگشا ی باج‌افزار TurkStatikتوسط پژوهشگران شرکت امنیتی Emsisoftارائه شد.

باج‌افزار TurkStatikبرای اولین بار در اواسط نوامبر ۲۰۱۹ میلادی مشاهده گردید که با توجه به پیغام باج‌خواهی آن که به زبان ترکی است، کاربران ترک زبان را هدف گرفته است. این باج‌افزار از الگوریتم رمزگذاری Rijndael 256جهت رمزگذاری فایل‌های قربانیان خود استفاده می کند.

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .cipheredمی‌باشد، می‌توانید فایل‌های خود را رمزگشایی کنید.

لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/turkstatik

#‫رمزگشا ی باج‌افزار Jigsawتوسط پژوهشگران شرکت امنیتی Emsisoftبه روزرسانی شد.

باج‌افزار Jigsawبرای اولین بار در سال ۲۰۱۶ ظهور پیدا کرد و تاکنون به پسوندهای مختلف منتشر شده و قربانیان بسیاری در سراسر جهان داشته است. این باج‌افزار طبق الگویی مشخص، به مرور فایل‌های رمزشده را حذف می‌کند. پس از ۷۲ ساعت، تمام فایل‌های رمزشده را نیز حذف می‌کند. البته در صورتی که پیش از ۷۲ ساعت، باج‌افزار بسته شود و یا سیستم ری‌استارت شود، به صورت خودکار دوباره اجرا شده و به عنوان جریمه ۱۰۰۰ فایل رمز شده را بلافاصله حذف می‌کند. این باج‌افزار از الگوریتم رمزگذاری AES 128جهت رمزگذاری فایل‌های قربانیان خود استفاده می‌کند.

در صورتی که فایل‌های شما توسط این باج‌افزار رمزگذاری شده‌اند، می‌توانید از طریق این رمزگشا فایل‌های خود را رمزگشایی کنید. این رمزگشا قادر است فایل‌هایی با ۸۵ پسوند مختلف را رمزگشایی کند.

نکته مهم:

پیش از اجرای رمزگشا، این مراحل را انجام دهید:

• در Task Manager، دو فرآیند firefox.exeو drpbx.exeرا End Taskنمایید.
• سپس در Runویندوز خود، عبارت msconfigرا تایپ نموده و اجرا کنید.
• در پنجره msconfigبه زبانه Startupرفته و تیک مربوط به موردی که با عنوان firefox.exeو آدرس

%UserProfile%\AppData\Roaming\Frfx\firefox.exe

می‌باشد را برداشته و سپس رمزگشا را اجرا نمایید.

لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/jigsaw

#‫رمزگشا ی باج‌افزار Hakbitتوسط پژوهشگران شرکت امنیتی Emsisoftارائه شد.

باج‌افزار Hakbitبرای اولین بار در اوایل نوامبر ۲۰۱۹ میلادی مشاهده گردید. نکته قابل توجه این باج‌افزار، تکنیک مورد استفاده جهت انجام عملیات رمزگذاری در پوشش فرآیندهای آشنای سیستم‌‎عامل ویندوز است. این ترفند به این صورت است که باج‌افزار، نام فایل اجرایی خود را به نام‌هایی نظیر svchost.exe ، chrome32.exeو موارد مشابه تغییر می‌دهد تا توسط سیستم عامل و کاربر به راحتی شناسایی نشود. این باج‌افزار از الگوریتم رمزگذاری AES 256جهت رمزگذاری فایل‌های قربانیان خود استفاده می کند.

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .cryptedمی‌باشد، می‌توانید از طریق این رمزگشا فایل‌های خود را رمزگشایی کنید.

لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/hakbit

مایکروسافت آخرین به‌روزرسانی را برای #‫آسیب‌پذیری‌های نرم‌افزارها و سیستم‌عامل‌های این شرکت منتشر کرده است. مرکز پاسخگویی امنیتی مایکروسافت (MSRC) تمام گزارش‌های آسیب‌پذیری‌های امنیتی موثر بر محصولات و خدمات مایکروسافت را بررسی می‌کند و اطلاعات را به عنوان بخشی از تلاش‌های مداوم برای کمک به مدیریت خطرات امنیتی و کمک به حفاظت از سیستم‌های کاربران فراهم می‌نماید. MSRCهمراه با همکاران خود و محققان امنیتی در سراسر جهان برای کمک به پیشگیری از وقایع امنیتی و پیشبرد امنیت مایکروسافت فعالیت می‌کند.

دانلود پیوست