این #‫آسیب‌_پذیری که در برنامک‌های مخرب اندرویدی تعبیه می‌شود برای سرقت اطلاعات بانکی و دیگر اطلاعات شخصی کاربران مورد استفاده قرار گرفته است. آسیب‌پذیری Strandhogg در قابلیت چندکاره (multitasking) اندروید قرار دارد که می‌تواند توسط برنامک مخربی که در گوشی موبایل نصب است به شکل هر برنامک معتبر دیگری، حتی برنامک‌های سیستمی درآید. به عبارتی زمانیکه کاربر آیکن برنامک معتبر را لمس می‌کند، بدافزاری که آسیب‌پذیری Strandhogg را اکسپلویت می‌کند می‌تواند این taskرا شنود و به اصطلاح hijackکند و یک رابط کاربری تقلبی به جای برنامک معتبر بارگذاری کند؛ کاربران هم با تصور اینکه برنامک همان برنامک معتبر است اطلاعات حساس و شخصی ( مانند نام کاربری و رمز عبور در صفحات ورود) خود را در برنامک مخرب وارد می‌کنند.

این رابط کاربری تقلبی در نتیجه‌ی سوء استفاده از شروط انتقال حالت task مانند taskAffinity و allowTaskReparenting رخ می‌دهد.

در بهره‌برداری‌های پیشرفته‌تر می‌توان با دستکاری در Eventهایی مثل Callbackها کاربر حاضر در یک برنامک بانکی که توسط خود آن برنامک به برنامک دیگری هدایت شده بود در هنگام بازگشت و هنگام زدن دکمهBack بجای بازگشت به برنامک بانکی به یک برنامک مخرب که مشابه برنامک بانکی است هدایت کند (UI Phishing ).
 

اگرچه هیچ راه موثر و قابل اعتمادی برای کشف و مسدودسازی حملات task hijackingوجود ندارد با این حال کاربران می‌توانند با توجه به ناهمخوانی‌هایی از قبیل موارد زیر حمله را تشخیص دهند:

• برنامکی که نام کاربری و رمز عبور را در آن وارد کردید مجدداً درخواست ورود نام کاربری و رمزعبور می‌کند.
• درخواست مجوزی روی صفحه ظاهر می‌شود بدون اینکه مشخص کند درخواست از سمت کدام برنامک است.
• با ضربه زدن روی دکمه ها و رابط کاربری درون برنامک هیچ اتفاقی رخ نمی‌دهد.
• دکمه بازگشت طوری که انتظار می‌رود عمل نمی‌کند.

https://thehackernews.com/2019/12/strandhogg-android-vulnerability.html
https://t.me/offsecmag

#‫آسیب_پذیری جدید در وب سایت­های مبتنی بر PHP بر روی سرورهای NGINX کشف شده است.

اگر برای بهبود عملکرد و کارایی اینگونه وب­سایت­ها، قابلیت PHP-FPM را فعال کرده‌اید، بدانید که در معرض آسیب‌پذیری جدیدی قرار دارید که در آن مهاجمان غیرمجاز می‌توانند از راه دور سرور وب‌سایت شما را هک کنند.

به این آسیب‌پذیری شناسه "CVE-2019-11043" اختصاص داده شده است و وب‌سایت‌هایی با پیکربندی خاصی از PHP-FPM (که ظاهراً غیرمعمول هم نیست) را تحت تأثیر قرار می‌دهد. قابلیت PHP-FPM پیاده‌سازی دیگری از PHP FastCGI است که پردازش‌هایی پیشرفته و بسیار کارآمد را برای اسکریپت‌های نوشته شده در زبان برنامه‌نویسی PHP ارائه می‌دهد.

علت اصلی این آسیب‌پذیری، مشکل حافظه underflow"env_path_info" در ماژول PHP-FPMc است و ترکیب آن با سایر نقص‌ها می‌تواند مهاجمان را قادر سازد تا از راه دور کد دلخواه خود را بر روی وب‌سرورهای آسیب‌پذیر اجرا کنند.

آسیب‌پذیری مذکور، توسط یک محقق امنیتی در Wallarm به نام Andrew Danau در زمان برگزاری یکی از مسابقات Capture The Flag(CTF) کشف شد و وی با همکاری دو تن از محققان دیگر به نام‌های Omar Ganievو Emil Lernerتوانستند آن را به صورت یک اکسپلویت اجرای کد از راه دور توسعه دهند.

کدام یک از وب‌سایت‌های مبتنی بر PHP در برابر مهاجمان آسیب‌پذیرند؟

اگرچه اکسپلویت کد اثبات مفهومی (PoC) آسیب‌پذیری مورد بحث به صورت عمومی متتشر شده است اما به طور خاص برای هدف قرار دادن سرورهای آسیب‌پذیر در حال اجرای نسخه‌های PHP 7+طراحی شده است، با این وجود، نسخه‌های پیشین PHPنیز تحت تأثیر این آسیب‌پذیری قرار دارند.

به طور خلاصه، یک وب‌سایت آسیب‌پذیر خواهد بود اگر:

وب‌سرور NGINX به صورتی پیکربندی شده باشد که درخواست‌های صفحات PHPرا به پردازنده PHP-FPM ارسال کند.
دستور "fastcgi_split_path_info" در این پیکربندی وجود داشته و شامل یک عبارت معمولی باشد که با نماد '^' شروع می‌شود و با نماد '$' خاتمه می‌یابد.
متغیر PATH_INFO با دستور fastcgi_param تعریف شده است.
دستوری شبیه به "try_files $uri =404"و یا "-f $uri" برای مشخص کردن وجود یا عدم وجود یک فایل، وجد نداشته باشد.
پیکربندی آسیب‌پذیر NGINXو PHP-FPMمی‌تواند به صورت زیر باشد:
 

در این مثال، از دستور " fastcgi_split_path_info" برای تقسیم URLصفحات PHPوب به دو بخش استفاده می‌شود، بخش اول یک موتور PHP-FPM برای فهمیدن نام اسکریپت و بخش دوم شامل اطلاعات مسیر آن است.

اکسپلویت اجرای کد از راه دور در PHP FPM چگونه عمل می‌کند؟

به گفته محققان، عبارتی که دستور " fastcgi_split_path_info" را تعریف می‌کند، با استفاده از کاراکتر خط جدید می‌تواند به گونه‌ای دستکاری شود که در نهایت تابع تقسیم کننده URL تمامی اطلاعات مسیر را خالی کند.

در مرحله بعد، از آنجا که یک اشاره‌گر محاسباتی در کد FPM وجود دارد که به اشتباه " env_path_info" را بدون تأیید وجود فایلی بر روی سرور، یک پیشوند مساوی با مسیر اسکریپت php تلقی می‌کند، این مسئله می‌تواند توسط یک مهاجم برای بازنویسی داده‌ها در حافظه با درخواست URLهای خاص ساخته شده از وب‌سایت‌های مورد هدف اکسپلویت شود.

برای مطالعه کامل کلیک نمایید.

به گزارش Hacker News، شرکت گوگل با انتشار نسخه 78.0.3904.87 کروم، به میلیاردها کاربر خود هشدار داد که برای وصله دو آسیب‌پذیری با شدت بالا، مرورگر خود را بروزرسانی کنند. در یکی از این آسیب‌پذیری‌ها مهاجمان می‌توانند کامپیوترها را در سراسر جهان اکسپلویت نمایند.

تیم امنیتی کروم بدون انتشار جزئیات فنی این آسیب‌پذیری‌ها، تنها بیان می‌کند که آنها از نوع use-after-freeمی‌باشند و یکی از این آسیب‌پذیری‌ها با شناسه " CVE-2019-13720" بخش‌های مربوط به صدا در این مرورگر و آسیب‌پذیری دیگر با شناسه " CVE-2019-13721" کتابخانه PDFiumرا تحت تأثیر خود قرار خواهد داد.

آسیب‌پذیری use-after-freeنوعی تخریب حافظه است که با تخریب یا تغییر داده‌های موجود در حافظه، یک کاربر غیرمجاز را قادر می‎سازد تا سطح دسترسی و امتیازات خود را در سیستم یا نرم‌افزار آسیب‌دیده افزایش دهد.

بنابراین، به واسطه هردو آسیب‌پذیری مذکور، مهاجمان می‌توانند از راه دور با ترغیب کاربران مورد هدف برای بازدید از یک وب‌سایت مخرب، امتیازاتی را بر روی مرورگر کروم بدست آورند، از محافظت‌های sandboxبگریزند و نیز کد مخرب خود را بر روی سیستم‌های مورد هدف اجرا نمایند.

از اینرو لازم است کاربرانی که از مرورگر کروم در کامپیوترهای ویندوز، مک و لینوکس استفاده می‌کنند سریعاً مرورگر خود را به آخرین نسخه آن بروزرسانی نمایند.

حملات فعال در آسیب‌پذیری روز صفرم گوگل کروم

آسیب‌پذیری روز صفرم در مرورگر کروم توسط محققان کسپرسکی به نام‌های Anton Ivanovو Alexey Kulaevکشف و گزارش شده است، آسیب‌پذیری مربوط به مؤلفه‌های صوتی در برنامه کروم در سراسر جهان مورد اکسپلویت قرار گرفته است، البته در حال حاضر هویت مهاجمان مشخص نیست.

تیم امنیتی گوگل کروم بیان کرد که این شرکت از گزارش‌های منتشر شده مبنی بر اکسپلویت آسیب‌پذیری " CVE-2019-13720" آگاه است.

use-after-free یکی از رایج‌ترین آسیب‌پذیری‌هایی است که در چند ماه گذشته در مرورگر کروم کشف و وصله شده است.. حدود یک ماه پیش، شرکت گوگل بروزرسانی امنیتی فوری را برای این مرورگر منتشر کرد تا در مجموع 4 آسیب‌پذیری use-after-free را در مؤلفه‌های مختلف آن رفع نماید. در شدیدترین آن آسیب‌پذیری‌ها، یک مهاجم از راه دور می‌تواند کنترل کامل سیستم آسیب‌دیده را بدست گیرد.

چند ماه پیش نیز، گوگل پس از اطلاع از اکسپلویت آسیب‌پذیری روز صفرم شبیه به use-after-freeدر کروم که FileReader این مرورگر را تحت تأثیر قرار می‌داد بروزرسانی امنیتی دیگری را منتشر کرد.

جزئیات فنی اکسپلویت روز صفرم کروم

یک روز پس از انتشار بروزرسانی گوگل برای رفع دو آسیب‌پذیری با شدت بالا در کروم، شرکت امنیت سایبری کسپرسکی جزئیات فنی بیشتری را در مورد این آسیب‌پذیری‌ها به این شرکت گزارش داد.

به گفته محققان، مهاجمان یک سایت خبری به زبان کره‌ای را مورد حمله قرار دادند. آنها کد اکسپلویتی را بر روی این سایت قرار داده و به واسطه آن، کامپیوترهای بازدید کننده از این سایت که از نسخه‌های آسیب‌پذیر کروم استفاده می‌کنند را مورد حمله خود قرار می‌دادند.
 

گفته می‌شود که این اکسپلویت پس از اکسپلویت آسیب‌پذیری CVE-2019-13720 کروم، در مرحله اول یک بدافزار را بر روی سیستم‌های مورد هدف نصب می‌کند و پس از آن به یک سرور کنترل و فرمان (command-and-control) کدگذاری شده و راه دور برای بارگیری payload نهایی متصل می‌شود.

محققان Operation WizardOpium عنوان کردند که این حمله سایبری هنوز به گروه خاصی از هکرها نسبت داده نشده است. با این حال، محققان شباهت‌هایی را در کد این اکسپلویت و گروه هکر Lazarus مشاهده کردند.

برای کسب اطلاعات بیشتر در مورد عملکرد اکسپلویت آسیب‌پذیری تازه وصله شده‌ی کروم، می‌توانید به گزارش جدیدیکه توسط کسپرسکی منتشر شده است مراجعه نمایید.

وصله جدید در دسترس است، سریعاً گوگل کروم را بروزسانی کنید!

برای وصله دو آسیب‌پذیری امنیتی مذکور، شرکت گوگل انتشار نسخه 78.0.3904.87 مرورگر کروم را برای سیستم‌عامل‌های ویندوز، مک و لینوکس را آغاز کرده است.

توصیه امنیتی
اگرچه این مرورگر به صورت خودکار، درباره آخرین نسخه موجود به کاربران اطلاع می‌دهد، اما توصیه می‌شود با رفتن به منوی Help → About Google Chrome، روند بروزرسانی را به صورت دستی شروع کنید.

علاوه بر این، به کاربران این مرورگر توصیه می‌شود در سریع‌ترین زمان ممکن تمام نرم‌افزارهای سیستم خود را به عنوان یک کاربر غیرمجاز اجرا کنند.

منبع خبر:

https://thehackernews.com/2019/11/chrome-zero-day-update.html

#‫آسیب پذیری امنیتی کشف شده در آنتی ویروس McAfee با شناسه اختصاص داده شده "CVE-2019-3648" می‌باشد و در تاریخ 5 آگوست 2019 به شرکت McAfee گزارش داده شده است. این آسیب‌پذیری توسط آزمایشگاه‌های SafeBreach در تمام نسخه‌های McAfee کشف شد. برای اکسپلویت این آسیب‌پذیری، مهاجم باید به عنوان یک مدیر اقدام به حمله نماید.

مهاجم می‌تواند از آسیب‌پذیری مذکور برای دور زدن مکانیسم‌های حفاظتی McAfeeو دستیابی به پایداری از طریق بارگیری چندین سرویس که به عنوان "NT AUTHORITY\SYSTEM" اجرا می‌شوند، استفاده کند.

از طریق این آنتی‌ویروس، چندین بخش به عنوان یک سرویس اجرا شده ویندوز توسط “NT AUTHORITY\SYSTEM” که دارای مجوز SYSTEM است، اجرا می‌شوند.

به گفته محققان، آنتی‌ویروس McAfee به عنوان "NT AUTHORITY\SYSTEM" در تلاش است تا فایل wbemcomn.dll را از مسیر (c:\Windows\System32\wbem\wbemcomn.dll) بارگذاری کند درحالیکه این فایل به System32مربوط است و نه به پوشه ystem32\Wbem.

این مسئله محققان را قادر می‌سازد تا یک DLL دلخواه را جهت بارگذاری در این فرآیند بارگذاری نمایند و مکانیسم‌های امنیتی این آنتی‌ویروس را دور بزنند. دلیل این امر نیز این است که پوشه‌های این آنتی‌ویروس توسط یک درایور سیستم‌فایل mini-filterمحافظت می‌شوند که حتی توسط یک مدیر، عملیات نوشتن را محدود می‌کند.

این آسیب‌پذیری به مهاجمان امکان بارگذاری و اجرای payloadهای مخرب را با استفاده از چندین سرویس به صورت مداوم و در چارچوب فرآیندهای McAfee می‌دهد.

شرکت McAfeeا ین آسیب‌پذیری را در تمام نسخه‌های آنتی‌ویروس خود وصله کرده است و از کاربران خواسته است تا نسخه 16.0.R22 را جهت رفع این آسیب‌پذیری نصب کنند. در این آسیب‌پذیری و در نسخه کلاینت ویندوز آنتی‌ویروس McAfee، مهاجمان می‌توانند کد دلخواه خود را اجرا کرده و به امتیازات SYSTEM دسترسی پیدا کنند.

حساب کاربری SYSTEM یک حساب کاربری داخلی است که توسط سیستم‌عامل ویندوز برای مدیریت سرویس‌هایی که تحت ویندوز اجرا می‌شوند، استفاده می‌شود.

این آسیب‌پذیری نسخه کلاینت ویندوز را در McAfee Total Protection، McAfee Anti-Virus Plus و McAfee Internet Security نسخه 16.0.R22 و قبل از آن را تحت تأثیر قرار می‌دهد.

منبع خبر:

https://gbhackers.com/vulnerability-mcafee-antivirus/

#‫آسیب_پذیری جدید کشف شده در سیستم مدیریت محتوای Wordpress از نوع information disclosure به شماره CWE-200 می­باشد که در تاریخ 17-11-2019 شناسایی شده است. این آسیب پذیری به نفوذگر امکان دسترسی به نام و نام کاربری عضو وب سایت را میسر می­سازد.
کلیه نسخ پایین تر از Wordpress 5.3 دارای این آسیب ­پذیری هستند. و تاکنون اطلاعاتی درمورد شماره CVE این آسیب پذیری منتشر نشده است.
در صورت بهره ­برداری از آسیب­ پذیری مذکور، نفوذگر قادر است اطلاعات بیشتری درمورد وب­سایت هدف بدست آورد که می تواند در حملات دیگر مانند Bruteforce نیز تاثیرگذار باشد.
روش پیش­گیری از نشت این اطلاعات، بروزرسانی نسخه Wordpress به نسخه های بالاتر از 5.3 می­باشد.

منبع :

https://www.exploit-db.com/exploits/47720

بدافزارهای مخرب شناسایی شده در ماه اکتبر 2019، با ماه قبل همخوانی زیادی دارد و بار دیگر Emotet به ترکیب اضافه می‌شود. 10 بدافزار مخرب 72% کل فعالیت­های مخرب را در ماه اکتبر را شامل می­شوند که نشان می­دهد این 10 مورد، سرعت آلودگی به بدافزارها را افزایش می‌دهند. آلودگی­های Emotet و متعاقب آن TrickBot بیشترین فعالیت را در ماه انجام داده و %40 از کل اعلان‌های بدافزار را تشکیل می‌دهند.

در اکتبر 2019، بدافزارهای دسته چندگانه که ترکیبی از بدافزارها هستند، بیشترین هشدارها را در لیست 10 بدافزار برتر به خود اختصاص دادند. افزایش شدید در دسته‌های چندگانه و malspam به کمپین‌های توزیع مجدد Emotet نسبت داده می شود زیرا Emotet ، TrickBot را بر روی سیستم‌های آلوده اعمال می­کند. همچنین آلودگی­های ZeuS و TrickBot افزایش فعالیت در دسته‌های چندگانه در پنج ماه گذشته را نشان می‌دهد. Emotet ، Dridex ، Kovter ، Ursnif و NanoCore باعث افزایش آلودگی­های مربوط به دسته malspam در ماه اکتبر می‌شوند. احتمال زیادی وجود دارد که با شروع فعالیت‌های توزیع Emotet ، malspam همچنان ادامه یابد.

خانواده‌های مخربی که در این ماه بسیار مطرح بوده‌اند به صورت زیر می‌باشد:

Dropped: این خانواده شامل بدافزارهای موجود بر روی سیستم، کیت‌های اکسپلویت و نرم‌افزارهای آلوده شخص ثالث می‌شود. بدافزارهای Gh0st در این خانواده قرار دارند.

Multiple: بدافزارهایی که در حال حاضر در حداقل دو خانواده بدافزاری فعالیت دارند. بدافزارهای ZeuS، CoinMiner و Trickbotحداقل در دو خانواده بدافزاری فعالیت دارند.

Malspam: ایمیل‌های ناخواسته که کاربر را ترغیب به دانلود بدافزار از سایت‌های مخرب و یا باز کردن پیوست‌های مخرب موجود در ایمیل‌ها می‌کند. بدافزارهای NanoCore، Dridex، Cerberو Kovterدر این خانواده قرار دارند.

Network: بدافزارهایی که از پروتکل‌های قانونی شبکه یا ابزارهای آن مانند پروتکل SMB یا PowerShell از راه دور، بهره‌برداری می‌کنند. بدافزارهای WannaCry و Brambul در این خانواده قرار دارند.

Malvertising: بدافزارهایی که به منظور تبلیغات مخرب استفاده می‌شوند.

لیست ده بدافزار مخرب این ماه به صورت زیر است:

Trickbot: یک تروجان بانکی ماژولار است که توسط تروجان Emotet و از طریق کمپین‌های malspam گسترش پیدا کرد. این تروجان بانکی پس از نصب شدن، تروجان بانکی IcedID را دانلود می‌کند. برای حذف کامل این تروجان بانکی از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://howtoremove.guide/trickbot-malware-removal/
https://blog.malwarebytes.com/detections/trojan-trickbot/

Emotet: یک infostealer ماژولار است که تروجان‌های بانکی را بارگیری یا رها می‌کند. می‌توان آن را از طریق لینک‌های بارگیری مشکوک یا پیوست‌ها، مانند PDF یا اسناد Word به‌صورت گسترده تکثیر شوند. Emotet همچنین ماژول‌های پراکندگی را به منظور پخش در سراسر شبکه در اختیار دارد. در دسامبر سال 2018، Emotetبا استفاده از یک ماژول جدید که از محتوای ایمیل خارج می‌شود، مشاهده شد.

https://www.cisecurity.org/blog/top-10-malware-october-2019/

ZeuS: یک تروجان بانکی است که همه نسخه‌های ویندوز را تحت‌تاثیر قرار می‌دهد. این تروجان با اجرای keystroke logging و form grabbing می‌تواند اطلاعات حساس بانکی را سرقت کند و بعد از قرار گرفتن بر روی سیستم قربانی، باج‌افزار CryptoLocker را هم بر روی آن قرار می‌دهد. برای حذف کامل این تروجان بانکی از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://malwaretips.com/blogs/zeus-trojan-virus/
https://www.2-spyware.com/remove-zeus-trojan.html

Dridex: این بدافزار ویندوزی که همچنین با عنوان‌های Bugat و Cridex شناخته می‌شود، یک تروجان بانکی است که با ماکروهای Microsoft Word & Excel و از طریق پیوست‌ ایمیل‌ها گسترش می‌یابد. برای حذف کامل این تروجان بانکی از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://blog.malwarebytes.com/detections/trojan-dridex/
https://howtoremove.guide/dridex-virus-malware-removal-trojan/

Kovter: یک بدافزار کلاهبرداری بدون فایل و دانلودگر است که با مخفی شدن در کلیدهای رجیستری، از شناسایی شدن جلوگیری می‌کند. این بدافزار قابلیت سرقت اطلاعات شخصی، دانلود بدافزارهای دیگر و دادن دسترسی‌های غیر مجاز به مهاجمان را هم دارد. برای حذف کامل این بدافزار از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://www.bleepingcomputer.com/virus-removal/remove-kovter-trojan
https://blog.malwarebytes.com/detections/trojan-kovter/
https://howtoremove.guide/trojan-kovter/

Cryptowall: باج‌افزاری است که معمولاً از طریق malspam با پیوست‌های مخرب ZIP، آسیب‌پذیری‌های Java و تبلیغات مخرب توزیع و تکثیر می‌شود. پس از آلودگی سیستم، CryptoWall فایل‌ها، منابع شبکه و درایوهای قابل جابجایی سیستم را اسکن می‌کند. همچنین بر روی سیستم‌های 32 بیتی و 64 بیتی قابل اجرا است. برای توضیحات بیشتر به لینک زیر مراجعه کنید:

https://www.cisecurity.org/blog/top-10-malware-october-2019/
https://www.knowbe4.com/cryptowall

Gh0st: یک تروجان دسترسی از راه دور می‌باشد که توسط سایر بدافزارها و برای ایجاد یک در پشتی در میزبان آلوده گسترش می‌یابد و توانایی بدست گرفتن کنترل کامل دستگاه آلوده را دارا می‌باشد. برای حذف کامل این بدافزار از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://www.virusresearch.org/gh0st-rat-removal/
https://howtoremove.guide/gh0st-rat/

NanoCore: یک تروجان دسترسی از راه دور می‌باشد که از طریق اسپم‌ها و فایل‌های پیوست اکسل گسترش می‌یابد. این بدافزار دارای دستوراتی برای دانلود و اجرای سایر فایل‌ها، مشاهده وب‌سایت‌ها و ایجاد کلیدهایی در رجیستری برای دوام و پایداری بیشتر است. برای حذف کامل این بدافزار از سیستم خود می‌توانید به لینک‌های زیر مراجعه کنید:

https://www.pcrisk.com/removal-guides/14031-nanocore-rat-virus
https://howtoremove.guide/nanocore-rat

Cerber: این باج‌افزار قادر به رمزگذاری پرونده‌ها در حالت آفلاین است و به دلیل تغییر نام کامل فایل‌ها و افزودن پسوند تصادفی به آن‌ها شناخته شده است. در حال حاضر شش نسخه از Cerber وجود دارد که هر کدام بطور خاص تکامل یافته و از شناسایی شدن توسط الگوریتم‌های یادگیری ماشین فرار می‌کنند. در حال حاضر، ابزار رمزگشایی فقط برای نسخه اول این باج‌افزار در دسترس می‌باشد:

https://howtoremove.guide/cerber-ransomware-virus-removal/
https://www.2-spyware.com/remove-cerber-virus.html

Tinba: با نام مستعار(Tiny Banker) یک تروجان بانکی است که به دلیل حجم پرونده‌های کوچک مشهور است. Tinba از تزریق وب برای جمع‌آوری اطلاعات قربانیان از صفحات ورود به سیستم و فرم‌های وب استفاده می کند و در درجه اول از طریق کیت‌های اکسپلویت تکثیر می‌شود. این تروجان آخرین بار در لیست 10 بدافزار مخرب در ژوئن 2019 حضور داشت. برای کسب اطلاعات بیشتر می‌توانید به لینک‌ زیر مراجعه کنید:

https://www.lifewire.com/what-is-tiny-banker-trojan-aka-tinba-4769557

منبع خبر:

https://www.cisecurity.org/blog/top-10-malware-july-2019/

#‫رمزگشای باج‌افزار TurkStatik توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.

باج‌افزار TurkStatik برای اولین بار در اواسط نوامبر ۲۰۱۹ میلادی مشاهده گردید که با توجه به پیغام باج‌خواهی آن که به زبان ترکی است، کاربران ترک زبان را هدف گرفته است. این باج‌افزار از الگوریتم رمزگذاری Rijndael 256 جهت رمزگذاری فایل‌های قربانیان خود استفاده می کند.
 

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .cipheredمی‌باشد، می‌توانید فایل‌های خود را رمزگشایی کنید.
لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/turkstatik

#‫رمزگشا ی باج‌افزار Jigsaw توسط پژوهشگران شرکت امنیتی Emsisoft به روزرسانی شد.

باج‌افزار Jigsaw برای اولین بار در سال ۲۰۱۶ ظهور پیدا کرد و تاکنون به پسوندهای مختلف منتشر شده و قربانیان بسیاری در سراسر جهان داشته است. این باج‌افزار طبق الگویی مشخص، به مرور فایل‌های رمزشده را حذف می‌کند. پس از ۷۲ ساعت، تمام فایل‌های رمزشده را نیز حذف می‌کند. البته در صورتی که پیش از ۷۲ ساعت، باج‌افزار بسته شود و یا سیستم ری‌استارت شود، به صورت خودکار دوباره اجرا شده و به عنوان جریمه ۱۰۰۰ فایل رمز شده را بلافاصله حذف می‌کند. این باج‌افزار از الگوریتم رمزگذاری AES 128 جهت رمزگذاری فایل‌های قربانیان خود استفاده می‌کند.

در صورتی که فایل‌های شما توسط این باج‌افزار رمزگذاری شده‌اند، می‌توانید از طریق این رمزگشا فایل‌های خود را رمزگشایی کنید. این رمزگشا قادر است فایل‌هایی با ۸۵ پسوند مختلف را رمزگشایی کند.
 

نکته مهم:

پیش از اجرای رمزگشا، این مراحل را انجام دهید:

• در Task Manager، دو فرآیند firefox.exeو drpbx.exe را End Task نمایید.
• سپس در Run ویندوز خود، عبارت msconfig را تایپ نموده و اجرا کنید.
• در پنجره  msconfig به زبانه Startupرفته و تیک مربوط به موردی که با عنوان firefox.exe و آدرس %UserProfile%\AppData\Roaming\Frfx\firefox.exe.

می‌باشد را برداشته و سپس رمزگشا را اجرا نمایید.
لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/jigsaw

#‫رمزگشای باج‌افزار Hakbit توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.

باج‌افزار Hakbit برای اولین بار در اوایل نوامبر ۲۰۱۹ میلادی مشاهده گردید. نکته قابل توجه این باج‌افزار، تکنیک مورد استفاده جهت انجام عملیات رمزگذاری در پوشش فرآیندهای آشنای سیستم‌‎عامل ویندوز است. این ترفند به این صورت است که باج‌افزار، نام فایل اجرایی خود را به نام‌هایی نظیر svchost.exe ، chrome32.exe و موارد مشابه تغییر می‌دهد تا توسط سیستم عامل و کاربر به راحتی شناسایی نشود. این باج‌افزار از الگوریتم رمزگذاری AES 256 جهت رمزگذاری فایل‌های قربانیان خود استفاده می کند.
 

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .crypted می‌باشد، می‌توانید از طریق این رمزگشا فایل‌های خود را رمزگشایی کنید.
لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/hakbit

گوگل به تازگی یک نقص اندرویدی با شناسه‌ی CVE-2019-2114 را وصله کرده است که به هکرها اجازه‌ می‌داد از طریق ویژگی اندوریدی به نام #NFC_beaming به گوشی‌های اطراف، بدافزار منتشر سازند.
NFC beaming از طریق یک سرویس اندرویدی داخلی به نام Android Beam کار می‌کند. این سرویس، به یک دستگاه اندرویدی اجازه می‌دهد داده‌های بزرگ همچون تصاویر، فیلم‌ها، ویدیو‌ها یا حتی برنامه‌های کاربردی را به دستگاه دیگری در همان نزدیکی از طریق امواج رادیویی NFC (Near-Field Communication، ارتباط در محدوده نزدیک) به جای استفاده از WiFi یا بلوتوث، ارسال کند.
زمانی که فایل‌های APK از طریق NFC Beaming منتقل می‌شوند، بر روی دیسک ذخیره و اعلانی بر روی صفحه، نمایش داده می‌شود. این اعلان از صاحب دستگاه سؤال می‌کند که آیا می‌خواهد به سرویس NFC اجازه دهد یک برنامه را از یک منبع ناشناس نصب کند یا خیر. اما در ماه ژانویه‌ی سال جاری، یک محقق امنیتی دریافت که این اعلان در اندروید 8 (Oreo) و نسخه‌های پس از آن، نمایش داده نمی‌شود. در عوض، این اعلان به کاربر اجازه می‌دهد برنامه‌ی کاربردی را با یک ضربه و بدون هیچ‌گونه اخطار امنیتی، نصب کند. اگرچه نبود اعلان خطر بی‌اهمیت به‌نظر می‌رسد؛ اما مسئله‌ی مهمی در مدل امنیتی اندروید است. دستگاه‌های اندرویدی اجازه ندارند برنامه های کاربردی را از منابع ناشناس نصب کنند (هر برنامه‌‌ای که از فروشگاه رسمی Play Store نصب نشود، غیرقابل اعتماد در نظر گرفته می‌شود). اگر کاربران بخواهند برنامه‌ای را از منبعی خارج از Paly Store نصب کنند، باید به بخش “Install apps from unknown sources” سیستم‌عامل اندروید خود بروند و این ویژگی را فعال سازند. گزینه‌ی “Install apps from unknown sources” تا Android 8.0 یک تنظیم سیستمی بود و برای تمامی برنامه‌ها یکسان بود. از Android 8.0، گوگل این مکانیزم را تغییر داد و تنظیمات را مبتنی بر برنامه‌ی کاربردی ساخت.
در نسخه‌های اندرویدی جدید، کاربران می‌توانند به بخش “Install unknown app” در تنظیمات امنیتی اندروید بروند و به برنامه‌های خاصی اجازه دهند برنامه‌ی دیگری نصب کنند. به نظر می‌رسد هر برنامه‌ی سیستمی که مورد تأیید گوگل باشد به‌طور اتوماتیک در لیست سفید قرار می‌گیرد و از کاربر برای نصب برنامه اجازه گرفته نمی‌شود. Android Beam نیز در لیست سفید برنامه‌های قابل اعتماد قرار دارد و به همان میزان Paly Store قابل اعتماد است؛ لذا مجاز به نصب هر برنامه‌ای از منبع ناشناس است. این بدان معنی نیست که این نقص به راحتی قابل سوءاستفاده است. اگرچه ناشناخته‌بودن برنامه هشدار داده نمی‌شود؛ اما هنوز سیستم‌عامل اندروید از کاربر برای نصب برنامه اجازه می‌گیرد.
وصله‌های اندرویدی ماه اکتبر سال 2019 گوگل، سرویس Android Beam را از لیست سفید منابع قابل اعتماد سیستم‌عامل اندروید حذف کرده است. با این وجود، میلیون‌ها کاربر در معرض خطر قرار دارند. اگر کاربران سرویس NFC و سرویس Android Beam را فعال کرده باشند، یک مهاجم در آن نزدیکی می‌تواند بدافزار را در گوشی‌های تلفن همراه آن‌ها قرار دهد. از آنجاییکه برای نصب از منابع ناشناس سؤالی پرسیده نمی‌شود، با ضربه بر روی اعلان، نصب برنامه‌ی مخرب آغاز می‌شود. این خطر وجود دارد که بسیاری از کاربران به اشتباه تصور کنند این پیام از Play Store است و با تصور اینکه به‌روزرسانی یک برنامه است، آن را نصب کنند.
متأسفانه ویژگی NFC در بسیاری از گوش‌های تلفن همراه که به تازگی به فروش رسیده‌اند، فعال است؛ اما از آنجاییکه اتصالات NFC تنها زمانی آغاز می‌شود که دو گوشی به فاصله‌ی نزدیک 4 سانتی‌متر (1.5 اینچ) یا کمتر از هم قرار داشته باشند، لازم است مهاجم گوشی خود را در نزدیکی قربانی قرار دهد که چنین چیزی همیشه ممکن نیست.
جهت حفظ ایمنی می‌توان اقدامات زیر را انجام داد:

• خاموش‌کردن مجوز NFC جهت نصب برنامه‌های ناشناس (این امر مانع از نصب APK توسط NFC می‌شود).
• غیرفعال‌ ساختن هر دوی ویژگی NFC و سرویس Android Beam.. اگر کاربری از گوشی اندرویدی خود به عنوان کارت دسترسی یا پرداخت‌های بی‌مخاطب استفاده می‌کند، می‌تواند NFC را فعال بگذارد و سرویس Android Beam را غیرفعال سازد.
• در نهایت می‌توان به‌روزرسانی امنیتی ماه اکتبر سال 2019 گوگل را دریافت کرد و به استفاده از هر دوی NFC و Beam ادامه داد.