#‫رمزگشای جدیدی برای باج‌افزار Nemty توسط پژوهشگران شرکت امنیتی Tesorionهلند ارائه شد.

در تاریخ 21 اوت سال 2019 میلادی، برای نخستین بار خبرهایی از انتشار باج‌افزار Nemtyمنتشر گردید. بر اساس مشاهدات صورت گرفته، این باج‌افزار از طریق سرویس دسترسی از راه دور مبتنی بر پروتکل RDP منتشر می‌گردد. گزارش‌هایی نیز مبنی بر سوءاستفاده این باج‌افزار از اکسپلویت کیت RIG، برای نفوذ به سیستم قربانیان منتشر گردیده است. باج‌افزار Nemty از الگوریتم AES برای رمزگذاری فایل‌های موردنظر خود در سیستم قربانیان استفاده می‌کند.
 

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند با الگوهای

• _Nemty_<7 کاراکتر تصادفی>_

می‌باشند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.
این رمزگشا در پایگاه پروژه NoMoreRansom قرار گرفته است. برای دانلود رمزگشا و راهنمایی رمزگشایی به آدرس زیر رفته و نام باج‌افزار را در لیست جستجو کنید:

https://www.nomoreransom.org/en/decryption-tools.html

همچنین شما می‌توانید به صورت مستقیم رمزگشا را از لینک زیر دانلود کنید:

https://mdsassets.blob.core.windows.net/downloads/NemtyDecryptor.exe

طی هفته جاری بدافزار جدیدی در حوزه #‫فیشینگ با نام «ضد فیشینگ» شناسایی شده است که ادعا می‌کند برنامه‌ای جهت تشخیص لینکهای فیشینگ بوده و اینگونه لینکها را از سایر لینکها تشخیص میدهد. اما با بررسی کد برنامه مشخص شد که پس از عضوگیری، روند برنامه تغییر پیدا کرده و کاربران را به صفحات فیشینگ هدایت میکند. کارگزار کنترل و فرمان این بدافزار در آدرس panell.website/antipish قرار دارد و از این طریق، هر زمان که مهاجم بخواهد، رفتار برنامه تغییر میکند. براساس اطلاعات موجود در سرور برنامه، تاکنون بیش از 472 نصب داشته است.

دانلود گزارش کامل

پیرو هشدار قبلی در خصوص افزایش حملات به سرویس دهنده‌های #SQL_Server بر روی #‫پورت_۱۴۳۳، نتایج رصد حسگرهای این مرکز نشان‌ دهنده گسترش آلودگی احتمالی سرورها در داخل کشور و فعالیت آنها به عنوان مهاجمین جدید در این حملات است.
 

با بررسی نمودارهای روند مشخص می‌شود که در دو ماه اخیر دو پیک حمله بر روی این پورت توسط سنسورهای مرکز ماهر ثبت شده است. اولین پیک حمله در اوایل شهریور ماه ثبت شده که در نمودار(1) در نقطه A قابل مشاهده است، حملات این نقطه حجم کمتری نسبت به حملات نقطه B در اواخر مهر و اوایل آبان ماه دارد. همچنین با بررسی نمودار(2) دو پیک C و D در نقاط زمانی مشابه نمودار قبل قابل مشاهده است. با بررسی این نمودار مشخص می‌شود که تعداد حملات در نقطه D به طرز چشمگیری نسبت به نقطه C افزایش پیدا کرده است. این موضوع نشاندهنده ایجاد آلودگی بیشتر بر روی سیستمهای داخل کشور است.
 

در این حمله مهاجم، شبکه هدف را برای یافتن سرورهای SQL Server با گذرواژه ضعیف اسکن کرده و با بکارگیری حمله Brute-force اقدام به ورود به سیستم می‌کند. در ادامه مهاجم با ایجاد برخی ‌ Jobها در SQL Server، فرامین مختلفی را اجرا کرده و یا بدافزارهایی را به سیستم منتقل کند. بدافزارهای منتقل شده در این روش می‌توانند هر نوع بدافزاری باشند.
 

مهاجم با این حمله گسترده در پی یافتن سیستم‌های آسیب‌پذیر در شبکه‌های مختلف همچون سرورهای دارای گذرواژه ضعیف است. برای جلوگیری نفوذ مهاجمین از طریق این حملات بر روی سرور SQL Server در سازمان توصیه می‌شود :

• از قرارگیری این سرورهای بصورت نامحدود بر بستر اینترنت اکیدا خودداری کنید
• از گذرواژه مطمئن و مقاوم در برابر حمله brute-force برای اکانت SQL Server استفاده کنید

در صورتی که SQL Server شما در معرض اینترنت قراد داشته است علاوه بر اطلاعات فوق لازم است:

• فهرست SQL Server Agent Job ها را جهت شناسایی موارد ایجاد شده‌ی احتمالی توسط مهاجمین بررسی کنید
• با توجه به احتمال آلودگی،‌ بررسی دقیقی بر روی سیستم عامل از نظر وجود ردپای نفوذ مهاجمین و آلودگی احتمالی انجام دهید.

شرکت Cisco یکی از بزرگترین تولیدکنندگان تجهیزات نرم‌افزاری و سخت‌افزاری شبکه می باشد که با توجه به پیشرفت روز افزون حوزه فناوری اطلاعات و به موازات آن افزایش چشم‌گیر تهدیدات سایبری در سطح جهان و آسیب‌پذیری‌های موجود در این تجهیزات می‌تواند موجب به خطر افتادن اطلاعات کاربران شود. از این رو بخش‌های مختلف Cisco به صورت مداوم و چندین مرتبه در ماه اقدام به ارائه آسیب‌پذیری‌های کشف شده در سرویس‌ها و تجهیزات این شرکت کرده و راه‌حل‌هایی برای رفع این آسیب‌پذیری‌ها ارائه می‌کنند. در این گزارش محصولاتی که دارای آسیب‌پذیری‌ با سطح (Critical) هستند و می‌توان با مراجعه به لینک مشخص شده اطلاعات جامع در مورد آسیب‌پذیری و نحوه رفع آن را کسب کرد.
 

بررسی نتایج رصد حسگرهای مرکز ماهر نشانده افزایش تلاش مهاجمین در شناسایی سرورهای SQL Server آسیب‌پذیر در شبکه کشور و نفوذ به آنها از اوایل ماه جاری است. این حملات بر روی پورت ۱۴۳۳ صورت گرفته و عمدتا از طریق brute-force و نفوذ به سرورهای دارای رمز عبور ضعیف صورت می‌گیرد. پس از نفوذ موفق، مهاجم از طریق ایجاد SQL Server Agent job های مختلف نسبت به تثبیت دسترسی خود و دریافت بدافزارهای مختلف بر روی سرور اقدام می‌کند.
این حملات از IP های داخل و خارج کشور در جریانند:
 

در صورتی که SQL Server شما در معرض اینترنت قراد داشته است لازم است:

• نسبت به محدودسازی دسترسی در سطح اینترنت اقدام کنید
• رمز عبود مناسب جهت پیشگیری از موفقیت حملات brute-force اننخاب کنید
• فهرست SQL Server Agent Job ها را جهت شناسایی موارد ایجاد شده‌ی احتمالی توسط مهاجمین بررسی کنید.

یک آسیب‌پذیری حیاتی در ابزار #kibana شناسایی و گزارش شده است. kibana یک داشبورد تحت وب جهت مدیریت و تصویرسازی و تحلیل های آماری است که معمولا در کنار پایگاه داده‌ی elasticsearch استفاده می شود.

این آسیب پذیری خطرناک با شناسه‌ی CVE-2019-7609 با درجه CVSS 10 امکان اخذ دسترسی از راه دور را برروی سروری فراهم می کند. ضعف امنیتی مربوطه در سرویس Timelion visualizer بوده و از نوع command Injection است (CWE-77).

نسخه های آسیب پذیر این ابزار شامل همه نسخه های قبل از 5.6.15 و همچنین نسخه های 6.0.0 تا قبل از 6.6.1 می باشد.

با توجه به انتشار exploit سواستفاده از این آسیب پذیری درفضای اینترنت و امکان اخذ دسترسی از راه دور توسط مهاجمین، هرچه سریعتر درخصوص بروز رسانی این ابزار اقدام کنید.

منبع :

https://www.tenable.com/blog/cve-2019-7609-exploit-script-available-for-kibana-remote-code-executio…

#‫رمزگشا ی #‫باج‌افزار Paradiseتوسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.

این باج‌افزار در ابتدای سپتامبر ۲۰۱۷ ظهور پیدا کرد و تا کنون به پسوندهای متعدد منتشر شده است. باج‌افزار Paradise از الگوریتم Salsa20 و RSA-1024 برای عملیات رمزگذاری استفاده می‌کند.

شایان ذکر است که این باج‌افزار از نوع Ransomware-as-a-service و از خانواده باج‌افزار Dharma می‌باشد.
 

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند

• .paradise
• .2ksys19
• .p3rf0rm4
• .FC

می‌باشند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.

لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/paradise

#‫رمزگشای جدیدی برای #‫باج‌افزار Ouroboros توسط پژوهشگران شرکت امنیتی BitDefender ارائه شد.

این باج‌افزار در ابتدای آوریل ۲۰۱۹ ظهور پیدا کرد و تا کنون به پسوندهای متعدد منتشر شده و تعداد قربانیان قابل توجهی در سراسر جهان را آلوده کرده است. باج‌افزار Ouroboros از الگوریتم AES-256 و بر اساس دستورات aesencو aesenclast برای عملیات رمزگذاری استفاده می‌کند که این موضوع باعث می‌شود تا این باج‌افزار بر روی سیستم‌های با پردازنده قدیمی (پیش از سال ۲۰۱۰) کار نکند.

پیغام باج خواهی باج‌افزار برای قربانیان پسوند Lazarus:
 

پیغام باج خواهی باج‌افزار برای قربانیان پسوند Lazarus+:
 

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند با الگوهای

• [ID=XXXXXXXXXX][Mail= * ].Lazarus
• [ID=XXXXXXXXXX][Mail= * ].Lazarus+

می‌باشند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.

لینک صفحه رسمی دانلود رمزگشا در سایت BitDefender:

https://labs.bitdefender.com/2019/10/ouroboros-ransomware-decryption-tool

در آوریل 2019، #‫بدافزار جدیدی کشف شد که ارتباطات وب رمزگذاری شده را به روشی چشمگیر به خطر می‌اندازد. تجزیه و تحلیل این بدافزار این اجازه را داد تا تأیید کنند که اپراتورها یک سری کنترل خاص روی کانال شبکه‌ی هدف دارند و می‌توانند نصب کننده‌های قانونی را با موارد آلوده در حال اجرا جایگزین کنند.

اسم این نسل جدید از بدافزار را که کشف کرده‌اند Reductor است که اجازه می‌دهد مهاجم ترافیک پروتکل HTTPرا توسط آسیب پذیری موجود در فرآیند تولید اعداد تصادفی یک مرورگر که برای اطمینان از اتصال خصوصی بین مشتری و سرور استفاده می‌شود دستکاری کند. Reductor پس از یک مسیر .pdb در برخی از نمونه‌ها به جا مانده است. علاوه بر کارکردهای معمول تابع RAT، مانند: بارگذاری، بارگیری و اجرای فایل ها ، نویسندگان Reductorتلاش زیادی را برای دستکاری در صدور گواهینامه‌های دیجیتال و علامت گذاری برون مرزی ترافیک TLSبا شناسه‌های مرتبط با میزبان انجام می‌دهند.

تیم جهانی تحقیقاتی و تجزیه و تحلیل (GReATGReAT) در کاسپرسکی، این بدافزار را کشف کرده‌اند. طبق گفته‌ی آن ها هنگامی‌که کسی از طریق این بدافزارآلوده شود، از Reductor برای جاسوسی از فعالیت مرورگر قربانی استفاده می‌شود. محققان گفتند که از Reductor برای جاسوسی سایبری از اشخاص دیپلماتیک که عضوی از جمهوری های پس از اتحاد جمایر شوروی هستند و به عنوان کشورهای مستقل مشترک المنافع شناخته می‌شوند، استفاده می‌شود. این محققان گفتند Reductor ارتباط نزدیکی با تروجان COMpfun دارد.

برای مطالعه کامل کلیک نمایید.

هشت #‫آسیب‌پذیری با شدت بالا در Foxit Reader که نرم‌افزار معروف PDF است وجود دارد که در حال حاضر وصله‌های آن‌ها توسط شرکت Foxit Software (شرکت پشتیبان Foxit Reader) وصله شده‌اند. این نقص‌ها در نسخه‌های ویندوزی Foxit Reader وجود دارند و به یک مهاجم راه‌دور اجازه می‌دهند کد دلخواه را در سیستم‌های آسیب‌پذیر اجرا کنند.

شرکت Foxit Software نسخه‌ی Foxit Reader 9.7را جهت رفع مشکلات امنیتی احتمالی، منتشر ساخته است و اصرار دارد مشتریانش ابزار خود را به آخرین نسخه، به‌روزرسانی کنند.

شدیدترین این نقص‌ها که با شناسه‌ی CVE-2019-5031 ردیابی می‌شود و دارای امتیاز CVSS 8.8از 10.0 است، در روش تعامل Foxit Reader با موتور جاوااسکریپت (برنامه‌ای که کد جاوااسکریپت را اجرا می‌کند) وجود دارد. Foxit Reader می‌تواند برای اسناد تعاملی و فرم‌های پویا از جاوااسکریپت پشتیبانی کند. به عنوان مثال، هنگامی که یک کاربر، یک سند PDFرا باز می‌کند، Foxit Reader می‌تواند جاوااسکریپت را اجرا کند؛ اما، هنگامی که نسخه‌های خاصی از موتور جاوااسکریپت (نسخه 7.5.45و نسخه‌های پیشین در موتور V8 JavaScript) در نسخه‌ی 9.4.1.16828 Foxit Reader استفاده می‌شوند، می‌توانند منجر به اجرای کد دلخواه و انکار سرویس شوند. دلیل این امر این است که در نسخه‌ی متأثر Foxit Reader، بازکردن موتور جاوااسکریپت منجر به اختصاص حجم زیادی حافظه می‌شود که به سرعت، تمام حافظه‌های موجود را مصرف می‌کند. این امر معمولاً منجر به شناسایی یک حالت خارج از حافظه می‌شود و فرایند خاتمه می‌یابد.

به گفته‌ی Cisco Talos، در یک سناریوی حمله، یک سند PDF دستکاری‌شده‌ی خاص می‌تواند یک وضعیت خارج از حافظه که به صورت صحیح مدیریت نشده است، ایجاد کند و منجر به اجرای کد دلخواه شود. جهت سوءاستفاده از این آسیب‌پذیری، لازم است مهاجم یک کاربر را به بازکردن یک فایل مخرب فریب دهد. فعال بودن افزونه‌ی پلاگین مرورگر نیز می‌تواند منجر به سوءاستفاده از این آسیب‌پذیری شود.

سایر آسیب‌پذیری‌های با شدت بالا در Foxit Reader، دارای امتیاز 7.8از 10در مقیاس CVSS هستند. تمامی این آسیب‌پذیری‌ها به مهاجم راه‌دور اجازه‌ی دسترسی به قربانیان را می‌دهند. Foxit به کاربران ویندوز که دارای نسخه‌ی 9.6.0.25114و پیش از آن هستند توصیه می‌کند، Foxit Reader را به 9.7و پس از آن ارتقا دهند.

سه مورد از این نقص‌ها (CVE-2019-13326، CVE-2019-13327، CVE-2019-13328)، مربوط به روش پردازش فیلدهای درون اشیای AcroForm هستند. AcroForm، فایل‌های PDFهستند که شامل فیلدهای فرم هستند و داده‌ها می‌توانند وارد این فیلدها شوند. این مشکلات از عدم اعتبارسنجی وجود یک شیء پیش از انجام عملیات بر روی شئ ناشی می‌شوند. مهاجم می‌تواند از این آسیب‌‌پذیری به‌منظور اجرای کد، در متن فرایند فعلی، سوءاستفاده کند.

چهار آسیب‌پذیری با شدت بالای دیگر در Foxit Reader، مربوط به روش مدیریت فایل‌های TIF (CVE-2019-13329)، فایل‌های JPG (CVE-2019-13330,CVE-2019-13331)و الگوهای فرم XFA (CVE-2019-13332)توسط Foxit Readerهستند. XFA مخفف XML Forms Architecture و خانواده‌ای از مشخصات اختصاصی XMLاست که توسط JetForm جهت بهبود پردازش فرم‌های وب ارایه شده است.

این نقص‌ها به مهاجمین راه‌دور اجازه می‌دهند تا کد دلخواه را در نصب‌های متأثر Foxit Reader اجرا کنند. اما در همه‌ی آن‌ها، هدف ابتدا باید به یک صفحه مخرب مراجعه یا یک پرونده مخرب را باز کند.