تحلیل فنی باج‌افزار OnyxLocker

در تاریخ 6 اکتبر سال 2019 میلادی، اخباری مبنی بر مشاهده #‫باج‌افزار ی با عنوان OnyxLocker منتشر شد. طبق مشاهدات صورت گرفته، این باج‌افزار از طریق یک سند مایکروسافت آفیس با فرمت RTF که کد فایل اصلی به آن تزریق شده است، به سیستم قربانی خود نفوذ می‌کند. طبق بررسی‌های صورت گرفته، باج‌افزار OnyxLocker از کتابخانه‌ای با نام XXTEA در فرآیند رمزنگاری خود بهره برده است. الگوریتم رمزنگاری مورد استفاده در کدنویسی این باج‌افزار، DES با طول کلید 192بیت می‌باشد. این باج‌افزار، پسوند فایل‌های رمزگذاری‌شده را به onx. تغییر می‌دهد.

بررسی بدافزار فیلترشکن NiceVPN

در این گزارش، بدافزاری با عنوان فیلترشکن بررسی و عملکرد آن تشریح خواهد شد. این بدافزار درواقع یکی از فیلترشکن‌هایی را که کد منبع آن­ها در اختیار است تغییر داده و منتشر کرده است. با توجه به اینکه این بدافزار مجوزهای خواندن مخاطبین و ارسال پیامک را دارد، پس از نصب متن تبلیغ به همراه لینک دانلود برنامه را به تمامی مخاطبین ذخیره ­شده بر روی گوشی همراه کاربر فرستاده و ایشان را به دانلود این برنامه ترغیب می‌کند. هم­چنین برنامه برای خرید نسخه ویژه و یا ارتقاء به نسخه­ ی غیر رایگان، یک صفحه ­ی فیشینگ به کاربر نمایش داده می‌شود.

رمزگشای باج‌افزار Aurora

#‫رمزگشای باج‌افزار Aurora توسط پژوهشگران به‌روزرسانی شد.
این باج‌افزار که به نام‌های Zorro، Desu و AnimusLocker نیز شناخته می‌شود، با بهره گیری از الگوریتم‌های XTEAو RSA فایل‌های قربانیان را رمزگذاری کرده و پیغام‌ باج‌خواهی خود را در قالب یک فایل متنی و با اسامی زیر در سیستم قربانی قرار می‌دهد:

رمزگشای باج‌افزار Muhstik

#‫رمزگشای باج‌افزار Muhstik توسط پژوهشگران ارائه شد.
این باج‌افزار با نفوذ به ذخیره‌سازهای QNAP و با بهره‌گیری از الگوریتم AES-256 فایل‌های قربانیان را رمزگذاری کرده و پیغام‌ باج‌خواهی خود را در قالب یک فایل متنی و با نام‌ README_FOR_DECRYPT.txt در سیستم قربانی قرار می‌دهد.
 

رمزگشای باج‌افزار HildaCrypt

#‫رمزگشای باج‌افزار HildaCrypt توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.
#‫باج‌افزار HildaCrypt در ابتدا به عنوان گونه جدیدی از باج‌افزار خانواده STOP شناخته می‌شد اما چیزی نگذشت که مشخص گردید نام این باج‌افزار در واقع HildaCrypt است. این باج‌افزار، فایل‌های قربانی را با الگوریتم‌های AES-256وRSA-2048 رمزگذاری نموده و پسوند .mike و یا .HCY! را به انتهای فایل‌های رمزگذاری شده اضافه می‌کند. باج‌افزار HildaCrypt طبق ادعای سازندگان آن، برای اهداف آموزشی و سرگرمی ساخته شده است.
تصویر زیر پیغام باج‌خواهی باج‌افزار HildaCrypt را نشان می‌دهد:

رمزگشای باج‌افزار GalactiCrypter

#‫رمزگشای باج‌افزار GalactiCrypter توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.
باج‌افزار GalactiCrypter، اولین بار در سال ۲۰۱۶ منتشر شد و ادامه فعالیت خود را در سال ۲۰۱۹ مجدداً از سر گرفت. این باج‌افزار که از الگوریتم رمزنگاری AES-256 برای رمزگذاری فایل‌ها بهره می‌برد، رشته کاراکتر ENCx45cR را مانند الگوی زیر به ابتدای فایل‌های رمز شده می‌چسباند.

رمزگشای باج‌افزار WannaCryFake

#‫رمزگشای باج‌افزار WannaCryFake توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.
این باج‌افزار، با پسوند مشابه باج‌افزار مخرب و مشهور WannaCry پس از مدت کوتاهی از انتشار سراسری آن منتشر شد. باج‌افزار WannaCryFake فایل‌های قربانی را با الگوریتم AES-256 رمزگذاری نموده و پسوندی را با الگوی

رمزگشای باج‌افزارهای Yatron و FortuneCrypt

#‫رمزگشا ی باج‌افزارهای Yatron و FortuneCryptتوسط پژوهشگران شرکت امنیتی Kaspersky ارائه شد.
این باج‌افزار که شهرت خاصی ندارد و به علت بهره گیری از کد باج‌افزار HiddenTear از الگوریتم رمزنگاری ضعیفی استفاده می‌کند، توانسته است حداقل 600 قربانی را آلوده کند. این باج‌افزار، پسوند .Yatron را به انتهای فایل‌های رمزشده اضافه می‌کند. طبق گزارش شرکت Kaspersky، عمده قربانیان این باج‌افزار از کشورهای آلمان، چین، روسیه، هند و میانمار بوده‌اند.
تصویری از فایل‌های رمزشده توسط این باج‌افزار در تصویر زیر قابل مشاهده است:
 

بررسی آسیب‌پذیری‌های سیستم‌عامل بلادرنگ VxWorks

هنگامی‌ که آسیب­ پذیری‌های عمده در سیستم ­عامل­ های معمول مانند ویندوز مایکروسافت پیدا می­شود، با سوءاستفاده از این آسیب­ پذیری­ها می­توان میلیون‌ها دستگاه را تحت تأثیر قرار داد. در ماه جولای امسال تیم تحقیقاتی Armis، Armis Labs، 11آسیب پذیری روز صفرم را در VxWorks، پرکاربردترین سیستم عامل مورد استفاده که ممکن است هرگز در مورد آن نشنیده باشید، کشف کرده اند. VxWorksدر بیش از 2 میلیارد دستگاه از جمله دستگاه­های مهم صنعتی، پزشکی و سازمانی مورد استفاده قرار می­گیرد.

تحلیل فنی باج‌افزار Ouroboros

براساس اخبار منتشر شده، #‫باج‌افزار Ouroboros از اواخر آوریل 2019 میلادی مشاهده شده است. این باج‌افزار که نسل بعدی باج‌افزار Zeropadypt به شمار می‌آید، به سبب پسوندهایی که به انتهای فایل‌های رمزگذاری شده اضافه می‌کند، به نام‌های Limbo و Lazarus نیز شناخته می‌شود. باج‌افزار Ouroboros از الگوریتم AES جهت رمزگذاری فایل‌های موردنظر خود در سیستم قربانی استفاده می‌کند. نسخه‌ تحلیل شده در این گزارش در تاریخ 18 اوت سال جاری میلادی مشاهده گردیده است.