در تاریخ 21 اوت سال 2019 میلادی، برای نخستین بار خبرهایی از انتشار #‫باج‌افزار Nemty منتشر گردید. بر اساس مشاهدات صورت گرفته، این باج‌افزار از طریق سرویس دسترسی از راه دور مبتنی بر پروتکل RDP منتشر می‌گردد. گزارش‌هایی نیز مبنی بر سوءاستفاده این باج‌افزار از اکسپلویت کیت RIG، برای نفوذ به سیستم قربانیان منتشر گردیده است. باج‌افزار Nemty از الگوریتم AES برای رمزگذاری فایل‌های موردنظر خود در سیستم قربانیان استفاده می‌کند. گزارش پیش رو مربوط به نسخه منتشر شده در تاریخ 31 آگوست 2019 می‌باشد

رمزگشای باج‌افزار Syrk توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.
باج‌افزار Syrk برای اولین بار در ماه آگوست 2019 میلادی مشاهده گردید. طبق اخبار منتشر شده، این باج‌افزار که ظاهراً در پوشش یک ابزار هک برای بازی ویدیویی Fortnite منتشر می‌گردد، فایل‌های قربانی را با الگوریتم AES-256رمزگذاری نموده پسوند .Syrk را به انتهای فایل‌های رمزگذاری شده اضافه می‌کند. باج‌افزار مورد اشاره متن پیغام باج‌خواهی خود را در قالب یک فایل متنی به نام Readme_now.txt و با مضمون زیر در سیستم قربانی قرار می‌دهد:

در اوایل ماه آوریل سال 2019 میلادی، خبر انتشار باج‌افزاری قدرتمند به نام #Sodinokibi در فضای سایبری منتشر شد. محققان امنیتی بدلیل رفتار مشابه این باج‌افزار در شیوه رمزگذاری فایل‌ها و همچنین تشابه در کد باج‌افزار، آن را بسیار شبیه به باج‌افزار GandCrab می‌دانند. حتی عده‌ای تیم توسعه دهنده این باج‌افزار را با باج‌افزار GandCrab یکسان می‌دانند و معتقدند که این دو باج‌افزار از یک خانواده هستند. باج‌افزار Sodinokibi به اسامی دیگری از جمله Sodin و Revil نیز شناخته می‌شود. در ادامه تحلیل یکی از جدیدترین نسخه‌های این باج‌افزار را مشاهده می‌کنید.

در اواخر ماه جولای 2019 میلادی، Lukas Stefanko پژوهشگر امنیتی شرکت ESET خبر از کشف باج‌افزار اندرویدی جدیدی داد که از طریق پیامک، لینکی حاوی فایل اصلی باج‌افزار را به تمام مخاطبین قربانی ارسال می‌نمود. این باج‌افزار بسیار خطرناک که توسط شرکت ESET با کد رمز Android/Filecoder.C (FileCoder) نامگذاری گردیده است، قادر است اطلاعات کاربران دارای تلفن همراه با سیستم‌عامل اندروید 5.1 به بالا را رمزگذاری نماید.

دانلود پیوست

براساس بررسی های انجام شده در فضای بدافزارهای ایرانی، دسته ای از بدافزارها با صدها نمونه ی مختلف کشف شد که همگی آنها مربوط به توسعه دهنده ای به نام “RTR” است. بدافزارهای RTR با رفتارهای مخرب و عناوین متنوعی در حال انتشار و فعالیت هستند. برخی از این بدافزارها در فروشگاه های اندرویدی منتشر شده اند و برخی دیگر از طریق تبلیغات تلگرامی و دانلود خودکار توسط دیگر برنامه ها روی دستگاه قربانیان قرار گرفته اند. به طورکلی بدافزارهای RTR را می توان در5 شاخه مختلف دسته بندی کرد:
1 بدافزارهای مخفی شونده که از نام‌های مستهجن برای جذب مخاطب استفاده می‌کنند.

رصد فضای سایبری در حوزه #‫باج_افزار، از ظهور باج‌افزار Jemd خبر می دهد. فعالیت این باج‌‍‌افزار نخستین بار در تاریخ 16 دسامبر 2018 میلادی گزارش شده است. این باج‌افزار، از الگوریتم AES برای رمزگذاری فایل‌های سیستم قربانی استفاده می‌کند. نکته جالب در مورد باج‌افزار Jemd این است که هیچ تغییری در نام فایل‌ها ایجاد نکرده و پسوندی به آن‌ها اضافه نمی‌کند. همچنین تا زمانی که فایل باج‌افزار در سیستم قربانی فعال باشد، نمی‌توان هیچ عملی(تغییرنام،کپی و...) بر روی فایل‌های رمزگذاری شده انجام داد.

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از ظهور فعالیت سایبری جدید مهاجمین فارسی زبان در شبکه‌های اجتماعی در زمینه توسعه و انتشار باج‌افزار خبر می‌دهد. طبق آخرین مشاهدات صورت گرفته، این فعالیت در قالب RaaS (باج‌افزار به عنوان یک سرویس) در گروه‌ها و کانال‌های تلگرامی در حال شکل‌گیری و رشد بوده است.

در چند ماه گذشته اطلاعات چندین #‫آسیب‌پذیری روزصفر در سیستم‌عامل ویندوز توسط تحلیلگری امنیتی با نام کاربری SandboxEscaper منتشر شده است. یکی از این آسیب‌پذیری‌ها که poc آن در github و exploitdb با نام Deletebug1 در اختیار عموم قرار گرفته از نوع ارتقای سطح دسترسی به واسطه سرویس #Microsoft_Data_Sharing در سیستم عامل ویندوز است.

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام Ghost خبر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اواسط ماه نوامبر سال 2018 میلادی شروع شده است و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد.

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ی InsaneCrypt به نام Mega Cryptorr خبر می‌دهد که پس از رمزگذاری فایل‌ها، به انتهای آن‌ها پسوند .bip را اضافه می‌کند. بررسی ها نشان می دهد که فعالیت این باج افزار در تاریخ 29 نوامبر سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد.

دانلود پیوست