فا

‫ اطلاع‌رسانی‌ها

نتایج جستجو براساس برچسب: "گزارشات تحلیلی "
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

#باج_افزار Cryptonنسخه جدیدی از خود را در ماه مه سال جاری میلادی منتشر کرده که از طریق سرویس‌های آسیب‌پذیر remote desktopخود را به سیستم قربانیان می‌رساند. گزارش‌های ناشی از آلودگی کاربران ایرانی به این باج‌افزار نشان از لزوم آگاهی رسانی و پیشگیری در برابر این با‌ج‌افزار دارد.

بررسی‌های اولیه نشان داد که این بدافزار برای دشوار کردن تحلیل، نام کتابخانه‌ها، توابع و رشته‌های مورد استفاده را مبهم کرده است. برای این کار بدافزار از روش جانشانی ساده‌ای استفاده کرده است. این امر باعث می‌شود در زمان اجرای بدافزار، این رشته‌ها کدگشایی و کتابخانه‌های مورد استفاده بارگذاری شوند. بدافزار پس از اجرا شدن، در اولین گام، زبان مورد استفاده سیستم را بررسی می‌کند و در صورتی که یکی از زبان‌های روسی، اوکراینی و قرافستانی باشد به فعالیت خود خاتمه می‌دهد. همچنین‌ بدافزار اجرا شدن در دیباگر و ماشین های مجازی را تشخیص می‌دهد و در صورت تشخیص دادن اجرا در چنین محیط‌هایی به فعالیت خود خاتمه می‌دهد

دانلود گزارش تحلیلی

دانلود گزارش فنی

3 تیر 1397 دسته‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

به تازگی گونه ای از #باج_افزار با نام فایل smsss.exe که نام مشخصی برای آن در نظر گرفته نشده است، توسط تیم های تحقیقاتی کشف شده است. این باج ­افزار به زبان سی­ شارپ و تحت پلتفرم دات­ نت توسعه داده شده است و از جهت نحوه دور زدن آنتی­ ویروس­ها یکی از جالب­ترین و بروزترین باج ­افزارهاست که از امکانات بی­ نظیر ماشین مجازی دات­ نت برای این کار استفاده کرده است. این باج ­افزار کد مخرب خود را به صورت کد سی شارپ توسعه الگوریتم متقارن AES رمزنگاری کرده و به صورت رشته ­های هگزادسیمال درون فایل اصلی جای داده است. سپس با کمک کامپایلر سی ­شارپ که در زمان اجرا قابل دسترسی است، کد را کامپایل کرده و تابع اصلی کد مخرب را فراخوانی می­کند. سپس کد مخرب اقدام به رمزنگاری فایل­ها توسط الگوریتم متقارن AES می­کند. این روش باعث شده تا تحلیل و ردیابی آن برای آنتی ­ویروس­ها و تیم­ های تحقیقاتی سخت­ تر شود. نکته جالب توجه آن است که باج ­افزار کلید رمزنگاری را درون یک فایل ذخیره می­کند و کاربر می‌تواند با دانستن نحوه کار الگوریتم، فایل­ها را رمزگشایی کند. احتمالا این قضیه نشان می­دهد این باج ­افزار هنوز در مرحله توسعه قرار دارد.

دانلود گزارش کامل باج افزار

3 تیر 1397 دسته‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

اخیراً کاربران شبکه اینترنت درگیر #باج‌_افزاری به نام Gandcrabبودند که از طریق ایمیل منتشر می‌شد. این باج‌افزار و بسیاری از بدافزارهای دیگر از خانواده‌ای بدافزاری به نام Phorpiex  (یا Trick) برای انتشار خود استفاده می‌کنند. Phorpiexیک بات‌نت است که چندین سال است با استفاده از پروتکل IRCبا سرور فرماندهی و کنترل خود ارتباط برقرار می‌کند و فرمان‌های بدخواهانه شامل دانلود سایر بدافزارها، ارسال ایمیل و کرک میل سرور را روی سیستم قربانیان اجرا می‌کند. Phorpiexبدافزار پیشرفته و پیچیده‌‌ای محسوب نمی‌شود اما به مدت ده سال است که فعال بوده و برای انتشار بسیاری از خانواده‌های بدافزاری مورد استفاده قرار گرفته است.

تحلیل برخی از بدافزارهای این خانواده نشان دهنده آن است که مشخصات فایل pdbاین بدافزار که در زمان کمپایل تولید شده در رشته‌های برنامه موجود است. این رشته (C:\Users\x\Desktop\Home\Code\Trik v6.0 - WORK - doc\Release\Trik.pdb) در بسیاری از بدافزارها که مربوط به سال‌های اخیر بوده‌اند قابل مشاهده است و به نظر می‌رسد این بدافزارها نیز توسط توسعه دهنده این خانواده بدافزاری توسعه داده شده‌اند. نکته قابل توجه این است که اخیراً بدافزارهای دارای رشته مذکور با تکرار بالایی در سایت  virustotalبارگذاری شده‌اند که نشان دهنده آن است که احتمالاً این بدافزار به تازگی در کمپین‌های فعال بدافزاری در حال استفاده شدن است.

 

گزارش تحلیل

بررسی این بدافزار نشان دهنده آن است که بدافزار کد خود را مبهم‌سازی نکرده است. در اولین مرحله پس از اجرا شدن، بدافزار نسخه‌ای از خود را با یکی از نام‌های winsvc.exe، Winsrvc.exe، winmgr.exe، Winsam.exeیا Windsrcn.exeدر یکی از سه دایرکتوری زیر کپی می‌کند:

  • C:\Windows
  • C:\Users\$USERNAME\%TEMP%
  • C:\Users\$USERNAME\

بدافزار از روش‌‌های ساده‌ای برای گریز از تشخیص داده شدن و تحلیل استفاده کرده است

دریافت کامل گزارش تحلیلی 

2 تیر 1397 دسته‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ باج‌افزار ShinoLockerخبر می‌دهد.بررسی­ ها نشان  می­ دهد فعالیت این باج­ افزار در اوایل ماه می سال 2018 میلادی شروع شده است. به نظر می رسد خانواده‌ باج‌افزار ShinoLockerبرای اهداف آموزشی توسعه داده شده است و تنها فایل‌هایی که بر روی Desktopوجود دارند را رمزگذاری می‌کند. در نسخه‌های قدیمی باج‌افزار ShinoLockerقربانیان به راحتی می‌توانستند با برقراری ارتباط با سرور کنترل و فرمان (C&C) کلید رمزگشایی فایل‌ها را دریافت نمایند، اما در نسخه‌ی جدید به دلایل مختلف امکان دریافت کلید رمزگشایی پس از برقراری ارتباط با سرور C&Cوجود ندارد.

دانلود پیوست

17 خرداد 1397 دسته‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در روزهای اخیر در زمینه #باج_افزار، از شروع فعالیت نمونه‌ جدیدی ب نام CryptConsole-2018 خبر می‌دهد. این باج‌افزار به نام CryptConsole-Sequreنیز شناخته می‌شود. بررسی­ها نشان می­دهد فعالیت این باج­افزار در نیمه‌ی دوم ماه آوریل سال 2018 میلادی شروع شده و به نظر می­رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می­باشد. این باج‌افزار که هم اکنون در حال توسعه می‌باشد، ویژگی جالبی دارد که آن را از دیگر باج‌افزارها متمایز می‌کند، بدین صورت که پس از نفوذ به سیستم قربانی، به جای اجرای مستقیم یک پردازه، باج افزار یک کد رمزگذاری شده به زبان C#را کامپایل می‌کند و آن را به طور مستقیم در حافظه به اجرا در می‌آورد.

دانلود پیوست

17 خرداد 1397 دسته‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه‌ جدیدی با نام RansomAES خبر می‌دهد. بررسی ها نشان می دهد فعالیت این باج افزار در ابتدای ماه می سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران کره‌ای زبان می باشد. این باج‌افزار از الگوریتم‌های رمزنگاری AES در حالت ECB و RSA 2048 بیتی استفاده می‌کند. باج افزار RansomAES دایرکتوری‌ها و فایل‌هایی با پسوندهای خاص را رمزگذاری می‌نماید و پسوند فایل‌ها را پس از رمزگذاری به .RansomAES تغییر می‌دهد. این باج افزار همانند اکثر باج افزارها، پس از رمزگذاری فایل ها از قربانیان تقاضای بیت کوین می کند.

دانلود پیوست

 

7 خرداد 1397 دسته‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام Sepsisخبر می‌دهد. بررسی ها نشان می­ دهد فعالیت این باج ­افزار در نیمه‌ی اول ماه می سال 2018 میلادی شروع شده و به نظر می­ رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می­باشد. این باج‌افزار از الگوریتم رمزنگاری AESاستفاده می‌کند و به جز دایرکتوری‌هایی خاص در درایو اصلی ویندوز که در ادامه به آن اشاره خواهیم نمود، تمام فایل‌های موجود در سیستم قربانی شامل تصاویر، فایل‌های ویدئویی، اسناد، پایگاه داده‌ها و ... را رمزگذاری می‌کند و پسوند فایل‌ها را پس از رمزگذاری به .[Sepsis@protonmail.com].SEPSISتغییر می‌دهد. این باج ­افزار همانند اکثر باج ­افزارها، پس از رمزگذاری فایل­ ها از قربانیان تقاضای بیت­ کوین می­کند.

 


دانلود پیوست

7 خرداد 1397 دسته‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ی باج‌افزار Crysis/Dharmaخبر می‌دهد که پس از رمزگذاری فایل‌ها، پسوند آن‌ها را به .bipتغییر می‌دهد. بررسی ­ها نشان می­دهد فعالیت این باج­افزار در اواسط ماه می سال 2018 میلادی شروع شده است. بر خلاف نسخه‌های قبلی خانواده Crysis/Dharmaکه تمرکز آن‌ها بیشتر بر روی کاربران انگلیسی زبان بود، جامعه‌ هدف این باج‌افزار در حال حاضر مشخص نمی‌باشد. این باج‌افزار از الگوریتم‌های رمزنگاری RSAو AES(Rijndael)برای رمزگذاری فایل‌ها استفاده می‌کند و به جز دایرکتوری‌هایی خاص در درایو اصلی ویندوز که در ادامه به آن اشاره خواهیم نمود، تمام فایل‌های موجود در سیستم قربانی شامل تصاویر، فایل‌های ویدئویی، اسناد، پایگاه داده‌ها و ... را رمزگذاری می‌کند. این باج­افزار همانند اکثر باج­افزارها، پس از رمزگذاری فایل­ها از قربانیان تقاضای بیت­کوین می­کند.

دانلود پیوست

7 خرداد 1397 دسته‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام Satan Cryptor v22 خبر می‌دهد. بررسی ­های اولیه نشان می­دهد فعالیت این باج افزار در 8 آوریل سال 2018 میلادی شروع شده و به نظر می­رسد همانند نسخه‌ قبلی تمرکز آن بیشتر بر روی کاربران انگلیسی، کره‌ای و چینی می­باشد. اولین نسخه‌‌ این باج‌افزار در اواسط ماه دسامبر 2017 میلادی منتشر شد که از قربانیان تقاضای پرداخت 0.5 بیت‌کوین به عنوان مبلغ باج‌خواهی می‌کرد، اما در نسخه‌ی جدید این مبلغ به 0.3 بیت‌کوین کاهش یافته است. با توجه به اینکه در هر دو نسخه‌ی باج‌افزار از یک ایمیل مشابه جهت برقراری ارتباط با مهاجمین استفاده شده است، این احتمال را می‌دهیم که توسعه‌دهندگان هر دو نسخه‌ باج‌افزار یک فرد یا یک گروه باشند.

دانلود پیوست

7 خرداد 1397 دسته‌ها: گزارشات تحلیلی
انتشار بدافزار استخراج‌کننده ارز دیجیتال تحت عنوان فیلترشکن تلگرام

پس از فیلتر شدن تلگرام بدافزارهای مختلفی تحت عنوان تلگرام بدون فیلتر، فیلترشکن و غیره منتشر شدند. در این گزارش به بررسی یکی از این بدافزارها که پس از نصب مخفی شده و اقدام به استخراج ارز دیجیتال مونرو می‌کند، پرداخته شده است. 

دانلود گزارش

7 خرداد 1397 دسته‌ها: اخبار, گزارشات تحلیلی
صفحات: 1 2 3 4 5 ... » »»