Δευτέρα, 22 Απριλίου 2019

Τα νέα των Ransomware, 22/4/2019

Είχαμε την εμφάνιση ενός νέου "παίκτη" στο προσκήνιο την εβδομάδα που μας πέρασε, που ονομάζεται RobbinHood. Επιτέθηκε και παρέλυσε το σύστημα Η/Υ στο Greenville των ΗΠΑ ενώ εμφανίζεται ιδιαίτερα δραστήριος.

Είχαμε την ανακοίνωση της Δίωξης Ηλεκτρονικού Εγκλήματος στην Ελλάδα για τον JNEC και είχαμε και τον NamPoHyu που επιτίθεται σε Samba Servers.

Κατά τ' άλλα, τα γνωστά, Scarab, Matrix, Dharma...

Ας τα δούμε αναλυτικά:

Δελτίο Τύπου της Δίωξης Ηλεκτρονικού Εγκλήματος για τον JNEC 

Πραγματικά, χαιρόμαστε όταν βλέπουμε κάποιες υπηρεσίες στην Ελλάδα να λειτουργούν σωστά.
Στις 18/4/19, η Δίωξη Ηλεκτρονικού Εγκλήματος εξέδωσε Δελτίο Τύπου μέσω του οποίου προειδοποιεί του πολίτες για τον κίνδυνο του JNEC, όπως τον είχαμε περιγράψει με έκτακτο post μας στο παρόν blog. 

Συγχαίρουμε τη ΔΗΕ για την ενημέρωση προς το κοινό και αναμένουμε συνέχεια! 


O RobbinHood επιτίθεται σε ολόκληρα δίκτυα, δίνει επιλογές αποκρυπτογράφησης, "ενδιαφέρεται" για τα προσωπικά δεδομένα...

Νέος player στο προσκήνιο, με θύμα ήδη την πόλη του GreenVille στην North Carolina (για την επίθεση αυτή διεξάγει έρευνα το FBI). Ονομάζεται RobbinHood και κρυπτογραφεί όλους τους Η/Υ που είναι συνδεδεμένοι στο δίκτυο. Στη συνέχεια, ζητάει είτε 3 bitcoin για κάθε Η/Υ που μολύνθηκε, ή 7 bitcoin για όλους τους Η/Υ του δικτύου.
Απειλούν ότι για κάθε ημέρα, το ποσό αυξάνεται κατά $10.000 (...).
Έχουν και ένα disclaimer ότι μετά την πληρωμή των λύτρων διαγράφονται όλα τα προσωπικά στοιχεία του θύματος, για την προστασία των προσωπικών του δεδομένων (...).



Νέος Python

Τοποθετεί την επέκταση .locked.


Νέος DECRYPTABLE Ransomware

Ονομάζεται Proyecto X και τοποθετεί την επέκταση .robinhood.
EXOYME ΛΥΣΗ ΓΙΑ ΤΟΝ ΣΥΓΚΕΚΡΙΜΕΝΟ.



Nέος Android Ransomware, κλειδώνει και κρυπτογραφεί

Ονομάζεται Sauron και κλειδώνει συσκευές Android. Κρυπτογραφεί δεδομένα και αλλάζει την ταπετσαρία με αυτήν:


Αλλάζει τα ζητούμενα λύτρα ανάλογα με την περιοχή του θύματος.


O NamPoHyu επιτίθεται σε Samba Servers

Αυτός, που είναι επίσης γνωστός ως MegaLocker, έχει την ιδιαιτερότητα ότι αντί να μολύνει τα θύματά του με εκτελέσιμο κακόβουλο που τρέχει στον Η/Υ του θύματος, τρέχει το κακόβουλο τοπικά, και απομακρυσμένα κρυπτογραφεί ευάλωτους Samba Servers...



Δευτέρα, 8 Απριλίου 2019

Μια νέα παραλλαγή των κλασικών πορνογραφικών μηνυμάτων ηλεκτρονικής αλληλογραφίας της CIA θέτει πλέον νέα στάνταρ !


              Όσα ξέραμε από την μέχρι τώρα διασπορά τέτοιων email, πλέον επαναπροσδιορίζονται. Οι οδηγίες για πληρωμή του υποτιθέμενου “προστίμου” ώστε να αποφύγουν τα θύματα την δίωξη, έρχεται σε συνημμένο PDF αρχείο που προστατεύεται με κωδικό πρόσβασης. Αυτό προφανώς στα μάτια κάποιου μη γνώστη κάνει τη διαδικασία πιο σοβαρή και πιθανώς πιστευτή.














Δευτέρα, 1 Απριλίου 2019

Τα νέα των Ransomware, 1/4/2019

Αν εξαιρέσει κανείς το πιο παρανοϊκό Ransomware που έχουμε δει ποτέ, μοίαζει σαν μια τυπική εβδομάδα:
Δεκάδες νέα στελέχη από ήδη γνωστές οικογένειες έκαναν την εμφάνισή τους το διάστημα που μας πέρασε.

Μοιάζει πολύ τετριμμένο πλέον, αλλά είχαμε Dharma, Scarab, Matrix, STOP, είχαμε και Xorist, είχαμε και τον UNNAM3D που μόλυνε 30.000 Η/Υ σε λίγες μόνο ώρες, είχαμε και ένα ιδιωτικό πάρκινγκ στον Καναδά να παραλύει από χτύπημα Ransomware, απ' όλα είχε ο μπαξές.

Ας τα δούμε αναλυτικά:


Dharma χτυπάει ιδιωτικό πάρκινγκ στον Καναδά, οι πελάτες παρκάρουν δωρεάν

Στις 28/3/19, η CIRA (Canadian Internet Registration Authority), κάτι σαν τη δική μας ΕΕΤΤ, που διαχειρίζεται τα public internet domains (.ca), χτυπήθηκε από Dharma.
O συγκεκριμένος σταθμός ανήκει στην ιδιωτική εταιρία Precise Parklink και μετά το χτύπημα κατέρρευσε το σύστημα ελέγχου και πληρωμών, με αποτέλεσμα να μπαίνει στο χώρο όποιος θέλει και να παρκάρει δωρέαν.






Νέοι STOP

H λαίλαπα STOP συνεχίζει ακάθεκτη.
Μετά τα 42 (!!!!!) νέα στελέχη που είχαμε στο τελευταίο δίμηνο, για την προηγούμενη εβδομάδα είχαμε:
Τον .chech
Tον .luceq
Toν .proden
Τον .drume

Tον .tronas
Τον .trosak
Τον .grovas

Και δύο νέοι Dharma

Τοποθετούν τις επεκτάσεις .bk666 και .stun αντίστοιχα.
Τίποτα το καινούργιο.

Λύση για τον Hacked

Πρόκειται για ένα στέλεχος που είχε κάνει την εμφάνισή του το 2017. Αν και η διανομή του γενικά ήταν ήπια, είχε αρκετά θύματα.
Η Emsisoft κυκλοφόρησε λύση για το συγκεκριμένο στέλεχος.



Να και ένας Ματριξ

Toποθετεί την επέκταση .MDEN ή SDEN. Πρόκειται για το ίδιο στέλεχος.

O BigBobRoss παριστάνει τον STOP

Όπως αναμενόταν μετά την δημοσίευση λύσης για τον BigBobRoss πριν από 10 μέρες, εμφανίστηκαν δύο νέα στελέχη του, για τα οποία προς το παρόν δεν υπάρχει λύση.
Το ένα στέλεχος τοποθετεί την επέκταση .djvu (την οποία χρησιμοποιεί ο STOP) και το άλλο την .encryptedALL.
UPDATE: Πλέον και ο encryptedALL είναι αντιμετωπίσιμος.

Παρασκευή, 22 Μαρτίου 2019

Η εξέλιξη των σκληρών δίσκων - Ιστορική αναδρομή με ημερομηνίες (photos)

Έχουν περάσει 63 χρόνια από τη μέρα που η ΙΒΜ παρουσίασε τον πρώτο σκληρό δίσκο στον κόσμο, τον ΙΒΜ 350.

Ήταν το 1956, όταν η ΙΒΜ ανακοίνωσε ότι μπορεί να επινοικιάσει τον 350 σε όποιον το ήθελε (είχε μέγεθος μεγάλης ντουλάπας), για το διόλου ευκαταφρόνητο ποσό την εποχή εκείνη των ~$3.000 / μήνα.

Να σημείωσουμε ότι η χωρητικότητα του ΙΒΜ 350 ήταν 3.75ΜΒ (MegaByte).


O IBM 350

Τρίτη, 19 Μαρτίου 2019

ΕΚΤΑΚΤΟ! Κενό του WinRAR διασπείρει Ransomware!

ΚΕΝΟ ΑΣΦΑΛΕΙΑΣ ΤΟΥ WINRAR ΔΙΑΣΠΕΙΡΕΙ ΤΟΝ JNEC RANSOMWARE!


Στις 22/2/2019 έγινε γνωστό ότι υπάρχει ένα κενό ασφαλείας στη δημοφιλή εφαρμογή WinRAR, το οποίο κενό, μάλιστα, θεωρείται ότι υφίσταται από το 1999!

Συγκεκριμένα, το κενό ασφαλείας αυτό, επιτρέπει στους επιτιθέμενους να αποκτήσουν πλήρη πρόσβαση στον Η/Υ του θύματος, χρησιμοποιώντας τεχνικές RCE (Remote Code Execution). 

Στις 18/3/2019, περίπου 3 εβδομάδες μετά την ανακοίνωση του κενού ασφαλείας, εντοπίστηκε νέος Ransomware, ο οποίος ονομάζεται JNEC.a και διασπείρεται όταν το θύμα δοκιμάσει να αποσυμπιέσει το .rar αρχείο που θα λάβει, με έκδοση του WinRAR η οποία είναι ευάλωτη.

Ουσιαστικά ευάλωτες θεωρούνται όλες οι εκδόσεις του WinRAR από την 5.70 και πίσω (με την 5.70 να θεωρείται καθαρή).

Ο τρόπος με τον οποίο λειτουργεί ο συγκεκριμένος Ransomware έχει ενδιαφέρον, καθώς ο επιτιθέμενος δελεάζει τα θύματά του χρησιμοποιώντας μια "σπασμένη" φωτογραφία μίας κοπέλας. 



Το WinRAR θα εμφανίσει μήνυμα σφάλματος, ο χρήστης δεν θα δώσει ιδιαίτερη σημασία, όμως το κακό έχει γίνει και ο JNEC έχει ήδη εγκατασταθεί.


Το δεύτερο σημείο που έχει ενδιαφέρον με αυτόν τον Ransomware, είναι το γεγονός ότι ο επιτιθέμενος ζητάει από τα θύματά του να δημιουργήσουν έναν λογαριασμό GMAIL στον οποίο θα στείλει τα αιτήματά του για λύτρα.

Στο Ransom Note αναφέρεται ξεκάθαρα αυτή του η απαίτηση:


Το Ransomware εκμεταλλεύεται το κενό ασφαλείας του WinRAR και τοποθετεί το κακόβουλο λογισμικό στην εκκίνηση των Windows, ονομάζοντάς το GoogleUpdate.exe 


Kαι σαν να μην έφταναν όλα αυτά, ο ίδιος ο κώδικας του JNEC είναι τόσο κακογραμμένος, που ούτε ο ίδιος ο δημιουργός του θα μπορούσε να τον αποκρυπτογραφήσει (συν τοις άλλοις κρυπτογραφεί όλα τα αρχεία στο σύνολό τους, με αποτέλεσμα να θέλει ώρες αν όχι μέρες για να ολοκληρώσει την κρυπτογράφηση). Βάσει αυτού, ο συγκεκριμένος Ransomware θεωρείται wiper, καθώς δεν υπάρχει τρόπος αποκρυπτογράφησης, ακόμα και αν έχει κάποιος το κλειδί (ή ακόμα και να είναι ο ίδιος ο δημιουργός του κακόβουλου λογισμικού).
Γι'αυτό, μεγάλη προσοχή σε όλους!

ΤΙ ΠΡΕΠΕΙ ΝΑ ΚΑΝΕΤΕ


Ανανεώστε τις εκδόσεις του WinRAR σε όλους τους Η/Υ σας, έτσι ώστε η έκδοσή του να είναι η 5.70 ή νεότερη.
Μπορείτε να κάνετε την ανανέωση από εδώ.