Δευτέρα, 17 Σεπτεμβρίου 2018

Τα νέα των Ransomware, 17/9/2018

Η εβδομάδα που μας πέρασε ήταν σχετικά ήσυχη όσον αφορά τα νέα στελέχη, είχαμε όμως τους "μεγάλους παίκτες" να εμφανίζουν νέα στελέχη. Είχαμε νέους Scarab, νέο Dharma και καινούριο Matrix. 

Είχαμε βέβαια και την εμφάνιση του Kraken Cryptor που παριστάνει το γνωστό λογισμικό καταπολέμησης spyware, το SuperAntiSpyware.

Αν και τα Ransomware εμφανώς έχουν κατεβάσει ταχύτητα, είναι ακόμα εκεί έξω.
Σιγουρευτείτε ότι παίρνετε backups, προσέχετε ποια email ανοίγετε, πού κάνετε κλικ και έχετε πάντα τα Remote Desktop πίσω από firewall.

Τιμής ένεκεν, θα αφήσουμε ατόφια την προειδοποίηση που είχαμε γράψει την προηγούμενη εβδομάδα για τον Dharma. Οι επιτήδειοι πολλαπλασιάστηκαν.


Ας τα δούμε αναλυτικά:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA -- ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ

Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 1 μήνα ο Dharma, ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.
Μας έχουν προσεγγίσει από τουλάχιστον 4 διαφορετικές μεριές την τελευταία εβδομάδα μόνο. Φυσικά τους καταγγείλαμε στις αρχές.

Ένα παράδειγμα:





Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY.

Για την ιστορία, οι παραπάνω "experts" μας κοστολόγησαν τη "δουλειά" τους 2800-3400 ευρώ, όσο περίπου δηλαδή κοστίζει και η παροχή του κλειδιού από τους δημιουργούς.

Nέος Dharma- Brr

Tην προηγούμενη Δευτέρα εμφανίστηκε νέο στέλεχος του Dharma που τοποθετεί την επέκταση .brr. Κατά τ' άλλα δεν έχει αλλάξει τίποτα. 


Νέος Ransomware - MVP

O Siri εντόπισε έναν νέο Ransomware,

Δευτέρα, 10 Σεπτεμβρίου 2018

Τα νέα των Ransomware, 10/09/18

Σας λείψαμε?
Εμάς, πάντως, δεν μας έλειψε καθόλου η καθημερινή μάχη με τους Ransomware.

Γενικά, τις προηγούμενες εβδομάδες είχαμε μεγάλη έξαρση του Dharma, με πολλά χτυπήματα και στην Ελλάδα. ΠΡΟΣΟΧΗ στους απατεώνες/καλοθελητές που υπόσχονται διάφορα.


Ας τα δούμε αναλυτικά:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA -- ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ

Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 1 μήνα ο Dharma, ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.
Μας έχουν προσεγγίσει από τουλάχιστον 4 διαφορετικές μεριές την τελευταία εβδομάδα μόνο. Φυσικά τους καταγγείλαμε στις αρχές.

Ένα παράδειγμα:




Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY.

Για την ιστορία, οι παραπάνω "experts" μας κοστολόγησαν τη "δουλειά" τους 2800-3400 ευρώ, όσο περίπου δηλαδή κοστίζει και η παροχή του κλειδιού από τους δημιουργούς.

Nέος Ransomware - BarackObama

Ένα πολύ περίεργο malware εμφανίστηκε πρόσφατα, το οποίο κρυπτογραφεί μόνο τα .exe εκτελέσιμα αρχεία. Πιθανώς να είναι σε δοκιμαστικό στάδιο. Εμφανίζει μια εικόνα με τον πρώην πρόεδρο των ΗΠΑ και ζητάει "φιλοδώρημα" για την αποκρυπτογράφηση. 


Νέος Ransomware - Locdoor

Άλλη μία σαβούρα που δεν δουλεύει σωστά,

Δευτέρα, 30 Ιουλίου 2018

Τα νέα των Ransomware, 30/7/2018

Του ... Scarab το κάγκελο για αυτήν την εβδομάδα, με περισσότερα από 6 νέα στελέχη να κάνουν την εμφάνισή τους και να είναι ιδιαίτερα δραστήρια.
Όπως έχουμε πει πολλές φορές, η Northwind έχει βρει κάποια αδυναμία στα περισσότερα από αυτά τα στελέχη, και αν έχετε μολυνθεί, ελάτε σε επικοινωνία μαζί μας.


Κατά τ' άλλα, ενδιαφέρον είχε το χτύπημα με Ransomware στον κολοσσό Cosco, απάντηση σε όσους λένε ότι το Ransomware πέθανε.


Ας τα δούμε αναλυτικά:

NEOΣ GandCrab

Χωρίς καμία ιδιαίτερη αλλαγή σε σχέση με την προηγούμενη έκδοση, 4.2 απλώς προσθέτει μηνύματα ειρωνίας σε διάφορους security researchers.




Nέος Ransomware - Armage

Αυτός καταστρέφει τα εικονίδια του Windows Explorer και τοποθετεί την επέκταση .armage. Τίποτα το περισσότερο ενδιαφέρον.


Νέος Dharma

Toποθετεί την επέκταση .id.combo. Τίποτα το καινούργιο.


Νέος Jigsaw

Toποθετεί την επέκταση .black007. Κατά τα γνωστά, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ. 


Νέοι Scarab ....

Πρώτα εμφανίστηκε η παραλλαγή ΒΙΝ. Τοποθετεί την επέκταση .bin2 στα αρχεία και αφήνει πίσω του ένα Ransom Note με την ονομασία HOW TO RECOVER ENCRYPTED FILES.TXT.




Στη συνέχεια

Σάββατο, 21 Ιουλίου 2018

Τα νέα των Ransomware, 23/7/2018

Eνδιαφέροντα νέα στον τομέα των Ransomware είχαμε για την προηγούμενη εβδομάδα, με σημαντικότερο τον NSB Screenlocker που αυτή τη στιγμή δεν ανιχνεύεται από κανένα antivirus.

Επίσης, μας κάνει εντύπωση καταρχήν ο νέος Scarab ο οποίος χρησιμοποιεί το email που χρησιμοποιεί και ο Dharma, όπως επίσης και το θράσος των δημιουργών του King Ouroboros Ransomware που επιτέθηκαν φραστικά στον Michael Gillespie στο Twitter.

Ας τα δούμε αναλυτικά:

NEOΣ Xorist

O Michael Gillespie εντόπισε ένα καινούργιο στέλεχος του Xorist που τοποθετεί την επέκταση .TaRoNiS.




Nέος Scarab - Deep

Εδώ έχουμε το εξής ενδιαφέρον: Το email που χρησιμοποιεί ο συγκεκριμένος Ransomware για την επικοινωνία με τα θύματά του, επίσης το είδαμε και σε ένα στέλεχος του Dharma. Φαίνεται ότι ο συγκεκριμένος κύριος το παίζει σε διπλό ταμπλό.


Δεν έχει όρια το θράσος

Oι δημιουργοί του King Ouroboros Ransomware επιτέθηκαν φραστικά στον Michael Gillespie και στην MalwareHunter επειδή κάποιο site χαρακτήρισε τον συγκεκριμένο Ransomware απάτη. Στο ίδιο σαιτ

Τρίτη, 10 Ιουλίου 2018

Τα νέα των Ransomware 10/7/2018

Για την εβδομάδα που πέρασε, είχαμε δύο σημαντικά νέα, τη νέα έκδοση του Gandcrab (είναι η 4η έκδοση...) και τον Nozelesn, ο οποίος είχε μεγάλη έξαρση ξεκινώντας από την Πολωνία και εξαπλώθηκε και στην Αμερική. Προς το παρόν, δεν είχαμε κάποια αναφορά για θύμα στην Ελλάδα.

Ας τα δούμε αναλυτικά:

NEOΣ Ransomware - Whoopsie

Τίποτα το ιδιαίτερο.




Νέος Ransomware - Nozelesn

Μεγάλης έκτασης καμπάνια εξάπλωσης του συγκεκριμένου Ransomware ξέσπασε την προηγούμενη Τρίτη, αρχικά με θύματα στην Πολωνία και στη συνέχεια στην Αμερική. Δεν είχαμε προς το παρόν αναφορές για θύματα στην Ελλάδα.
Ο συγκεκριμένος είναι υπό ανάλυση, και θα ξέρουμε περισσότερα σύντομα.
Η διασπορά γίνεται μέσω ψεύτικων email που παριστάνουν ότι προέρχονται από μεγάλη εταιρία ταχυμεταφορών. ΠΡΟΣΟΧΗ σε όλους!




Νέος Ransomware - RaRansomware

Toποθετεί την επέκταση .KUAJW. MH ΠΛΗΡΩΣΕΤΕ ΤΑ  ΛΥΤΡΑ!!!



Νέος Scarab - Red

Άλλος ένας Scarab, προστίθεται στην ήδη τεράστια λίστα των παραλλαγών του συγκεκριμένου. Τοποθετεί την επέκταση .red.
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!!