Σάββατο, 9 Φεβρουαρίου 2019

Ransomware "κατεβαίνει" μέσω των pixel μιας εικόνας!

Ransomware "κατεβαίνει" μέσω των pixel μιας εικόνας!



Εντοπίστηκε κακόβουλο αρχείο Excel το οποίο δημιουργεί εντολή Powershell από τα Pixels μια εικόνας του Mario από το Super Mario Bros.

Η τεχνική λέγεται στεγανογραφία και δεν είναι καινούργια, όμως τώρα εμφανίστηκε πιο εξελιγμένη και με κακές διαθέσεις. Πολύ κακές.

Η επίθεση που εντοπίστηκε, εστίαζε αποκλειστικά και μόνο σε Ιταλούς.
Προσποιείται πως πρόκειται -κλασικά- για ειδοποίηση πληρωμής.
Το παγιδευμένο επισυναπτόμενο έχει τίτλο F.DOC.2019 A 259 SPA.xls ή παραπλήσιο.


Αν κανείς το ανοίξει, το αρχείο ζητάει την ενεργοποίηση των μακροεντολών. Κάτι που δεν θα πρέπει να κάνετε ΠΟΤΕ, εκτός αν είστε 10000000% σίγουροι για το τι ακριβώς κάνετε


Μόλις γίνει η ενεργοποίηση των μακροεντολών, αυτές τσεκάρουν τη χώρα πρόελευσης του θύματος, και αν δεν είναι η Ιταλία, τότε το φύλλο θα κλείσει χωρίς να συμβεί τίποτα.


Αν η χώρα προέλευσης είναι η Ιταλία, κατεβαίνει αυτή η εικόνα:


(Φυσικά, την έχουμε τροποποιήσει για να μην μπορεί να χρησιμοποιηθεί πλέον κακόβουλα)

Μόλις η εικόνα κατέβει, το σκριπτάκι θα εξαγάγει διάφορα pixels από την εικόνα προκειμένου να κατασκευάσει εντολή Powershell, την οποία στη συνέχεια εκτελεί.
Αυτή με τη σειρά της θα κατεβάσει και θα εκτελέσει κακόβουλο λογισμικό το οποίο με τη σειρά του κατεβάζει και εγκαθιστά GandCrab 5.1. 



Διαβάστε αναλυτικά τον τρόπο που αυτό είναι δυνατό μέσω της Στεγανογραφίας, σε μία εξαιρετική ανάλυση από την Bromium.

Περιττό να επαναλάβουμε, μην ανοίγετε επισυναπτόμενα από αγνώστους και πάντα επαληθεύετε ότι το αρχείο προοριζόταν για εσας. 


Ο GandCrab και οι μεσάζοντες

O GandCrab ταίζει τους "μεσίτες"

Η ανάκτηση δεδομένων είναι μία επιστήμη, η οποία είναι ιδιαίτερα πολύπλοκη. Εκείνος ο οποίος την εφαρμόζει, θα πρέπει να διακατέχεται -μεταξύ άλλων- από τιμιότητα. 

Υπάρχουν κάποια παραδείγματα που ντροπιάζουν την επιστήμη μας και το χώρο μας.

Ένα τέτοιο, είναι οι "μεσολαβητές" που εμφανίστηκαν ξαφνικά και αναλαμβάνουν την επικοινωνία με τους κακοποιούς προκειμένου να εξασφαλίσουν την ομαλή διεξαγωγή της δοσοληψίας των λύτρων.

Πριν από οτιδήποτε άλλο, να πούμε για άλλη μία φορά ότι τα θύματα δεν θα πρέπει να πληρώνουν τα λύτρα για πολλούς λόγους: Καταρχήν, έρχεστε σε διαπραγμάτευση με ανθρώπους τους οποίους αναζητά το FBI και κατά δεύτερον διαιωνίζεται έτσι μία κατάσταση, η οποία όσο ανθεί, θα επεκτείνεται. Φυσικά, όταν πρόκειται για επαγγελματικά / εταιρικά δεδομένα και δεν υπάρχουν αντίγραφα, είναι λογικό να μπουν κάποιοι στη διαδικασία να πληρώσουν για να συνεχίσει να υφίσταται η εργασία τους.

Μετά από αυτό το politically correct statement, περνάμε στο δια ταύτα:

Οι δημιουργοί του GandCrab, για να μην κουράζονται, αυτοματοποίησαν τη διαδικασία της μίζας των μεσολαβητών, με εκπτωτικά κουπόνια (!). Αν πάει κανείς στο TOR site τους, υπάρχει επιλογή της κρυφής συνομιλίας με τους κακοποιούς, καθώς και απευθείας εφαρμογή του εκπτωτικού κουπονιού.

Ας υποθέσουμε, λοιπόν, ότι έχετε μολυνθεί με τον GandCrab 5.1, δεν έχετε αντίγραφα ασφαλείας και αποφασίζετε να πληρώσετε τα λύτρα. 
Τα λύτρα είναι συνήθως $3000.
Απευθύνεστε σε μεσάζοντα για να σας εγγυηθεί ότι θα πάρετε πίσω τα δεδομένα σας. Ο μεσάζοντας σας ζητάει $500 για αυτήν την εργασία.
Συμφωνείτε αλλά του ζητάτε αντίγραφο των συνομιλιών, όπως θα έκανε κάθε εχέφρων άνθρωπος.

Ο μεσάζοντας μπαίνει στο TOR site του GandCrab, και ενώ συνομιλεί με τους κακοποιούς, πατάει SHIFT+CTRL+2. Του εμφανίζεται το εικονίδιο για την κρυφή συνομιλία, το ανοίγει, και πατώντας SHIFT+CTRL+1 βάζει το κουπόνι που του έχουν δώσει και παίρνει την έκπτωσή του και δεν φαίνεται πουθενά ούτε η συνομιλία, ούτε η έκπτωση.
Δείτε:



H έκπτωση φτάνει τα $1000 και αν ο μεσάζοντας είναι καλός "πελάτης" των κακοποιών, μπορεί και να τα ξεπερνάει.

Επομένως, εσείς πληρώνετε $3000 για τα λύτρα + $500 για τα μεσιτικά, ενώ στην πραγματικότητα οι κακοποιοί πληρώνονται $2500 και $1500 παίρνει ο μεσίτης.
Τίμιο. #not.

Θυμίζουμε τα εξής:

  • Ο GandCrab είναι ο πλέον πολυδιάστατος Ransomware που κυκλοφορεί. Εννοούμε ότι τον έχουμε δει να διασπείρεται με κάθε πιθανό τρόπο, από malspam μέχρι exploit kits και από σπασμένα λογισμικά μέχρι brute force σε Remote Desktop.
  • Προστατευτείτε από τους Ransomware: Έχετε Backup. Αν έχετε backup, τα Ransomware δεν σας αφορούν. Είναι τόσο απλό. Εγκαταστήστε ΚΑΛΑ λογισμικά προστασίας, μην επαναπαύεστε στα δωρεάν. Πλέον τα αντιβιωτικά είναι σχετικά φθηνά και αξίζουν τα χρήματά τους 100%. Διαβάστε και εφαρμόστε τον όδηγo επιβίωσης ενάντια στους Ransomware.

Τα νέα των Ransomware, 9/2/19

Eνδιαφέρουσα εβδομάδα!

Πρώτον, είχαμε αποκάλυψη στην πράξη για τον τρόπο που επιτήδειοι που παριστάνουν τους ειδήμονες "διαμεσολαβητές", εισπράττουν μερίδιο από τα λύτρα.

Δεύτερον, είχαμε ανησυχητικό κρούσμα στεγανογραφίας, η οποία είναι μέθοδος διασποράς κακόβουλου λογισμικού που είναι σχεδόν αδύνατον να ανιχνευθούν από οποιοδήποτε λογισμικό.


Τέλος, είχαμε κλασικά νέα στελέχη Dharma, Jigsaw και φυσικά STOP, ο οποίος θερίζει για 5η συνεχόμενη εβδομάδα.

Ας τα δούμε αναλυτικά:


Νέοι Dharma

2 νέα στελέχη, τοποθετούν τις επεκτάσεις .amber και .friend.
Τίποτα καινούργιο.


Νέος Jigsaw - LOLSEC

O Michael Gillespie εντόπισε ένα νέο στέλεχος του Jigsaw που τοποθετεί την επέκταση .paycoin. 



Νέος STOP - Blower

Χωρίς πολλές διαφορές με τους προηγούμενους, έχει πολλά θύματα και στην Ελλάδα...




Κι άλλος Jigsaw

Toποθετεί την επέκταση .PENNYWISE. Προσπαθεί να μας πει ότι δεν είναι Jigsaw, ενώ φυσικά και είναι.

Το κλειδί για την αποκρυπτογράφηση είναι PsTqQNhR77oKJXvBWE3YZc. 
Αν έχετε μολυνθεί, χρησιμοποιήστε τον παραπάνω κωδικό για να πάρετε πίσω τα αρχεία σας, και πείτε μας και ένα ευχαριστώ :)




Νέος Ransomware - Crypted Pony

Είναι υπό κατασκευή, τοποθετεί την επέκταση .crypted_pony_test_build_xxx_xxx_xxx_xxx_xxx

Δευτέρα, 4 Φεβρουαρίου 2019

Τα νέα των Ransomware, 4/2/2019

Είχαμε πολλές νέες παραλλαγές από ήδη υπάρχοντα στελέχη, αυτήν την εβδομάδα.

Ο STOP συνεχίζει και σαρώνει για 3η συνεχόμενη εβδομάδα.
Θα ακουστεί κοινότυπο, αλλά όταν χρησιμοποιείτε λογισμικά, αγοράστε τα. Εκτός από το ηθικό κομμάτι, υπάρχει σοβαρή πιθανότητα να μολυνθείτε με STOP ή άλλον Ransomware.


Ενδιαφέρον είχε επίσης η επανεμφάνιση του Xorist (!!) με δύο νέα στελέχη.

Ας τα δούμε αναλυτικά:


Νέοι Dharma

3 νέα στελέχη, τοποθετούν τις επεκτάσεις.qwex, .ΕΤΗ και .air.
Τίποτα καινούργιο.


Νέος Ransomware - Anti-Capitalist Fun

Μοιάζει να είναι Jigsaw. Παρά το πολιτικό περιεχόμενο που θα περίμενε κανείς να διαβάσει λόγω της εικόνας, το κείμενο (που είναι στα γαλλικά) δεν έχει τίποτα το πολιτικό.



Νέος Scarab

Τοποθετεί την επέκταση .Crash. Επίσης όχι κάτι το νέο.




Νέοι Xorist

O πρώτος εντοπίστηκε στην αρχή της εβδομάδας από τον Michael Gillespie και τοποθετεί την επέκταση .mbrcodes και ο δεύτερος τοποθετεί την επέκταση .Mcafee! στα κρυπτογραφημένα αρχεία.

ΕΧΟΥΜΕ ΠΟΛΥ ΚΑΛΕΣ ΠΙΘΑΝΟΤΗΤΕΣ ΜΑΖΙ ΤΟΥ. ΑΝ ΕΧΕΤΕ ΜΟΛΥΝΘΕΙ ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ.



Νέος Obfuscated - id

Τοποθετεί την προέκταση [id=] πριν από το όνομα του αρχείου που κρυπτογραφεί.



Τρίτη, 29 Ιανουαρίου 2019

Προσοχή με τον GandCrab 5.1

ΟΙ ΕΞΟΔΟΙ ΚΙΝΔΥΝΟΥ ΚΡΥΒΟΥΝ ΜΠΕΛΑΔΕΣ...


O GandCrab 5.1 διασπείρεται με νέα καμπάνια malspam, η οποία προωθείται από τον ίδιο server ο οποίος μέχρι πρόσφατα προωθούσε το Ursnif banking trojan.

Δείτε πως λειτουργεί η καμπάνια.

Το υποψήφιο θύμα λαμβάνει ένα email το οποίο έχει επισυναπτόμενο ένα παγιδευμένο αρχείο Word. 
Το email έχει ως αποστολέα κάποια Rosie L. Ashton και θέμα "Up to date emergency exit map" και υποτίθεται ότι περιέχει τα σχέδια του κτιρίου του θύματος με τις εξόδους κινδύνου.




Αν ανοίξουμε το επισυναπτόμενο βλέπουμε αυτό:

δηλαδή μόνο τις λέξεις Emergency exit map και την προειδοποίηση ότι οι μακροεντολές είναι απενεργοποιημένες, με την προτροπή να τις ενεργοποιήσουμε.

Αν ενεργοποιήσουμε τις μακροεντολές, (ΚΑΤΙ ΠΟΥ ΔΕΝ ΘΑ ΠΡΕΠΕΙ ΠΟΤΕ ΝΑ ΚΑΝΕΤΕ, ΙΔΙΩΣ ΑΝ ΔΕΝ ΕΙΣΤΕ 10000% ΣΙΓΟΥΡΟΙ ΓΙΑ ΤΟ ΠΕΡΙΕΧΟΜΕΝΟ ΤΟΥ ΑΡΧΕΙΟΥ ΚΑΙ 1000000% ΣΙΓΟΥΡΟΙ ΓΙΑ ΤΟ ΤΙ ΚΑΝΕΤΕ)

τότε θα εκτελεστεί ένα powershell script το οποίο κατεβάζει και εγκαθιστά τον GandCrab 5.1.

Το σκριπτάκι είναι κωδικοποιημένο, έτσι ώστε να μην εξαρχής σαφές για το τι κάνει:




Αν το αποκωδικοποιήσουμε, θα δούμε ότι κατεβάζει ένα αρχείο που λέγεται putty.exe (που φυσικά δεν έχει καμία σχέση με το γνωστό putty) από τη διεύθυνση http://cameraista.com/olalala/putty.exe, το σώζει στο C:\Windows\temp\putty.exe και το εκτελεί:



Όταν εκτελεστεί το putty.exe, θα κρυπτογραφήσει όλα τα αρχεία του υπολογιστή:



και αφήνει σε κάθε φάκελο το αντίστοιχο Ransom Note



Δυστυχώς, δεν είναι δυνατή η αποκρυπτογράφηση του GandCrab 5.1.
Θα επαναλάβουμε πώς δεν πρέπει να ανοίγετε επισυναπτόμενα εκτός αν επιβεβαιώσετε ότι το email προοριζόταν για εσας ακόμα και αν ο αποστολέας είναι γνωστός σας, καθώς μπορεί να έχει μολυνθεί ή να πρόκειται για spoof.
Έχετε εγκατεστημένο και ανανεωμένο κάποιο καλό λογισμικό antivirus.

Διαβάστε τον οδηγό μας για την πρόληψη των Ransomware: https://northwind-data-recovery.blogspot.com/2017/03/odigos-apofigis-ransomware.html



Ευχαριστούμε την BleepingComputer για την παροχή υλικού.