Δευτέρα, 12 Δεκεμβρίου 2016

RANSOMWARE UPDATES 24/11/16 – 06/12/16 (Part 2)

O Zeta Ransomware τώρα χρησιμοποιεί .rmd επεκτάσεις

Μια νέα παραλλαγή του Zeta εμφανίστηκε αυτήν την εβδομάδα η οποία κρυπτογραφεί τα αρχεία και χρησιμοποιεί την επέκταση .rmd



NEOΣ Ransomware: Matrix
Αυτός χρησιμοποιεί το GnuPG για να κρυπτογραφήσει τα δεδομένα του θύματός του



Ο Alpha Locker πωλείται στα forum
O Alpha Locker πωλείται προς $65 στα underground hacking forum..




NEOΣ υπό κατασκευή Ransomware
Και αυτός βασίζεται στον Hidden Tear και ονομάζεται Phoenix. Στοχεύει μόνο στην επιφάνεια εργασίας του χρήστη (προς το παρόν) και βάζει την επέκταση .R.i.P μετά την κρυπτογράφηση των αρχείων. Το Ransom note που αφήνει πίσω του ονομάζεται Important!.txt 



Φυσικά, κι άλλος Locky
Λέγαμε την προηγούμενη εβδομάδα ότι οι κατασκευαστές του Locky χρησιμοποιούσαν επεκτάσεις που αναφέρονταν στην Σκανδιναβική μυθολογία. Αυτή τη φορά το γύρισαν στην Αιγυπτιακή χρησιμοποιώντας την επέκταση .osiris στα κρυπτογραφημένα αρχεία.
Η μεθοδολογία τους για τη διασπορά αυτή τη φορά είναι μέσω επισυναπτόμενων Excel αρχείων που περιέχουν macro εντολές και συνήθως παριστάνουν ότι είναι κάποιο τιμολόγιο ή απόδειξη αγοράς.



και ενεργοποιηθούν τα Macro, εκτελείται το rundll32.exe το οποίο εγκαθιστά το Locky.