26/12/17

Τα Χριστουγεννιάτικα νέα των Ransomware, 25/12/2017

Καλά Χριστούγεννα και καλές γιορτές σε όλους!

Οι γιορτινές ημέρες είναι εδώ και ακόμα και οι δημιουργοί των Ransomware κάνουν διάλειμμα...
Αυτήν την εβδομάδα που πέρασε, είχαμε πολύ λίγα στελέχη να διασπείρονται και ελάχιστες επιμολύνσεις, κάτι που πάντα είναι καλό νέο.

Τα κυριότερα νέα αφορούν την επίσημη τοποθέτηση της κυβέρνησης των ΗΠΑ μέσω της οποίας κατονομάζει την Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry, ο οποίος είχε σπείρει το χάος σε όλο τον κόσμο το Μάιο που μας πέρασε.
Επίσης, είχαμε συλλήψεις ατόμων που σχετίζονται με την διασπορά του Cerber και του CTB-Locker.

Ας τα δούμε αναλυτικά:


Ψεύτικος πολλαπλασιαστής Bitcoin εγκαθιστά Ransomware

Έχετε Bitcoin? Διαβάζετε "κάπου" για ένα λογισμικό που θα πολλαπλασιάσει τα Bitcoin σας και το κατεβάζετε. Προφανώς δεν είστε και πολύ μέσα στα πράγματα, γιατί αλλιώς θα γνωρίζατε ότι τα Bitcoin δεν πολλαπλασιάζονται έτσι απλά...
Κατεβάζετε, λοιπόν το Bitcoin-x2 κολλάτε έναν περιποιημένο Ransomware και μετά ξοδεύετε τα Bitcoin σας σε λύτρα..





Συλλήψεις για τον CTB-Locker και τον Cerber (vid)

Οι αρχές της Ρουμανίας συνέλαβαν πέντε άτομα με τις κατηγορίες της διασποράς email με παγιδευμένα επισυναπτόμενα, προσπαθώντας να μολύνουν χρήστες με τον CTB-Locker και τον Cerber.

Οι αρχές ανακοίνωσαν ότι πρόκειται για διανομείς των Ransomware και όχι για τους δημιουργούς. Οι συλληφθέντες χρησιμοποιούσαν RaaS (Ransomware As A Service) και έστελναν αρχεία που έμοιαζαν με τιμολόγια προκειμένουν να μολύνουν χρήστες και να απαιτήσουν λύτρα.
Από τα χρήματα που εισέπρατταν, το 30% πήγαινε στο RaaS.


Παρακάτω είναι ένα βίντεο από την εισβολή της αστυνομίες σε διάφορες τοποθεσίες και από τις αντίστοιχες συλλήψεις.



Ο Λευκός Οίκος κατηγορεί επίσημα την Βόρεια Κορέα για τη διασπορά του WannaCry.

Ο υπεύθυνος ασφαλείας των ΗΠΑ Thomas Bossert σε δήλωσή του στη Wall Street Journal, κατονόμασε τη Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry που προκάλεσε παγκόσμιο χάος τον Μάιο που μας πέρασε. Μπορείτε να διαβάσετε στο παραπάνω λινκ αναλυτικά τη δήλωση.


ΝΕA ΣΤΕΛΕΧΗ του RSAUtil Ransomware

Δύο νέα στελέχη του RSAUtil είχαμε αυτήν την εβδομάδα, το ένα από αυτά

16/12/17

Τα νέα των Ransomware, 17/12/2017

Αυτή η εβδομάδα που πέρασε, είχε κυρίως μικρά υπό κατασκευή Ransomware, με τα μεγαλύτερα νέα να αφορούν τον File Spider Ransomware, που στοχοποίησε Βαλκανικές χώρες (προς το παρόν, δεν είχαμε θύματα στην Ελλάδα).
Στην Καλιφόρνια, η βάση δεδομένων των ψηφοφόρων "απήχθη" και κρατείται ζητώντας λύτρα!

Ας τα δούμε αναλυτικά:


ΝΕΟΣ Ransomware: TrOwX

Ξεκινάμε με HiddenTear φυσικά, αυτός ονομάζεται TrOwX και πετάει το Ransom Note READ_AND_CRY+[passTxt].txt και χρησιμοποιεί την επέκταση .locked.

Τώρα, το αστείο είναι το Read and cry... Σοβαρά τώρα? Μάλλον όχι, εκτός αν εννοούν ότι θα κλάψουμε από τα γέλια διαβάζοντας το γελοίο κώδικα που έχουν γράψει...





ΝΕΟΣ Ransomware: D4rkL0cker

Προς το παρόν δεν κρυπτογραφεί. 







O File Spider στοχεύει Βαλκανικές χώρες

Την Τρίτη που μας πέρασε, εμφανίστηκε ένας νέος Ransomware, ο File Spider. Αυτός

9/12/17

Τα νέα των Ransomware, 11/12/2017

Πολλά μικρά στελέχη εμφανίστηκαν την προηγούμενη εβδομάδα και ήταν αυτά που μας κίνησαν το ενδιαφέρον.
Είχαμε όμως και μερικές μεγάλες ιστορίες, με τον HC7 o οποίος στοχεύει και χτυπάει ολόκληρα δίκτυα μέσω Remote Desktop, είχαμε τον StorageCrypt στον οποίο είχαμε αναφερθεί και την προηγούμενη εβδομάδα που χτυπάει κουτιά NAS μέσω SambaCry και είχαμε και τους Η/Υ της κομητείας του Mecklenburg στην Βόρεια Καρολίνα των ΗΠΑ να μολύνονται με τον LockCrypt.

Ας τα δούμε αναλυτικά:



ΝΕΟΣ Ransomware: Napoleon

Αυτός βασίζεται στον Blind και τοποθετεί την επέκταση .napoleon στα κρυπτογραφημένα αρχεία.
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!








ΝΕΟΣ Ransomware: Eternity

O Karsten Hahn ανακάλυψε έναν υπό κατασκευή Ransomware, βασισμένο στον Stupid Ransomware, ο οποίος κρασάρει λόγω ενός αρχείου ήχου που λείπει.
Τοποθετεί την επέκταση .eTeRnItY στα κρυπτογραφημένα αρχεία.

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!





ΝΕΟΣ Ransomware: Jcoder (variant)

5/12/17

Απίστευτος τύπος χακάρει σωφρονιστικό ίδρυμα για να αποφυλακίσει νωρίτερα φίλο του!


Απίστευτος τύπος χακάρει σωφρονιστικό ίδρυμα για να βγάλει έξω έναν φίλο του!


Ένα απίστευτο περιστατικό συνέβη στο Ann Arbor του Michigan των ΗΠΑ και συγκεκριμένα στο Washtenaw County Jail, τις φυλακές της περιοχής.

Ένας 27χρονος, ο Konrads Voits, ομολόγησε τις πράξεις του και κρίθηκε προφυλακιστέος έως ότου γίνει η δίκη και καθοριστεί η ποινή του, για κακουργηματικές πράξεις που περιλαμβάνουν την τροποποίηση μητρώου κάποιου φυλακισμένου, με σκοπό την αποφυλάκισή του σε σύντομο χρονικό διάστημα.


Τι ακριβώς συνέβη?


Ξεκινώντας γύρω στις 24/1/2017 και έως τις 10/3/2017, ο Voids έκανε επίθεση με email σε εργαζόμενους των φυλακών, προκειμένου να τους ξεγελάσει για να κατεβάσουν και να εκτελέσουν κακόβουλο λογισμικό στους Η/Υ του ιδρύματος.

Ο Voits στα email αυτά παρουσιαζόταν ως "Daniel Greene" και ζητούσε βοήθεια προκειμένου να του παρέχουν αντίγραφα δικαστικών πράξεων, ενώ αργότερα κατοχύρωσε και το domain "ewashtenavv.org" (με δύο v), που οπτικά μοιάζει με το επίσημο portal του ιδρύματος, δηλαδή το "ewashtenaw.org" (με w). Στο domain αυτό φόρτωσε κακόβουλο λογισμικό το οποίο είχε αγοράσει από το Dark Web και ευελπιστούσε ότι τα θύματά του θα ξεγελαστούν και θα το κατεβάσουν.

Παρά τις προσπάθειές του όμως, δεν υπήρξε το επιθυμητό αποτέλεσμα και έτσι το γύρισε στις τηλεφωνικές απόπειρες.

Ο Voits ξεκίνησε να καλεί στα μέσα Φεβρουαρίου διάφορους εργαζόμενους των φυλακών, παριστάνοντας ότι είναι είτε ο T.L. είτε ο A.B. (και οι δύο είναι εργαζόμενοι στο τμήμα πληροφορικής των φυλακών) και τους ζητούσε να μπουν σε διάφορες ιστοσελίδες και να κατεβάσουν ένα εκτελέσιμο το οποίο "θα αναβάθμιζε τα συστήματα των φυλακών".


Τα τηλεφωνήματα είχαν επιτυχία

Κάποια από τα θύματα του Voits την πάτησαν και εγκατέστησαν το κακόβουλο λογισμικό στους Η/Υ τους.

Σύμφωνα με τις καταθέσεις, "Με την εγκατάσταση και της εκτέλεση του κακόβουλου λογισμικού από τους υπαλλήλους της φυλακής, ο Voits απέκτησε πλήρη πρόσβαση στο δίκτυο της Κομητείας, συμπεριλαμβανομένων και ευαίσθητων προσωπικών δεδομένων όπως το σύστημα XJail (το λογισμικό μέσω του οποίου καταγράφονται οι κρατούμενοι των φυλακών), τα αρχεία των ενταλμάτων σύλληψης, εσωτερικά αρχεία ποινών καθώς και αρχεία με τα προσωπικά δεδομένα των εργαζόμενων των φυλακών".

Το FBI ανέφερε ότι ο Voits απέκτησε πρόσβαση σε πληροφοριακό υλικό, όπως κωδικούς πρόσβασης, ονόματα χρηστών, emails και άλλα προσωπικά στοιχεία από περισσότερους από 1600 εργαζόμενους της Κομητείας.

Μόλις ο Voits απέκτησε πρόσβαση στα δεδομένα, μπήκε στο XJail, έψαξε και βρήκε τα ονόματα διάφορων κρατούμενων και τροποποίησε τουλάχιστον έναν από αυτούς.


Η εισβολή έγινε άμεσα αντιληπτή


Οι εργαζόμενοι του σωφρονιστικού ιδρύματος εντόπισαν την τροποποίηση αμέσως και μόλις αντιλήφθηκαν τι συνέβη, ειδοποίησαν το FBI.

Το σωφρονιστικό ίδρυμα του Washtenaw προσέλαβε άμεσα ιδιωτική εταιρία ερευνών προκειμένου να καθαρίσει το εσωτερικό της δίκτυο.

Οι υπεύθυνοι των φυλακών δήλωσαν ότι το ίδρυμα κατέβαλε το ποσό των $235.488 προκειμένου να εντοπιστεί το μέγεθος της διαρροής, για να γίνουν εκ νέου αντίγραφα μερικών εκατοντάδων σκληρών δίσκων και για να διασταυρωθούν τα αρχεία όλων των φυλακισμένων από την αρχή.

Μετά την ομολογία του την προηγούμενη εβδομάδα, ο Voits αντιμετωπίζει ποινή φυλάκισης έως 10 ετών και πρόστιμο έως $250.000. Όλος του ο ηλεκτρονικός εξοπλισμός κατασχέθηκε, μεταξύ των οποίων ένα λαπτοπ, 4 κινητά τηλέφωνα, μια ηλεκτρονική πλακέτα (?) ενώ του κατασχέθηκε και αδιευκρίνιστος αριθμός από Bitcoin τα οποία χρησιμοποίησε για να αγοράσει το κακόβουλο λογισμικό.

Ο Voits παραμένει υπό κράτηση, η δίκη του έχει οριστεί για τις 5 Απριλίου του 2018.

2/12/17

Τα νέα των Ransomware, 2/12/2017

Είχαμε αυξημένη δραστηριότητα την προηγούμενη εβδομάδα στον τομέα των Ransomware. Είχαμε πολλά μικρά και μεγαλύτερα στελέχη να κάνουν την εμφάνισή τους. Είχαμε έναν ακόμα νέο CryptoMix, έναν νέο BTCWare και καμπάνιες διασποράς του GlobeImposter και του Sigma.
Είχαμε όμως και μερικές επιτυχίες με εξέυρεση λύσεων για κάποια στελέχη :-)


Ας τα δούμε αναλυτικά:



ΝΕΟΣ CryptON διασπείρεται μέσω KeyGen

Για εσάς που ζείτε τη ζωή στα άκρα και ψάχνετε να βρείτε σπαστήρια για εφαρμογές με σκοπό να μη πληρώσετε τις άδειες των εφαρμογών αυτών και κατεβάζετε τα λεγόμενα KeyGenerators, τώρα έχετε πρόβλημα (άλλο ένα).
Κυκλοφόρησε ένας CryptOn ο οποίος παριστάνει ότι πρόκειται για KeyGen του γνωστού λογισμικού ανάκτησης δεδομένων EaseUS Data Recovery. 

Έτσι, θέλετε να πειραματιστείτε μόνοι σας προσπαθώντας να ανακτήσετε μόνοι σας τα αρχεία που διαγράψατε. 
Κατεβάζετε το EaseUS αλλά δεν θέλετε να το πληρώσετε κιόλας.
Ψάχνετε να βρείτε σπαστήρι.
Βρίσκετε και κατεβάζετε αυτό:



Πατάτε Generate και γίνεται αυτό:








Ευτυχώς για εσάς, έχουμε βρει λύση ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!





Βρήκαμε λύση για τον HC6/Fucku

Και ο HC6 μας απασχόλησε αυτήν την εβδομάδα, και βρήκαμε λύση!
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!



Τι συμβαίνει με τον Halloware, ποιος είναι ο Luc1f3r? Τεχνική ανάλυση!

25/11/17

Τα Νέα των Ransomware, 26/11/2017

Ησυχία επικράτησε την εβδομάδα που μας πέρασε. Το ενδιαφέρον μας κίνησε ο Scarab Ransomware, κυρίως λόγω του τρόπου διασποράς του, καθώς και ο qkG ο οποίος διανέμεται μέσω μολυσμένου αρχείου office. Πέραν αυτών, ήταν μία εβδομάδα με μικρά στελέχη σε διάφορα στάδια κατασκευής.

Ας τα δούμε αναλυτικά:



Νέος Ransomware: WannaDie

H εβδομάδα ξεκινάει με έναν Ρώσικο Ransomware, που αρχικά πιστέψαμε ότι προσπαθεί να μιμηθεί τον WannaCry. Μετά είδαμε ότι δεν κρυπτογραφεί, οπότε τον εκλαμβάνουμε ως αστείο.


Νέa έκδοση του Dharma/Crysis

Tην επέκταση .java χρησιμοποιούν πλέον σε κάποιες από τις εκδόσεις τους οι δημιουργοί του Dharma.
Την εβδομάδα που μας πέρασε εμφανίστηκαν ήδη 3 στελέχη.

Ομοίως...

Ο Cryakl χρησιμοποιεί πλέον την έκδοση με την οποία τοποθετεί

18/11/17

Τα νέα των Ransomware, 19/11/2017

Αυτήν την εβδομάδα είχαμε κυρίως μικρά στελέχη Ransomware να κάνουν την εμφάνισή τους.
Μας κίνησαν το ενδιαφέρον δύο παραλλαγές του CryptoMix και ένα υπό κατασκευή Ransomware που δημιουργήθηκε για να επιτεθεί σε συγκεκριμένο σχολείο της Αμερικής.


Ας τα δούμε αναλυτικά:



Νέος Jigsaw Ransomware: Pabluklocker 

O Michael Gillespie ανακάλυψε ένα strain του φίλου μας του Jigsaw που τοποθετεί την επέκταση .##ENCRYPTED_BY_pabluklocker## στα κρυπτογραφημένα αρχεία, και χρησιμοποιεί ένα σωρό εικόνες...


Νέος Ransomware: CyberPolice

Tην Τρίτη εμφανίστηκε ο πρώτος HiddenTear αυτής της εβομάδας. Τοποθετεί την επέκταση .locked. Απο πρωτοτυπία σκίζουμε, ε? 

Νέος Ransomware: Stroman

Aυτός τοποθετεί την ενδιαφέρουσα επέκταση

11/11/17

Τα νέα των Ransomware, 13/11/2017

Κυρίως μικρά ανόητα variants για αυτήν την εβδομάδα, όμως είχαμε μερικές ενδιαφέρουσες ιστορίες.
Η μεγαλύτερη ήταν ένα νέο στέλεχος του Crysis/Dharma. Είχαμε επίσης ένα wiper που παριστάνει το Ransomware και επιτίθεται σε επιχειρήσεις στη Γερμανία, ενώ είχαμε και την είδηση ότι hackers χρησιμοποιήσαν απομακρυσμένη πρόσβαση για να εγκαταστήσουν τον LockCrypt σε εταιρικούς Η/Υ.


Ας τα δούμε αναλυτικά:



Νέος Ransomware: Curumim

Mε HiddenTear ξεκινάμε και αυτήν την εβδομάδα, την περασμένη Δευτέρα εμφανίστηκε αυτός ο οποίος ονομάζεται Curumim και αυτή είναι και η επέκταση που τοποθετεί στα κρυπτογραφημένα αρχεία. Μας έρχεται από την Πορτογαλία.


Νέa εκδοση του Xiaoba

Την Τρίτη, ο Karsten Hahn ανακάλυψε μία καινούργια έκδοση του Xiaoba, η οποία ζητάει $37.696 σε Bitcoin και κλειδώνει την οθόνη. 

Νέος Ransomware: Zika

...και με HiddenTear θα συνεχίσουμε.

5/11/17

Τα νέα των Ransomware, 6/11/2017

Αυτήν την εβδομάδα είχαμε κυρίως μικρά στελέχη. Είχαμε όμως και τον Gibon, έναν Ransomware που παρουσιάζει ενδιαφέρον και -κυρίως- έχουμε βρει λύση και μπορούμε να τον αποκρυπτογραφήσουμε :)

Ας τα δούμε αναλυτικά:



Trick Or Treat Screenlocker - Ανανεώθηκε

Είχαμε γράψει την προηγούμενη εβδομάδα για αυτόν. Εμφανίστηκε μια καινούργια έκδοση με ανανεωμένο Background. Εξακολουθεί πάντως να μη κρυπτογραφεί.


O Oni επιτίθεται σε Ιαπωνικές εταιρίες

Επί έναν ολόκληρο μήνα, ο Oni Ransomware στόχευε εταιρίες στην Ιαπωνία. 


30/10/17

Τα νέα των Ransomware 29/10/2017

Είχαμε πολλή δραστηριότητα στους Ransomware την εβδομάδα που μας πέρασε, ξεχωρίζουν ο πρώτος Ελληνικός Ransomware, το ξέσπασμα του Bad Rabbit (που χτύπησε και την Ελλάδα) και τον Tyrant που σάρωσε εταιρίες και οργανισμούς στο Ιραν.

Κατά τ' άλλα, είχαμε πολλά μικρά στελέχη που έκαναν την εμφάνισή τους.

Ας τα δούμε αναλυτικά:


Kerkoporta - Το πρώτο ελληνικό Ransomware

Να τα μας... Αυτό προς το παρόν έχει περισσότερο το χαρακτήρα RAT (Remote Access Trojan) και Screenlocker. Μοιάζει να είναι σε δοκιμαστική έκδοση. Προς το παρόν μόνο μετονομάζει αρχεία.


Νέος Ransomware: Ordinal

Φυσικά είναι HiddenTear. Τοποθετεί την επέκταση .Ordinal.

25/10/17

ΝΕΟ ΞΕΣΠΑΣΜΑ RANSOMWARE



O Bad Rabbit χτυπάει την Ανατολική Ευρώπη!

Θύματα και στην Ελλάδα!



Ένα νέο στέλεχος ονόματι Bad Rabbit σπέρνει πανικό στην Ανατολική Ευρώπη, επηρεάζοντας τόσο κυβερνητικές υπηρεσίες, όσο και διάφορες εταιρίες και οργανισμούς.

Τη στιγμή που γράφονται αυτές οι γραμμές, το Ransomware αυτό έχει χτυπήσει χώρες όπως η Ελλάδα, η Ρωσία, η Ουκρανία, η Βουλγαρία και η Τουρκία, κυρίως όμως έχει επηρεαστεί η Ρωσία και η Ουκρανία.

Ήδη έχει επαληθευτεί από διάφορες πηγές ότι το Υπουργείο Υποδομών της Ουκρανίας, το Μετρό του Κιέβου, το αεροδρόμιο της Odessa στην Ουκρανία καθώς και τρείς δημοσιογραφικοί οργανισμοί στη Ρωσία (μεταξύ αυτών η Interfax και η Fontanka) έχουν χτυπηθεί από τον Bad Rabbit.
Οι υπηρεσίες ασφαλείας της Ουκρανίας έχουν εκδόσει προειδοποιητικό μήνυμα προς τις εταιρίες και τους οργανισμούς του ιδιωτικού τομέα να είναι ιδιαίτερα προσεκτικοί.


Η ταχύτητα με την οποία εξαπλώνεται ο Bad Rabbit είναι παραπλήσια με την αντίστοιχη των WannaCry και NotPetya που είχαν χτυπήσει το Μάιο και τον Ιούνιο αντίστοιχα.


O Bad Rabbit διανέμεται μέσω ψεύτικου Flash update

H ESET και η Proofpoint λένε ότι ο Bad Rabbit αρχικά διανέμονταν μέσω ψεύτικης ενημέρωσης του λογισμικού Flash. Όμως, το Ransomware φαίνεται πως είχε ενσωματωμένα εργαλεία τα οποία τα βοήθησαν να εξαπλωθεί τόσο γρήγορα.

Σε αναφορά της Kaspersky, η εταιρία ισχυρίζεται πως "το Ransomware (είχε) διανεμηθεί με τυχαίο τρόπο" και "τα θύματα κατευθύνθηκαν προς την ιστοσελίδα που κατείχε την ψεύτικη ενημέρωση του Flash από νόμιμες ειδησεογραφικές ιστοσελίδες".

Βάσει των αναλύσεων των ESET, Emsisoft και Fox-IT, ο Bad Rabbit χρησιμοποεί το

21/10/17

Τα νέα των Ransomware, 21/10/2017


Και αυτήν την εβδομάδα είχαμε αρκετά μικρά στελέχη να εμφανίζονται ή να επανεμφανίζονται, τα μεγάλα νέα όμως ήταν η εμφάνιση του Magniber και η χρήση του Hermes Ransomware σαν βιτρίνα για τη ληστεία σε μία τράπεζα στην Ταϊβάν. 

Ας τα δούμε αναλυτικά:

ΒορειοΚορεάτες πίσω από τη ληστεία τράπεζας στην Ταϊβάν

Μην φανταστείτε ότι μπήκαν με όπλα και ζήτησαν από τους υπαλλήλους να αδειάσουν τα ταμεία.
Η ιστορία έχει ως εξής, και είναι ιδιαίτερα ενδιαφέρουσα:

Πίσω από τη ληστεία, σύμφωνα με όλες τις ενδείξεις, κρύβεται η σπείρα Lazarous Group, μία ομάδα hackers από τη Βόρεια Κορέα.

Στις αρχές του μήνα, υπεύθυνοι της τράπεζες FEIB (Far Eastern International Bank) στην Ταϊβάν, ανακάλυψαν ότι έχει γίνει παραβίαση στα συστήματα της τράπεζας. Η παραβίαση είχε ως στόχο τη μεταφορά 60 εκατομμυρίων δολλαρίων (!) σε τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.


Οι επιτιθέμενοι έστειλαν email με παγιδευμένα αρχεία Word και Excel σε εργαζόμενους της τράπεζας. Τα αρχεία αυτά, με το άνοιγμά τους, εγκαθιστούσαν το ζητούμενο Malware. Στη συνέχεια, χρησιμοποιώντας SMB μπήκαν πρακτικά στο δίκτυο της τράπεζας.

Αφού χαρτογράφησαν το δίκτυο της τράπεζας και στόχευσαν Η/Υ που κατείχαν ευαίσθητο υλικό, τους έστειλαν άλλο malware το οποίο είχαν φτιάξει οι ίδιοι. Αυτή η επίθεση συνέβη την 1/10/17.


Στις 3/10, οι Lazarus χρησιμοποίησαν το συνθηματικό πρόσβασης ενός υπαλλήλου της τράπεζας και απέκτησαν πρόσβαση στον λογαριασμό SWIFT. Έτσι, έστειλαν χρήματα σε διαφορετικές τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.
Εκεί έγινε και το λάθος των Lazarus, που οδήγησε στην αποκάλυψη της παραβίασης από την τράπεζα: Χρησιμοποίησαν τους κωδικούς συναλλαγής MT103 και MT202COV, όμως τους τελευταίους τους τοποθέτησαν λανθασμένα.


Μόλις η FEIB ανακάλυψε την παραβίαση, οι Lazarus εξαπέλησαν στο δίκτυο της τράπεζας τον Hermes Ransomware με σκοπό να κρυπτογραφήσουν και να καταστρέψουν τα αποδεικτικά στοιχεία της εισβολής τους.

Να πούμε ότι ο Hermes είναι ένας Ransomware που κυκλοφόρησε το Φεβρουάριο και λίγο αργότερα βρέθηκε λύση και μπόρεσε να αποκρυπτογραφηθεί. Όμως, οι δημιουργοί του έφτιαξαν λίγο αργότερα την έκδοση 2.0, για την οποία δεν υπάρχει λύση παγκοσμίως.


Οι Lazarus πάντως δεν εξαπέλησαν την έκδοση 2.0, αλλά μία τροποποιημένη έκδοσή της. Αντί να αφήνει αυτό, που είναι το κλασικό Ransom Note του Hermes,


άφηνε ένα popup που απλά έλεγε Finish Work και ένα αρχείο "Unique_id_do_not_remove" σε κάθε φάκελο του Η/Υ.

Οι αρχές της Σρι Λάνκα ανέφεραν για το περιστατικό, ότι συνέλαβαν ένα άτομο το οποίο έκανε ανάληψη Rs30.000.000 (~$195.000) και δύο μέρες αργότερα επιχείρησε να "σηκώσςει" άλλες $52.000 που προέρχονταν από την Ταϊβάν, σε 3 διαφορετικούς λογαριασμούς σε τράπεζα της Ceylon.


17/10/17

Ανάκτηση δεδομένων από SandForce SSDs!!


Η Northwind Data Recovery είναι στην ευχάριστη θέση να ανακοινώσει ότι είναι η μοναδική εταιρία ανάκτησης δεδομένων στην Ελλάδα και από τις ελάχιστες στον κόσμο που είναι σε θέση να ανακτήσει δεδομένα από δίσκους SSD που βασίζονται στον περιβόητο Controller της SandForce!

O SandForce είναι ο Controller που χρησιμοποιούν οι μεγαλύτεροι κατασκευαστές SSD στον κόσμο (Intel, Adata, Corsair, Kingston, OCZ, PNY, Silicon Power κλπ) και μέχρι πρότινως θεωρούνταν μη-ανακτήσιμοι λόγω της πολυπλοκότητας του αλγόριθμου που χρησιμοποιούν και της AES-256 κρυπτογράφησης που εφαρμόζουν.

Στη Northwind Data Recovery είμαστε περήφανοι που ανακοινώνουμε την εξεύρεση λύσης σε αυτό το ζήτημα που ταλαιπωρούσε την κοινότητα της ανάκτησης δεδομένων για πολλά χρόνια.

Έχουμε αναπτύξει τεχνική με την οποία η ανάκτηση δεδομένων από τέτοιους δίσκους είναι πλέον δυνατή, με εξαιρετικά αποτελέσματα, που ξεπερνούν το 90%!



Η διαδικασία είναι, πάντως, εξαιρετικά χρονοβόρα, μπορεί να χρειαστούν 7-8 εβδομάδες για την επίλυση ή και παραπάνω για πιο πολύπλοκες βλάβες.

Η τεχνική εφαρμόζεται με επιτυχία σε όλους τους SSD δίσκους με Sandforce controller, όλων των κατασκευαστών.


Για περισσότερες πληροφορίες, ελάτε σε επικοινωνία μαζί μας!

Ενδεικτικά, μερικά από τα μοντέλα SSD που χρησιμοποιούν τον εν λόγω Controller είναι:

16/10/17

Τα νεα των Ransomware, 15/10/2017


Σε σχέση με την προηγούμενη εβδομάδα που ήταν πολύ ήσυχη, αυτή είχε και πάλι αυξημένη δραστηριότητα.
Είδαμε  πολλούς νέους Ransomware, οι περισσότεροι από αυτούς είναι δοκιμαστικοί και κατά πάσα πιθανότητα δεν θα κυκλοφορήσουν ποτέ, είδαμε όμως και μία νέα έκδοση του Locky, μία νέα έκδοση του CryptoMix....
Τα μεγάλα νέα έχουν να κάνουν με τον DoubleLocker, έναν Ransomware για Android, ο οποίος χρησιμοποιεί ενδιαφέρουσες παλιές και νέες τεχνικές.

Ας τα δούμε αναλυτικά:



Καμπάνια SPAM στέλνει "βιογραφικά", προωθεί τον GlobeImposter 


Η Myonlinesecurity.co.uk κυκλοφόρησε μια ενδιαφέρουσα ανάλυση σχετικά με τα δήθεν βιογραφικά που στέλνει κάποιος ενδιαφερόμενος για εξεύρεση εργασίας, τα οποία βιογραφικά είναι της μορφής .doc και διασπείρουν τον GlobeImposter Ransomware.

Όταν κάποιος ανοίξει το επισυναπτόμενο, συνδέεται και κατεβάζει το http://89.248.169.136/bigmac.jpg, το οποίο φυσικά δεν είναι αρχείο εικόνας αλλά καμουφλαρισμένο εκτελέσιμο και συγκεκριμένα το ASdsadASd.exe. 

Μπορείτε να διαβάσετε όλη την ανάλυση εδώ.


Νέος Ransomware: LockOn

Είναι μάλλον υπό κατασκευή αλλά δουλεύει σωστά, τοποθετεί την επέκταση .lockon στα κρυπτογραφημένα αρχεία.


9/10/17

Τα νέα των Ransomware, 9/10/17


Ξεκινήσαμε το Μάιο του 2016 να αναλύουμε και να γράφουμε για τους Ransomware. Να τους πολεμάμε και να ψάχνουμε για αδυναμίες στον κώδικά τους με σκοπό να βρούμε λύσεις και να βοηθήσουμε όσους έχουν πέσει θύματα επιτηδείων.

Είναι η πρώτη εβδομάδα που έχουμε όλο κι όλο 6 (έξι) νέα να αναφέρουμε!


Ελπίζουμε αυτό να σημαίνει ότι οι κατασκευαστές των Ransomware να βαρέθηκαν και να σταματήσουν την δημιουργία και διασπορά τους, όμως μάλλον είναι απλά η νηνεμία πριν την καταιγίδα, δυστυχώς.


Έχουμε μία επίθεση Ransomware σε Κέντρο Υγείας και μία σε ένα δημοτικό δίκτυο του Colorado.

Ας τα δούμε αναλυτικά..


Απάτη: "Ransomware Detected"

Εμφανίστηκε αυτή η απάτη, η οποία εμφανίζει στο browser μήνυμα ότι ο υπολογιστής έχει μολυνθεί από Ransomware. Είναι η κλασική απάτη που ζητούν να καλέσει το θύμα ένα νούμερο, όπου είτε χρεώνουν τεράστια ποσά στο λογαριασμό, είτε γίνεται απευθείας συνομιλία με τους απατεώνες, οι οποίοι παριστάνουν τους ειδικούς σε θέματα ασφάλειας Η/Υ και ζητούν χρήματα για να μπουν στον Η/Υ με απομακρυσμένη σύνδεση για να "λύσουν το πρόβλημα". Φυσικά κάτι τέτοιο είναι πολύ επικίνδυνο, ΜΗ ΔΙΝΕΤΕ ΑΠΟΜΑΚΡΥΣΜΕΝΗ ΠΡΟΣΒΑΣΗ ΣΕ ΑΤΟΜΑ ΠΟΥ ΔΕΝ ΓΝΩΡΙΖΕΤΕ!



4/10/17

Ανάκτηση δεδομένων μετά από πλημμύρα!


Στα εργαστήρια της Northwind Data Recovery κατέφθασε σκληρός δίσκος ο οποίος προερχόταν από τη Σαμοθράκη, μετά τις πρόσφατες καταστροφικές πλημμύρες που είχε υποστεί το νησί πριν από λίγες μέρες.




Ο δίσκος ήταν μέλος συστοιχίας RAID με δύο δίσκους και η εικόνα τους πριν τους παραλάβουμε ήταν αυτή...


Οι Η/Υ ήταν βουλιαγμένοι στη λάσπη, ως εκ τούτου και οι σκληροί δίσκοι είχαν επηρεαστεί αντίστοιχα.

Παραλάβαμε τους δίσκους και αφού τους καθαρίσαμε τόσο εξωτερικά, όσο και στα ηλεκτρονικά τους μέρη (τα οποία ήταν σε τραγική κατάσταση)


2/10/17

Ransomware Updates 02/10/2017


Καλημέρα, καλή εβδομάδα και καλό μήνα :)

Δεν είχαμε και πολλά πράγματα σχετικά με τους Ransomware για την εβδομάδα που μας πέρασε.

Τα κυριότερα νέα ήταν η εμφάνιση του RedBoot BootLocker και η συνεχιζόμενη επέλαση του Locky με μαζικές καμπάνιες spam.


Ας τα δούμε αναλυτικά.



Ο Redboot κρυπτογραφεί και αλλάζει το Partition Table!


Εμφανίστηκε ο RedBoot BootLocker, ο οποίος κρυπτογραφεί τα αρχεία, αντικαθιστά το MBR (Master Boot Record) και τροποποιεί το Partition Table. Τα νεα δεν είναι καλά για όποιον έχει μολυνθεί από αυτό το Ransomware, καθώς, αν και βρήκαμε τρόπο να αποκρυπτογραφήσουμε τα αρχεία, δεν είναι δυνατόν να βρούμε δομή, καθώς τόσο το MBR όσο και το Partition Table, αν και μπορούμε να τα δημιουργήσουμε ή να τα αποκαταστήσουμε, κρυπτογραφούνται εκ νέου. Δουλεύουμε στην εξεύρεση λύσης για αυτό.





Νέος Ransomware: SuperB

Αυτός έχει την πρωτοτυπία ότι μετά την κρυπτογράφηση (με την οποία τοποθετεί στα αρχεία την κατάληξη .enc), αντικαθιστά όλα τα αρχικά αρχεία του χρήστη με το Ransom Note. Να πούμε επίσης ότι είναι γραμμένο σε Python. 





Νέος ScreenLocker: John's Locker

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Ανακαλύφθηκε από τον Lawrence Abrams αυτός ο ScreenLocker ο οποίος είναι μάλλον κάποια φάρσα ή αστείο κάποιου. Πατήστε Alt+F4 για να τον κλείσετε (και προσέχετε στο εξης πού κάνετε κλικ!)




Νέος Ransomware: CryptoClone

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Εμφανίστηκε αυτός ο κακογραμμένος Ransomware ο οποίος μιμείται τον WannaCry και ονομάζεται CryptoClone. Τοποθετεί την επέκταση .crypted στα αρχεία. Έχουμε βρει λύση για αυτόν.





Νέος ScreenLocker: Anon

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Σε αυτόν δεν δώσαμε καν όνομα, γιατί δεν άξιζε τον κόπο να ασχοληθούμε μαζί του.
Βάλτε τον κωδικό qwerty και ξεκλειδώστε τον Η/Υ σας (και, ξανά, προσέχετε πού κάνετε κλικ!).





Νέος Ransomware: Onion Crypt v3

Kαι λέγαμε, πότε θα δούμε HiddenTear για αυτήν την εβδομάδα? Νάτος! Τοποθετεί την επέκταση .onion3cry-open-DECRYPTMYFILE. 





Νέος ScreenLocker: Anon

Ονομάζεται THTLocker. Δεν έχουμε πολλά ακόμα να πούμε... Ψάχνουμε λύση για αυτό.





Ο Locky τώρα (ξανά, μετά από καιρό..) μέσω Necurs :(

O Locky διανέμεται ξανά μέσω του Necurs, ενός από τους ισχυρότερους Botnet του πλανήτη. Μάλιστα, χρησιμοποιώντας τεχνικές εντοπισμού θέσης, ο Necurs επιλέγει αν θα στείλει Locky ή Trickbot.
Διαβάζουμε στο My Online Security:


The next in the never ending series of malware downloaders coming from the necurs botnet  is an email with the subject of  Emailing: Scan0253 ( random numbers)  pretending to come from sales@  your own email address or company domain. Today they have changed delivery method and will give either Locky Ransomware or Trickbot banking Trojan depending on your IP address and country of origin.



Επανεμφάνιση του Paradise Ransomware (!)

Mετά από πολύ καιρό, ο Paradise ξαναεμφανίζεται, αυτή τη φορά χρησιμοποιώντας αρχείο html για Ransom Note (σε αντίθεση με το .txt που χρησιμοποιούσε παλιότερα). Κατά τ' άλλα, δεν έχει αλλάξει τίποτα απολύτως.



Ο τεμπέλης ο άνθρωπος...

Ο Karsten Hahn ανακάλυψε ένα υπό κατασκευή Ransomware από τη Σλοβενία, ο οποίος παριστάνει τον DMA Locker. Δεν είναι μόνο αυτό. Ο ηγέτης που τον προγραμμάτισε, αντί να φτιάξει δικό του Layout, εμφανίζει μία εικόνα την οποία κατεβάζει (με hardlink!) από το site της Malwarebytes... Προς το παρόν δεν κλειδώνει και δεν κρυπτογραφεί τίποτα. Ενδιαφέρον έχει επίσης ότι χρησιμοποιεί Ransom Note από την εποχή που το Bitcoin ισοδυναμούσε με €400, δηλαδή το 1/10 της σημερινής του αξίας...




Να και ένας Jigsaw!

Καιρό είχαμε να ασχοληθούμε με αυτόν. Θυμίζουμε ότι έχουμε βρεί λύση για όλες τις προηγούμενες εκδόσεις του Jigsaw.
Σε αυτήν την περίπτωση, δεν θα χρειαστεί να βρούμε λύση γιατί λόγω λάθους στον κώδικα, δεν κρυπτογραφεί τίποτα.
Ενδιαφέρον έχει το γεγονός ότι χρησιμοποιούν ταπετσαρία από εικόνα των Anonymous...





Αυτά είναι όλα για αυτήν την εβδομάδα! :)

24/9/17

Ransomware Updates 24/9/2017


Τα μεγάλα νέα της εβδομάδας που πέρασε ήταν οι νέες παραλλαγές του Locky που εμφανίστηκαν καθώς και το γεγονός ότι οι δημιουργοί του συνεχίζουν να χρησιμοποιούν μαζικές καμπάνιες από Spam emails για τη διανομή του.
Κατά τ΄ άλλα, πολλά μικρά νεα Ransomware τα οποία κατά πάσα πιθανότητα δεν θα κυκλοφορήσουν ποτε ή πρόκειται για προσπάθειες κάποιων που προφανώς αστειεύονται.

Ας τα δούμε αναλυτικά.



Νέος Ransomware: Hackers Invasion
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Πρόκειται για έναν εντελώς ανόητο Ransomware με Ransom Note που θυμίζει κωμωδία. Τοποθετεί την επέκταση .Doxes όταν κρυπτογραφεί.


19/9/17

To CCleaner μόλυνε 2.3 εκατομμύρια χρήστες!


Τι συνέβη?

Ένα άγνωστο γκρουπ ανθρώπων κατέλαβαν σιωπηλά τις δομές του δημοφιλούς CCleaner. 

Οι επιτιθέμενοι "πρόσθεσαν" malware στις 32μπιτες εκδόσεις  του CCleaner 5.33.6162 και του CCleaner Cloud 1.07.3191.

Τα αρχεία ήταν διαθέσιμα από το site του CCleaner (το οποίο έχει αγοραστεί από την Avast) από τις 15 Αυγούστου ως και τις 12 Σεπτεμβρίου. 


Ποιούς αφορά?

Όλοι όσοι κατέβασαν και εγκατέστησαν τις μολυσμένες εκδόσεις στο προαναφερθέν χρονικό διάστημα, έχουν μολυνθεί.

Η Avast υπολογίζει ότι ο αριθμός των μολύνσεων ξεπερνά τα 2.27 εκαταμμύρια.


Πώς θα ξέρω αν μολύνθηκα?


9/9/17

Ransomware Updates 9/9/17

RANSOMWARE UPDATES 9/9/2017


Σε σχέση με την προηγούμενή μας ανάρτηση, παρατηρούμε έξαρση του Locky μέσω της καμπάνιας που είχαμε περιγράψει την προηγούμενη εβδομάδα και πολλά μικρά strains από νέους Ransomware...


Νεος Ransomware: Nulltica

Βασίζεται στον HiddenTear αλλά έχει κάτι διαφορετικό σε σχέση με τους υπόλοιπους που βασίζονται στον HiddenTear: Περιέχει κώδικα που διασπείρει μέσω μηνυμάτων στις επαφές του Facebook. Τοποθετεί την επέκταση .locked.

Νεος Windows Has Been Blocked

Ξαφνικά, βρήκαμε αυτό