Κατατροπώνοντας τους Ransomware, μέρα με την ημέρα...

ΝΕΑ ΠΑΡΑΛΛΑΓΗ ΤΟΥ JIGSAW, ΒΡΗΚΑΜΕ ΛΥΣΗ!

Την προηγούμενη εβδομάδα είχε κυκλοφορήσει μία παραλλαγή του Jigsaw, που τοποθετούσε την επέκταση .paytounlock στα κρυπτογραφημένα αρχεία.

ΒΡΗΚΑΜΕ ΛΥΣΗ ΚΑΙ ΓΙΑ ΑΥΤΗΝ ΤΗΝ ΠΑΡΑΛΛΑΓΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!!

Πολλές φορές αναρωτιέστε :

 - "πως κόλλησα ransomware?" 

ή 

- "πως κόλλησα ιο κρυπτογράφησης?". 

Η αλήθεια είναι πως αυτή την ερώτηση την ακούμε καθημερινά πολλές φορές! 

        Το πρώτο στάδιο που παρατηρεί ένας απλός χρήστης που δεν κατάλαβε ότι κόλλησε Cerber ή κάποιον άλλο Ransomware (ιο κρυπτογράφησης) είναι πως τα αρχεία του άλλαξαν κατάληξη ενώ αυτός δούλευε κανονικά στον υπολογιστή του. Αυτή η ενέργεια συμβαίνει προφανώς λόγο της κρυπτογράφησης του ιού. 

        Το αμέσως επόμενο πράγμα που σκέφτεται ένας χρήστης προφανώς και είναι 

- " υπάρχει λύση για ransomware?". 

Δυστυχώς αν κολλήσατε ιo "Locky" ή κολλήσατε "Cerber" virus δεν υπάρχει ακόμη λύση παγκοσμίως για την από- κρυπτογράφηση και να γλυτώσετε τα λύτρα που ζητάει ο ιός σε bitcoin. 

Άλλωστε αυτή είναι η μορφή και ο τρόπος λειτουργίας των ιών κρυπτογράφησης (Ransomware). 

Να κρυπτογραφούν με τέτοιο τρόπο τα αρχεία και να τους αλλάζουν την κατάληξη που η απο-κρυπτογράφηση τους για ένα μεγάλο σύνολο από αυτούς (μεταξύ αυτών οι Locky και Cerber) να είναι αδύνατη ΑΚΟΜΗ! 

         

         Παρακάτω σας αναφέρουμε όλους τους ιούς που μπορέσαμε να αποκρυπτογραφήσουμε τον Ιανουάριο καθώς και σας αναλύουμε τους νέους ιούς που ανακαλύψαμε τον Ιανουάριο για να είσαστε προσεκτικοί και μέχρι να τους απο- κρυπτογραφήσουμε να μην χρειαστεί να πληρώσετε τα λύτρα που ζητάει ο ιός σε bitcoin.

NIKHΣΑΜΕ ΚΑΙ ΤΟΝ MERRY I LOVE YOU

Μετά τον Merry X-Mas και τη δεύτερη έκδοσή του,

βρήκαμε λύση και για την τρίτη, την Μerry I love you, η οποία έχει το χαρακτηριστικό ότι αφήνει ransom note με την ονομασία Merry_I_Love_You_Bruce.hta.

Η διασπορά του συγκεκριμένου Ransomware γίνεται έτσι:

και μάλιστα είναι εξαιρετικά δραστήριος!

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!!

ΝΕΟΣ RANSOMWARE: CloudSword

Υπο κατασκευή είναι, αφήνει ένα ransom note που ονομάζεται Warning??.html

Ransomware - ιός κρυπτογράφησης CloudSword

Ο SAGE 2.0 μπαίνει γερά στο παιχνίδι

Υπάρχει μεγάλη ανησυχία για πιθανή έξαρση του Sage 2.0, ο οποίος πλέον διασπείρεται μέσω email ενώ χρησιμοποιούν τις τεχνικές και την υποδομή διασποράς του Cerber, του Locky και του Spora, των 3 φοβερότερων Ransomware αυτή τη στιγμή δηλαδή.
Υπενθυμίζουμε ότι ο Sage 2.0 ζητάει περίπου $2000 ως λύτρα.

Ransomware - ιός κρυπτογράφησης  Sage 2.0

ΔΥΣΤΥΧΩΣ ΕΙΧΑΜΕ ΔΙΚΙΟ...

Όπως είχαμε προβλέψει (δυστυχώς σωστά), ο Spora πλέον διανέμεται και εκτός των χωρών της πρώην Σοβιετικής Ένωσης (απ' όπου προέρχεται). Τα χτυπήματά του, μόλις την εβδομάδα που μας πέρασε φαίνονται στον παρακάτω χάρτη (ευχαριστούμε τον Daniel Gallagher για την παραχώρηση της εικόνας):

Ransomware - ιός κρυπτογράφησης Spora

ΝΕΟΣ RANSOMWARE: Russian Roulette

Πρόκειται στην πραγματικότητα για παραλλαγή του Philadelphia Ransomware.

Λύση για τον Ransomware - ιός κρυπτογράφησης  Russian Roulette

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!

ΝΕΟΣ RANSOMWARE για Android: Charger

Εμφανίστηκε μία εφαρμογή για Android η οποία παρίστανε ότι αυξάνει τη διάρκεια της μπαταρίας στο κινητό και ονομάζεται EnergyRescue. Η εφαρμογή στο παρασκήνιο αποστέλλει όλα τα SMS και τις επαφές του κινητού στο server των developer του εν λόγω ransom και στη συνέχεια κλειδώνει τη συσκευή. Η Google αφαίρεσε άμεσα την εφαρμογή από το Play Store.

Μιας και λέμε για τη Google...

Από τις 13 Φεβρουαρίου και έπειτα, η Google θα μπλοκάρει τα Javascript επισυναπτόμενα. Αν και αυτή η είδηση δεν αφορά ακριβώς τα νέα των Ransomware, το μπλοκάρισμα των επισυναπτόμενων που περιέχουν JS μπορεί να βοηθήσει στην προστασία κατά των Ransomware, καθώς πολλοί διανομείς Ransomware χρησιμοποιούν JS ως μέθοδο επίθεσης.

Μπλοκάρονται τα Javascripts (.Js) από τη Google 

ΝΕΟΣ RANSOMWARE: Potato (ναι, πατάτα)

Αυτός βάζει την επέκταση .potato στα κρυπτογραφημένα αρχεία..

Ransomware - ιός κρυπτογράφησης Potato

Αστυνομικό Τμήμα πέφτει θύμα Ransomware, χάνει όλα τα αρχεία

Το αστυνομικό τμήμα στο Cockrell Hill στο Texas των Ηνωμένων Πολιτειών έπεσε θύμα Ransomware με αποτέλεσμα να χάσει αρχεία με αποδεικτικά στοιχεία ετών. Μεταξύ αυτών, χάθηκαν αρχεία βίντεο από φορητές κάμερες, βίντεο από τις κάμερες των περιπολικών, βίντεο από κάμερες παρακολούθησης, φωτογραφίες, και όλα τα αρχεία Office (εγγραφα word, excel κλπ).

H ΕΠΙΣΤΡΟΦΗ ΤΟΥ VIRLOCKER

Επέστρεψε ο VirLocker (τον οποίο είχαμε κατατροπώσει στο παρελθόν), αυτή τη φορά με πιο σοφιστικέ έκδοση του μηνύματος (όπου προτρέπει στα θύματά του είτε να πληρώσουν με bitcoin είτε να μεταβούν στο ... δικαστήριο της περιοχής τους και να πληρώσουν εκεί με μετρητά...) το οποίο ίσως να πείσει και κάποιους αφελείς. Επίσης παρατηρήσαμε ότι η διασπορά του την προηγούμενη εβδομάδα ήταν τεράστια.
Όμως έχουμε βρει τρόπο και μπορούμε να αποκρυπτογραφήσουμε τα δεδομένα, εκμεταλλευόμενοι ένα κενό ασφαλείας στον κώδικα.

Ransomware - ιός κρυπτογράφησης VirLocker

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!!

ΒΡΗΚΑΜΕ ΛΥΣΗ ΚΑΙ ΓΙΑ ΤΟΝ CRYPTCONSOLE!!!

Έναν από τους πιο δύσκολους Ransomware καταφέραμε και παραβιάσαμε αυτήν την εβδομάδα, τον CryptConsole.

H λύση για τον Ransomware - ιός κρυπτογράφησης cryptconsole

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!!