29/5/17

Μην πληρώσετε τα λύτρα για τους Ransomware ΒTCWare, D2+D, HiddenTear κ.α.


H εβδομάδα που μας πέρασε περιείχε άπειρες μικρές παραλλαγές του WannaCry, του HiddenTear και δεκάδες υπό κατασκευή Ransomware τα οποία μάλλον -ελπίζουμε- ότι δεν θα κυκλοφορήσουν ποτε.
Στα καλά νεα, ο δημιουργός του
AES-NI (ο οποίος ήταν ο πρώτος που χρησιμοποίησε τα εργαλεία της NSA), αποφάσισε να σταματήσει όλα του τα project και να μοιράσει τα κλειδιά.
Ας δούμε αναλυτικά...

ΒΡΗΚΑΜΕ ΛΥΣΗ ΚΑΙ ΓΙΑ ΤΙΣ ΛΟΙΠΕΣ ΠΑΡΑΛΛΑΓΕΣ ΤΟΥ BTCWare !!!

Nα περάσει ο επόμενος...
Λέγαμε τ
ην προηγούμενη εβδομάδα ότι βρήκαμε λύση για τις δύο πρώτες εκδόσεις του BTCWare (.btcware και .cryptobyte) και πως δουλεύαμε επάνω στην εξεύρεση ολοκληρωμένης λύσης για τις άλλες δύο (.cryptowin και .theva).
Λύση βρήκαμε, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Update 27/5/2017: Όπως γίνεται συνήθως, οι δημιουργοί του BTCWare έκλεισαν κάποια κενά στον κώδικά τους και κυκλοφόρησαν καινούργια έκδοση, την οποία ονομάζουν OnyonWare με επέκταση .onyon. Καταφέραμε και σπάσαμε μερικώς τον αλγόριθμό τους, οπότε μπορούμε να υποστηρίξουμε partially και αυτήν την έκδοση!!

Update 29/5/2017: Και νέα παραλλαγή! Τοποθετεί την επέκταση .xfile στα αρχεία. ΜΗΝ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΒΡΗΚΑΜΕ ΛΥΣΗ ΚΑΙ ΓΙΑ ΑΥΤΗΝ ΤΗΝ ΕΚΔΟΣΗ!!! :)



ΝΕΟΣ ΥΠΟ ΚΑΤΑΣΚΕΥΗ: D2+D

Αυτόν καταφέραμε και τον σπάσαμε, αλλά φοβόμαστε ότι μιας και είναι ακόμα υπό κατασκευή, πολλά θα αλλάξουν...
ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!!


ΝΕΟΣ ΥΠΟ ΚΑΤΑΣΚΕΥΗ: Unidentified

Ακριβώς όπως και ο προηγούμενος, καταφέραμε και τον σπάσαμε, έστω προσωρινά.
ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!!



ΝΕΟΣ SCREENLOCKER: MemeWare

Κάποιος ονόματι AlecK έφτιαξε αυτόν τον Screenlocker. Μην του πληρώσετε τίποτα, έχουμε βρεί λύση!!



ΝΕΟΣ CRYPTOWALL: Wtdi

Αυτός είναι βασισμένος στον Cryptowall και είναι γραμμένος σε .NET.

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!



ΝΕΟΣ SCAREWARE: Adonis

Κορίτσια, ο Άδωνης!
Μη του δώσετε φράγκο!

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!




ΝΕΟΣ RANSOMWARE: WanaDie
Ένα νέο εντελώς ηλίθιο strain εμφανίστηκε, τοποθετεί την επέκταση .WINDIE στα αρχεία.

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!



ΜΑΣ ΕΦΤΙΑΞΕ Η ΔΙΑΘΕΣΗ...

Δε μπορούμε να πούμε, γελάσαμε με την ψυχή μας. Εμφανίστηκε ένας HiddenTear (πολύ πρωτότυπο) ο οποίος τοποθετεί την επέκταση .crying στα αρχεία που κρυπτογραφεί.
Το αστείο είναι στο Ransom Note:

Κάποιος να πει στον ηλίθιο: Σβήσε το Application.Exit().


" Αν ιός σας ζητάει λύτρα - bitcoin ή έχετε κολλήσει ransomware και τα δεδομένα σας έχουν κρυπτογραφηθεί, τότε η Northwind είναι ο μοναδικός WD Trusted Partner για Ανάκτηση Δεδομένων και Ransomware σε Ελλάδα και Κύπρο. "

Πολλές φορές αναρωτιέστε :

 - "πως κόλλησα ransomware?" 

ή 

- "πως κόλλησα ιο κρυπτογράφησης?". 

Η αλήθεια είναι πως αυτή την ερώτηση την ακούμε καθημερινά πολλές φορές! 
        Το πρώτο στάδιο που παρατηρεί ένας απλός χρήστης που δεν κατάλαβε ότι κόλλησε Cerber ή κάποιον άλλο Ransomware (ιο κρυπτογράφησης) είναι πως τα αρχεία του άλλαξαν κατάληξη ενώ αυτός δούλευε κανονικά στον υπολογιστή του. Αυτή η ενέργεια συμβαίνει προφανώς λόγο της κρυπτογράφησης του ιού. 
        Το αμέσως επόμενο πράγμα που σκέφτεται ένας χρήστης προφανώς και είναι 

- " υπάρχει λύση για ransomware?". 

Δυστυχώς αν κολλήσατε ιo "Locky" ή κολλήσατε "Cerber" virus δεν υπάρχει ακόμη λύση παγκοσμίως για την από- κρυπτογράφηση και να γλυτώσετε τα λύτρα που ζητάει ο ιός σε bitcoin. 
Άλλωστε αυτή είναι η μορφή και ο τρόπος λειτουργίας των ιών κρυπτογράφησης (Ransomware). 
Να κρυπτογραφούν με τέτοιο τρόπο τα αρχεία και να τους αλλάζουν την κατάληξη που η απο-κρυπτογράφηση τους για ένα μεγάλο σύνολο από αυτούς (μεταξύ αυτών οι Locky και Cerber) να είναι αδύνατη ΑΚΟΜΗ! 
         

         Παρακάτω σας αναφέρουμε όλους τους ιούς που μπορέσαμε να αποκρυπτογραφήσουμε τον Ιανουάριο καθώς και σας αναλύουμε τους νέους ιούς που ανακαλύψαμε τον Ιανουάριο για να είσαστε προσεκτικοί και μέχρι να τους απο- κρυπτογραφήσουμε να μην χρειαστεί να πληρώσετε τα λύτρα που ζητάει ο ιός σε bitcoin.