Παρακάτω δίνονται όλα τα νέα ransomware που κυκλοφόρησαν. Πολλά από αυτά έχουν λύση και σας την δίνουμε οπότε μην πληρώσετε τα λύτρα ! Για τα υπόλοιπα που δεν υπάρχει ακόμη λύση οι μηχανικοί μας δουλεύουν για την αποκρυπτογράφηση.
ΛΥΣΕΙΣ
ΓΙΑ .WALLET,
.ONION, BTCWare
Τα
μεγάλα νεα της εβδομάδας που μας πέρασε
ήταν η εύρεση λύσης για τον Dharma
καθώς
και για τον BTCWare.
Συγκεκριμένα,
ο Dharma
.wallet
που
έχει προσβάλλει περισσότερους από
15.000.000 χρήστες παγκοσμίως, πλέον αποτελεί
παρελθόν. Αυτό αποτελεί σπουδαίο νέο
για όλους και ακόμα περισσότερο, από τη
στιγμή που καταφέραμε και αποκρυπτογραφήσαμε
και την τελευταία γνωστή έκδοσή του,
τον .onion.
" Αν ιός σας ζητάει λύτρα - bitcoin ή έχετε κολλήσει ransomware και τα δεδομένα σας έχουν κρυπτογραφηθεί, τότε η Northwind είναι ο μοναδικός WD Trusted Partner για Ανάκτηση Δεδομένων και Ransomware σε Ελλάδα και Κύπρο. "
Πολλές φορές αναρωτιέστε :
- "πως κόλλησα ransomware?"
ή
- "πως κόλλησα ιο κρυπτογράφησης?".
Η αλήθεια είναι πως αυτή την ερώτηση την ακούμε καθημερινά πολλές φορές!
Το πρώτο στάδιο που παρατηρεί ένας απλός χρήστης που δεν κατάλαβε ότι κόλλησε Cerber ή κάποιον άλλο Ransomware (ιο κρυπτογράφησης) είναι πως τα αρχεία του άλλαξαν κατάληξη ενώ αυτός δούλευε κανονικά στον υπολογιστή του. Αυτή η ενέργεια συμβαίνει προφανώς λόγο της κρυπτογράφησης του ιού.
Το αμέσως επόμενο πράγμα που σκέφτεται ένας χρήστης προφανώς και είναι
- " υπάρχει λύση για ransomware?".
Δυστυχώς αν κολλήσατε ιo "Locky" ή κολλήσατε "Cerber" virus δεν υπάρχει ακόμη λύση παγκοσμίως για την από- κρυπτογράφηση και να γλυτώσετε τα λύτρα που ζητάει ο ιός σε bitcoin.
Άλλωστε αυτή είναι η μορφή και ο τρόπος λειτουργίας των ιών κρυπτογράφησης (Ransomware).
Να κρυπτογραφούν με τέτοιο τρόπο τα αρχεία και να τους αλλάζουν την κατάληξη που η απο-κρυπτογράφηση τους για ένα μεγάλο σύνολο από αυτούς (μεταξύ αυτών οι Locky και Cerber) να είναι αδύνατη ΑΚΟΜΗ!
Παρακάτω σας αναφέρουμε όλους τους ιούς που μπορέσαμε να αποκρυπτογραφήσουμε τον Ιανουάριο καθώς και σας αναλύουμε τους νέους ιούς που ανακαλύψαμε τον Ιανουάριο για να είσαστε προσεκτικοί και μέχρι να τους απο- κρυπτογραφήσουμε να μην χρειαστεί να πληρώσετε τα λύτρα που ζητάει ο ιός σε bitcoin.
Ας
δούμε αναλυτικά τα νεα της εβδομάδας:
ΝΕΟΣ
RANSOMWARE:
SecretSystem
ΜΗ
ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!! ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!
Την
προηγούμενη Δευτέρα έπεσε στην αντίληψή
μας αυτή η ανοησία που κυκλοφόρησε
κάποιος.
Καταφέραμε
και τον σπάσαμε.
ΜΗ
ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!! ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!
ΝΕΟΣ
RANSOMWARE:
ZELTA
Αυτός
είναι παραλλαγή του Stampado.
Όχι
κάτι καινούργιο, ο
δημιουργός του
αντιγραφέας του το προσφέρει δωρεάν.
ΣΑΣ
ΕΛΕΙΨΕ? FAKE-JIGSAW.
ΜΗ
ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!! ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!
ΜΗ
ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!! ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!
ΠΕΡΙ
WANNACRY
O ΛΟΓΟΣ
Μετά
την επιτυχία που είχε ο
WannaCry/WannaCrypt/Wcry/WannaDecrypt0r
βγήκαν
στη φόρα πολλοί μιμητές του.
Για
παράδειγμα, αυτός:
ή
αυτός
ή
αυτός
ή
αυτός
Κυκλοφορεί
μάλιστα στο DarkWeb
ολόκληρος
Generator
μέσω
του οποίου μπορεί κάποιος να τροποποιήσει
το κείμενο/χρώμα κλπ και να δημιουργήσει
το δικό του WannaCry.
Την
Τρίτη (16/5), εμφανίστηκε μάλιστα και
δεύτερος κύμα επιθέσεων από δεύτερη
έκδοση του αυθεντικού WannaCry,
αυτή
τη φορά με διαφορετικό kill
switch, το
οποίο εντοπίστηκε και ενεργοποιήθηκε
για να σταματήσει η εξάπλωση.
Στη
συνέχεια, εμφανίστηκε μία έκδοση η οποία
δεν είχε kill
switch (...).
Ευτυχώς η έκδοση αυτή δεν κυκλοφόρησε
καθώς ήταν απλά μία δοκιμή (...).
Μας
άρεσε πολύ και η τοποθέτηση
του Διευθ. Συμβούλου της Microsoft
Brad Smith, ο
οποίος κατηγόρησε ανοιχτά την NSA
ότι
“μάζεψε Exploit
Kits και
τα άφησε απροστάτευτα, με αποτέλεσμα
να ξεσπάσουν Ransomware
όπως
ο WannaCry”.
Η
λαίλαπα WannaCry
ήταν
αφορμή για μερικά ενδιαφέροντα
συμπεράσματα:
α)
Ο κυβερνοχώρος λειτουργεί πάνω-κάτω με
την ίδια λογική και του “εξω” κόσμου.
Το ξέσπασμα του WannaCry
προκάλεσε
πανικό, ο πανικός κινητοποίησε μια
αλυσιδωτή αντίδραση η οποία είχε ως
αποτέλεσμα η ισοτιμία του Bitcoin
να
εκτοξευθεί από τα $1100 στα $2300 μέσα σε 36
ώρες.
β)
Η συντριπτική πλειοψηφία των χρηστών
δεν έχουν την παραμικρή ιδέα για τις
βασικές αρχές προστασίας του εαυτού
τους ενάντια σε οποιασδήποτε μορφής
κυβερνο-απειλή.
γ)
Η διάδοση ανακριβών / ψευδών ειδήσεων
αποτελεί πλέον κανόνα και είναι επιτακτική
ανάγκη το φιλτράρισμα τέτοιων ειδήσεων.
Τέλος,
κυκλοφόρησε μία φήμη για την εξεύρεση
λύσης για τον WannaCry.
Ελέγξαμε
την εν λόγω λύση και όντως, μπορεί να
βοηθήσει σε μία πολύ μικρή μερίδα των
επιμολύνσεων.
Συγκεκριμένα, η λύση βασίζεται στην εκμετάλλευση των πρώτων αριθμών που δημιουργεί το το Ransomware για τη δημιουργία του κλειδιού στη μνήμη RAM (btw, εξαιρετική ιδέα, hats off στον δημιουργό). Επομένως, μετά την επιμόλυνση και αν ο υπολογιστής δεν έχει γίνει Reboot, το Wannacry process δεν έχει τερματιστεί και η μνήμη του υπολογιστή δεν έχει γίνει overwritten, τότε και αν τα άστρα ευθυγραμμιστούν, μπορεί να βοηθήσει.
Συγκεκριμένα, η λύση βασίζεται στην εκμετάλλευση των πρώτων αριθμών που δημιουργεί το το Ransomware για τη δημιουργία του κλειδιού στη μνήμη RAM (btw, εξαιρετική ιδέα, hats off στον δημιουργό). Επομένως, μετά την επιμόλυνση και αν ο υπολογιστής δεν έχει γίνει Reboot, το Wannacry process δεν έχει τερματιστεί και η μνήμη του υπολογιστή δεν έχει γίνει overwritten, τότε και αν τα άστρα ευθυγραμμιστούν, μπορεί να βοηθήσει.
ΒΡΗΚΑΜΕ
ΛΥΣΗ ΓΙΑ ΤΟΝ BTCWare!!
Ο
ΒTCWare,
ένας
από τους πιο δραστήριους Ransomware
που
κυκλοφορούν, νικήθηκε σε μεγάλο ποσοστό.
Πιο
συγκεκριμένα, οι παραλλαγές του που ως
τώρα ήταν γνωστές ήταν οι εξής:
.[<
email address >].btcware
.[< email address >].cryptobyte
.[< email address >].cryptowin
.[< email address >].theva
.[< email address >].cryptobyte
.[< email address >].cryptowin
.[< email address >].theva
Για
τις δύο πρώτες εκδόσεις, είχαμε βρει
λύσεις προ πολλού.
Για
την τρίτη έκδοση βρήκαμε λύση τώρα και
για την τέταρτη μπορούμε να
αποκρυπτογραφήσουμε μέρος των αρχείων
και δουλεύουμε σε πιο συνολική λύση.
ΣΕ
ΚΑΘΕ ΠΕΡΙΠΤΩΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ,
ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!
ΝΕΟΣ
RANSOMWARE:
Lockout
Toποθετεί
την επέκταση .Lockout
στα
αρχεία και αφήνει ένα ransom
note που
ονομάζεται Payment-Instructions.txt
.
ΕΞΑΡΣΗ
ΤΟΥ SPORA
Υπάρχει
μεγάλη καμπάνια σε εξέλιξη – ΠΡΟΣΟΧΗ
ΝΕΟΣ
RANSOMWARE:
Haters-WanaCry-ish
Μια
παραλλαγή του Haters
εμφανίστηκε,
που θέλει να μοιάσει λίγο στον WannaCry.
Οι
ηλίθιοι έχουν και επιλογή πληρωμής με
Paypal.
Χμμμ....
ΑΝΗΣΥΧΙΑ
ΓΙΑ ΤΟΝ xData
Ransomware...
Ένα
νεο στέλεχος υπό το όνομα xData
έσπειρε
πανικό στην Ουκρανία στις 19/5, κλειδώνοντας
και μολύνοντας δεκάδες χιλιάδες Η/Υ
μέσα σε μόλις 24 ώρες.
Μάλιστα, από τα στατιστικά που συλλέγουμε ο Xdata ήταν ο δεύτερος πιο δραστήριος Ransomware για εκείνη την ημέρα... (οι αριθμοί είναι *100)
Μάλιστα, από τα στατιστικά που συλλέγουμε ο Xdata ήταν ο δεύτερος πιο δραστήριος Ransomware για εκείνη την ημέρα... (οι αριθμοί είναι *100)
Το
χειρότερο απ' όλα είναι ότι δεν ξέρουμε
το παραμικρό για τον τρόπο με τον οποίο
διασπείρεται, το μοναδικό στοιχείο που
έχουμε αυτή τη στιγμή είναι τα ονόματα
των αρχείων που κάνει hijack
στο
μολυσμένο υπολογιστή (mssql.exe,
msdns.exe, msdcom.exe, mscomrpc.exe), κάτι
που πιθανώς να μας οδηγήσει σε συσχετισμούς
για τον δημιουργό του.
Χρησιμοποιεί
AES
κρυπτογράφηση
και τοποθετεί την επέκταση .~xdata~
στο
τέλος των αρχείων.
ΝΕΟΣ
RANSOMWARE:
Yuriz
ΜΗ
ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!! ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!
Αυτό
είναι ένα μικρό σκουπιδάκι που σπάσαμε.
Στην πραγματικότητα δεν κρυπτογραφεί
τίποτα, πατήστε Alt+F4
για
να κλείσετε την οθόνη και προσέχετε την
επόμενη φορά που πατάτε κλικ.
ΠΛΑΚΑ
ΚΑΝΕΙΣ!!!
Για
το τέλος σας κρατήσαμε ένα διασκεδαστικό
νεο.
Χρησιμοποιείτε
Outlook
για
τα email
σας?
Αν ναι, θα ξέρετε σίγουρα το “J
Bug”, το
οποίο πήρε το όνομα του από τον τρόπο
με τον οποίο το Outlook
χειριζόταν
το smiley
:) στο
κείμενο των email,
αφού
το άλλαζε σε J.
Θα
το έχετε δει σίγουρα.
Μετά
από 7 (ολογράφως, επτά) συναπτά έτη, η
Microsoft
ανακοίνωσε
ότι διόρθωσε το bug.
Ποτε
δεν είναι αργά...