RANSOMWARE
UPDATES Mάιος 2017 (part II)
Μόνο
ως εφιαλτική θα μπορούσε να χαρακτηριστεί
η εβδομάδα που μας πέρασε. Μετρήσαμε 38
νέα στελέχη Ransomware,
εκ
των οποίων τα 10 εμφανίστηκαν την
Πρωτομαγιά!
Τα περισσότερα από αυτά είναι σκουπίδια, αλλά έρχονται να προστεθούν στο τεράστιο κύμα επιμολύνσεων που παρατηρείται.
Στα καλά νέα, καταφέραμε να αποκρυπτογραφήσουμε αρκετούς νέους Ransomware.
Τα περισσότερα από αυτά είναι σκουπίδια, αλλά έρχονται να προστεθούν στο τεράστιο κύμα επιμολύνσεων που παρατηρείται.
Στα καλά νέα, καταφέραμε να αποκρυπτογραφήσουμε αρκετούς νέους Ransomware.
Για να τα δούμε
αναλυτικά:
ΝΕΟΣ
RANSOMWARE:
RSAUtil
Εμφανίστηκε
(άλλος ένας) νέος HiddenTear
Ransomware που
ονομάζεται RSAUtil
και
αφήνει αυτό το Ransom
Note με
την ονομασία How_return_files.txt
και
τραγικά Αγγλικά.
ΝΕΟΣ
RANSOMWARE:
DeadSec-Crypto v2.1
Αυτός είναι υπό
κατασκευή και στοχεύει Βραζιλιάνους
χρήστες. Στην έκδοση που ελέγξαμε το
μόνο που έκανε ήταν να πετάει αυτή τη
φόρμα και να διαγράφει μερικά δοκιμαστικά
αρχεία. Αλλά όπως είπαμε είναι υπο
κατασκευή
ΝΕΑ
ΕΚΔΟΣΗ ΤΟΥ CryptoMix
με
επέκταση .wallet
Νέα
έκδοση του CryptoMix
εμφανίστηκε,
η οποία τοποθετεί την επέκταση .wallet
στα
κρυπτογραφημένα αρχεία. Αυτό δημιουργεί
μία σύγχυση, καθώς η επέκταση .wallet
είχε
συνδεθεί με τον Dharma
και
τον Sanctions.
ΝΕΟΣ
RANSOMWARE:
Extractor
Αυτός
τοποθετεί την επέκταση .xxx
(θυμίζοντας
Tesla)
και
αφήνει αυτό το Ransom
Note:
Kι
άλλος HiddenTear
Κυρίες
και κύριοι, ο Ruby.
ΝΕΟΣ
Troldesh
Βρέθηκε
στο δρόμο μας μία νέα έκδοση του διαβόητου
Troldesh
που
τοποθετεί την επέκταση .crypted000007
ΝΕΟΣ
RANSOMWARE:
Maykolin
Άλλος
ένας στο σωρό. Τοποθετεί την επέκταση
.[maykolin1234@aol.com].
ΝΕΟΣ
RANSOMWARE:
Amnesia
Αυτός
προσπαθεί να μιμηθεί τον Globe.
Τοποθετεί
την επέκταση .amnesia
στα
κρυπτογραφημένα αρχεία
Ο
Κλαρκ Κεντ
Θυμάστε
το αστείο spoiler/ταινία
“Ο
Κλαρκ Κεντ είναι ο Σούπερμαν”?
Σειρά μας τώρα:
Ο .CRYPTBOSS είναι ο Amnesia. (που είπαμε παραπάνω).
Σειρά μας τώρα:
Ο .CRYPTBOSS είναι ο Amnesia. (που είπαμε παραπάνω).
ΝΕA
ΠΑΡΑΛΛΑΓΗ
του
GlobelImposter
Αυτός
τοποθετεί την επέκταση .keepcalm
στα
αρχεία.
Αργότερα
μέσα στην εβδομάδα αντιληφθήκαμε
τεράστια καμπάνια με spam
email προσπαθώντας
να προωθήσουν τον εν λόγω Ransomware.
ΝΕΟΣ
RANSOMWARE:
vCrypt
Αυτός
έχει δύο ιδιαιτερότητες. Η πρώτη είναι
ότι ο αριθμός των αρχείων που στοχεύει
βάσει την επέκτασής τους είναι μικρός
(χτυπάει γύρω στις 10-12 επεκτάσεις) και
δεύτερον στοχεύει Ρώσους χρήστες!
Τοποθετεί
την επέκταση .vcrypt1
και
αφήνει ένα Ransom
Note με
την ονομασία КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt.
ΝΕΟΣ
RANSOMWARE:
PEC2017
Αυτός
είναι Ιταλικός και τοποθετεί την επέκταση
.pec
στα
αρχεία.
ΝΕA
EΚΔΟΣΗ
ΤΟΥ CERBER
Δεν
μας έφτανε η σαρωτική επέλαση των
προηγούμενων εκδόσεων, κυκλοφόρησε και
η 6η έκδοση ενός από τους φοβερότερους
Ransomware
όλων
των εποχών. Μάλιστα, προσθέτωντας στην
ήδη υπάρχουσα πολυπλοκότητα αυτής της
οικογένειας, πλέον έχει και anti-VM
και
anti-Sandboxing
ιδιότητες...
:(
KI
AΛΛΑ
ΣΚΟΥΠΙΔΙΑ...
Αυτός
είναι παραλλαγή του ShellShock
και
τοποθετεί την επέκταση .xolzs3c
στα
αρχεία
ΝΕΟΣ
RANSOMWARE:
Clouded
Αυτός
τοποθετεί την επέκταση .cloud.
Έχουμε
βάσιμες υποψίες ότι οι ηλίθιοι δεν
αποθηκεύουν πουθενά το μοναδικό κλειδί
για κάθε επιμόλυνση. Άρα μόλις κλείσει
το Ransomware,
αντίο
τα αρχεία.
ΝΕΟΣ
RANSOMWARE:
Rans0mlocker
Ένας
πολύ εκνευριστικός Ransomware
εμφανίστηκε,
ο οποίος δεν είναι καθόλου εύκολο να
νικηθεί. Δημιουργεί τον κωδικό στον C&C
Server άρα
αποκλείει οποιαδήποτε πιθανότητα για
άλλη παρέμβαση...
ΝΕΟΣ
RANSOMWARE:
CCGen
Αυτός
παριστάνει το CreditCard
Generator, στην
πραγματικότητα από πίσω εγκαθιστά
Ransomware
και
ζητάει 1Btc
για
την αποκρυπτογράφηση.
