Τετάρτη, 3 Μαΐου 2017

RANSOMWARE UPDATES
24/4/2017 – 30/4/2017



ΜΑΛΛΟΝ Ο AES-NI ΤΟ ΕΝΝΟΟΥΣΕ

Την προηγούμενη εβδομάδα είχαμε αναφερθεί στον Aes-Ni Ransomware για τον οποίο ο δημιουργός του καυχιόταν ότι χρησιμοποίησε ένα από τα exploit kits της NSA που είχαν διαρρεύσει στο Wikileaks.
Υπήρξε έντονος σκεπτικισμός για το κατά πόσο λέει μπούρδες ή όντως μπόρεσε να κάνει κάτι τέτοιο. 

Την Τρίτη εμφανίστηκε μία παραλλαγή του
Ransomware η οποία εισχωρεί στο svchost.exe αρχείο των Windows κάνοντας την αποκρυπτογράφηση αδύνατη. Ο δημιουργός του ονόμασε την παραλλαγή αυτή NSA_0DAy.





" Αν ιός σας ζητάει λύτρα - bitcoin ή έχετε κολλήσει ransomware και τα δεδομένα σας έχουν κρυπτογραφηθεί, τότε η Northwind είναι ο μοναδικός WD Trusted Partner για Ανάκτηση Δεδομένων και Ransomware σε Ελλάδα και Κύπρο. "

Πολλές φορές αναρωτιέστε :

 - "πως κόλλησα ransomware?" 

ή 

- "πως κόλλησα ιο κρυπτογράφησης?". 

Η αλήθεια είναι πως αυτή την ερώτηση την ακούμε καθημερινά πολλές φορές! 
        Το πρώτο στάδιο που παρατηρεί ένας απλός χρήστης που δεν κατάλαβε ότι κόλλησε Cerber ή κάποιον άλλο Ransomware (ιο κρυπτογράφησης) είναι πως τα αρχεία του άλλαξαν κατάληξη ενώ αυτός δούλευε κανονικά στον υπολογιστή του. Αυτή η ενέργεια συμβαίνει προφανώς λόγο της κρυπτογράφησης του ιού. 
        Το αμέσως επόμενο πράγμα που σκέφτεται ένας χρήστης προφανώς και είναι 

- " υπάρχει λύση για ransomware?". 

Δυστυχώς αν κολλήσατε ιo "Locky" ή κολλήσατε "Cerber" virus δεν υπάρχει ακόμη λύση παγκοσμίως για την από- κρυπτογράφηση και να γλυτώσετε τα λύτρα που ζητάει ο ιός σε bitcoin. 
Άλλωστε αυτή είναι η μορφή και ο τρόπος λειτουργίας των ιών κρυπτογράφησης (Ransomware). 
Να κρυπτογραφούν με τέτοιο τρόπο τα αρχεία και να τους αλλάζουν την κατάληξη που η απο-κρυπτογράφηση τους για ένα μεγάλο σύνολο από αυτούς (μεταξύ αυτών οι Locky και Cerber) να είναι αδύνατη ΑΚΟΜΗ! 
         

         Παρακάτω σας αναφέρουμε όλους τους ιούς που μπορέσαμε να αποκρυπτογραφήσουμε τον Ιανουάριο καθώς και σας αναλύουμε τους νέους ιούς που ανακαλύψαμε τον Ιανουάριο για να είσαστε προσεκτικοί και μέχρι να τους απο- κρυπτογραφήσουμε να μην χρειαστεί να πληρώσετε τα λύτρα που ζητάει ο ιός σε bitcoin.


ΝΕΟΣ RANSOMWARE: PyteHole
Για την ακρίβεια είναι νέα παραλλαγή του PyteHole. Το ενδιαφέρον είναι ότι μοιάζει να “σηκώνεται” από έναν server στη Σλοβακία. Η κοινότητα ψάχνει να βρει αν όντως ο Command & Control Server του εν λόγω Ransomware είναι εκεί ή απλά πρόκειται για κάποιον server που έχει γίνει compromised. Στην πρώτη περίπτωση ο server θα κατέβει και η περαιτέρω διασπορά του PyteHole θα σταματήσει. Για να δούμε...


ΝΕΑ ΠΑΡΑΛΛΑΓΗ ΤΟΥ NMoreira
Αυτό τοποθετεί την επέκταση .nm4 στα αρχεία και προς το παρόν μοιάζει απαραβίαστος. Το κοιτάμε... Δεδομένης της ανικανότητας του δημιουργού του, έχουμε βάσιμες ελπίδες να βρούμε τρωτό σημείο.





Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Northwind ο μοναδικός WD Trusted Partner για Ανάκτηση Δεδομένων Ransomware σε Ελλάδα και Κύπρο με ιδιόκτητο πιστοποιημένο clean room.