29/6/17

Ransomware που λύσαμε - Μη πληρώσετε λύτρα

Ιούλιος 2017 - Ransomware
BUSTED!

Αρκετές αποκρυπτογραφήσεις καταφέραμε και αυτήν την εβδομάδα, με τον Jaff να ξεχωρίζει.
Ας τις δούμε αναλυτικά.


Ξεκινάμε με τον αγαπημένο μας…
Jigsaw!
Άλλες δύο παραλλαγές εμφανίστηκαν, μία με την επέκταση .ghost και μία με την επέκταση .sux.

Βρήκαμε λύση, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!


ΝΕΟΣ SCREENLOCKER: SkullLockeR
Κλείστε το με Alt+F4, δεν κάνει τίποτα απολύτως.


27/6/17

BREAKING NEWS : O Petya θερίζει σε όλο το κόσμο ***********UPDATE 00:55 28/6*************

NEO ΞΕΣΠΑΣΜΑ RANSOMWARE ΣΕ ΟΛΟ ΤΟΝ ΚΟΣΜΟ ΜΕ ΤΟΝ PETYA

UPDATE ME ΕΜΒΟΛΙΟ ΠΡΟΣΤΑΣΙΑΣ!

Διαβάστε παρακάτω.

UPDATE: To κείμενο που ακολουθεί γράφτηκε τις πρώτες ώρες της έκρηξης των επιθέσεων του Petya και έχει γίνει εν τω μεταξύ update με διορθώσεις.

Οι πληροφορίες που μας έρχονται είναι καταιγιστικές. Τη στιγμή που γράφονται αυτές οι γραμμές, έχει ξεσπάσει νέα επιδημία Ransomware μολύνσεων σε όλο τον κόσμο, ακολουθώντας αυτό του WannaCry τον Μάιο.
Όπως θα δούμε, οι ομοιότητες είναι αρκετές (και πιθανόν, όχι τυχαίες).

ΑΝΑΛΥΤΙΚΑ:

12.30μμ
Υπάρχουν πρώιμες ενδείξεις για νέα επιδημία Ransomware, που επηρεάζει μεγάλο αριθμό χωρών όπως το Ηνωμένο Βασίλειο, η Ουκρανία, η Ινδία, η Ολλανδία, η Ισπανία, η Δανία και άλλες.

ΠΡΟΣ ΤΟ ΠΑΡΟΝ ΔΕΝ ΜΑΣ ΕΧΕΙ ΓΙΝΕΙ ΓΝΩΣΤΟ ΚΑΠΟΙΟ ΘΥΜΑ ΣΤΗΝ ΕΛΛΑΔΑ ΚΑΙ ΠΑΡΑΚΑΛΟΥΜΕ ΟΠΟΙΟΣ ΕΧΕΙ ΜΟΛΥΝΘΕΙ ΝΑ ΕΡΘΕΙ ΣΕ ΕΠΑΦΗ ΜΑΖΙ ΜΑΣ.

13.30μμ
Αυτή τη στιγμή, η επιδημία μοιάζει να είναι μικρότερη του WannaCry, αλλά ο όγκος της δείχνει να είναι “σημαντικός”, σύμφωνα με την Kaspersky.
Ο τρόπος με τον οποίο χτυπάει ο εν λόγω
Ransomware, o Petya είναι ιδιαίτερος: Κρυπτογραφεί το MFT (Master File Table) των NTFS Partitions και κάνει overwrite το MBR (Master Boot Record) με έναν δικό του bootloader το οποίο εμφανίζει το αντίστοιχο Ransom Note και δεν επιτρέπει το boot των Windows.

13.45μμ
Επιβεβαιώνεται ότι ο Ransomware χτυπάει μόνο συστήματα Windows.

Nέοι Ransomware και τα $1.000.000 λύτρα σε hosting provider

RANSOMWARE UPDATES 
16/6/2017 – 27/6/2017


To διάστημα που μας πέρασε μόνο τρελό μπορεί να χαρακτηριστεί. Ξεχωρίζει το νέο με την εταιρία hosting που πλήρωσε $1.000.000 λύτρα σε bitcoins μετά από επίθεση Ransomware που δέχτηκε. 

ΣΟΚ ΜΕ ΕΤΑΙΡΙΑ HOSTING ΠΟΥ ΠΛΗΡΩΣΕ $1.000.000 ΜΕΤΑ ΑΠΟ ΕΠΙΘΕΣΗ RANSOMWARE

Στις 10/6/17, η Nayana, μια εταιρία hosting από τη Νότια Κορέα δέχτηκε επίθεση Ransomware με αποτέλεσμα να κρυπτογραφηθούν όλοι οι server με τα website των πελατών της. Οι σέρβερ που μολύνθηκαν ήταν 153 στον αριθμό.
Ο Ransomware που επιτέθηκε στους server της εταιρίας, κρυπτογράφησε όλα τα δεδομένα και στη συνέχεια ζητούσε λύτρα, ήταν ο Erebus.



Οι τύποι των αρχείων που στοχεύει ο συγκεκριμένος Ransomware είναι:

targztgztazbztbzbz2, lzlzmalz4, contactdbxdocdocxjntjpgmapimailmsgoabodspdfppsppsmpptpptmprfpstrarrtftxtwabxlsxlsxxmlzip, 1cd, 3ds, 3g2, 3gp, 7z, 7zipaccdbaoiasfaspaspxasxavibakcercfgclassconfigcsscsvdbddsdwgdxfflfflvhtmlidxjskeykwmlaccdbldflitm3umbxmdmdfmidmlbmovmp3, mp4, mpgobjodtpagesphppsdpwmrmsafesavsavesqlsrtswfthmvobwavwmawmvxlsb, 3dmaacaiarwccdrclscpicppcsdb3, docmdotdotmdotxdrwdxbepsflaflacfxgjavamm4vmaxmdbpcdpctplpotmpotxppamppsmppsxpptmpspspimager3drw2, sldmsldxsvgtgawpsxlaxlamxlmxlrxlsmxltxltmxltxxlwactadpalbkpblendcdfcdxcgmcr2, crtdacdbfdcrddddesigndtdfdbffffpxhiifinddjpegmosndnsdnsfnsgnshodcodpoilpaspatpefpfxptxqbbqbmsas7bdatsayst4, st6, stcsxcsxwtlgwadxlkaiffbinbmpcmtdatditedbflvvgifgroupshddhpplogm2tsm4pmkvmpegndfnvramoggostpabpdbpifpngqedqcowqcow2, rvtst7, stmvboxvdivhdvhdxvmdkvmsdvmxvmxf, 3fr, 3prab4, accdeaccdraccdtachacradbadsagdlaitapjasmawgbackbackupbackupdbbankbaybdbbgtbikbpwcdr3, cdr4, cdr5, cdr6, cdrwce1, ce2, cibcrawcrwcshcsldb_journaldc2, dcsddocddrwderdesdgcdjvudngdrfdxgemlerbsqlerfexfffdfhfhdgraygreygryhbkibankibdibziiqincpasjpekc2, kdbxkdckpdxluamdcmefmfwmmwmnymoneywellmrwmydnddnefnk2, nopnrwns2, ns3, ns4, nwbnx2, nxlnyfodbodfodgodmorfotgothotpotsottp12, p7bp7cpddpemplus_muhdplcpotpptxpsafe3, pyqbaqbrqbwqbxqbyrafratrawrdbrwlrwzs3dbsd0, sdasdfsqlitesqlite3, sqlitedbsr2, srfsrwst5, st8, stdstistwstxsxdsxgsxisxmtexwalletwb2, wpdx11, x3fxisycbcrayuvmabjsoninisdbsqlite-shmsqlite-walmsfjarcdbsrbabdqtbcfninfoinfo_, flbdefatbtbntbbtlxpmlpmopnxpncpmipmmlckpm!, pmrusrpndpmjpmlocksrspbfomgwmfshwarascxtif



Τα ενδιαφέροντα σημεία της ιστορίας είναι τα εξής:
α) Η μοναδική έκδοση του Erebus που γνωρίζαμε πριν το συμβάν είχε κυκλοφορήσει το 2016, στη συνέχεια εξαφανίστηκε και μετά ξαναβγήκε στην επιφάνεια το Φεβρουάριο που μας πέρασε. Το θέμα είναι ότι η γνωστή αυτή έκδοση στόχευε μόνο λειτουργικά συστήματα Windows, ενώ αυτός ο οποίος χτύπησε τη Nayana επιτέθηκε σε Linux
β) H αρχική απαίτηση για πληρωμή λύτρων για την αποκρυπτογράφηση ήταν 550 bitcoins (!!!), δηλαδή περίπου $1.620.000 (με την ισοτιμία της τότε ημέρας). Μετά από διαπραγματεύσεις με τους κακοποιούς, κατέβασαν το ποσό των λύτρων σε 397.6 bitcoins (δηλαδή περίπου $1.000.000) με την προοπτική να το πληρώσουν σε 3 δόσεις. Η εταιρία ανακοίνωσε ότι στις 19/6 πλήρωσε τη δεύτερη δόση του ποσού.
γ) Μετά από ανάλυση του website της εταιρίας, διαπιστώνουμε ότι δεν αποτελεί έκπληξη ότι έπεσε θύμα της επιμόλυνσης.
Συγκεκριμένα,
Το website της NAYANA τρέχει Linux kernel 2.6.24.2 ο οποίος είχε γίνει compile το 2008 (…). Επιπροσθέτως, το website της NAYANA χρησιμοποιεί έκδοση Apache 1.3.36 και PHP έκδοση 5.1.4 οι οποίες είχαν κυκλοφορήσει το 2006. Τα τρωτά σημεία και οι ευαισθησίες και των δύο αυτών εκδόσεων είναι γνωστά σε όλους. Τέλος, η έκδοση Apache που χρησιμοποιεί η Nayana τρέχει με user=nobody (uid=99), κάτι που σημαίνει ότι μπορεί να έχει προηγηθεί local exploit στην επίθεση.

Προς το παρόν δεν είναι γνωστός ο τρόπος εισβολής στους εξυπηρετητές της εταιρίας, όμως με τόσες φτωχές πρακτικές ασφαλείας, είναι θέμα ωρών να ξαναχτυπηθούν, αν δεν κλείσουν οι τρύπες ασφαλείας….