24/9/17

Ransomware Updates 24/9/2017


Τα μεγάλα νέα της εβδομάδας που πέρασε ήταν οι νέες παραλλαγές του Locky που εμφανίστηκαν καθώς και το γεγονός ότι οι δημιουργοί του συνεχίζουν να χρησιμοποιούν μαζικές καμπάνιες από Spam emails για τη διανομή του.
Κατά τ΄ άλλα, πολλά μικρά νεα Ransomware τα οποία κατά πάσα πιθανότητα δεν θα κυκλοφορήσουν ποτε ή πρόκειται για προσπάθειες κάποιων που προφανώς αστειεύονται.

Ας τα δούμε αναλυτικά.



Νέος Ransomware: Hackers Invasion
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Πρόκειται για έναν εντελώς ανόητο Ransomware με Ransom Note που θυμίζει κωμωδία. Τοποθετεί την επέκταση .Doxes όταν κρυπτογραφεί.



Νέος Ransomware: nRansom

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ "ΛΥΤΡΑ" :-)

Ασχολούμαστε με το θέμα των Ransomware εδώ και χρόνια. Έχουμε δεί, έχουμε αναλύσει, έχουμε αποκρυπτογραφήσει δεκάδες/εκατοντάδες διαφορετικά στελέχη, κατά διαστήματα δεν υπήρχε καμία πρωτοτυπία.

Όμως μερικές φορές, κάποιοι ξεπερνάνε τον εαυτό τους.
Όπως με τον nRansom.
Αυτός κλειδώνει τον Η/Υ, και ζητάει από το θύμα να στείλει 10 γυμνές φωτογραφίες σε ένα συγκεκριμένο email. Μετά πιστοποιούν ότι το θύμα ταυτίζεται με το άτομο των φωτογραφιών και στέλνουν τον κωδικό ξεκλειδώματος.
Ισχυρίζονται ότι θα πουλήσουν τις γυμνές φωτογραφίες στο DarkWeb για να βγάλουν τα προς το ζειν.
Τι να πει κανείς...
To όλο πράγμα είναι φτιαγμένο σε VB.

Επειδή δεν θέλουμε να στέλνετε προσωπικές σας φωτογραφίες δεξιά κι αριστερά, ο κωδικός για να ξεκλειδώσει ο Η/Υ σας είναι 12345. Μας ευχαριστείτε αργότερα.
Δείτε το βίντεο με το εν λόγω Ransomware...



Νέος Ransomware: Stupid
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Αυτός είναι όνομα και πράμα που λένε. Βέβαια πρόκειται γτια παραλλαγή του γνωστού Stupid Ransomware, ο οποίος τοποθετεί την επέκταση .XmdXtazX και προσποιείται ότι πρόκειται για μήνυμα  από το FBI (πολύ πρωτότυπο...).





Συνεχίζει η καμπάνια του Locky: ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ! 

Με νέα παραλλαγή συνεχίζει την επέλασή του ο Locky, ο οποίος θεωρείται πλέον από τους πιο δραστήριους Ransomware των τελευταίων μηνών. Αυτός χρησιμοποιεί την επέκταση .ykcol, που είναι το locky γραμμένο ανάποδα (ομολογούμε ότι μας πήρε λίγη ώρα να το αντιληφθούμε). Η μέθοδος διασποράς είναι ίδια με προηγουμένως. Ένα παράδειγμα ενός email που διασπείρει τον ykcol είναι αυτό:





Νέος Ransomware: Pendor
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Αυτός είναι παλιός και για πολύ καιρό ήταν αδρανής. Εμφανίστηκε με μία παραλλαγή για την οποία θεωρούμε ότι έχουμε βρει λύση.




Νέος Ransomware: ZONEware

To interface του θυμίζει τον Teslaware. Τοποθετεί την επέκταση .ZW






Νέος Screenlocker: FBI
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Καλοσχεδιασμένος, τολμούμε να πούμε. Έχουμε βρει λύση.






Νέα παραλλαγή Ransomware: Ηitler

O Karsten Hahn της Gdata ανακάλυψε ότι κάποιο κατακάθι της κοινωνίας έφτιαξε μία παραλλαγή του Hitler Ransomware. Παριστάνει ότι είναι "πάροχος λογαριασμών στο Minecraft". Απειλεί ότι αν το θύμα δεν πληρώσει, θα δημοσιεύσουν όλα του τα προσωπικά έγγραφα σε κοινή θέα.



Νέα παραλλαγή Ransomware: CryptoMix -> Shark

Αυτοί βγάζουν μία παραλλαγή κάθε εβδομάδα (τουλάχιστον), οπότε μας προκαλεί έκπληξη που τους πήρε 3 εβδομάδες για να κυκλοφορήσουν αυτήν την παραλλαγή, την οποία ονομάζουν Shark. Αυτή είναι και η επέκταση που τοποθετεί στα κρυπτογραφημένα αρχεία, δηλαδή .SHARK.





Νέος Ransomware: CyberDrill2

Kαι πάνω που λέγαμε ότι αυτήν την εβδομάδα δεν είδαμε κανένα HiddenTear, να ένας. Ονομάζεται CyberDrill2, τοποθετεί την επέκταση .cyberdrill και εμφανισιακά μοιάζει αρκετά με τον WannaCry. Ζητάει $17.000 σε Bitcoins και ανεβάζει το κόστος κατά 1 Bitcoin για κάθε μέρα καθυστέρησης. Απειλεί ότι θα στείλει DDoS στο θύμα αν δεν συνεργαστεί.
  


Νέος Ransomware: Technicy

O Karsten Hahn και πάλι, ανακάλυψε έναν νέο Ransomware που έρχεται από την Πολωνία και -φυσικά- βασίζεται στον HiddenTear. Τοποθετεί την επέκταση .technicy.



Σχετικά με τον Locky...

Βλέπουμε παντού αναφορές από εταιρίες ασφαλείας καθώς και ερευνητές ότι υπάρχει πολύ μεγάλη έξαρση του Locky (αυτό που λέγαμε παραπάνω), με καμπάνιες οι οποίες ξεκίνησαν στις 18/9/17 και συνεχίζουν πολύ δυνατά μέχρι σήμερα.
ΠΡΟΣΟΧΗ σε όλους.
Διαβάστε και ακολουθήστε τις οδηγίες για την αποφυγή επιμολύνσεώς σας από Ransomware.



Νέος Ransomware: CyberSoldier

Εμφανίστηκε ένας νέος Ransomware με το όνομα CyberSoldier, ο οποίος τοποθετεί την επέκταση .CyberSoldiersST.
Έχει τόσα πολλά bug που αμφιβάλλουμε αν ακόμα και οι δημιουργοί του μπορούν να βγάλουν άκρη.
Προς το παρόν μόνο μετονομάζει αρχεία και δεν κρυπτογραφεί. Μάλλον είναι ακόμα υπό κατασκευή.



Νέα παραλλαγή Ransomware: ΒTCWare -> Wyvern

Mία νέα παραλλαγή του BTCWare εμφανίστηκε, η οποία τοποθετεί την επέκταση .[email]-id-[id].wyvern στα κρυπτογραφημένα αρχεία.
Υπενθυμίζουμε ότι η οικογένεια των BTCWare Ransomware διασπείρεται από τους δημιουργούς της μέσω της εισβολής σε απομακρυσμένους υπολογιστές που χρησιμοποιούν ασθενείς κωδικούς στις εφαρμογές Remote Desktop.