18/11/17

Τα νέα των Ransomware, 19/11/2017

Αυτήν την εβδομάδα είχαμε κυρίως μικρά στελέχη Ransomware να κάνουν την εμφάνισή τους.
Μας κίνησαν το ενδιαφέρον δύο παραλλαγές του CryptoMix και ένα υπό κατασκευή Ransomware που δημιουργήθηκε για να επιτεθεί σε συγκεκριμένο σχολείο της Αμερικής.


Ας τα δούμε αναλυτικά:



Νέος Jigsaw Ransomware: Pabluklocker 

O Michael Gillespie ανακάλυψε ένα strain του φίλου μας του Jigsaw που τοποθετεί την επέκταση .##ENCRYPTED_BY_pabluklocker## στα κρυπτογραφημένα αρχεία, και χρησιμοποιεί ένα σωρό εικόνες...


Νέος Ransomware: CyberPolice

Tην Τρίτη εμφανίστηκε ο πρώτος HiddenTear αυτής της εβομάδας. Τοποθετεί την επέκταση .locked. Απο πρωτοτυπία σκίζουμε, ε? 

Νέος Ransomware: Stroman

Aυτός τοποθετεί την ενδιαφέρουσα επέκταση
.fat32 στα κρυπτογραφημένα αρχεία και αφήνει Ransom Note με την όχι και τόσο ενδιαφέρουσα ονομασία info.txt.

Νέος Ransomware: XZZX

Είναι στην πραγματικότητα CryptoMix και τοποθετεί την επέκταση .XZZX. Τον ανακάλυψε ο Lawrence Abrams.



Νέος Ransomware: jCandy.

Mία νέα ανοησία εμφανίστηκε την Τετάρτη που μας πέρασε, τοποθετεί την επέκταση .locked-jCandy στα κρυπτογραφημένα αρχεία και αφήνει Ransom Note που ονομάζεται READ_ME.txt.




Νέος Ransomware: LockOn

Eίναι γαλλικός, και είναι υπό κατασκευή. Προς το παρόν κρυπτογραφεί μόνο το φάκελο C:\testrw. Τοποθετεί την επέκταση .lockon στα κρυπτογραφημένα αρχεία.


Βρήκαμε λύση για τους Blind Ransomware (και την παραλλαγή του, Kill Ransomware!

Καλά νέα, βρήκαμε λύση για τον Blind και τον Kill, δύο Ransomware που μας ταλαιπωρούσαν εδώ και καιρό. Αν έχετε μολυνθεί από κάποιον από τους δύο (τοποθετούν τις επεκτάσεις .blind και .kill αντίστοιχα), μη πληρώσετε τα λύτρα και ελάτε σε επαφή μαζί μας!

Βρήκαμε λύση και για τον Amnesia 3!

Eίμαστε πολύ περήφανοι που είμασταν από τους πρώτους (οι πρώτοι) που είχαμε βρει λύση για τον Amnesia2 (τοποθετεί την επέκταση .amnesia). Η λύση βασίζονταν βασικά στο γεγονός ότι ο Ransomware κρυπτογραφούσε τα πρώτα 2047 (και μισό...) sectors του κάθε αρχείου.

Την Τετάρτη εμφανίστηκε και νέα έκδοση του εν λόγω, την οποία επίσης σπάσαμε και είμαστε σε θέση να αποκρυπτογραφήσουμε τα  δεδομένα που έχουν επηρεαστεί! 😊
Τοποθετεί την επέκταση .am και οφείλουμε να πούμε ότι έχει πολλά προβλήματα στον κώδικά του (αυτό για εμας είναι πάντα καλό νέο)...





Δυστυχώς, τα νέα δεν είναι εξίσου καλά στη συνέχεια...

Εμφανίστηκε και νέος GlobeImposter, ο οποίος τοποθετεί την επέκταση .kimchenyn στα κρυπτογραφημένα αρχεία.

Να πούμε ότι ο GlobeImposter έχει επηρεάσει έναν πολύ μεγάλο αριθμό χρηστών και στην Ελλάδα, και έχουμε μία λίστα με πελάτες μας που περιμένουν να βρούμε λύση για τις προηγούμενες εκδόσεις.
Δυστυχώς προς το παρόν δεν έχουμε καταφέρει να βρούμε λύση για αυτόν.


Ο δεύτερος HiddenTear της εβδομάδας

Την Πέμπτη εμφανίστηκε αυτός, τοποθετεί την επέκταση .goofed.




Περι GlobeImposter συνέχεια...

Και πριν προλάβουμε να συνέλθουμε από τον GlobeImposter που εμφανίστηκε την προηγούμενη μέρα, ο Michael Gillespie ανακάλυψε κι άλλον...
Τοποθετεί την επέκταση .SEXY.



Έβαλαν στο μάτι λύκειο του Illinois!

Από τύχη δεν είχαμε χειρότερη κατάληξη για το σχολείο J. Sterling Morton του Cicero, Illinois στις ΗΠΑ. Ο λόγος είναι ότι εντοπίστηκε έγκαιρα στέλεχος ενός Ransomware το οποίο φτιάχτηκε ειδικά για να χτυπήσει το εν λόγω σχολείο, και ενημερώθηκαν οι υπεύθυνοι.

Το εν λόγω Ransomware, που του δώσαμε το όνομα του σχολείου που είχε βάλει στο μάτι, είναι υπό κατασκευή αλλά είναι πολύ καλογραμμένο και θα μπορούσε άνετα να ξεγελάσει ακόμα και έμπειρους χρήστες.

Παρουσίαζε τον εαυτό του ως γκάλοπ μεταξύ των μαθητών και χρησιμοποιούσε το λογότυπο του σχολείου.





Νέος Ransomware: Rastakhiz

Tίποτα απολύτως το πρωτότυπο: HiddenTear βγαλμένο από το τσουβάλι.

Κι άλλος CryptoMix!


Tην Παρασκευή ανακαλύφθηκε άλλος ένας CryptoMix, ο δεύτερος για αυτήν την εβδομάδα, κάτι που δείχνει έντονη δραστηριότητα σε σχέση με το προηγούμενο διάστημα. Αυτός τοποθετεί την επέκταση .0000 στα αρχεία.


Νέος Ransomware: WannaSmile

Eπίσης, τίποτα το πρωτότυπο, τοποθετεί την επέκταση .WSmile..



Νέος Ransomware: CorruptCrypt

Aυτός όμως, έχει ενδιαφέρον.

Καταρχήν, δεν μπορούμε να βρούμε πληροφορίες για αυτόν. Δύο μέρες μετά την ανακάλυψή του, εμφανίζει μηδενική διασπορά.
Κατά δεύτερον, δείχνει να έχει μία ρουτίνα η οποία γεμίζει το σκληρό δίσκο με σκουπίδια μόλις ολοκληρώσει την κρυπτογράφηση.
Υπάρχει και ένα απενεργοποιημένο κομμάτι της εν λόγω ρουτίνας, με το οποίο κρυπτογραφεί 312 αρχεία (!?) και στη συνέχεια γεμίζει τον υπόλοιπο δίσκο με σκουπίδια...

Το τρίτο ενδιαφέρον στοιχείο είναι ότι κρυπτογραφεί τα αρχεία χρησιμοποιώντας εναλλάξ δύο διαφορετικές επεκτάσεις.
Τον παρακολουθούμε.


Νέος ScreenLocker: Hand Of God

Η Γαλλία είχε αυτήν την εβδομάδα την τιμητική της...



Αυτά για τώρα.
Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.