5/11/17

Τα νέα των Ransomware, 6/11/2017

Αυτήν την εβδομάδα είχαμε κυρίως μικρά στελέχη. Είχαμε όμως και τον Gibon, έναν Ransomware που παρουσιάζει ενδιαφέρον και -κυρίως- έχουμε βρει λύση και μπορούμε να τον αποκρυπτογραφήσουμε :)

Ας τα δούμε αναλυτικά:



Trick Or Treat Screenlocker - Ανανεώθηκε

Είχαμε γράψει την προηγούμενη εβδομάδα για αυτόν. Εμφανίστηκε μια καινούργια έκδοση με ανανεωμένο Background. Εξακολουθεί πάντως να μη κρυπτογραφεί.


O Oni επιτίθεται σε Ιαπωνικές εταιρίες

Επί έναν ολόκληρο μήνα, ο Oni Ransomware στόχευε εταιρίες στην Ιαπωνία. 



"Είσαι πολύ ηλίθιος"...

Εμφανίστηκε αυτός ο Ransomware που αφήνει το ενδιαφέρον μήνυμα "You are so dumb to download this ware" (είσαι πολύ ηλίθιος που κατέβασες αυτό το λογισμικό)!
Προς το παρόν δεν κρυπτογραφεί και απλά κλειδώνει την οθόνη.




Σοβαρά τώρα?

Εμφανίστηκε ένας Γαλλικός Ransomware o οποίος βασίζεται -φυσικά- στον HiddenTear και πολύ γρήγορα έγινε περίγελος, καθώς καλεί τα θύματά του να επικοινωνήσουν με το email fbi-cybercrimedivision@hotmail. Legit, σίγουρα. Επίσης και τα γαλλικά του είναι γεμάτα συντακτικά λάθη...



Μιλώντας για HiddenTear,

H MalwareHunterTeam ανακάλυψε άλλον έναν, ο οποίος τοποθετεί την επέκταση .locked στα κρυπτογραφημένα αρχεία και ισχυρίζεται ότι είναι "από τους ισχυρότερους Ransomware που κυκλοφορούν"...



Nέα καμπάνια Magniber

Είχαμε αναφερθεί στον Magniber, που είναι ο νέος Cerber. Εμφανίστηκε μία νέα καμπάνια του η οποία διανέμει ένα νέο στέλεχος που τοποθετεί την επέκταση .skvtb στα κρυπτογραφημένα αρχεία.



Jigsaw Game...

Αυτοί επιμένουν να βγάζουν στελέχη, εμείς επιμένουμε να τα αποκρυπτογραφούμε. Στην καινούργια του έκδοση δεν αλλάζει τίποτα απολύτως από την προηγούμενη, εκτός από την επέκταση των κρυπτογραφημένων αρχείων και μικροδιαφορές στις ρουτίνες. Χρησιμοποιεί την επέκταση .game.
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!


Και νέος Hermes

Ανανεώθηκε στην έκδοση 2.1 και τοποθετεί την επέκταση .HRM στα κρυπτογραφημένα αρχεία. Παίζει και μουσική κατά την εμφάνιση του Ransom Note. Δύσκολος Ransomware :(

Νέος Matrix..

Αυτός εμφανίστηκε τις προηγούμενες ημέρες και έχει αλλάξει ριζικά σε σχέση με τις προηγούμενες εκδόσεις του. Τοποθετεί την επέκταση __[RELOCK001@TUTA.IO].[ext] στα κρυπτογραφημένα αρχεία και πετάει Ransom Note με την ονομασία !ΟοοοpsYourFilesLocked!.rtf


Νέος Ransomware: Gibon

Αυτός παρουσιάζει ενδιαφέρον, καθώς πήρε όλα τα αναγκαία μέτρα για να παρουσιαστεί ως σοβαρός Ransomware, δηλαδή χρησιμοποίησε την τεχνική "Locky": Διασπείρεται μέσω malvertising και spam campaigns, έχει επισυναπτόμενο με παγιδευμένο έγγραφο κειμένου, το οποίο περιέχει μακροεντολή που κατεβάζει και εγκαθιστά το Gibon.
Κοντολογίς:
Μόλις ο Gibon ξεκινήσει, επικοινωνεί με τον C2 (Command & Control) Server, στον οποίο στέλνει ένα string σε base64 που περιλαμβάνει την ώρα, την έκδοση των Windows, και το "register" string. 


Στη συνέχεια, ο C2 απαντάει με ένα επίσης κωδικοποιημένο σε base64 string το οποίο θα χρησιμοποιηθεί για το Ransom Note.
Ο Gibon δημιουργεί το κλειδί κρυπτογράφησης και θα το στείλει στον C2. Ο C2 απαντάει και πάλι με το Ransom Note.
Όταν γίνουν όλα αυτά, ο Gibon ξεκινάει την κρυπτογράφηση.
Τοποθετεί την επέκταση .encrypt σε όλα τα αρχεία, ανεξαρτήτως επέκτασης, εξαιρεί μόνο το φάκελο Windows.

Δυστυχώς για εκείνους, ευτυχώς για εμάς, έχουμε βρει λύση και η αποκρυπτογράφηση είναι δυνατή.

ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ. 
Για όσους αναρωτιούνται, η εικόνα ανήκει στην Ρωσική τηλεοπτική εταιρία VID.


Νέος Ransomware: Sad


Αυτός ονομάζεται Sad και τοποθετεί το ID του θύματος ως επέκταση αρχείων που κρυπτογραφεί. 


Νέος Ransomware: Ranion


Είναι νέο στέλεχος του Ranion που τοποθετεί την επέκταση .ransom στα κρυπτογραφημένα αρχεία.


Αυτά για τώρα.
Καλή εβδομάδα σε όλους!