Σάββατο, 21 Ιουλίου 2018

Τα νέα των Ransomware, 23/7/2018

Eνδιαφέροντα νέα στον τομέα των Ransomware είχαμε για την προηγούμενη εβδομάδα, με σημαντικότερο τον NSB Screenlocker που αυτή τη στιγμή δεν ανιχνεύεται από κανένα antivirus.

Επίσης, μας κάνει εντύπωση καταρχήν ο νέος Scarab ο οποίος χρησιμοποιεί το email που χρησιμοποιεί και ο Dharma, όπως επίσης και το θράσος των δημιουργών του King Ouroboros Ransomware που επιτέθηκαν φραστικά στον Michael Gillespie στο Twitter.

Ας τα δούμε αναλυτικά:

NEOΣ Xorist

O Michael Gillespie εντόπισε ένα καινούργιο στέλεχος του Xorist που τοποθετεί την επέκταση .TaRoNiS.




Nέος Scarab - Deep

Εδώ έχουμε το εξής ενδιαφέρον: Το email που χρησιμοποιεί ο συγκεκριμένος Ransomware για την επικοινωνία με τα θύματά του, επίσης το είδαμε και σε ένα στέλεχος του Dharma. Φαίνεται ότι ο συγκεκριμένος κύριος το παίζει σε διπλό ταμπλό.


Δεν έχει όρια το θράσος

Oι δημιουργοί του King Ouroboros Ransomware επιτέθηκαν φραστικά στον Michael Gillespie και στην MalwareHunter επειδή κάποιο site χαρακτήρισε τον συγκεκριμένο Ransomware απάτη. Στο ίδιο σαιτ

Τρίτη, 10 Ιουλίου 2018

Τα νέα των Ransomware 10/7/2018

Για την εβδομάδα που πέρασε, είχαμε δύο σημαντικά νέα, τη νέα έκδοση του Gandcrab (είναι η 4η έκδοση...) και τον Nozelesn, ο οποίος είχε μεγάλη έξαρση ξεκινώντας από την Πολωνία και εξαπλώθηκε και στην Αμερική. Προς το παρόν, δεν είχαμε κάποια αναφορά για θύμα στην Ελλάδα.

Ας τα δούμε αναλυτικά:

NEOΣ Ransomware - Whoopsie

Τίποτα το ιδιαίτερο.




Νέος Ransomware - Nozelesn

Μεγάλης έκτασης καμπάνια εξάπλωσης του συγκεκριμένου Ransomware ξέσπασε την προηγούμενη Τρίτη, αρχικά με θύματα στην Πολωνία και στη συνέχεια στην Αμερική. Δεν είχαμε προς το παρόν αναφορές για θύματα στην Ελλάδα.
Ο συγκεκριμένος είναι υπό ανάλυση, και θα ξέρουμε περισσότερα σύντομα.
Η διασπορά γίνεται μέσω ψεύτικων email που παριστάνουν ότι προέρχονται από μεγάλη εταιρία ταχυμεταφορών. ΠΡΟΣΟΧΗ σε όλους!




Νέος Ransomware - RaRansomware

Toποθετεί την επέκταση .KUAJW. MH ΠΛΗΡΩΣΕΤΕ ΤΑ  ΛΥΤΡΑ!!!



Νέος Scarab - Red

Άλλος ένας Scarab, προστίθεται στην ήδη τεράστια λίστα των παραλλαγών του συγκεκριμένου. Τοποθετεί την επέκταση .red.
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!!


Δευτέρα, 2 Ιουλίου 2018

Τα νέα των Ransomware, 2/7/2018

Μετά την εξαιρετικά καλή προηγούμενη εβδομάδα, όπου είχαμε επιτυχία αποκρυπτογραφώντας μία σειρά από εξαιρετικά ενεργούς Ransomware, συνεχίζουμε με τα καλά νέα, αυτή τη φορά με λύση για τον Thanatos Ransomware αλλά και γενικά γιατί ήταν μία πολύ πολύ ήσυχη εβδομάδα, κάτι που πάντα είναι καλό νέο.

Ας τα δούμε αναλυτικά:

NEOΣ RotorCrypt

O Michael Gillespie εντόπισε ένα καινούργιο στέλεχος του RotorCrypt, το οποίο δεν τοποθετεί επέκταση στα κρυπτογραφημένα αρχεία και αφήνει ένα Ransom Note με τίτλο HELP.



Αποκρυπτογραφήσαμε τον Thanatos!

Για τον Thanatos, είχαμε γράψει:
Παρά το ελληνικό του όνομα, μάλλον προέρχεται από τη Ρωσία. Το πρόβλημα είναι ότι ο Thanatos αποτελεί άλλο ένα παράδειγμα όπου οι δημιουργοί Ransomware βγάζουν στη φόρα επιμολύνσεις που δεν είναι επαρκώς δοκιμασμένες και έχουν τόσα bugs που είναι εξαιρετικά απίθανο έως αδύνατον να αποκρυπτογραφηθούν τα δεδομένα, ακόμα και αν το θύμα πληρώσει τα λύτρα.

Στην προκειμένη περίπτωση, ο Thanatos δημιουργεί ένα κλειδί για κάθε αρχείο ξεχωριστά (!). Το πρόβλημα είναι ότι αυτό το κλειδί δεν αποθηκεύεται κάπου. Επομένως, αν το θύμα πληρώσει τα λύτρα, ο επιτιθέμενος δεν έχει τρόπο να του αποκρυπτογραφήσει τα αρχεία...


Τα καλά νέα είναι ότι για συγκεκριμένους τύπους αρχείου και με δεδομένο ότι υπάρχει επάρκεια χρόνου, ίσως μπορούμε να σπάσουμε τον κωδικό για κάθε αρχείο με τη μέθοδο Brute Force.

Το άλλο ενδιαφέρον με τον συγκεκριμένο είναι ότι είναι ο πρώτος που δέχεται Bitcoin Cash ως πληρωμή.

Όπως και να έχει, όπως είπαμε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ καθώς δεν θα σας δώσουν κλειδί αποκρυπτογράφησης, πολύ απλά γιατί κλειδί αποκρυπτογράφησης δεν υπάρχει.


Ευτυχώς καταφέραμε και εκμεταλλευτήκαμε κάποια προβλήματα στην υλοποίηση του συγκεκριμένου Ransomware, και μπορούμε να τον αποκρυπτογραφήσουμε. 


Νέος Ransomware - BloodJaws

Τίποτα το ιδιαίτερο.



Νέος Ransomware - AnimusLocker

O Karsten Hahn εντόπισε αυτό, το οποίο σύμφωνα με τον ίδιο, επίσης δεν παρουσιάζει καμία απολύτως πρωτοτυπία.







Είτε το πιστεύετε είτε όχι, αυτά ήταν όλα τα νέα των Ransomware για την εβδομάδα που πέρασε!
Καλή εβδομάδα και καλό μήνα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.

Δευτέρα, 25 Ιουνίου 2018

Τα νέα των Ransomware 25/6/18

Μία εξαιρετικά καλή εβδομάδα ήταν αυτή που πέρασε στον τομέα των Ransomware.
Είχαμε πολλές αποκρυπτογραφήσεις. 

Πέρα από αυτό, αυτή ήταν η εβδομάδα των Scarab. Scarab παντού. Ευτυχώς, στη συντριπτική πλειοψηφία των περιπτώσεων έχουμε βρει λύση, μη πληρώσετε τα λύτρα και ελάτε σε επικοινωνία μαζί μας. 

Στα άλλα καλά νέα, αποκρυπτογραφήσαμε και 2-3 ακόμα μικρότερα στελέχη όπως ο Sepsis και ο νέος Everbe.


Ας τα δούμε αναλυτικά:

NEOI SCARAB -- MH ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!

Την εβδομάδα που μας πέρασε είχαμε τεράστια έξαρση του Scarab με πολλά νέα στελέχη. ΕΧΟΥΜΕ ΚΑΤΑΦΕΡΕΙ ΚΑΙ ΕΧΟΥΜΕ ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΕΙ ΤΗ ΣΥΝΤΡΙΠΤΙΚΗ ΠΛΕΙΟΨΗΦΙΑ ΤΩΝ ΣΤΕΛΕΧΩΝ ΑΥΤΩΝ, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ ΚΑΙ ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ.

Το πρώτο που εμφανίστηκε ήταν το στέλεχος .good.


To δεύτερο ήταν το στέλεχος Danger το οποίο τοποθετεί την επέκταση .fastrecovery@xmpp.jp στα κρυπτογραφημένα αρχεία.

Μετά, εμφανίστηκε ο Oneway, o πρώτος που εμφανίστηκε που ήταν στα Ρώσικα. Αφήνει ένα Ransom Note με τίτλο Расшифровать файлы oneway.TXT

Ο επόμενος ήταν ο Bomber με μεγάλη καμπάνια σε εξέλιξη στη Ρωσία. Τοποθετεί την επέκταση .bomber
Πέμπτη στη σειρά ήταν η έκδοση RECME που τοποθετεί την επέκταση .recme και αφήνει Ransom Note HOW_TO_RECOVER_ENCRYPTED_FILES.TXT .

Έκτο στέλεχος, το DAN. Τοποθετεί την επέκταση .dan@cock.email.

Για άλλη μια φορά, για όλα τα παραπάνω, αν έχετε μολυνθεί, ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!

Αποκρυπτογραφήσαμε και τον Sepsis!

Eίχαμε γράψει για αυτόν πριν ένα μήνα. Βρήκαμε λύση, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!




Υπάρχει ένα μικρό θεματάκι με την αποκρυπτογραφήση, η οποία σχετίζεται με κάποιο bug στο ίδιο το Ransomware, και συγκεκριμένα σε κάποιο padding bug, το οποίο προκαλεί πρόβλημα στην αποκρυπτογράφηση των τελευταίων 16 bytes των αρχείων, στην περίπτωση που το μέγεθός τους δεν είναι πολλαπλάσιο του 16. Κατά τ' άλλα όμως, ό,τι έχουμε δοκιμάσει λειτουργεί μια χαρά.

Νέος Ransomware - BadMonkey

Είναι υπό κατασκευή με πολλά προβλήματα προς το παρόν.



Nέα έκδοση του FileIce, ζητάει να συμπληρώσετε δημοσκοπήσεις!

Είχαμε γράψει το 2016 για αυτόν, τώρα εμφανίστηκε και νέα έκδοση!
Ζητάει από τα θύματά του να συμπληρώσουν ερωτηματολόγια, προκειμένου να τους δώσει το κλειδί αποκρυπτογράφησης...






Νέος Ransomware - Pulpy

Τίποτα απολύτως το αξιόλογο. Τοποθετεί την επέκταση AES στα κρυπτογραφημένα αρχεία.

Δύο νέα στελέχη του CyberSCCP

To πρώτο τοποθετεί την επέκταση .cybersccp στα κρυπτογραφημένα αρχεία


και το δεύτερο με πιο εντυπωσιακό background


Δευτέρα, 18 Ιουνίου 2018

Τα νέα των Ransomware, 18/6/2018

Πολύ καλά νέα, αποκρυπτογραφήσαμε τον Scarab Ransomware! Αν έχετε πέσει θύμα του, ελάτε σε επικοινωνία μαζί μας!
Αποκρυπτογραφήσαμε και τον Everbe! ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Κατά τ' άλλα, κυρίως μικρά νέα στελέχη είχαμε αυτήν την εβδομάδα, με κάποια να παρουσιάζουν ενδιαφέρον σχετικά με τον τρόπο διασποράς τους.


Ας τα δούμε αναλυτικά:

Νέος Ransomware - Donut -- MH ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!

Αυτός τοποθετεί την επέκταση .donut στα κρυπτογραφημένα αρχεία και εμφανίζει το ακόλουθο Ransom Note. ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ - ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!


Νέα έκδοση του Paradise Ransomware

Η MalwareHunterTeam εντόπισε μία νέα έκδοση του Paradise Ransomware, που τοποθετεί την επέκταση _V.0.0.0.1{paradise@all-ransomware.info}.prt.




Νέος RotorCrypt

Ο RotorCrypt είναι εκεί έξω και συνεχίζει να διασπείρεται (αρκετά θύματα και στην Ελλάδα). Αυτή η νέα έκδοση δεν έχει κάτι το συνταρακτικό, εκτός από αυτήν την εξαιρετικά ενοχλητικά κατάληξη που χρησιμοποιεί για τα κρυπτογραφημένα αρχεία: !@#$%______<email>_____%$#@.mail



ΠΟΛΥ ΚΑΛΑ ΝΕΑ, ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΑΜΕ ΤΟΝ SCARAB!

Στα καλά νέα, καταφέραμε και αποκρυπτογραφήσαμε έναν μεγάλο αριθμό παραλλαγών του Scarab Ransomware :-)
Μέσα σε αυτές είναι οι επεκτάσεις .scarab, .scorpio αλλά και πολλές άλλες.
ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!!





Νέος Xorist με εύκολη επέκταση

Εντοπίστηκε ένας νέος Xorist που χρησιμοποιεί αυτήν εύκολη επέκταση στα κρυπτογραφημένα αρχεία .......PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_YOU_NEED_TO_PURCHASE_THE_DECRYPTOR_FROM_US_FAST_AND_URGENT.

Πάλι Scarab!

Λίγες ώρες μετά την επιτυχία της αποκρυπτογράφησης  του Scarab, εμφανίστηκαν τρία νέα στελέχη, που χρησιμοποιούν τις επεκτάσεις .fastrecovery@airmail.cc και .leen και αφήνει Ransom note που λέγεται Recover-files-xmail@cock.li.txt, How to recover encrypted files-fastrecovery@airmail.cc.txt και INSTRUCTIONS FOR RESTORING FILES.TXT αντίστοιχα.

Ψάχνουμε για δείγματα από αυτά τα νέα στελέχη για να δούμε αν η μέθοδος μας λειτουργεί και σε αυτά.
Αν κάποιος έχει μολυνθεί από αυτά,
παρακαλούμε να έρθει σε επικοινωνία μαζί μας.

Δευτέρα, 11 Ιουνίου 2018

Τα νέα των Ransomware, 11/6/2018

Αυτήν την εβδομάδα είχαμε έξαρση σε στελέχη του CryptConsole, Magniber και άλλων μικρών Ransomware. 

Συνεχίζει πάντως η πτώση στην κινητικότητα των Ransomware καθώς οι δημιουργοί τους κινούνται προς στοχευμένες επιθέσεις που έχουν περισσότερες πιθανότητες να εισπράξουν, παρά από τυφλά χτυπήματα μέσω malspam. 

Ας τα δούμε αναλυτικά:

Νέοι CryptConsole -- ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Την εβδομάδα που πέρασε, εμφανίστηκαν περισσότερες από 5 παραλλαγές του CryptConsole. Να υπενθυμίσουμε ότι έχουμε βρει λύση για όλους, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!
Οι παραλλαγές που εμφανίστηκαν, έχουν πέσει στα χέρια μας και μπορούμε να αποκρυπτογραφήσουμε, χρησιμοποιούν τα email: xser@tutanote.com, redbul@tutanota.com, heineken@tuta.io (μη πίνετε πολύ, παιδιά...)

Χάθηκαν καταγραφές ετών από τις κάμερες του Αστυνομικού Τμήματος της Ατλάντα

Σύμφωνα με την Atlanta Journal, σε συνέντευξη που έδωσε η επικεφαλής του Α.Τ. Erika Shields, "οι καταγραφές των καμερών των περιπολικών έχουν χαθεί οριστικά". Το περιστατικό συνέβη το Μάρτιο και η επίθεση έγινε με τη χρήση του SamSam.
Σύμφωνα με τα όσα έγιναν γνωστά, η πόλη της Ατλάντα ξόδεψε περισσότερα από 5 εκατομμύρια δολλάρια προκειμένου να αποκαταστήσει τις βλάβες στα συστήματα που επηρεάστηκαν! Περισσότερα εδώ.




Νέος Ransomware  - RedEye

Άλλος ένας καταστροφικός Ransomware εμφανίστηκε, ο οποίος διαγράφει το περιέχομενο των αρχείων :(
Επιπροσθέτως, τροποποιεί το MBR προκειμένου να εμφανίσει μήνυμα σχετικό με τα λύτρα.

Ο δημιουργός του εμφανίστηκε σε φόρουμ και δήλωσε ότι το εν λόγω Ransomware δεν δημιουργήθηκε με σκοπό τη διασπορά αλλά "για πλάκα", αλλά έχουμε ήδη δύο αναφορές για κρούσματα...




Νέος GlobeImposter

Mέσα σε όλα, είχαμε και νέο GlobeImposter, που τοποθετεί την επέκταση .emilysupp. Υπενθυμίζουμε ότι ο GlobeImposter 2.0 θέρισε πριν λίγο καιρό, με πολλά θύματα και στην Ελλάδα.




Νέος Ransomware - Princess

Εντοπίστηκε να πωλείται στο Dark Web για  ένα κομμάτι ψωμί...

Νέος PGPSnippet - ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

H MalwareHunterTeam εντόπισε ένα νέο στέλεχος του PGPSnippet που τοποθετεί την επέκταση .digiworldhack@tutanota.com στα κρυπτογραφημένα αρχεία. Όπως και με τα άλλα στελέχη του PGPSnippet, ΜΗ ΠΛΗΡΩΣΕΤΑ ΤΑ ΛΥΤΡΑ, ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ


Τρίτη, 5 Ιουνίου 2018

Τα νέα των Ransomware, 05/06/2018

Αρκετά busy η εβδομάδα που πέρασε, με πολλά νέα στελέχη να κάνουν την εμφάνισή τους.

Είχαμε επανεμφάνιση του CryptoMix, είχαμε νέο LockCrypt που υπό συνθήκες γίνεται wiper, είχαμε και νέο Jigsaw με C2 server.

Μας προξένησε εντύπωση ότι ο Sigrun προσφέρει δωρεάν αποκρυπτογράφηση στα θύματά του από τη Ρωσία και σας έχουμε και ένα απίστευτα αστείο facepalm στο τέλος του άρθρου.


Ας τα δούμε αναλυτικά:

Nέος Jigsaw - fun

Κάποιος "παίζει" με τον Jigsaw. Μάλιστα, είναι η πρώτη έκδοση που συναντάμε η οποία χρησιμοποιεί C2 Server (Command & Control) για τα κλειδιά.


Νέος LockCrypt 2.0

Στα κακά νέα της εβδομάδας, εμφανίστηκε ένας νέος LockCrypt, ο οποίος διορθώνει τα σφάλματα της προηγούμενης έκδοσης, τα οποία είχαμε εκμεταλλευτεί και μπορούσαμε να αποκρυπτογραφήσουμε. Πλέον μοιάζει να μην έχει αδυναμίες :(

Το "αστείο" της υπόθεσης (που δεν είναι καθόλου αστείο) είναι ότι η αποκρυπτογράφηση βασίζεται στο αρχείο Decode.key που αφήνει στο C:\Windows, συν το private κλειδί. Όμως, δεν τρέχει τη ρουτίνα ως διαχειριστής και δεν τσεκάρει αν η εγγραφή στο C:\Windows ήταν επιτυχής, με αποτέλεσμα αν αυτό αποτύχει, η αποκρυπτογράφηση να είναι 100% αδύνατη από οποιονδήποτε.


Διασπείρεται μέσω Remote Desktop, οπότε τα γνωστά...


Νέος Dharma Arrow

Mία νέα έκδοση του Dharma εμφανίστηκε, με επέκταση java2018@tuta.io.arrow.
Παρακάτω έχουμε ένα βίντεο της Cybersecurity που δείχνει τον τρόπο επίθεσης.







Και ο Aurora με C2 server

H MalwarehunterTeam ανακάλυψε αυτόν τον νέο Aurora ο οποίος χρησιμοποιεί κι αυτός πλέον C2 Server.


Νέος CryptConsole - helps

Aυτός πλέον χρησιμοποιεί άλλο email για την επικοινωνία, κατά τ' άλλα δεν έχουν αλλάξει και πολλά πράγματα. Εξακολουθούμε να μπορούμε να τον σπάσουμε!
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ -- ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!


Τρίτη, 29 Μαΐου 2018

Τα νέα των Ransomware, 29/5/2018

Πολύ ήσυχη η εβδομάδα που μας πέρασε στον τομέα των Ransomware, και αυτό είναι πάντα καλό νέο.

Τα κυριότερα νέα αφορούν μία μεγάλη καμπάνια διασποράς του CryptON που έχει μολύνει πολύ κόσμο (και στην Ελλάδα).

Μιας και ο CryptON διασπείρεται μέσα από Remote Desktop που έχουν παραβιαστεί, είναι σημαντικό να αναφέρουμε για ΑΛΛΗ μία φορά, ότι το RDP θα πρέπει να ΜΗΝ είναι απευθείας συνδεδεμένο στο ίντερνετ, αλλά πίσω από VPN.


Ας τα δούμε αναλυτικά:

Nέος Unlock92 - cdrpt

Γνωστός και ως Unlckr, εμφανίστηκε με νέα επέκταση.
Παρακάτω, βίντεο της CyberSecurity με επίδειξη του τρόπου επιμόλυνσης.

Θερίζει ο CryptON


Mία τεράστια καμπάνια διασποράς του CryptON είχαμε αυτήν την εβδομάδα, και συνεχίζεται καθώς γράφονται αυτές οι γραμμές.
Στο γράφημα φαίνονται οι καταγραφές των δηλωμένων επιμολύνσεων ως τις 25/5.

Ο CryptON διασπείρεται μέσω χακαρισμένων Remote Desktop.
Όταν οι επιτιθέμενοι αποκτήσουν πρόσβαση στο θύμα μέσω του RDP, εγκαθιστούν χειροκίνητα τον CryptON, ο οποίος κρυπτογραφεί τα δεδομένα και τοποθετεί την επέκταση .ransomed@india.com 
Σε κάθε φάκελο αφήνει Ransom Note με τίτλο HOWTODECRYPTFILES.html το οποίο είναι αυτό:

Για αυτήν την έκδοση του CryptON δεν έχουμε βρει λύση ακόμα. Υπήρχε λύση για τις παλιότερες εκδόσεις του, όχι όμως και για αυτήν.

Μιας και ο CryptON διασπείρεται χειροκίνητα μέσω ευάλωτων Remote Desktop, είναι σημαντικό να τονίσουμε πως πρέπει να είναι κλειστές οι υπηρεσίες Remote Desktop για όσους δεν τις  χρησιμοποιούν, ή να είναι πίσω από VPN για όσους τις χρησιμοποιούν.

Nέος RotorCrypt

Eίχαμε καιρό να τον δούμε αυτόν, εμφανίστηκε με νέα επέκταση όπως φαίνεται στην εικόνα παρακάτω. Κατά τ' άλλα, δεν είδαμε σημαντικές αλλαγές. 


Νέος Ransomware - PGPSnippet

Αυτός είναι καινούργιος, τοποθετεί την επέκταση .decodeme666@tutanota.com και είναι εντελώς κακογραμμένος.
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ -- ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Δευτέρα, 21 Μαΐου 2018

Τα νέα των Ransomware, 21/5/2018

Για την εβδομάδα που πέρασε είχαμε συνέχεια της έξαρσης του GandCrab και του Samas, ενώ ενδιαφέρον παρουσίασαν ειδήσεις για χτυπήματα Ransomware σε διάφορες κυβερνητικές υπηρεσίες των ΗΠΑ.

Κατά τ' άλλα, παρατηρούμε αρκετά χτυπήματα CryptON/Sigrun στην Ελλάδα (προσοχή σε όλους!). 


Ας τα δούμε αναλυτικά:

Η αστυνομία του Riverside πέφτει θύμα Ransomware για δεύτερη φορά.


Επίθεση Ransomware δέχτηκε η αστυνομία του Riverside στο Ohio των ΗΠΑ, για δεύτερη φορά μέσα σε ένα μήνα.
Η επίθεση πραγματοποιήθηκε στις 4 Μαΐου αλλά έγινε γνωστή τώρα, καθώς έφτασαν στην πόλη στελέχη των μυστικών υπηρεσιών των ΗΠΑ για να διερευνήσουν την υπόθεση.
Αν και στην πρώτη επίθεση που έγινε στις 23/4/18, ανακοινώθηκε ότι χάθηκαν αρχεία που πήγαιναν μέχρι και 10 μήνες πίσω, αυτή τη φορά αναφέρθηκε ότι η απώλεια ήταν μερικών ωρών, καθώς υπήρχαν αντίγραφα.
Περισσότερα εδώ

Nέος Ransomware - CryptON

Βασίζεται στον Nemesis. Το ενδιαφέρον είναι ότι μπορεί να αναγνωρίσει Virtual Machines, στα οποία επιτίθεται επίσης. Τοποθετεί την επέκταση xxx.ransomed@india.com, όπου χχχ είναι το ID του θύματος. 


Nέος Ransomware/Wiper - Stalin

Αυτός είναι υπό κατασκευή, αλλά δουλεύει πολύ καλά και θα μπορούσε εύκολα να βγει στην κυκλοφορία.
Δίνει 10 λεπτά για να τοποθετηθεί ο σωστός κωδικός, ειδάλλως ξεκινάει να κάνει wipe τα δεδομένα του δίσκου.
Όσο "περιμένει" παίζει στο παρασκήνιο τον εθνικό ύμνο της Ρωσίας και εμφανίζει εικόνες του Στάλιν.
Προς το παρόν, ο κωδικός για να ξεκλειδώσει, προκύπτει αφαιρώντας την ημερομηνία επιμόλυνσης, από την ημερομηνία δημιουργίας και σχηματισμού της ΕΣΣΔ, δηλαδή 30/12/1922.
Το ενδιαφέρον είναι τις ημερομηνίες τις δέχεται γραμμένες με τον αμερικάνικο τρόπο, δηλαδή 1922.12.30.

Νέος Rapid - version 3 ΣΕ ΜΕΓΑΛΗ ΕΞΑΡΣΗ

Μία νέα έκδοση του Rapid είναι εκεί έξω και είναι σε έξαρση. Ήδη υπάρχουν πολλές αναφορές για επιμολύνσεις από πολλές χώρες.
Δυστυχώς ο συγκεκριμένος Ransomware δεν παρουσιάζει αδυναμίες, οπότε η αποκρυπτογράφησή του είναι αδύνατη. :(

Νέος Ransomware - Σήψη


Ονομάζεται Sepsis και εμφανίστηκε την Τετάρτη που μας πέρασε. Τοποθετεί την επέκταση .[Sepsis@protonmail.com].sepsis στα κρυπτογραφημένα αρχεία. Και όχι, δεν είναι ελληνικός.

Νέος Jigsaw - Booknish

Toποθετεί την επέκταση .booknish. Αφήνει κάτι εκφοβιστικά μηνύματα του τύπου "πλήρωσέ με τώρα ειδάλλως θα διαγράψω 1000 αρχεία αν κλείσεις τον Η/Υ".
Φυσικά, έχουμε βρεί λύση, μη πληρώσετε τα λύτρα.




Nέος Dharma - Bip

Δυστυχώς κυκλοφορεί ακόμα.
Εμφανίστηκε την

Δευτέρα, 14 Μαΐου 2018

Τα νέα των Ransomware, 14/5/2018

Είναι σαφές ότι οι Ransomware έχουν κατεβάσει ταχύτητα και οι επιμολύνσεις είναι λιγότερες. Οι περισσότερες επιθέσεις πραγματοποιούνται πλέον μέσω RDP (Remote Desktop) και είναι στοχευμένες.

Έχουμε φυσικά και πολλά μικρά στελέχη που δημιουργούνται κάθε εβδομάδα, αν και τις περισσότερες φορές δεν έχουν καμία ελπίδα να κάνουν κάτι σημαντικό.


Τις προηγούμενες δύο εβδομάδες, τα κυριότερα νέα είχαν να κάνουν με αλλεπάλληλες εκδόσεις του GandCrab, ο οποίος μοιάζει να είναι ο πιο δραστήριος Ransomware των τελευταίων μηνών. Είχαμε επίσης μία αναφορά του FBI που μοιάζει με ανέκδοτο και τον Facebook Ransomware που περισσότερο είναι wiper.

Ας τα δούμε αναλυτικά:

Το Υπουργείο Υγείας της Αγγλίας αναβαθμίζει σε Win10 φοβούμενο νέο ξέσπασμα τύπου WannaCry

Tο Υπουργείο Υγείας και Κοινωνικής Πρόνοιας του Ηνωμένου Βασιλείου ανακοίνωσε ότι θα αναβαθμίσει όλα τα συστήματα της σε Windows 10, καθώς φοβάται ξέσπασμα τύπου WannaCry. Οι υπεύθυνοι αναφέρθηκαν στην "προηγμένη" ασφάλεια των W10.

The UK Department of Health and Social Care has announced that it will transition all National Health Service (NHS) computer systems to Windows 10.
Officials cited the operating system's more advanced security features as the primary reason for upgrading current systems, such as the SmartScreen technology included with Microsoft Edge (a Google Safe Browsing-like system) and Windows Defender, Microsoft's sneakily good antivirus product.

Nέος Ransomware - Facebook // FBLocker

Πρόκειται μάλλον για wiper παρά για Ransomware. Δημιουργεί ένα κλειδί για κάθε αρχείο που κρυπτογραφεί, το οποίο κλειδί όμως δεν το αποθηκεύει πουθενά. Δεν υπάρχει τρόπος να ανακτηθούν δεδομένα. Επίσης παριστάνει ότι είναι από τη Ρωσία, αλλά τα ρώσικα τους είναι επιπέδου Μπαγκλαντες (no offense για τη συμπαθή χώρα). 


FBI: Oι αναφορές για επιμολύνσεις Ransomware παρουσίασαν μείωση το 2017 #not


Σε ένα report του FBI το οποίο θεωρούμε ότι δεν αντικατοπτρίζει σε καμία περίπτωση την πραγματικότητα, αναφέρεται ότι οι επιμολύνσεις από Ransomware παρουσίασαν μείωση το 2017 (!), φτάνοντας σχεδόν σε επίπεδα 2014 (!!!). Κάτι που μας έκανε να γελάσουμε.

2014201520162017
1,4022,4532,6731,783


Φυσικά, τα νουμερά αυτά αντιστοιχούν στις αναφορές που γίνονται στην πλατφόρμα IC3 του FBI και δεν έχουν καμία σχέση με το τι συμβαίνει πραγματικά, αφού όπως ξέρουμε, ένας τεράστιος αριθμός από θύματα δεν κάνει αναφορά του συμβάντος, είτε γιατί παραμελεί, είτε γιατί η επιμόλυνση δεν έχει αντίκτυπο μιας και υπήρχαν αντίγραφα, είτε γιατί αποφασίζει να πληρώσει τα λύτρα, είτε γιατί απευθύνεται σε εμας (ή αντίστοιχες εταιρίες σαν τη δική μας) για την αποκρυπτογράφηση, είτε τέλος γιατί τα κρυπτογραφημένα δεδομένα δεν έχουν καμία αξία.

Μπορείτε να δείτε την αναφορά του FBI για το 2017 σε μορφή PDF εδώ.

Το BlackHeart χρησιμοποιεί το AnyDesk?

Διαβάζουμε:
We recently discovered a new ransomware (Detected as RANSOM_BLACKHEART.THDBCAH), which drops and executes the legitimate tool known as AnyDesk alongside its malicious payload.  This isn’t the first time that a malware abused a similar tool. TeamViewer, a tool with more than 200 million users, was abused as by a previous ransomware that used the victim’s connections as a distribution method.
In this instance, however, RANSOM_BLACKHEART bundles both the legitimate program and the malware together instead of using AnyDesk for propagation.

Περισσότερα εδώ

Νέος Ransomware - Useless


Useless όνομα και πράμα, μάλλον...

Δευτέρα, 30 Απριλίου 2018

Τα νέα των Ransomware, 30/4/2018

Δραστήρια η εβδομάδα που πέρασε, με αρκετό ενδιαφέρον. Είχαμε μεγάλη επίθεση σε σέρβερ κυβερνητικών οργανισμών των εξωτερικού με τον VevoLocker, μεγάλης έκτασης επιμόλυνση διάφορων ιστοσελίδων στο Πακιστάν και πολλά μικρά νέα αλλά δραστήρια στελέχη.

Ας τα δούμε αναλυτικά:

Νέος Ransomware - BlackHeart

Tοποθετεί την επέκταση .pay2me ή .BlackRouter στα κρυπτογραφημένα αρχεία. Μοιάζει να βασίζεται στον Spartacus, ενώ ο δημιουργός του είναι μεγάλος φαν του Star Wars.



Επίθεση στην ιστοσελίδα της διοίκησης της επαρχίας P.E.I.

Δεν είναι αστείο, σύμφωνα με τον Guardian, η ιστοσελίδα της διοίκησης της επαρχίας του Prince Edward Island χτυπήθηκε από Ransomware.
Τώρα αναρωτιέστε πού στο καλό είναι αυτό, πρόκειται για ένα

Δευτέρα, 23 Απριλίου 2018

Τα νέα των Ransomware, 23/4/2018

Για αυτήν την εβδομάδα είχαμε μερικά μικρά στελέχη και αρκετά ενδιαφέροντα νέα. Εϊχαμε εργαζόμενο της Microsoft να κατηγορείται ότι εμπλέκεται με το Reveton Ransomware, είχαμε έξαρση του GandCrab το οποίο τώρα διασπείρει ο Magnitude και έναν Ransomware που προσπαθεί να βγάλει χρήματα μέσω των προσφύγων της Συρίας (!).

Ας τα δούμε αναλυτικά:

Μηχανικός της Microsoft κατηγορείται για τον Reveton

Ένας μηχανικός δικτύων της Microsoft, ο Raymond Uadiale, 41 ετών, κατηγορείται για συμμετοχή στον Reveton. 

O Reveton είναι ένας αρχαίος Ransomware, που εμφανίστηκε το 2013 και στην πραγματικότητα δεν κρυπτογραφούσε αλλά κλείδωνε τον Η/Υ και ζητούσε λύτρα.
Μάλιστα, επειδή το Bitcoin τότε δεν ήταν ακόμα διαδεδoμένο, τα λύτρα έπρεπε να πληρωθούν μέσω MoneyPak.

Ο Uadiale κατηγορείται ότι ξέπλενε τα χρήματα από αυτές τις συναλλαγές, στέλνοντάς τα στον συνεργό του (και δημιουργό του Reveton) στην Αγγλία. 

Υπολογίζεται ότι ξέπλυνε περισσότερα από $130.000 χωρίς να υπολογίζεται μέσα σε αυτά το ποσοστό του το οποίο κρατούσε, και ήταν το 30%.

Αν καταδικαστεί, ο Uadiale αντιμετωπίζει ποινή φυλάκισης έως 20 χρόνια και $500.000 χρηματική ποινή.



Νέος Ransomware εκμεταλλεύεται τον πόλεμο στη Συρία (!)

Ονομάζεται RansSIRIA και είναι παραλλαγή του WannaPeace Ransomware.
Στοχεύει θύματα στη Βραζιλία.

Μετά την κρυπτογράφηση, εμφανίζει αυτό το παράθυρο:


Το οποίο περιέχει ένα αντιπολεμικό μήνυμα το οποίο σε μετάφραση στα αγγλικά είναι:

Sorry, your files have been locked

Please introduce us as Anonymous, and Anonymous only.
We are an idea. An idea that can not be contained, pursued or imprisoned.
Thousands of human beings are now ruled, wounded, hungry and suffering ...
All as victims of a war that is not even theirs !!!
But unfortunately only words will not change the situation of these human beings ...
We DO NOT want your files or you harm them ... we only want a small contribution ...
Remember .. by contributing you will not only be recovering your files ...
... but helping to restore the dignity of these victims ...

Contribute your contribution from only: Litecoins to wallet / address below.

Στη συνέχεια εμφανίζει μια σειρά φωτογραφιών που απεικονίζουν τη φρίκη του πολέμου, καθώς και ένα βίντεο από το YouTube που δείχνει τις επιπτώσεις του πολέμου σε ένα παιδί.
Παρεμπιπτόντως, αν και γνωρίζουμε ότι αυτό είναι ένα κείμενο για τους Ransomware, το εν λόγω βίντεο αξίζει κάποιος να το δει και το μήνυμά του είναι πολύ δυνατό. Είναι αυτό:


Κανείς δεν αρνείται ότι αυτό που συμβαίνει στη Συρία είναι φρικτό και η τραγωδία είναι απερίγραπτη. Όμως, οι δημιουργοί του εν λόγω Ransomware δεν μπορούν, δεν θέλουν και δεν βοηθάνε με κανέναν τρόπο τους πρόσφυγες ή τα θύματα πολέμου της Συρίας, και προσπαθούν να βγάλουν χρήματα ποντάροντας στην ευαισθησία των θυμάτων τους, και εκμεταλλευόμενοι τον πόνο των άλλων, κάτι που το κάνει ακόμα χειρότερο. Just sayin'.

Nέος Xiaoba - καταστροφέας...

Η Trend Micro ανακοίνωσε ότι ανακάλυψε έναν νέο Xiaoba ο οποίος αν και δεν είναι πλέον Ransomware αλλά προσπαθεί να κάνει mining για κρυπτονομίσματα, καταστρέφει τα αρχεία του Η/Υ και το ίδιο το λειτουργικό σύστημα.
Δεν το ήθελαν, μάλλον, αλλά κατάφεραν να γράψουν κώδικα με τόσα λάθη που τελικά αυτό που ήθελαν ΔΕΝ γίνεται.

Δευτέρα, 16 Απριλίου 2018

Τα νέα των Ransomware, 16/4/2018

Για αυτήν την εβδομάδα είχαμε έξαρση του Matrix με δύο νέα στελέχη τα οποία θερίζουν. Είχαμε ήδη αρκετές αναφορές για θύματα και στην Ελλάδα. ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!

Ta μεγάλα νέα αφορούν την προσθήκη προστασίας κατά των Ransomware στα Windows 10 από τη Microsoft.

Κατά τ' άλλα, κυριώς νέα στελέχη από ήδη υπάρχοντα Ransomware για αυτήν την εβδομάδα. Εϊχαμε και το αστείο PUBG Ransomware, το οποίο αναγκάζει τα θύματά του να παίξουν ένα παιχνίδι για να τους δώσει κλειδί αποκρυπτογράφησης... 


Ας τα δούμε αναλυτικά:

Δύο νέα στελέχη του Matrix θερίζουν -- ΘΥΜΑΤΑ ΚΑΙ ΣΤΗΝ ΕΛΛΑΔΑ

Δύο νέα στελέχη έκαναν την εμφάνισή τους την προηγούμενη εβδομάδα. Παρατηρούμε αυξημένη δραστηριότητά τους και είχαμε ήδη και πολλές αναφορές για θύματα και στη χώρα μας.

Το πρώτο στέλεχος χρησιμοποιεί την επέκταση [Files4463@tuta.io] και random χαρακτήρες στο όνομα αρχείου. Τα κρυπτογραφημένα αρχεία γίνονται κάπως έτσι:
DCIM5209.jpg --> otrN4jg830vgC-JUDKjghe.[FILES4463@tuta.io].


To δεύτερο στέλεχος λειτουργεί με παρόμοιο τρόπο, όμως είναι πιο advanced. Toποθετεί την επέκταση [RestorFile@tutanota.com] και μόλις ολοκληρώσει την κρυπτογράφηση, κρυπτογραφεί ΚΑΙ τον κενό χώρο του δίσκου, γεμίζοντάς τον και δημιουργώντας περισσότερα προβλήματα αφού ουσιαστικά αποκλείει τη χρήση λογισμικών ανάκτησης για διαγραμμένα αρχεία.  

Η επιμόλυνση γίνεται μέσω Remote Desktop και μέχρι αυτή τη στιγμή η αποκρυπτογράφηση είναι δυστυχώς αδύνατη.




Nέος Ransomware - Horros

Πρόκειται για νέο εύρημα. Τον αναλύουμε προς το παρόν.

Update: ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!


Νέος Ransomware - Dcrtr

Mία κακογραμμένη σαβούρα, ο dcrtr εμφανίστηκε αυτήν την εβδομάδα. Είναι τόσο κακογραμμένος, που κατά τη διάρκεια της κρυπτογράφησης, το σύστημα κρεμάει. Το ποσό των λύτρων εξαρτάται από την ταχύτητα με την οποία τα θύματα θα επικοινωνήσουν με τον εισβολέα (!). 


Ο PUBG θέλει παιχνιδάκια...

Ο PUBG, που είναι τα αρχικά του Player's Unknown BattleGround, ζητάει από τα θύματά του