Δευτέρα, 19 Νοεμβρίου 2018

Τα νέα των Ransomware, 19/11/2018

Με τον Dharma ασχολούμαστε και πάλι, αυτή τη φορά μας κίνησε το ενδιαφέρον άρθρο γνωστής ιστοσελίδας στο οποίο γίνεται σύνδεση του Dharma με την Τουρκία. Διαβάστε λεπτομέρειες παρακάτω.

Κατά τ' άλλα, κυρίως στελέχη γνωστών Ransomware όπως ο Dharma και ο Matrix μονοπώλησαν το ενδιαφέρον για την εβδομάδα που πέρασε.

Ας τα δούμε αναλυτικά.



Ο DHARMA ΕΙΝΑΙ ΤΟΥΡΚΙΚΗΣ ΠΡΟΕΛΕΥΣΗΣ?


Σύμφωνα με την ιστοσελίδα FortiGuard

Our telemetry also shows that for the past 6 months more than 25% of detection is originating from Turkey.

The cyberwar is not at rest. Turkish sources have reported that
Dharma has attacked more than 100 Greek websites. Details of these attacks seems to confirm news reports about the political tensions between Turkey and Greece regarding islands ownership in the Aegean sea, showing that ransomware attacks can be used for activism as well as for financial gain.

o Dharma έχει χρησιμοποιηθεί για επίθεση σε 100 ελληνικές ιστοσελίδες, λόγω της κλιμακούμενης έντασης στο Αιγαίο.

Κρίνοντας από το γεγονός ότι οι απατεώνες που μας προσέγγισαν προσφέροντάς μας τη "λύση" τους για τον Dharma είχαν τουρκικά ονόματα, έχει λογική.

Μιας και μιλήσαμε για απατεώνες,

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Νέος Ransomware - XUY

Τίποτα το ενδιαφέρον. Βασίζεται στον Tron μάλλον.



Νέος Ransomware - Argus

Toποθετεί την επέκταση .ARGUS και αφήνει Ransom Note με την ονομασία ARGUS-DECRYPT.html.



Ο GlobeImposter διασπείρεται και μέσω HookAds

H καμπάνια malware HookAds εμφάνισε έντονη δραστηριότητα τις προηγούμενες ημέρες και στέλνει χρήστες στο Fallout Exploit Kit. Αυτό με τη σειρά του διασπείρει το DanaBot (το οποίο είναι Banking Trojan), τον Nocturnal και τον GlobeImposter. 

Ένα από τα sites που διασπείρουν τον HookAds είναι αυτό:


Ακόμα και ένας αδαής θα καταλάβαινε ότι ιστοσελίδες με την παραπάνω μορφή μυρίζουν μπαρούτι...
Η συγκεκριμένη ευαισθησία που εκμεταλλεύεται ο Fallout για να φορτώσει το payload είναι γνωστή.

Νέος SaveFiles - DataWait

Παραλλαγή του SaveFiles με την ονομασία DataWait. Τοποθετεί την επέκταση .DATAWAIT. Κατά τ' άλλα τίποτα το καινούργιο.





Δευτέρα, 12 Νοεμβρίου 2018

Τα νέα των Ransomware, 10/11/2018

Έχουμε γράψει εδώ κι εδώ κι εδώ κι εδώ κι εδώ για τους απατεώνες που ισχυρίζονται ότι μπορούν να επιλύσουν τον Dharma. Μάλλιασε η γλώσσα μας να λέμε ότι είναι απατεώνες και μην τους εμπιστεύεστε.

Ως τώρα επρόκειτο για τυχοδιώκτες οι οποίοι κρύβονταν πίσω από ένα email, ή στην χειρότερη περίπτωση εταιρίες - "φωτοβολίδες" όπως τις ονομάζουμε (αφού εμφανίζονται και εξαφανίζονται μέσα σε μία νύχτα) του εξωτερικού.


Με μεγάλη μας λύπη διαπιστώνουμε ότι η λαίλαπα εξαπλώθηκε και στη χώρα μας με "κάποιους" να ισχυρίζονται ότι μπορούν να λύσουν τον Dharma και μάλιστα με ... εξπρες διαδικασίες και προνομιακό κόστος, 3000-6000 ευρώ (...) (!!!!).


Γελάμε και κλαίμε ταυτόχρονα.

Για πάμε όλοι μαζί:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA -- ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ



Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 3 μήνες, ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena/.cezar/.brr (έχουν προστεθεί δεκάδες άλλα)

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Ελπίδες για GandCrab

Η λύση για τον GandCrab v1, v4 & v5 (έως και 5.0.3) λειτουργεί άψογα, όχι όμως και για τις λοιπές εκδόσεις (v2, v3, v5.0.4 & v5.0.5).
Παρόλα αυτά σε επικοινωνία που είχαμε με τον επικεφαλής των μηχανικών της BitDefender, μας ενημέρωσε ότι είναι πολύ κοντά στην ανακοίνωση λύσης τόσο για τον 5.0.4 όσο και για τον v.3.
Σε αναμονή.





Νέοι Dharma

Η λαίλαπα συνεχίζεται ακάθεκτη.
Την Δευτέρα εμφανίστηκε ο .tron.
Την Τρίτη δεν είχαμε κάποιον, όμως
την Τετάρτη έκαναν ρελανς με τον .AUDIT και τον .ADOBE.
Την Πέμπτη εμφανίστηκε ο .cccmn
Την Παρασκευή γράφαμε αυτές τις γραμμές.


Νέος Ransomware - M@r1a

Tοποθετεί την επέκταση .mariacbc. Είναι βασισμένος στον BlackHeart και δυστυχώς είναι πολύ καλογραμμένος.
Το κλειδί είναι προστατετυμένο με RSA-2048 και αποθηκεύεται στο Ransom Note.


Νέος Kraken Cryptor 2.2

Είχαμε αλλαγές επιχειρηματικού χαρακτήρα στον Kraken με αυτήν την έκδοση. Εννοούμε ότι το αφεντικό τρελάθηκε και έριξε τα λύτρα από 0.1BTC (~550 ευρώ) στα $80, και αλλάξανε τη διανομή η οποία τώρα γίνεται μέσω του Fallout Exploit Kit. Αλλάξανε και την ταπετσαρία η οποία τώρα θυμίζει αρκετά Cerber. 



Σάββατο, 3 Νοεμβρίου 2018

Τα νέα των Ransomware, 3/11/2018

Είχαμε αρκετά νέα στον τομέα των Ransomware στο προηγούμενο χρονικό διάστημα.
Είχαμε συνεχιζόμενη επέλαση του Dharma, με περισσότερα από 15 νέα στελέχη. Οι απατεώνες συνεχίζουν και προκαλούν, ισχυριζόμενοι ότι έχουν λύση για τον Dharma και απλώς καρπώνονται τη διαφορά, πληρώνοντας τους εγκληματίες για να πάρουν το κλειδί. ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΓΙΑ ΤΟΝ DHARMA. 
Είχαμε λύση για τον GandCrab (v1, v4 & v5 - έως τον 5.0.3).
Εϊχαμε πολλές επιθέσεις σε οργανισμούς και δημόσιες υπηρεσίες.


Ας τα δούμε αναλυτικά:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA -- ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ

Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 1 μήνα ο Dharma (2 μήνες, πλέον) (φτάσαμε τους 3), ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena (έχουν προστεθεί κι άλλα)

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.
Μας έχουν προσεγγίσει από τουλάχιστον 4 διαφορετικές μεριές την τελευταία εβδομάδα μόνο. Φυσικά τους καταγγείλαμε στις αρχές.

Ένα παράδειγμα:





Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY.

Για την ιστορία, οι παραπάνω "experts" μας κοστολόγησαν τη "δουλειά" τους 2800-3400 ευρώ, όσο περίπου δηλαδή κοστίζει και η παροχή του κλειδιού από τους δημιουργούς.

Λύση για τον GandCrab

H ιστορία είναι περίεργη. Σύμφωνα με τα όσα γνωρίζουμε, ένας εκ των δημιουργών του GandCrab συγκινήθηκε όταν διάβασε στο Twitter την απεγνωσμένη έκκληση για βοήθεια κάποιου ο οποίος είχε σε ένα δίσκο τις φωτογραφίες των παιδιών του, τα οποία πρόσφατα είχαν σκοτωθεί στον πόλεμο στη Συρία. Ο δίσκος αυτός είχε προσβληθεί από τον GandCrab και ο άνθρωπος έγραφε ότι θα δώσει όλα του τα υπάρχοντα, δεν τον νοιάζει τίποτα πλέον και απλώς θέλει κάποιος να τον βοηθήσει να επαναφέρει τις φωτογραφίες των παιδιών του.
Το αποτέλεσμα ήταν ένας εκ των δημιουργών του GandCrab να δημοσιοποιήσει το κλειδί για τις εκδόσεις 4 και 5 (έως την 5.0.3).
Φυσικά την αμέσως επόμενη ημέρα κυκλοφόρησε νέος GandCrab με άλλο κλειδί...





Δύο τρείς τέσσερειςνέοι Dharma

Toποθετούν επέκταση .like και .gdb. Και τρίτος με επέκταση .XXXXX. Και τέταρτος, .betta. Και πέμπτος, .Vanss.


Νέος Ransomware - CommonRansomware

Aυτός είναι λίγο αστείος. Ζητάει 0.1Btc και μετά την πληρωμή, απαιτεί από το θύμα του να του δώσει όνομα χρήστη και κωδικό πρόσβαση σε Remote Desktop έτσι ώστε να μπει το "team" τους και να κάνει την αποκρυπτογράφηση...


Νέος Jigsaw - spaß

Kάποιος ηλίθιος έφτιαξε αυτόν τον Jigsaw που τοποθετεί την επέκταση .spaß
Και είναι ηλίθιος, αφού εκτός από το γεγονός ότι δημιουργεί ένα κλειδί για κάθε αρχείο που κρυπτογραφεί, δεν το αποθηκεύει πουθενά. Επίσης, το κλειδί το κρυπτογραφεί σε base64, όμως έχει συμπεριλάβει χαρακτήρες όπως !#$^ που είναι invalid για το base64. 

Δευτέρα, 1 Οκτωβρίου 2018

Τα νέα των Ransomware, 1/10/18

Ήταν μία εβδομάδα με λίγα νέα στελέχη σε σχέση με τις προηγούμενες. Οι επιτήδειοι πλέον μοιάζουν να στοχεύουν σε συγκεκριμένους στόχους, μέσω εκτεθιμένων υπηρεσιών απομακρυσμένης πρόσβασης (Remote Desktop).

Είχαμε νέο GandCrab ο οποίος εκμεταλλεύεται γνωστή ευπάθεια των Windows. ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ.

To πιο ενδιαφέρον νέο της εβδομάδας ήταν η ανακοίνωση του IC3 (Internet Crime Complaint Center - Κέντρο Αναφοράς Διαδικτυακού Εγκλήματος) του FBI σχετικά με τις εκτεθειμένες υπηρεσίες απομακρυσμένης πρόσβασης.


Ας τα δούμε αναλυτικά:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA -- ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ

Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 1 μήνα ο Dharma (2 μήνες, πλέον), ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena (έχουν προστεθεί κι άλλα)

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.
Μας έχουν προσεγγίσει από τουλάχιστον 4 διαφορετικές μεριές την τελευταία εβδομάδα μόνο. Φυσικά τους καταγγείλαμε στις αρχές.

Ένα παράδειγμα:





Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY.

Για την ιστορία, οι παραπάνω "experts" μας κοστολόγησαν τη "δουλειά" τους 2800-3400 ευρώ, όσο περίπου δηλαδή κοστίζει και η παροχή του κλειδιού από τους δημιουργούς.

Νέος GandCrab, v5

Δυστυχώς, είχαμε επανεμφάνιση του GandCrab. Η ρουτίνα κρυπτογράφησης έχει τη διαφορά ότι τώρα πλέον τοποθετεί τυχαία επέκταση στα αρχεία (μήκους 5 χαρακτήρων), ενώ και το ransom note είναι πλέον σε μορφή HTML.


ΣΗΜΑΝΤΙΚΟ UPDATE 29/9::: Ο GandCrab v5 μοιάζει τελικά να εκμεταλλεύεται τη γνωστή ευπάθεια Task Scheduler ALPC (η οποία στοχεύει στο GoogleUpdate). Η ευπάθεια

Τρίτη, 25 Σεπτεμβρίου 2018

Τα νέα των Ransomware, 24/9/2018

Ήταν μία δραστήρια εβδομάδα. 
Είχαμε χτύπημα σε ζυθοποιία, είχαμε χτύπημα σε αεροδρόμιο της Αγγλίας, και πολλούς νέους Dharma. 

Όσο βγαίνουν νέοι Dharma εμείς θα συνεχίσουμε να κρατάμε ανέπαφο το Disclaimer που είχαμε γράψει και αφορά τους απατεώνες που προσπαθούν να γίνουν μεσάζοντες.

Ας τα δούμε αναλυτικά:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA -- ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ

Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 1 μήνα ο Dharma (2 μήνες, πλέον), ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena (έχουν προστεθεί κι άλλα)

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.
Μας έχουν προσεγγίσει από τουλάχιστον 4 διαφορετικές μεριές την τελευταία εβδομάδα μόνο. Φυσικά τους καταγγείλαμε στις αρχές.

Ένα παράδειγμα:





Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY.

Για την ιστορία, οι παραπάνω "experts" μας κοστολόγησαν τη "δουλειά" τους 2800-3400 ευρώ, όσο περίπου δηλαδή κοστίζει και η παροχή του κλειδιού από τους δημιουργούς.

Επίθεση με Ransomware σε ζυθοποιία

H ζυθοποιία Arran στη Σκωτία έπεσε θύμα επίθεσης με Ransomware το Σαββατοκύριακο που μας πέρασε. 
Η επίθεση ήταν στοχευμένη και πολύ καλά μελετημένη.
Οι επιτιθέμενοι, τοποθέτησαν αγγελίες σε διάφορα site ανεύρεσης εργασίας παγκοσμίως, ότι δήθεν η επιχείρηση ζητούσε να προσλάβει οικονομικό διευθυντή με πολύ καλούς όρους.
Αυτό είχε ως αποτέλεσμα να πλημμυρίσει το mailbox της εταιρίας από εισερχόμενα email με επισυναπτόμενα (βιογραφικά κλπ).
Ένα από αυτά τα email ήταν και το παγιδευμένο, το οποίο και άνοιξε κάποιος απρόσεκτος (και μπουχτισμένος) υπάλληλος με αποτέλεσμα να αναλάβει δράση ο Ransomware. Σύμφωνα με ενημέρωση της ίδιας της Arran Brewery, ο Ransomware που τους χτύπησε ήταν -τι άλλο- Dharma.
Στην ίδια ανακοίνωση δήλωσαν πως δεν πλήρωσαν τα λύτρα και απεκατέστησαν τη ζημιά με ό,τι backup είχαν.
Εμείς το μόνο που έχουμε να πούμε είναι, κάτω τα χέρια από τις μπύρες!



Επίθεση με Ransomware στο αεροδρόμιο του Bristol

To περασμένο Σαββατοκύριακο επικράτησε χάος στο αεροδρόμιο του Bristol στην Αγγλία. Ο λόγος ήταν η επίθεση που δέχτηκε το αεροδρόμιο από Ransomware, και συγκεκριμένα το σύστημα ενημέρωσης αναχωρήσεων/αφίξεων του αεροδρομίου.

Το αποτέλεσμα ήταν οι φωτεινοί πίνακες να μην λειτουργούν


και  οι ενημερώσεις να γίνονται με τον παλιό, καλό, παραδοσιακό τρόπο.



Nέος Dharma- Brr

Tην προηγούμενη Δευτέρα εμφανίστηκε νέο στέλεχος του Dharma που τοποθετεί την επέκταση .brr. Κατά τ' άλλα δεν έχει αλλάξει τίποτα. 


Νέος Ransomware - IT.Books

Aυτός είναι HiddenTear στον κώδικα και Jigsaw στο GUI. Κάποιος παίζει και με τα δύο. Τοποθετεί την επέκταση .fucked.



To όνειρό τους, πραγματικότητα?

Αυτό  θα μπορούσε να θεωρηθεί κάλλιστα το όνειρο κάθε κυβερνο-εγκληματία. Ένα κακόβουλο εργαλείο που στοχεύει τόσο σε Windows όσο και σε Linux servers, με ικανότητες αυτόματης διασποράς και που συνδυάζει λειτουργίες Ransomware και CryptoMining.
Κυρίες και κύριοι, ο Xbash.




Απίστευτο κι όμως αληθινό, βάση δεδομένων αγνώστου πατρός, εκτεθειμένη στο Ιντερνετ, με 11.000.000 προσωπικά στοιχεία εκτεθειμένα.

Ο ανεξάρτητος ερευνητής Bob Diachenko εντόπισε μια βάση δεδομένων, τύπου MongoDB, εκτεθειμένη στο ιντερνετ. Το πρώτο αστείο είναι ότι την εντόπισε χρησιμοποιώντας εργαλεία που είναι ευρέως διαθέσιμα. Το δεύτερο αστείο είναι ότι η εν λόγω βάση δεδομένων δεν έχει διαπιστωθεί σε ποιον ανήκει, καθώς ήταν ανεβασμένη κάπου, απροστάτευτη και εύκολα προσβάσιμη στον οποιονδήποτε.
Το τρίτο και πιο σοβαρό αστείο είναι ότι η βάση περιείχε 10,999,535 διευθύνσεις email (όλες Yahoo) και είχε μέγεθος 43.5GB. Φυσικά, μαζί με τις διευθύνσεις email περιείχε και πολλά προσωπικά δεδομένα, όπως διευθύνσεις και τηλέφωνα.
 Oι spammers και οι scammers τρίβουν τα χέρια τους...




Nέος Dcrtr - parrot

Εμφανίστηκε μία νέα παραλλαγή του Dcrtr με την κατάληξη .parrot. 
Λίγο αργότερα, εμφανίστηκε και άλλη μία, με κατάληξη .java (προφανώς για να μπερδέψουν κι άλλο την κατάσταση). 



Nέος Scarab - skype

Toποθετεί την επέκταση .skype. Όπως πάντα, ελάτε σε επικοινωνία μαζί μας για να δούμε αν μπορούμε να βοηθήσουμε.


Nέοι Dharma :(

O Dharma συνεχίζει την επέλασή του και αυτήν την εβδομάδα εμφανίστηκαν άλλα 3 νέα στελέχη.
Τοποθετούν τις επεκτάσεις .Gamma, .Bkp και .Monro αντίστοιχα.

Μάλλιασε η γλώσσα μας, ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΓΙΑ ΤΟΝ DHARMA, ΜΗΝ ΠΙΣΤΕΥΕΤΕ ΤΟΥΣ ΕΠΙΤΗΔΕΙΟΥΣ.




Αυτά για τώρα! Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.

Δευτέρα, 17 Σεπτεμβρίου 2018

Τα νέα των Ransomware, 17/9/2018

Η εβδομάδα που μας πέρασε ήταν σχετικά ήσυχη όσον αφορά τα νέα στελέχη, είχαμε όμως τους "μεγάλους παίκτες" να εμφανίζουν νέα στελέχη. Είχαμε νέους Scarab, νέο Dharma και καινούριο Matrix. 

Είχαμε βέβαια και την εμφάνιση του Kraken Cryptor που παριστάνει το γνωστό λογισμικό καταπολέμησης spyware, το SuperAntiSpyware.

Αν και τα Ransomware εμφανώς έχουν κατεβάσει ταχύτητα, είναι ακόμα εκεί έξω.
Σιγουρευτείτε ότι παίρνετε backups, προσέχετε ποια email ανοίγετε, πού κάνετε κλικ και έχετε πάντα τα Remote Desktop πίσω από firewall.

Τιμής ένεκεν, θα αφήσουμε ατόφια την προειδοποίηση που είχαμε γράψει την προηγούμενη εβδομάδα για τον Dharma. Οι επιτήδειοι πολλαπλασιάστηκαν.


Ας τα δούμε αναλυτικά:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA -- ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ

Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 1 μήνα ο Dharma, ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.
Μας έχουν προσεγγίσει από τουλάχιστον 4 διαφορετικές μεριές την τελευταία εβδομάδα μόνο. Φυσικά τους καταγγείλαμε στις αρχές.

Ένα παράδειγμα:





Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY.

Για την ιστορία, οι παραπάνω "experts" μας κοστολόγησαν τη "δουλειά" τους 2800-3400 ευρώ, όσο περίπου δηλαδή κοστίζει και η παροχή του κλειδιού από τους δημιουργούς.

Nέος Dharma- Brr

Tην προηγούμενη Δευτέρα εμφανίστηκε νέο στέλεχος του Dharma που τοποθετεί την επέκταση .brr. Κατά τ' άλλα δεν έχει αλλάξει τίποτα. 


Νέος Ransomware - MVP

O Siri εντόπισε έναν νέο Ransomware,

Δευτέρα, 10 Σεπτεμβρίου 2018

Τα νέα των Ransomware, 10/09/18

Σας λείψαμε?
Εμάς, πάντως, δεν μας έλειψε καθόλου η καθημερινή μάχη με τους Ransomware.

Γενικά, τις προηγούμενες εβδομάδες είχαμε μεγάλη έξαρση του Dharma, με πολλά χτυπήματα και στην Ελλάδα. ΠΡΟΣΟΧΗ στους απατεώνες/καλοθελητές που υπόσχονται διάφορα.


Ας τα δούμε αναλυτικά:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA -- ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ

Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 1 μήνα ο Dharma, ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.
Μας έχουν προσεγγίσει από τουλάχιστον 4 διαφορετικές μεριές την τελευταία εβδομάδα μόνο. Φυσικά τους καταγγείλαμε στις αρχές.

Ένα παράδειγμα:




Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY.

Για την ιστορία, οι παραπάνω "experts" μας κοστολόγησαν τη "δουλειά" τους 2800-3400 ευρώ, όσο περίπου δηλαδή κοστίζει και η παροχή του κλειδιού από τους δημιουργούς.

Nέος Ransomware - BarackObama

Ένα πολύ περίεργο malware εμφανίστηκε πρόσφατα, το οποίο κρυπτογραφεί μόνο τα .exe εκτελέσιμα αρχεία. Πιθανώς να είναι σε δοκιμαστικό στάδιο. Εμφανίζει μια εικόνα με τον πρώην πρόεδρο των ΗΠΑ και ζητάει "φιλοδώρημα" για την αποκρυπτογράφηση. 


Νέος Ransomware - Locdoor

Άλλη μία σαβούρα που δεν δουλεύει σωστά,

Δευτέρα, 30 Ιουλίου 2018

Τα νέα των Ransomware, 30/7/2018

Του ... Scarab το κάγκελο για αυτήν την εβδομάδα, με περισσότερα από 6 νέα στελέχη να κάνουν την εμφάνισή τους και να είναι ιδιαίτερα δραστήρια.
Όπως έχουμε πει πολλές φορές, η Northwind έχει βρει κάποια αδυναμία στα περισσότερα από αυτά τα στελέχη, και αν έχετε μολυνθεί, ελάτε σε επικοινωνία μαζί μας.


Κατά τ' άλλα, ενδιαφέρον είχε το χτύπημα με Ransomware στον κολοσσό Cosco, απάντηση σε όσους λένε ότι το Ransomware πέθανε.


Ας τα δούμε αναλυτικά:

NEOΣ GandCrab

Χωρίς καμία ιδιαίτερη αλλαγή σε σχέση με την προηγούμενη έκδοση, 4.2 απλώς προσθέτει μηνύματα ειρωνίας σε διάφορους security researchers.




Nέος Ransomware - Armage

Αυτός καταστρέφει τα εικονίδια του Windows Explorer και τοποθετεί την επέκταση .armage. Τίποτα το περισσότερο ενδιαφέρον.


Νέος Dharma

Toποθετεί την επέκταση .id.combo. Τίποτα το καινούργιο.


Νέος Jigsaw

Toποθετεί την επέκταση .black007. Κατά τα γνωστά, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ. 


Νέοι Scarab ....

Πρώτα εμφανίστηκε η παραλλαγή ΒΙΝ. Τοποθετεί την επέκταση .bin2 στα αρχεία και αφήνει πίσω του ένα Ransom Note με την ονομασία HOW TO RECOVER ENCRYPTED FILES.TXT.




Στη συνέχεια

Σάββατο, 21 Ιουλίου 2018

Τα νέα των Ransomware, 23/7/2018

Eνδιαφέροντα νέα στον τομέα των Ransomware είχαμε για την προηγούμενη εβδομάδα, με σημαντικότερο τον NSB Screenlocker που αυτή τη στιγμή δεν ανιχνεύεται από κανένα antivirus.

Επίσης, μας κάνει εντύπωση καταρχήν ο νέος Scarab ο οποίος χρησιμοποιεί το email που χρησιμοποιεί και ο Dharma, όπως επίσης και το θράσος των δημιουργών του King Ouroboros Ransomware που επιτέθηκαν φραστικά στον Michael Gillespie στο Twitter.

Ας τα δούμε αναλυτικά:

NEOΣ Xorist

O Michael Gillespie εντόπισε ένα καινούργιο στέλεχος του Xorist που τοποθετεί την επέκταση .TaRoNiS.




Nέος Scarab - Deep

Εδώ έχουμε το εξής ενδιαφέρον: Το email που χρησιμοποιεί ο συγκεκριμένος Ransomware για την επικοινωνία με τα θύματά του, επίσης το είδαμε και σε ένα στέλεχος του Dharma. Φαίνεται ότι ο συγκεκριμένος κύριος το παίζει σε διπλό ταμπλό.


Δεν έχει όρια το θράσος

Oι δημιουργοί του King Ouroboros Ransomware επιτέθηκαν φραστικά στον Michael Gillespie και στην MalwareHunter επειδή κάποιο site χαρακτήρισε τον συγκεκριμένο Ransomware απάτη. Στο ίδιο σαιτ

Τρίτη, 10 Ιουλίου 2018

Τα νέα των Ransomware 10/7/2018

Για την εβδομάδα που πέρασε, είχαμε δύο σημαντικά νέα, τη νέα έκδοση του Gandcrab (είναι η 4η έκδοση...) και τον Nozelesn, ο οποίος είχε μεγάλη έξαρση ξεκινώντας από την Πολωνία και εξαπλώθηκε και στην Αμερική. Προς το παρόν, δεν είχαμε κάποια αναφορά για θύμα στην Ελλάδα.

Ας τα δούμε αναλυτικά:

NEOΣ Ransomware - Whoopsie

Τίποτα το ιδιαίτερο.




Νέος Ransomware - Nozelesn

Μεγάλης έκτασης καμπάνια εξάπλωσης του συγκεκριμένου Ransomware ξέσπασε την προηγούμενη Τρίτη, αρχικά με θύματα στην Πολωνία και στη συνέχεια στην Αμερική. Δεν είχαμε προς το παρόν αναφορές για θύματα στην Ελλάδα.
Ο συγκεκριμένος είναι υπό ανάλυση, και θα ξέρουμε περισσότερα σύντομα.
Η διασπορά γίνεται μέσω ψεύτικων email που παριστάνουν ότι προέρχονται από μεγάλη εταιρία ταχυμεταφορών. ΠΡΟΣΟΧΗ σε όλους!




Νέος Ransomware - RaRansomware

Toποθετεί την επέκταση .KUAJW. MH ΠΛΗΡΩΣΕΤΕ ΤΑ  ΛΥΤΡΑ!!!



Νέος Scarab - Red

Άλλος ένας Scarab, προστίθεται στην ήδη τεράστια λίστα των παραλλαγών του συγκεκριμένου. Τοποθετεί την επέκταση .red.
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!!


Δευτέρα, 2 Ιουλίου 2018

Τα νέα των Ransomware, 2/7/2018

Μετά την εξαιρετικά καλή προηγούμενη εβδομάδα, όπου είχαμε επιτυχία αποκρυπτογραφώντας μία σειρά από εξαιρετικά ενεργούς Ransomware, συνεχίζουμε με τα καλά νέα, αυτή τη φορά με λύση για τον Thanatos Ransomware αλλά και γενικά γιατί ήταν μία πολύ πολύ ήσυχη εβδομάδα, κάτι που πάντα είναι καλό νέο.

Ας τα δούμε αναλυτικά:

NEOΣ RotorCrypt

O Michael Gillespie εντόπισε ένα καινούργιο στέλεχος του RotorCrypt, το οποίο δεν τοποθετεί επέκταση στα κρυπτογραφημένα αρχεία και αφήνει ένα Ransom Note με τίτλο HELP.



Αποκρυπτογραφήσαμε τον Thanatos!

Για τον Thanatos, είχαμε γράψει:
Παρά το ελληνικό του όνομα, μάλλον προέρχεται από τη Ρωσία. Το πρόβλημα είναι ότι ο Thanatos αποτελεί άλλο ένα παράδειγμα όπου οι δημιουργοί Ransomware βγάζουν στη φόρα επιμολύνσεις που δεν είναι επαρκώς δοκιμασμένες και έχουν τόσα bugs που είναι εξαιρετικά απίθανο έως αδύνατον να αποκρυπτογραφηθούν τα δεδομένα, ακόμα και αν το θύμα πληρώσει τα λύτρα.

Στην προκειμένη περίπτωση, ο Thanatos δημιουργεί ένα κλειδί για κάθε αρχείο ξεχωριστά (!). Το πρόβλημα είναι ότι αυτό το κλειδί δεν αποθηκεύεται κάπου. Επομένως, αν το θύμα πληρώσει τα λύτρα, ο επιτιθέμενος δεν έχει τρόπο να του αποκρυπτογραφήσει τα αρχεία...


Τα καλά νέα είναι ότι για συγκεκριμένους τύπους αρχείου και με δεδομένο ότι υπάρχει επάρκεια χρόνου, ίσως μπορούμε να σπάσουμε τον κωδικό για κάθε αρχείο με τη μέθοδο Brute Force.

Το άλλο ενδιαφέρον με τον συγκεκριμένο είναι ότι είναι ο πρώτος που δέχεται Bitcoin Cash ως πληρωμή.

Όπως και να έχει, όπως είπαμε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ καθώς δεν θα σας δώσουν κλειδί αποκρυπτογράφησης, πολύ απλά γιατί κλειδί αποκρυπτογράφησης δεν υπάρχει.


Ευτυχώς καταφέραμε και εκμεταλλευτήκαμε κάποια προβλήματα στην υλοποίηση του συγκεκριμένου Ransomware, και μπορούμε να τον αποκρυπτογραφήσουμε. 


Νέος Ransomware - BloodJaws

Τίποτα το ιδιαίτερο.



Νέος Ransomware - AnimusLocker

O Karsten Hahn εντόπισε αυτό, το οποίο σύμφωνα με τον ίδιο, επίσης δεν παρουσιάζει καμία απολύτως πρωτοτυπία.







Είτε το πιστεύετε είτε όχι, αυτά ήταν όλα τα νέα των Ransomware για την εβδομάδα που πέρασε!
Καλή εβδομάδα και καλό μήνα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.

Δευτέρα, 25 Ιουνίου 2018

Τα νέα των Ransomware 25/6/18

Μία εξαιρετικά καλή εβδομάδα ήταν αυτή που πέρασε στον τομέα των Ransomware.
Είχαμε πολλές αποκρυπτογραφήσεις. 

Πέρα από αυτό, αυτή ήταν η εβδομάδα των Scarab. Scarab παντού. Ευτυχώς, στη συντριπτική πλειοψηφία των περιπτώσεων έχουμε βρει λύση, μη πληρώσετε τα λύτρα και ελάτε σε επικοινωνία μαζί μας. 

Στα άλλα καλά νέα, αποκρυπτογραφήσαμε και 2-3 ακόμα μικρότερα στελέχη όπως ο Sepsis και ο νέος Everbe.


Ας τα δούμε αναλυτικά:

NEOI SCARAB -- MH ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!

Την εβδομάδα που μας πέρασε είχαμε τεράστια έξαρση του Scarab με πολλά νέα στελέχη. ΕΧΟΥΜΕ ΚΑΤΑΦΕΡΕΙ ΚΑΙ ΕΧΟΥΜΕ ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΕΙ ΤΗ ΣΥΝΤΡΙΠΤΙΚΗ ΠΛΕΙΟΨΗΦΙΑ ΤΩΝ ΣΤΕΛΕΧΩΝ ΑΥΤΩΝ, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ ΚΑΙ ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ.

Το πρώτο που εμφανίστηκε ήταν το στέλεχος .good.


To δεύτερο ήταν το στέλεχος Danger το οποίο τοποθετεί την επέκταση .fastrecovery@xmpp.jp στα κρυπτογραφημένα αρχεία.

Μετά, εμφανίστηκε ο Oneway, o πρώτος που εμφανίστηκε που ήταν στα Ρώσικα. Αφήνει ένα Ransom Note με τίτλο Расшифровать файлы oneway.TXT

Ο επόμενος ήταν ο Bomber με μεγάλη καμπάνια σε εξέλιξη στη Ρωσία. Τοποθετεί την επέκταση .bomber
Πέμπτη στη σειρά ήταν η έκδοση RECME που τοποθετεί την επέκταση .recme και αφήνει Ransom Note HOW_TO_RECOVER_ENCRYPTED_FILES.TXT .

Έκτο στέλεχος, το DAN. Τοποθετεί την επέκταση .dan@cock.email.

Για άλλη μια φορά, για όλα τα παραπάνω, αν έχετε μολυνθεί, ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!

Αποκρυπτογραφήσαμε και τον Sepsis!

Eίχαμε γράψει για αυτόν πριν ένα μήνα. Βρήκαμε λύση, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!




Υπάρχει ένα μικρό θεματάκι με την αποκρυπτογραφήση, η οποία σχετίζεται με κάποιο bug στο ίδιο το Ransomware, και συγκεκριμένα σε κάποιο padding bug, το οποίο προκαλεί πρόβλημα στην αποκρυπτογράφηση των τελευταίων 16 bytes των αρχείων, στην περίπτωση που το μέγεθός τους δεν είναι πολλαπλάσιο του 16. Κατά τ' άλλα όμως, ό,τι έχουμε δοκιμάσει λειτουργεί μια χαρά.

Νέος Ransomware - BadMonkey

Είναι υπό κατασκευή με πολλά προβλήματα προς το παρόν.



Nέα έκδοση του FileIce, ζητάει να συμπληρώσετε δημοσκοπήσεις!

Είχαμε γράψει το 2016 για αυτόν, τώρα εμφανίστηκε και νέα έκδοση!
Ζητάει από τα θύματά του να συμπληρώσουν ερωτηματολόγια, προκειμένου να τους δώσει το κλειδί αποκρυπτογράφησης...






Νέος Ransomware - Pulpy

Τίποτα απολύτως το αξιόλογο. Τοποθετεί την επέκταση AES στα κρυπτογραφημένα αρχεία.

Δύο νέα στελέχη του CyberSCCP

To πρώτο τοποθετεί την επέκταση .cybersccp στα κρυπτογραφημένα αρχεία


και το δεύτερο με πιο εντυπωσιακό background