Τα νέα των Ransomware, 29/1/2018

Πολλά νέα σε ένα εκτενές update έχουμε ετοιμάσει για αυτήν την εβδομάδα.

Τα σημαντικότερα νέα είχαν να κάνουν με μεγάλη έξαρση στον SamSam. Υπενθυμίζουμε ότι ο SamSam διασπείρεται μέσω Remote Desktop και ακόμα και τώρα υπάρχουν πολλοί Η/Υ που έχουν την απομακρυσμένη πρόσβαση σχεδόν ελεύθερη για όλους....

Ενδιαφέρον έχουν οι δηλώσεις του προέδρου της Maersk για τον NotPetya, η επανεμφάνιση του KillDisk, και η νέα λαίλαπα που έκανε την εμφάνισή της, το BlackmailWare το οποίο μοιάζει να είναι πιο αποδοτικό από το Ransomware. 

Ας τα δούμε αναλυτικά:

Επανεμφάνιση του KillDisk

Tην Δευτέρα η TrendMicro ανακοίνωσε ότι παρατηρείται έξαρση του KillDisk σε εταιρίες της Λατινικής Αμερικής.
Να θυμήσουμε ότι ο KillDisk είναι ένας Ransomware με πολλές ιδιαιτερότητες, που κατασκευάστηκε από την ίδια ομάδα Ρώσων κυβερνο-εγκληματιών οι οποίοι ευθύνονται για την επίθεση στο δίκτυο Ενέργειας της Ουκρανίας με το BlackEnergy malware, για την επίθεση σε βιομηχανίες των ΗΠΑ με τον Sandworm malware και φυσικά για τον NotPetya που χτύπησε πολλές εταιρίες τον Ιούνιο του 2017.

Ο KillDisk έχει την ιδιαιτερότητα ότι αφού μπει στον Η/Υ, εγκαθίσταται στη μνήμη του, διαγράφει τον εαυτό του από το δίσκο και μετονομάζει τον εαυτό του.
Στη συνέχεια κάνει overwrite τα πρώτα 20 sectors από το MBR όλων των δίσκων του συστήματος και γράφει από πάνω τους μηδενικά.
Μετά, γράφει μηδενικά και στα πρώτα 2800 bytes από κάθε αρχείο των δίσκων αυτών (εξαιρεί τα αρχεία συστήματος) και αφήνει το Ransom Note.

Τέλος, μετράει 15 λεπτά (άγνωστο γιατί) και ξεκινάει να τερματίζει processes των Windows με σκοπό να προκαλέσει είτε πάγωμα του Η/Υ είτε μπλέ οθόνη (BSOD) με σκοπό να επανεκκινηθεί ο Η/Υ.

Μόλις ο Η/Υ επανεκκινηθεί φυσικά δεν μπορεί να μπει σε Windows αφού τα MBR έχουν μηδενιστεί. Το θύμα θα επισκεφθεί κάποιον τεχνικό ο οποίος προφανώς ψάχνοντας για αρχεία θα δει τα Ransom Notes.  

Νοσοκομείο πληρώνει $55.000 για λύτρα -- είχε backup!

Tην Τρίτη ενημερωθήκαμε ότι νοσοκομείο στην Indiana των ΗΠΑ πλήρωσε $55.000 σε λύτρα προκειμένου να απαλλαγεί από Ransomware που τους χτύπησε. Πρόκειται για το Hancock Health Hospital στο GreenField της Indiana.

Το νοσοκομείο χτυπήθηκε από τον SamSam ο οποίος μετονόμασε όλα τα αρχεία τοποθετώντας τη φράση "I'm sorry" στο όνομα αρχείου.
Η επίθεση έλαβε χώρα την προηγούμενη εβδομάδα (11/1) όμως ανακοινώθηκε επίσημα αργότερα. Την επόμενη μέρα, Παρασκευή, το νοσοκομείο ήταν γεμάτο με ανακοινώσεις που καλούσε όλους τους εργαζόμενους να τερματίσουν τους Η/Υ τους.

Όλες οι μηχανογραφικές εργασίες του νοσοκομείου σταμάτησαν. Οι γιατροί και το νοσηλευτικό προσωπικό συνέχισε να εργάζεται με χαρτί και μολύβι και όποια άλλα μέσα υπήρχαν διαθέσιμα. 

Σε ανακοίνωση του νοσοκομείου, παραδέχονται το γεγονός με πολύ λίγες, πάντως, λεπτομέρειες.
Το νοσοκομείο λειτούργησε ξανά 100% την επόμενη Δευτέρα, αφού πλήρωσε $55.000 για λύτρα. Εκπρόσωπος του νοσοκομείου δήλωσε ότι υπήρχαν αντίγραφα ασφαλείας αλλά θα τους έπαιρνε πολλές μέρες ή ακόμα και εβδομάδες για πλήρη αποκατάσταση, και αποφάσισαν ότι η πληρωμή των λύτρων ήταν γρηγορότερη διαδικασία...

ΝΕΟΣ Ransomware - MoneroPay - μεταμφιέζεται σε πορτοφόλι κρυπτονομισμάτων!

Είναι εντελώς καινούργιος, εμφανίστηκε την προηγούμενη Τετάρτη. Προσπαθεί να εκμεταλλευτεί την τρέλα που επικρατεί με τα κρυπτονομίσματα, προωθώντας τον εαυτό του ως πορτοφόλι ενός κρυπτονομίσματος -του SpriteCoin- το οποίο

Κάνουμε Reverse Engineer τον File Spider Ransomware

O File Spider είναι ένας καινούργιος Ransomware, ο οποίος στοχεύει χρήστες Βαλκανικών χωρών.

Ο τρόπος διασποράς του είναι μέσω spam email με επισυναπτόμενο τύπου Microsoft Word (.doc) το οποίο είναι παγιδευμένο.

Το αρχείο που αναλύουμε έχει τίτλο 

BAYER_CORPSCIENCE_OFFICE_ZAGREB_29858.doc

MD5: de7b31517d5963aefe70860d83ce83b9

Το αρχείο έχει ενσωματωμένες μακροεντολές.

Κοιτώντας τον κώδικα των macro, έχουμε:

Private Function decodeBase64(ByVal strData As String) As Byte()
    Dim objXML As MSXML2.DOMDocument
    Dim objNode As MSXML2.IXMLDOMElement
    
    Set objXML = New MSXML2.DOMDocument
    Set objNode = objXML.createElement("b64")
    objNode.dataType = "bin.base64"
    objNode.Text = strData
    decodeBase64 = objNode.nodeTypedValue
    
    Set objNode = Nothing
    Set objXML = Nothing
End Function

Τα νέα των Ransomware, 15/1/2018

Άλλη μία εβδομάδα με λίγα πράγματα στον τομέα των Ransomware -κάτι που είναι πάντα καλό νέο- με μόνο μικρές παραλλαγές και ανούσια νέα στελέχη.

Τα κυριότερα νέα αφορούν τον HC7, ο οποίος είναι ο πρώτος Ransomware που δέχεται ως πληρωμή το κρυπτονόμισμα Ethereum. 

Ας τα δούμε αναλυτικά:

Nέος Jigsaw, NSFW

Δευτέρα πρωί-πρωί εμφανίστηκε ένας νέος Jigsaw ο οποίος είναι NSFW (Not Safe For Work) καθώς περιέχει γυμνές φωτογραφίες (εμείς "λογοκρίναμε" την παρακάτω φώτο). Είναι σε δοκιμαστικό στάδιο με hardcoded κωδικό (είναι χαρακτηριστικό ότι ζητάει 100 εκατομμύρια δολάρια σε λύτρα...). 

Νεος HC7 - Planetary

Tην Τρίτη εμφανίστηκε ένας νέος HC7 ο οποίος τοποθετεί την επέκταση .PLANETARY στα κρυπτογραφημένα αρχεία.
Αυτό που τον κάνει μοναδικό είναι ότι είναι ο πρώτος που δέχεται ως τρόπο πληρωμής το κρυπτονόμισμα Ethereum.
Φυσικά κάνουν δεκτά και Bitcoin και Monero, μην αφήσουν κανέναν παραπονεμένο.

ALL FILES ARE ENCRYPTED. 
TO RESTORE, YOU MUST SEND $700 EQUIVALENT FOR ONE COMPUTER
OR $5,000 FOR ALL NETWORK
PAYMENTS ACCEPTED VIA BITCOIN, MONERO AND ETHEREUM
BTC ADDRESS: [bitcoin_address]
MONERO (XMR) ADDRESS: [monero_address]
CONTACT US WHEN ETHEREUM PAYMENT INFORMATION
BEFORE PAYMENT SENT EMAIL m4rk0v@tutanota.de
ALONG WITH YOUR IDENTITY: [base64_encoded_computer_name]
INCLUDE SAMPLE ENCRYPTED FILE FOR PROOF OF DECRYPT


NOT TO SHUT OFF YOUR COMPUTER, UNLESS IT WILL BREAK

Ποιος είναι πάλι αυτός?

Ο d.koporushkin είναι κάποιος που θα έπρεπε να ξέρουμε?
Γιατί σε αυτόν τον "Ransomware", εμφανίζεται το όνομα αυτό σε ένα αρχείο. Και βάζουμε το Ransomware σε εισαγωγικά γιατί ο εν λόγω δεν κρυπτογραφεί (προς το παρόν), αν και είναι φτιαγμένος για κάτι τέτοιο. Πάντως, υποκλέπτει δεδομένα, τα κρυπτογραφεί με hardcoded κωδικό και random αλάτι και τα ανεβάζει σε ένα ftp. Είναι βασισμένος στον HiddenTear.

Τα νέα των Ransomware, 6/1/18

Καλή χρονιά με υγεία και ευημερία σε όλους!

Πέρα από το Case Study που δημοσιεύσαμε το οποίο δείχνει στην πράξη πώς καταφέρνουμε μερικές φορές και "σπάμε" τους Ransomware, oι γιορτινές ημέρες πέρασαν ήρεμα στον τομέα αυτόν. Όπως και πέρσι έτσι και φέτος οι δημιουργοί τους πήραν μερικές μέρες ρεπό. Είδαμε κυρίως νέες παραλλαγές γνωστών στελεχών, κυρίως του CryptoMix.

Πέραν τούτων, μερικά υπό κατασκευή στελέχη και αυτό είναι όλο. Αν πάντως θα τολμούσαμε μία πρόβλεψη, θα ήταν ότι προς το τέλος του μήνα θα δούμε μεγάλη έξαρση δυστυχώς.

Ας τα δούμε αναλυτικά:

Nέος Damage/Dangerous

Αυτός εμφανίστηκε στην πιάτσα ανήμερα των Χριστουγέννων. Τοποθετεί την επέκταση .wtf και αφήνει αυτό το Ransom Note:

Νέος Ransomware - Pulpy

Εντελώς αδιάφορος..

Νεος Ransomware - MadBit

Ditto με από πάνω - εντελώς αδιάφορος. Τοποθετεί την επέκταση .enc. Πρωτοτυπία υπό του μηδενός...

Νέος Ransomware - Heropoint

Ο Lawrence Abrams εντόπισε αυτόν τον Ransomware στις 2/1/18. Είναι υπό κατασκευή και δεν κρυπτογραφεί ακόμα, αλλά θεωρείται σχεδόν σίγουρο ότι θα 

Αποκρυπτογραφώντας τον HC7 με βήματα

CASE STUDY: Αποκρυπτογραφώντας τον  HC7

Background

Πρόσφατα ένας πελάτης μας, έδωσε πρόσβαση μέσω Remote Desktop σε έναν σερβερ ο οποίος όπως αποδείχτηκε ήταν ήδη "προσβεβλημένος" λόγω του συνθηματικού που χρησιμοποιούσε, το οποίο ήταν ασθενές.

Οι επιτιθέμενοι έριξαν μέσα ένα Ransomware το οποίο μέχρι τώρα δεν είχαμε ξαναδεί, και προσπάθησαν να διασπείρουν το εκτελέσιμο αρχείο του Ransomware μέσω PsExec. 

Το εκτελέσιμο ήταν το hc7.exe το οποίο κατάφερε να κρυπτογραφήσει τεράστιο αριθμό δεδομένων μέσα σε μικρό χρονικό διάστημα, σε πολλαπλά μηχανήματα.

Καταφέραμε και αποκρυπτογραφήσαμε τα δεδομένα :-)

Δείτε αναλυτικά παρακάτω τον τρόπο που λειτουργήσαμε.