20/2/18

Τα νέα των Ransomware, 19/2/18

Στα ΚαθαροΔευτεριάτικα νέα των Ransomware, δεν έχουμε και πολλά πράγματα.

Η μεγαλύτερη είδηση είναι η επίσημη τοποθέτηση της Αγγλίας, η οποία χρεώνει τον NotPetya σε Ρώσους χάκερς.

Μεταξύ άλλων, μας κίνησε το ενδιαφέρον ο Saturn, ο οποίος μοιάζει να είναι πολύ οργανωμένος σε πολλούς τομείς σε σχέση με άλλα μικρά στελέχη που βλέπουμε κατά καιρούς και είναι ιδιαίτερα δραστήριος. 


Τέλος, άσχημα νέα με τον GandCrab ο οποίος ενώ ως τώρα στόχευε θύματα στην Κορέα, την προηγούμενη εβδομάδα είχαμε δύο κλήσεις για βοήθεια στην Ελλάδα. Δυστυχώς δεν υπάρχει (ακόμα) λύση για αυτόν.


Ας τα δούμε αναλυτικά:

Νέος Ransomware - TBlocker

Mε καλά νέα ξεκινάμε, την Δευτέρα που μας πέρασε εμφανίστηκε αυτός, για τον οποίο ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!


Έχουμε βρει λύση, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Παιδιά, έχετε μπερδευτεί λιγάκι...

Μια νέα παραλλαγή του Rapid εμφανίστηκε την προηγούμενη εβδομάδα, ο οποίος προσπαθεί να διασπαρεί μέσω malspam παριστάνοντας ότι πρόκειται για ηλεκτρονικό μήνυμα από το IRS (το ΣΔΟΕ της Αμερικής - ας πούμε).

Το θέμα είναι ότι το IRS είναι Αμερικάνικο, ο αποστολέας χρησιμοποιεί spoof email με κατάληξη Αγγλίας και το επισυναπτόμενο είναι στα γερμανικά...





Περί αλητείας ο λόγος

Μόνο σαν αλητεία μπορούμε να χαρακτηρίσουμε την τακτική του Defender Ransomware, ο οποίος δεν μπορεί να αποκρυπτογραφηθεί. Με κανέναν τρόπο.

Και ο λόγος είναι ότι

οι δημιουργοί του τον έφτιαξαν έτσι ώστε να κρυπτογραφεί με AES256, αλλά δεν αποθηκεύουν πουθενά το κλειδί. 

Τοποθετεί την επέκταση .defender.




Νέος Ransomware - Blank

Αυτός φτιάχτηκε για πλάκα και όπως λένε και οι ίδιοι, δεν ζητάει χρήματα. Αν πατήσετε επάνω στο "What the hell is my password?!" θα σας εμφανίσει τον κωδικό για την αποκρυπτογράφηση.

Καλά νέα - βρήκαμε λύση και για τον Pendor

Σε συνέχεια των καλών νέων, βρήκαμε λύση και για τον Pendor (τοποθετεί την επέκταση .pnr). ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!


Νέος Jigsaw - Locked

Αυτός είναι από/στοχεύει την Κορέα. 
Αν και δύσκολα να έχει φτάσει προς τα μέρη μας, όπως με όλους τους Jigsaw, EXOYME BΡΕΙ ΛΥΣΗ - ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ




Η Αγγλία κατηγορεί επίσημα τη Ρωσία για τον NotPetya


H Aγγλία είναι η πρώτη χώρα της Δύσης που κατηγορεί επίσημα την στρατιωτική ηγεσία της Ρωσίας πως βρίσκεται πίσω από τον NotPetya.

Θυμίζουμε ότι είχε προηγηθεί επίσημη τοποθέτηση των Ουκρανών σχετικά με το θέμα.

Περισσότερα εδώ



Επίθεση με GlobeImposter

Φαίνεται πως κάποιος κάνει χειροκίνητες επιθέσεις σε εταιρικά δίκτυα με GlobeImposter.

Xρησιμοποιεί την ευρηματική κατάληξη .suddentax (έχει χιούμορ, του το αναγνωρίζουμε). Ζητάει 2 bitcoin για την αποκρυπτογράφηση.



ΝΕΟΣ Ransomware - Umaru 

Στα βαρετά νέα της εβδομάδας, εμφανίστηκε αυτός ο Ιαπωνικός Ransomware που βασίζεται στο Himouto! Umaru-chan manga. Τοποθετεί την επέκταση 干物妹!στα κρυπτογραφημένα αρχεία αλλά δεν αφήνει Ransom Note.



ΝΕΟΣ Ransomware - Saturn

To Σάββατο 17/2 εμφανίστηκε ο Saturn. 

Τοποθετεί την επέκταση .saturn στα κρυπτογραφημένα αρχεία, και αφήνει ένα αρχείο σε κάθε φάκελο του τύπου #KEY-xxxxxxxxxxxxxxxxxxx.KEY

Aν κάποιος επισκεφτεί το TOR site θα πρέπει να κάνει upload το .KEY αρχείο.

Μόλις γίνει αυτό εμφανίζονται οι πληροφορίες για την πληρωμή.


Ο εν λόγω Ransomware είναι ιδιαίτερα δραστήριος.

Όπως είπαμε, εμφανίστηκε πριν λίγες μέρες και προς το παρόν τον αναλύουμε για αδυναμίες.


Αυτά για τώρα.
Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.