Τα νέα των Ransomware, 30/4/2018

Δραστήρια η εβδομάδα που πέρασε, με αρκετό ενδιαφέρον. Είχαμε μεγάλη επίθεση σε σέρβερ κυβερνητικών οργανισμών των εξωτερικού με τον VevoLocker, μεγάλης έκτασης επιμόλυνση διάφορων ιστοσελίδων στο Πακιστάν και πολλά μικρά νέα αλλά δραστήρια στελέχη.

Ας τα δούμε αναλυτικά:

Νέος Ransomware - BlackHeart

Tοποθετεί την επέκταση .pay2me ή .BlackRouter στα κρυπτογραφημένα αρχεία. Μοιάζει να βασίζεται στον Spartacus, ενώ ο δημιουργός του είναι μεγάλος φαν του Star Wars.

Επίθεση στην ιστοσελίδα της διοίκησης της επαρχίας P.E.I.

Δεν είναι αστείο, σύμφωνα με τον Guardian, η ιστοσελίδα της διοίκησης της επαρχίας του Prince Edward Island χτυπήθηκε από Ransomware.
Τώρα αναρωτιέστε πού στο καλό είναι αυτό, πρόκειται για ένα

Τα νέα των Ransomware, 23/4/2018

Για αυτήν την εβδομάδα είχαμε μερικά μικρά στελέχη και αρκετά ενδιαφέροντα νέα. Εϊχαμε εργαζόμενο της Microsoft να κατηγορείται ότι εμπλέκεται με το Reveton Ransomware, είχαμε έξαρση του GandCrab το οποίο τώρα διασπείρει ο Magnitude και έναν Ransomware που προσπαθεί να βγάλει χρήματα μέσω των προσφύγων της Συρίας (!).

Ας τα δούμε αναλυτικά:

Μηχανικός της Microsoft κατηγορείται για τον Reveton

Ένας μηχανικός δικτύων της Microsoft, ο Raymond Uadiale, 41 ετών, κατηγορείται για συμμετοχή στον Reveton. 

O Reveton είναι ένας αρχαίος Ransomware, που εμφανίστηκε το 2013 και στην πραγματικότητα δεν κρυπτογραφούσε αλλά κλείδωνε τον Η/Υ και ζητούσε λύτρα.
Μάλιστα, επειδή το Bitcoin τότε δεν ήταν ακόμα διαδεδoμένο, τα λύτρα έπρεπε να πληρωθούν μέσω MoneyPak.

Ο Uadiale κατηγορείται ότι ξέπλενε τα χρήματα από αυτές τις συναλλαγές, στέλνοντάς τα στον συνεργό του (και δημιουργό του Reveton) στην Αγγλία. 

Υπολογίζεται ότι ξέπλυνε περισσότερα από $130.000 χωρίς να υπολογίζεται μέσα σε αυτά το ποσοστό του το οποίο κρατούσε, και ήταν το 30%.

Αν καταδικαστεί, ο Uadiale αντιμετωπίζει ποινή φυλάκισης έως 20 χρόνια και $500.000 χρηματική ποινή.

Νέος Ransomware εκμεταλλεύεται τον πόλεμο στη Συρία (!)

Ονομάζεται RansSIRIA και είναι παραλλαγή του WannaPeace Ransomware.
Στοχεύει θύματα στη Βραζιλία.

Μετά την κρυπτογράφηση, εμφανίζει αυτό το παράθυρο:

Το οποίο περιέχει ένα αντιπολεμικό μήνυμα το οποίο σε μετάφραση στα αγγλικά είναι:

Sorry, your files have been locked

Please introduce us as Anonymous, and Anonymous only.
We are an idea. An idea that can not be contained, pursued or imprisoned.
Thousands of human beings are now ruled, wounded, hungry and suffering ...
All as victims of a war that is not even theirs !!!
But unfortunately only words will not change the situation of these human beings ...
We DO NOT want your files or you harm them ... we only want a small contribution ...
Remember .. by contributing you will not only be recovering your files ...
... but helping to restore the dignity of these victims ...

Contribute your contribution from only: Litecoins to wallet / address below.

Στη συνέχεια εμφανίζει μια σειρά φωτογραφιών που απεικονίζουν τη φρίκη του πολέμου, καθώς και ένα βίντεο από το YouTube που δείχνει τις επιπτώσεις του πολέμου σε ένα παιδί.
Παρεμπιπτόντως, αν και γνωρίζουμε ότι αυτό είναι ένα κείμενο για τους Ransomware, το εν λόγω βίντεο αξίζει κάποιος να το δει και το μήνυμά του είναι πολύ δυνατό. Είναι αυτό:

Κανείς δεν αρνείται ότι αυτό που συμβαίνει στη Συρία είναι φρικτό και η τραγωδία είναι απερίγραπτη. Όμως, οι δημιουργοί του εν λόγω Ransomware δεν μπορούν, δεν θέλουν και δεν βοηθάνε με κανέναν τρόπο τους πρόσφυγες ή τα θύματα πολέμου της Συρίας, και προσπαθούν να βγάλουν χρήματα ποντάροντας στην ευαισθησία των θυμάτων τους, και εκμεταλλευόμενοι τον πόνο των άλλων, κάτι που το κάνει ακόμα χειρότερο. Just sayin'.

Nέος Xiaoba - καταστροφέας...

Η Trend Micro ανακοίνωσε ότι ανακάλυψε έναν νέο Xiaoba ο οποίος αν και δεν είναι πλέον Ransomware αλλά προσπαθεί να κάνει mining για κρυπτονομίσματα, καταστρέφει τα αρχεία του Η/Υ και το ίδιο το λειτουργικό σύστημα.
Δεν το ήθελαν, μάλλον, αλλά κατάφεραν να γράψουν κώδικα με τόσα λάθη που τελικά αυτό που ήθελαν ΔΕΝ γίνεται.

Τα νέα των Ransomware, 16/4/2018

Για αυτήν την εβδομάδα είχαμε έξαρση του Matrix με δύο νέα στελέχη τα οποία θερίζουν. Είχαμε ήδη αρκετές αναφορές για θύματα και στην Ελλάδα. ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!

Ta μεγάλα νέα αφορούν την προσθήκη προστασίας κατά των Ransomware στα Windows 10 από τη Microsoft.

Κατά τ' άλλα, κυριώς νέα στελέχη από ήδη υπάρχοντα Ransomware για αυτήν την εβδομάδα. Εϊχαμε και το αστείο PUBG Ransomware, το οποίο αναγκάζει τα θύματά του να παίξουν ένα παιχνίδι για να τους δώσει κλειδί αποκρυπτογράφησης... 

Ας τα δούμε αναλυτικά:

Δύο νέα στελέχη του Matrix θερίζουν -- ΘΥΜΑΤΑ ΚΑΙ ΣΤΗΝ ΕΛΛΑΔΑ

Δύο νέα στελέχη έκαναν την εμφάνισή τους την προηγούμενη εβδομάδα. Παρατηρούμε αυξημένη δραστηριότητά τους και είχαμε ήδη και πολλές αναφορές για θύματα και στη χώρα μας.

Το πρώτο στέλεχος χρησιμοποιεί την επέκταση [Files4463@tuta.io] και random χαρακτήρες στο όνομα αρχείου. Τα κρυπτογραφημένα αρχεία γίνονται κάπως έτσι:
DCIM5209.jpg --> otrN4jg830vgC-JUDKjghe.[FILES4463@tuta.io].

To δεύτερο στέλεχος λειτουργεί με παρόμοιο τρόπο, όμως είναι πιο advanced. Toποθετεί την επέκταση [RestorFile@tutanota.com] και μόλις ολοκληρώσει την κρυπτογράφηση, κρυπτογραφεί ΚΑΙ τον κενό χώρο του δίσκου, γεμίζοντάς τον και δημιουργώντας περισσότερα προβλήματα αφού ουσιαστικά αποκλείει τη χρήση λογισμικών ανάκτησης για διαγραμμένα αρχεία.  

Η επιμόλυνση γίνεται μέσω Remote Desktop και μέχρι αυτή τη στιγμή η αποκρυπτογράφηση είναι δυστυχώς αδύνατη.

Nέος Ransomware - Horros

Πρόκειται για νέο εύρημα. Τον αναλύουμε προς το παρόν.

Update: ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!

Νέος Ransomware - Dcrtr

Mία κακογραμμένη σαβούρα, ο dcrtr εμφανίστηκε αυτήν την εβδομάδα. Είναι τόσο κακογραμμένος, που κατά τη διάρκεια της κρυπτογράφησης, το σύστημα κρεμάει. Το ποσό των λύτρων εξαρτάται από την ταχύτητα με την οποία τα θύματα θα επικοινωνήσουν με τον εισβολέα (!). 

Ο PUBG θέλει παιχνιδάκια...

Ο PUBG, που είναι τα αρχικά του Player's Unknown BattleGround, ζητάει από τα θύματά του

Τα νέα των Ransomware, 9/4/2018

Εξαιρετικά καλή θα χαρακτηρίζαμε την εβδομάδα που μας πέρασε, αφού βρήκαμε λύσεις για πολλούς Ransomware :-)

Στα άλλα ενδιαφέροντα νέα, η Microsoft πρόσθεσε λειτουργία ανίχνευσης και αποτροπής Ransomware στο Office 365.

Κατά τ' άλλα, είχαμε κυρίως μικρά νέα στελέχη. 

Ας τα δούμε αναλυτικά:

Η Μicrosoft παίρνει anti-ransomware μέτρα

Ένα πολύ ενδιαφέρον feature φαίνεται πως ενσωματώνει η Microsoft στη σουίτα Office365. Ονομάζεται File Restore και με τη βοήθεια του OneDrive, θα επιτρέπει στους χρήστες να πηγαίνουν πίσω μέχρι και 30 μέρες και να αποκαθιστούν μολυσμένα/κρυπτογραφημένα αρχεία με παλιότερες εκδόσεις τους.



Το Office365 ειδοποιεί τους χρήστες επίσης για τον εντοπισμό δραστηριότητας Ransomware, όπως φαίνεται από την παρακάτω εικόνα.

Η ανακοίνωση της Μicrosoft εδώ.

Nέος νόμος στο Michigan απαγορεύει την κατοχή Ransomware

O Kυβερνήτης του Michigan, Rick Snyder υπέγραψε δύο νέους νόμους που ποινοκοποιούν την κατοχή και διασπορά Ransomware, με ποινή φυλάκισης 3 ετών για τους παραβάτες. Όλος ο νόμος εδώ.

Λύση για τον WhiteRose!

Είχαμε γράψει για αυτόν την προηγούμενη εβδομάδα.
Εμφανίστηκε πριν δύο εβδομάδες, τροποποιεί τα ονόματα αρχείων σε αυτό το μοτίβο [random-random-random]_encrypted_by.whiterose και είναι βασισμένος στον InfiniteTear.

Toποθετεί την επέκταση .WHITEROSE και αλλάζει τα ονόματα αρχείων με τυχαίους χαρακτήρες. Εν τω μεταξύ γράφει και κάτι περίεργα στο Ransom Note (τα ψυχοφαρμακάκια, εντάξει?)

ΒΡΗΚΑΜΕ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ! 

Λύση για τον Magniber!

O Magniber, που θεωρήθηκε ο διάδοχος του Cerber και είχε ως μέθοδο διασποράς τον Magnitude (εξ ου και το όνομα), μοιάζει να αποτελεί παρελθόν.
Εκμεταλλευόμενοι ένα κενό στη ρουτίνα κρυπτογράφησης,

Τα νέα των Ransomware, 2/4/2018

Κυρίως μικρά στελέχη για αυτήν την εβδομάδα. Είχαμε ένα νέο Cryptomix, ένα wiper που ονομάζεται UselessDisk και μεταμφιέζεται σε Ransomware και μία εντελώς περίεργη είδηση (?) ότι η Boeing μολύνθηκε από τον WannaCry. 

Ας τα δούμε αναλυτικά:

Ο UselessDisk (ή αλλιώς Diskwriter) είναι wiper?

Ένας νέος bootlocker που ονομάζεται Diskwriter ή Uselessdisk, εμφανίστηκε στην αρχή της προηγούμενης εβδομάδας. Αυτός τροποποιεί το MBR (Master Boot Record), ώστε να εμφανίζει το παρακάτω Ransom Note όταν κάνει επανεκκίνηση  ο Η/Υ, και δεν μπαίνει στα Windows. Ζητάει $300 σε Bitcoins. Επειδή δεν βλέπουμε κανέναν απολύτως τρόπο να μπορεί να επανέρθει ο Η/Υ στην προηγούμενη κατάσταση, ακόμα και αν κάποιος πληρώσει τα λύτρα, τον θεωρούμε wiper. 

Αναστάτωση με την Boeing - μολύνθηκε από WannaCry?

Στα "τρελά" νέα της εβδομάδας, βγήκε η είδηση ότι η Boeing μολύνθηκε από τον WannaCry. Και λέμε "τρελή" γιατί ο WannaCry θεωρείται πλέον παλιά ιστορία και από το καλοκαίρι που μας πέρασε δεν έχει εμφανιστεί κανένα κρούσμα. 



Όλα ξεκίνησαν από ένα memo που έστειλε ο Mike VanderWel, επικεφαλής μηχανικός των αεροσκαφών Boeing, το οποίο σύμφωνα με την Seattle Times :

“It is metastasizing rapidly out of North Charleston and I just heard 777 (automated spar assembly tools) may have gone down,” VanderWel wrote, adding that he’s concerned the virus will hit equipment used in functional tests of airplanes ready to roll out and potentially “spread to airplane software.”

To πιο πιθανό πάντως είναι να πρόκειται για κάποιο από τα χιλιάδες Ransomware που εμφανίστηκαν και μιμούνται τον WannaCry. 

Αργότερα, στο twitter της Boeing εμφανίστηκε αυτό το Tweet:

Nέος Ransomware - EggLocker

Είναι υπό κατασκευή, δεν επηρεάζει τα ονόματα αρχείων -προς το παρόν μάλλον-