Αποκρυπτογραφήσαμε και τον Everbe! ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!
Κατά τ' άλλα, κυρίως μικρά νέα στελέχη είχαμε αυτήν την εβδομάδα, με κάποια να παρουσιάζουν ενδιαφέρον σχετικά με τον τρόπο διασποράς τους.
Ας τα δούμε αναλυτικά:
Νέος Ransomware - Donut -- MH ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!
Αυτός τοποθετεί την επέκταση .donut στα κρυπτογραφημένα αρχεία και εμφανίζει το ακόλουθο Ransom Note. ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ - ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!
Νέα έκδοση του Paradise Ransomware
Νέος RotorCrypt
Ο RotorCrypt είναι εκεί έξω και συνεχίζει να διασπείρεται (αρκετά θύματα και στην Ελλάδα). Αυτή η νέα έκδοση δεν έχει κάτι το συνταρακτικό, εκτός από αυτήν την εξαιρετικά ενοχλητικά κατάληξη που χρησιμοποιεί για τα κρυπτογραφημένα αρχεία: !@#$%______<email>_____%$#@.mail
ΠΟΛΥ ΚΑΛΑ ΝΕΑ, ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΑΜΕ ΤΟΝ SCARAB!
Στα καλά νέα, καταφέραμε και αποκρυπτογραφήσαμε έναν μεγάλο αριθμό παραλλαγών του Scarab Ransomware :-)
Μέσα σε αυτές είναι οι επεκτάσεις .scarab, .scorpio αλλά και πολλές άλλες.
ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!!
Μέσα σε αυτές είναι οι επεκτάσεις .scarab, .scorpio αλλά και πολλές άλλες.
ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!!
Νέος Xorist με εύκολη επέκταση
Εντοπίστηκε ένας νέος Xorist που χρησιμοποιεί αυτήν εύκολη επέκταση στα κρυπτογραφημένα αρχεία .......PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_YOU_NEED_TO_PURCHASE_THE_DECRYPTOR_FROM_US_FAST_AND_URGENT.
Πάλι Scarab!
Λίγες ώρες μετά την επιτυχία της αποκρυπτογράφησης του Scarab, εμφανίστηκαν τρία νέα στελέχη, που χρησιμοποιούν τις επεκτάσεις .fastrecovery@airmail.cc και .leen και αφήνει Ransom note που λέγεται Recover-files-xmail@cock.li.txt, How to recover encrypted files-fastrecovery@airmail.cc.txt και INSTRUCTIONS FOR RESTORING FILES.TXT αντίστοιχα.
Ψάχνουμε για δείγματα από αυτά τα νέα στελέχη για να δούμε αν η μέθοδος μας λειτουργεί και σε αυτά.
Αν κάποιος έχει μολυνθεί από αυτά, παρακαλούμε να έρθει σε επικοινωνία μαζί μας.
Αν κάποιος έχει μολυνθεί από αυτά, παρακαλούμε να έρθει σε επικοινωνία μαζί μας.
Nέος Satan - DBGer
Oι δημιουργοί του Satan άλλαξαν το "προϊόν" τους σε DBGer και χρησιμοποιούν EternalBlue και Mimikats για τη διασπορά στο δίκτυο.
Oι δημιουργοί του Satan άλλαξαν το "προϊόν" τους σε DBGer και χρησιμοποιούν EternalBlue και Mimikats για τη διασπορά στο δίκτυο.
Κι άλλοι RotorCrypt
Eπιπρόσθετα με τα προηγούμενα, βρήκαμε και άλλα δύο στελέχη RotorCrypt αυτήν την εβδομάδα. Χρησιμοποιούν τις επεκτάσεις !@!@!@_contact mail___boroznsalyuda@gmail.com___!@!@.psd και !@#$_____ISKANDER@TUTAMAIL.COM_____$#@!.RAR στα κρυπτογραφημένα αρχεία.
Eπιπρόσθετα με τα προηγούμενα, βρήκαμε και άλλα δύο στελέχη RotorCrypt αυτήν την εβδομάδα. Χρησιμοποιούν τις επεκτάσεις !@!@!@_contact mail___boroznsalyuda@gmail.com___!@!@.psd και !@#$_____ISKANDER@TUTAMAIL.COM_____$#@!.RAR στα κρυπτογραφημένα αρχεία.
Κι άλλα καλά νέα, βρήκαμε λύση και για τον Everbe!!
Είχαμε αναφερθεί πριν από 2 εβδομάδες στους PainKiller και Embrace και λέγαμε ότι μοιάζουν να είναι στελέχη του Everbe.
Τελικά αποδείχτηκε πως όχι μόνο ήταν, αλλά μπορέσαμε να τους αποκρυπτογραφήσουμε κιόλας!
Επιμολύνσεις με τις καταλήξεις .pain, .embrace και [everbe@airmail.cc].everbe να έρθουν σε επικοινωνία μαζί μας! ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!
Τελικά αποδείχτηκε πως όχι μόνο ήταν, αλλά μπορέσαμε να τους αποκρυπτογραφήσουμε κιόλας!
Επιμολύνσεις με τις καταλήξεις .pain, .embrace και [everbe@airmail.cc].everbe να έρθουν σε επικοινωνία μαζί μας! ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!
Αυτά για τώρα.
Καλή εβδομάδα σε όλους!
Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
Καλή εβδομάδα σε όλους!
Ευχαριστούμε την BleepingComputer για την παροχή υλικού.