30/7/18

Τα νέα των Ransomware, 30/7/2018

Του ... Scarab το κάγκελο για αυτήν την εβδομάδα, με περισσότερα από 6 νέα στελέχη να κάνουν την εμφάνισή τους και να είναι ιδιαίτερα δραστήρια.
Όπως έχουμε πει πολλές φορές, η Northwind έχει βρει κάποια αδυναμία στα περισσότερα από αυτά τα στελέχη, και αν έχετε μολυνθεί, ελάτε σε επικοινωνία μαζί μας.


Κατά τ' άλλα, ενδιαφέρον είχε το χτύπημα με Ransomware στον κολοσσό Cosco, απάντηση σε όσους λένε ότι το Ransomware πέθανε.


Ας τα δούμε αναλυτικά:

NEOΣ GandCrab

Χωρίς καμία ιδιαίτερη αλλαγή σε σχέση με την προηγούμενη έκδοση, 4.2 απλώς προσθέτει μηνύματα ειρωνίας σε διάφορους security researchers.




Nέος Ransomware - Armage

Αυτός καταστρέφει τα εικονίδια του Windows Explorer και τοποθετεί την επέκταση .armage. Τίποτα το περισσότερο ενδιαφέρον.


Νέος Dharma

Toποθετεί την επέκταση .id.combo. Τίποτα το καινούργιο.


Νέος Jigsaw

Toποθετεί την επέκταση .black007. Κατά τα γνωστά, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ. 


Νέοι Scarab ....

Πρώτα εμφανίστηκε η παραλλαγή ΒΙΝ. Τοποθετεί την επέκταση .bin2 στα αρχεία και αφήνει πίσω του ένα Ransom Note με την ονομασία HOW TO RECOVER ENCRYPTED FILES.TXT.




Στη συνέχεια

21/7/18

Τα νέα των Ransomware, 23/7/2018

Eνδιαφέροντα νέα στον τομέα των Ransomware είχαμε για την προηγούμενη εβδομάδα, με σημαντικότερο τον NSB Screenlocker που αυτή τη στιγμή δεν ανιχνεύεται από κανένα antivirus.

Επίσης, μας κάνει εντύπωση καταρχήν ο νέος Scarab ο οποίος χρησιμοποιεί το email που χρησιμοποιεί και ο Dharma, όπως επίσης και το θράσος των δημιουργών του King Ouroboros Ransomware που επιτέθηκαν φραστικά στον Michael Gillespie στο Twitter.

Ας τα δούμε αναλυτικά:

NEOΣ Xorist

O Michael Gillespie εντόπισε ένα καινούργιο στέλεχος του Xorist που τοποθετεί την επέκταση .TaRoNiS.




Nέος Scarab - Deep

Εδώ έχουμε το εξής ενδιαφέρον: Το email που χρησιμοποιεί ο συγκεκριμένος Ransomware για την επικοινωνία με τα θύματά του, επίσης το είδαμε και σε ένα στέλεχος του Dharma. Φαίνεται ότι ο συγκεκριμένος κύριος το παίζει σε διπλό ταμπλό.


Δεν έχει όρια το θράσος

Oι δημιουργοί του King Ouroboros Ransomware επιτέθηκαν φραστικά στον Michael Gillespie και στην MalwareHunter επειδή κάποιο site χαρακτήρισε τον συγκεκριμένο Ransomware απάτη. Στο ίδιο σαιτ

10/7/18

Τα νέα των Ransomware 10/7/2018

Για την εβδομάδα που πέρασε, είχαμε δύο σημαντικά νέα, τη νέα έκδοση του Gandcrab (είναι η 4η έκδοση...) και τον Nozelesn, ο οποίος είχε μεγάλη έξαρση ξεκινώντας από την Πολωνία και εξαπλώθηκε και στην Αμερική. Προς το παρόν, δεν είχαμε κάποια αναφορά για θύμα στην Ελλάδα.

Ας τα δούμε αναλυτικά:

NEOΣ Ransomware - Whoopsie

Τίποτα το ιδιαίτερο.




Νέος Ransomware - Nozelesn

Μεγάλης έκτασης καμπάνια εξάπλωσης του συγκεκριμένου Ransomware ξέσπασε την προηγούμενη Τρίτη, αρχικά με θύματα στην Πολωνία και στη συνέχεια στην Αμερική. Δεν είχαμε προς το παρόν αναφορές για θύματα στην Ελλάδα.
Ο συγκεκριμένος είναι υπό ανάλυση, και θα ξέρουμε περισσότερα σύντομα.
Η διασπορά γίνεται μέσω ψεύτικων email που παριστάνουν ότι προέρχονται από μεγάλη εταιρία ταχυμεταφορών. ΠΡΟΣΟΧΗ σε όλους!




Νέος Ransomware - RaRansomware

Toποθετεί την επέκταση .KUAJW. MH ΠΛΗΡΩΣΕΤΕ ΤΑ  ΛΥΤΡΑ!!!



Νέος Scarab - Red

Άλλος ένας Scarab, προστίθεται στην ήδη τεράστια λίστα των παραλλαγών του συγκεκριμένου. Τοποθετεί την επέκταση .red.
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!!


2/7/18

Τα νέα των Ransomware, 2/7/2018

Μετά την εξαιρετικά καλή προηγούμενη εβδομάδα, όπου είχαμε επιτυχία αποκρυπτογραφώντας μία σειρά από εξαιρετικά ενεργούς Ransomware, συνεχίζουμε με τα καλά νέα, αυτή τη φορά με λύση για τον Thanatos Ransomware αλλά και γενικά γιατί ήταν μία πολύ πολύ ήσυχη εβδομάδα, κάτι που πάντα είναι καλό νέο.

Ας τα δούμε αναλυτικά:

NEOΣ RotorCrypt

O Michael Gillespie εντόπισε ένα καινούργιο στέλεχος του RotorCrypt, το οποίο δεν τοποθετεί επέκταση στα κρυπτογραφημένα αρχεία και αφήνει ένα Ransom Note με τίτλο HELP.



Αποκρυπτογραφήσαμε τον Thanatos!

Για τον Thanatos, είχαμε γράψει:
Παρά το ελληνικό του όνομα, μάλλον προέρχεται από τη Ρωσία. Το πρόβλημα είναι ότι ο Thanatos αποτελεί άλλο ένα παράδειγμα όπου οι δημιουργοί Ransomware βγάζουν στη φόρα επιμολύνσεις που δεν είναι επαρκώς δοκιμασμένες και έχουν τόσα bugs που είναι εξαιρετικά απίθανο έως αδύνατον να αποκρυπτογραφηθούν τα δεδομένα, ακόμα και αν το θύμα πληρώσει τα λύτρα.

Στην προκειμένη περίπτωση, ο Thanatos δημιουργεί ένα κλειδί για κάθε αρχείο ξεχωριστά (!). Το πρόβλημα είναι ότι αυτό το κλειδί δεν αποθηκεύεται κάπου. Επομένως, αν το θύμα πληρώσει τα λύτρα, ο επιτιθέμενος δεν έχει τρόπο να του αποκρυπτογραφήσει τα αρχεία...


Τα καλά νέα είναι ότι για συγκεκριμένους τύπους αρχείου και με δεδομένο ότι υπάρχει επάρκεια χρόνου, ίσως μπορούμε να σπάσουμε τον κωδικό για κάθε αρχείο με τη μέθοδο Brute Force.

Το άλλο ενδιαφέρον με τον συγκεκριμένο είναι ότι είναι ο πρώτος που δέχεται Bitcoin Cash ως πληρωμή.

Όπως και να έχει, όπως είπαμε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ καθώς δεν θα σας δώσουν κλειδί αποκρυπτογράφησης, πολύ απλά γιατί κλειδί αποκρυπτογράφησης δεν υπάρχει.


Ευτυχώς καταφέραμε και εκμεταλλευτήκαμε κάποια προβλήματα στην υλοποίηση του συγκεκριμένου Ransomware, και μπορούμε να τον αποκρυπτογραφήσουμε. 


Νέος Ransomware - BloodJaws

Τίποτα το ιδιαίτερο.



Νέος Ransomware - AnimusLocker

O Karsten Hahn εντόπισε αυτό, το οποίο σύμφωνα με τον ίδιο, επίσης δεν παρουσιάζει καμία απολύτως πρωτοτυπία.







Είτε το πιστεύετε είτε όχι, αυτά ήταν όλα τα νέα των Ransomware για την εβδομάδα που πέρασε!
Καλή εβδομάδα και καλό μήνα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.