1/10/18

Τα νέα των Ransomware, 1/10/18

Ήταν μία εβδομάδα με λίγα νέα στελέχη σε σχέση με τις προηγούμενες. Οι επιτήδειοι πλέον μοιάζουν να στοχεύουν σε συγκεκριμένους στόχους, μέσω εκτεθιμένων υπηρεσιών απομακρυσμένης πρόσβασης (Remote Desktop).

Είχαμε νέο GandCrab ο οποίος εκμεταλλεύεται γνωστή ευπάθεια των Windows. ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ.

To πιο ενδιαφέρον νέο της εβδομάδας ήταν η ανακοίνωση του IC3 (Internet Crime Complaint Center - Κέντρο Αναφοράς Διαδικτυακού Εγκλήματος) του FBI σχετικά με τις εκτεθειμένες υπηρεσίες απομακρυσμένης πρόσβασης.


Ας τα δούμε αναλυτικά:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA -- ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ

Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 1 μήνα ο Dharma (2 μήνες, πλέον), ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena (έχουν προστεθεί κι άλλα)

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.
Μας έχουν προσεγγίσει από τουλάχιστον 4 διαφορετικές μεριές την τελευταία εβδομάδα μόνο. Φυσικά τους καταγγείλαμε στις αρχές.

Ένα παράδειγμα:





Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY.

Για την ιστορία, οι παραπάνω "experts" μας κοστολόγησαν τη "δουλειά" τους 2800-3400 ευρώ, όσο περίπου δηλαδή κοστίζει και η παροχή του κλειδιού από τους δημιουργούς.

Νέος GandCrab, v5

Δυστυχώς, είχαμε επανεμφάνιση του GandCrab. Η ρουτίνα κρυπτογράφησης έχει τη διαφορά ότι τώρα πλέον τοποθετεί τυχαία επέκταση στα αρχεία (μήκους 5 χαρακτήρων), ενώ και το ransom note είναι πλέον σε μορφή HTML.


ΣΗΜΑΝΤΙΚΟ UPDATE 29/9::: Ο GandCrab v5 μοιάζει τελικά να εκμεταλλεύεται τη γνωστή ευπάθεια Task Scheduler ALPC (η οποία στοχεύει στο GoogleUpdate). Η ευπάθεια