Na υπενθυμίσουμε, συνοπτικά, ότι το Ransomware δεν έχει καθόλου εξαλείψει. Είναι εκεί έξω με πολλές τυφλές και στοχευμένες επιθέσεις.
Μείνετε προστατευμένοι. Βεβαιωθείτε ότι τα αντίγραφα ασφαλείας σας είναι έγκυρα, ότι οι υπηρεσίες RDP που χρησιμοποιείτε είναι ασφαλείς, ότι δεν ανοίγετε επισυναπτόμενα από αυτούς που δεν γνωρίζετε και εγκαταστείτε τα updates από τα λογισμικά που χρησιμοποιείτε.
Ας τα δούμε αναλυτικά:
Νέοι Dharma
Δύο νέα στελέχη εμφανίστηκαν την προηγούμενη εβδομάδα, τοποθετεί τις καταλήξεις .fire και .shhh
Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.
Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.
Με μεγάλη μας λύπη διαπιστώνουμε ότι η λαίλαπα εξαπλώθηκε και στη χώρα μας με "κάποιους" να ισχυρίζονται ότι μπορούν να λύσουν τον Dharma και μάλιστα με ... εξπρες διαδικασίες και προνομιακό κόστος, 3000-6000 ευρώ (...) (!!!!).
Γελάμε και κλαίμε ταυτόχρονα.
ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.
Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:
1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση.
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.
Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.
Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.
Γελάμε και κλαίμε ταυτόχρονα.
Με μεγάλη μας λύπη διαπιστώνουμε ότι η λαίλαπα εξαπλώθηκε και στη χώρα μας με "κάποιους" να ισχυρίζονται ότι μπορούν να λύσουν τον Dharma και μάλιστα με ... εξπρες διαδικασίες και προνομιακό κόστος, 3000-6000 ευρώ (...) (!!!!).
Γελάμε και κλαίμε ταυτόχρονα.
Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:
1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση.
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.
Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.
Nέος STOP Ransomware - INFOWAIT
Toποθετεί την επέκταση .INFOWAIT.
Δείτε το εδώ σε δράση:
https://app.any.run/tasks/5256ec09-df0c-4949-8888-13df86199219
Δείτε το εδώ σε δράση:
https://app.any.run/tasks/5256ec09-df0c-4949-8888-13df86199219
Ο Aurora λέει αλήθειες και ψέματα...
Μεγάλη δραστηριότητα παρουσίασε ο Aurora τις τελευταίες μέρες.
Παραθέτουμε το Ransom Note:
H αλήθεια είναι αυτή για περιπτώσεις όπως ο Dharma, όπου "συνάδελφοι" κάνουν ακριβώς αυτό που περιγράφουν. Οπότε προσέξτε με ποιους συνεργάζεστε.
Το ψέμα που λένε οι κύριοι παραπάνω στο Ransom Note είναι ότι μόνο αυτοί μπορούν να αποκρυπτογραφήσουν τον συγκεκριμένο Ransomware, καθώς ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ για τον Aurora/Zorro και μπορούμε να τον αποκρυπτογραφήσουμε.
Αυτό που δεν μπορούμε να διανοηθούμε είναι ότι ενώ υπάρχει διαθέσιμη λύση, ρίχνοντας μια ματιά στο bitcoin wallet των κακοποιών, διαπιστώνουμε ότι από τις αρχές του Οκτώβρη μέχρι σήμερα έχει δεχθεί 109 πληρωμές.
Δείτε εδώ
https://www.blockchain.com/btc/address/18sj1xr86c3YHK44Mj2AXAycEsT2QLUFac
Μεγάλη δραστηριότητα παρουσίασε ο Aurora τις τελευταίες μέρες.
Παραθέτουμε το Ransom Note:
Παραθέτουμε το Ransom Note:
H αλήθεια είναι αυτή για περιπτώσεις όπως ο Dharma, όπου "συνάδελφοι" κάνουν ακριβώς αυτό που περιγράφουν. Οπότε προσέξτε με ποιους συνεργάζεστε.
Το ψέμα που λένε οι κύριοι παραπάνω στο Ransom Note είναι ότι μόνο αυτοί μπορούν να αποκρυπτογραφήσουν τον συγκεκριμένο Ransomware, καθώς ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ για τον Aurora/Zorro και μπορούμε να τον αποκρυπτογραφήσουμε.
Αυτό που δεν μπορούμε να διανοηθούμε είναι ότι ενώ υπάρχει διαθέσιμη λύση, ρίχνοντας μια ματιά στο bitcoin wallet των κακοποιών, διαπιστώνουμε ότι από τις αρχές του Οκτώβρη μέχρι σήμερα έχει δεχθεί 109 πληρωμές.
Δείτε εδώ
https://www.blockchain.com/btc/address/18sj1xr86c3YHK44Mj2AXAycEsT2QLUFacΝέος Ransomware - Vapor
Xρησιμοποιούν gmail ως μέσο επικοινωνίας με τα θύματα (!!!). Ισχυρίζονται ότι διαγράφουν δεδομένα όταν λήξει ο χρόνος, όμως το δείγμα που εξετάσαμε δεν έκανε κάτι τέτοιο. Τοποθετεί την επέκταση .VAPOR.
Έχει θεματάκια με τον κώδικα, το κοιτάμε.
Έχει θεματάκια με τον κώδικα, το κοιτάμε.
Νέος Ransomware - EnybenyHorsuke
Nέος Ryuk
Mία νέα έκδοση του RYUK εμφανίστηκε το Σάββατο που μας πέρασε.
Αφήνει Ransom Note με την ονομασία
RyukReadMe.txt και μπορείτε να τον δείτε σε δράση εδώ:
https://app.any.run/tasks/e42ec8f0-ff3f-41e1-84d7-1eb1c2bf0cce
Mία νέα έκδοση του RYUK εμφανίστηκε το Σάββατο που μας πέρασε.
Αφήνει Ransom Note με την ονομασία
RyukReadMe.txt και μπορείτε να τον δείτε σε δράση εδώ:
https://app.any.run/tasks/e42ec8f0-ff3f-41e1-84d7-1eb1c2bf0cceΑφήνει Ransom Note με την ονομασία
RyukReadMe.txt και μπορείτε να τον δείτε σε δράση εδώ:
Νέος Scarab - CRYPTO
Ένας νέος Scarab μας εμφανίστηκε, που τοποθετεί την επέκταση .CRYPTO και αφήνει Ransom Note HOW TO RECOVER YOUR ENCRYPTED FILES.TXT.
Με βάση το γεγονός ότι είμαστε από τις μοναδικές εταιρίες στον κόσμο που έχουμε βρει λύση για πολλά από τα στελέχη του Scarab, ελπίζουμε ότι το ίδιο θα γίνει και με αυτόν.
Το κοιτάμε.
Με βάση το γεγονός ότι είμαστε από τις μοναδικές εταιρίες στον κόσμο που έχουμε βρει λύση για πολλά από τα στελέχη του Scarab, ελπίζουμε ότι το ίδιο θα γίνει και με αυτόν.
Το κοιτάμε.
Nέος Ransomware - DelphiMorix
Eίναι παραλλαγή του InducVirus. Το έχει αναλάβει ο Michael Gillespie και λεει ότι θα τον έχει αποκρυπτογραφήσει μέσα στις επόμενες ημέρες, οπότε καλά νέα για όλους!
Κι άλλος STOP
Κάποιος μάλλον τον θυμήθηκε αυτήν την εβδομάδα. Το δεύτερο στέλεχος που εμφανίζεται μέσα σε λίγες μέρες ονομάζεται PUMA και αφήνει Ransom Note με την ονομασία !readme.txt
Nέος Ransomware - EverBe
Τοποθετεί την επέκταση [email].neverdies@tutanota.com.
Nέος RAPID - Nano
Toποθετεί την επέκταση .Nano.
Στο HybridAnalysis του δίνει 100% malicious score!
Προσοχή!
Στο HybridAnalysis του δίνει 100% malicious score!
Προσοχή!
Κάτι ξεκαρδιστικό για το τέλος
Οι θεούληδες του DelphiMorix που γράφαμε παραπάνω, κυκλοφόρησαν και ένα ακόμα στέλεχος, το οποίο τρολάρει τους malware hunters, αφού τοποθετεί την επέκταση .malwarehunterteam.
Πρόκειται προφανώς για τρολιά, αφού ζητάει 1 εκατομμύριο Bitcoin (παρά μισό) το οποίο ισοδυναμεί με περίπου 4.5 δις δολάρια (και όχι 9999999999999999999 τρις όπως λένε).
Φυσικά, μόλις κάποιος πατήσει DECRYPT, του λέει ότι δεν έβαλε το σωστό κλειδί, και αν ξαναπατήσει, του δίνει συγχαρητήρια για την εισαγωγή του σωστού κλειδιού.
Μπορεί να πρόκειται για κάτι που είναι υπό κατασκευή, ή για αστείο κάποιου προφανώς.
Πρόκειται προφανώς για τρολιά, αφού ζητάει 1 εκατομμύριο Bitcoin (παρά μισό) το οποίο ισοδυναμεί με περίπου 4.5 δις δολάρια (και όχι 9999999999999999999 τρις όπως λένε).
Φυσικά, μόλις κάποιος πατήσει DECRYPT, του λέει ότι δεν έβαλε το σωστό κλειδί, και αν ξαναπατήσει, του δίνει συγχαρητήρια για την εισαγωγή του σωστού κλειδιού.
Μπορεί να πρόκειται για κάτι που είναι υπό κατασκευή, ή για αστείο κάποιου προφανώς.
Αυτά για τώρα! Καλή εβδομάδα σε όλους!
Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
Ευχαριστούμε την BleepingComputer για την παροχή υλικού.