21/12/18

Η Northwind Data Recovery επίσημo μέλος της Europol στο project NoMoreRansom

Η Northwind Data Recovery είναι και επίσημα μέλος πλέον της Europol στη μάχη κατα των hashtag#ransomware στο project hashtag#NoMoreRansom



Ευχαριστούμε θερμά και θα προσπαθήσουμε να κάνουμε όσα περισσότερα μπορούμε ωστε το 2019 να είναι ασφαλέστερο . 

hashtag#NeverPay, hashtag#λυτρα

17/12/18

Τα νέα των Ransomware, 17/12/2018

Παραδοσιακά, οι μέρες πριν από τα Χριστούγεννα είναι πάντα πιο ήσυχες στον τομέα των Ransomware, πιθανώς λόγω του γεγονότος ότι πολύς κόσμος μετακινείται για τις γιορτές και πολλές εταιρίες υπολειτουργούν.

Είχαμε νέα στελέχη Dharma και Scarab κλασικά, ενώ είχαμε και ανησυχητική εξέλιξη στον τομέα του Sextortion.

Ας τα δούμε αναλυτικά:

Sextortion tactics

Ανησυχητικές διαστάσεις παίρνει η τακτική του sextortion, μέσω τις οποίας οι κυβερνο-εκβιαστές αποκομίζουν μεγάλα χρηματικά ποσά.


Τι είναι το sextortion?


Το υποψήφιο θύμα λαμβάνει ένα email στο οποίο αναφέρεται ότι έχει πιαστεί επαυτοφόρω να παρακολουθεί ιστοσελίδες με πορνογραφικό περιεχόμενο (μερικές φορές αναφέρουν και παιδική πορνογραφία). Γίνεται λόγος για χρήση της κάμερας του Η/Υ του θύματος, μέσω της οποίας έχουν αποδεικτικά της ... "δράσης" του θύματος και απειλούν να δημοσιεύσουν φωτογραφίες του σε προσωπικές στιγμές την ώρα που παρακολουθούν το πορνογραφικό περιεχόμενο.
Φυσικά, τίποτα από αυτά δεν υφίσταται.


Τον τελευταίο καιρό έχει εξελιχθεί η τακτική τους και έχει γίνει εξυπνότερη. 
Στοχεύουν σε θύματα των οποίων το email και ο κωδικός του έχουν διαρρεύσει και αποστέλλουν το παρακάτω email.



To κείμενο είναι το εξής:

Hello!

I have very bad news for you.
09/08/2018 - On this day, I got access to your OS and gained complete control over your system. **@gmail.com
On this day your account **@gmail.com has password: XXXX

How I made it:

In the software of the router, through which you went online, was avulnerability.
I just got into the router and got root rights and put my malicious code on it. 
When you went online, my trojan was installed on the OS of your device.

After that, I made a full dump of your (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I'm talk you about sites for adults.

I want to say - you are a BIG pervert. Your fantasy is shifted far away from the nromal course!

And i got an idea....
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!

As proof of my words, I made a video presentation in Power Point.
And laid out in a private cloud, look You can copy the link below and paste it into the browser.

https://google.com/url?Q=[url here]

I'm know that you would like to show these screenshots to your friends, relatives or colleagues.
I think #381 is a very, very small amount for my silence.
Besides, I have been spying on your for so long, having spect a lot of time!

Πολλά, λοιπόν, από τα θύματα θα προσπαθήσουν να κατεβάσουν το βίντεο που αποτελεί "απόδειξη" των πράξεών τους, με αποτέλεσμα να επιμολυνθούν με δύο διαφορετικά κακόβουλα λογισμικά:

Αρχικά με τον Azorult, μέσω του οποίου -πραγματικά αυτή τη φορά- αποσπούν προσωπικά στοιχεία όπως συνθηματικά πρόσβασης, ιστορικά συνομιλιών κλπ,
και στη συνέχεια επιμολύνονται με GandCrab και κρυπτογραφούνται τα δεδομένα τους.


Άλλη μία απόδειξη ότι πρέπει να δείχνουμε μεγάλη προσοχή σε ποια λινκ πατάμε!

Νέος GlobeImposter - EQ

Toποθετεί την επέκταση .fuck. Όχι κάτι παραπάνω καινούργιο.


Νέος Gerber 

Mετά τους Gerber1, 3 & 5 που αναφέραμε την προηγούμενη εβδομάδα, είχαμε άλλον έναν αυτήν την εβδομάδα με τον .FJ7QvaR9VUmi


Νέος Dharma - Santa

Στο κλίμα των ημερών, νέος Dharma με επέκταση .santa. Τίποτα απολύτως το καινούργιο.




10/12/18

Τα νέα των Ransomware, 10/12/2018

Με μεγάλο ενδιαφέρον παρακολουθούμε τις εξελίξεις γύρω από το θόρυβο που έχει ξεσπάσει σχετικά με τους απατεώνες που ισχυρίζονται ότι μπορούν να λύσουν διάφορα στελέχη Ransomware όπως ο Dharma και απλώς έρχονται σε επικοινωνία με τους κακοποιούς/δημιουργούς του κακόβουλου λογισμικού και εισπράττουν την μεσιτεία.
Μόνο που, μετά και από επικοινωνία που είχαμε με τη Δίωξη Ηλεκτρονικού Εγκλήματος, κάτι τέτοιο είναι παράνομο και διώκεται ποινικά.

Φαίνεται, μάλιστα, ότι κάποιο πουλάκι κάνει tweet, αφού τα εντόπια πουλιά αλλάξαν τα κείμενά τους και τώρα παρουσιάζονται ως ειδήμονες. 

Κατά τ' άλλα, ένας κακογραμμένος Ransomware προκάλεσε χάος στην Κίνα, μολύνοντας περισσότερους από 100.000 Η/Υ. Ο δημιουργός του συνελήφθη μετά από λίγες ημέρες και ο Ransomware αποκρυπτογραφήθηκε επιτυχώς. 

Ας τα δούμε αναλυτικά:

Νέοι Dharma

Το πρώτο στέλεχος εμφανίστηκε πριν από μία εβδομάδα ακριβώς και τοποθετεί την επέκταση .RISK.

Το δεύτερο, την Πέμπτη και τοποθετεί την επέκταση .bkpx.

Δεν υπάρχει κάτι καινούργιο, πρόκειται απλά για άλλα δύο μέλη της (τεράστιας, πλέον) οικογένειας των Dharma.


YΠΕΝΘΥΜΙΖΟΥΜΕ,

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Εταιρία παριστάνει ότι κάνει πολλά, κάνει λίγα, βρίσκει μπελά

Ούτε και θα πρέπει να πέσετε στην παγίδα και να εμπιστευτείτε εταιρίες που παριστάνουν ότι μπορούν να αποκρυπτογραφήσουν ό,τι κινείται στην αγορά, καθώς θα πέσετε θύμα και δεύτερης απάτης και θα πλουτίσετε τους επιτήδειους.

Μια τέτοια "εταιρία" στη Ρωσία σύμφωνα με την Check Point, η οποία ονομάζεται Dr. Shifro παριστάνει πως έχει λύσεις για τον Dharma (και άλλους, άλυτους Ransomware), ενώ στην πραγματικότητα έκανε τον μεσολαβητή και εισέπραττε την διαφορά.

Το θέμα πήρε μεγάλες διαστάσεις, κάτι που μας κάνει εντύπωση, αφού ήταν/είναι πάγια τακτική ακόμα και δικών μας εγχώριων "ειδημόνων" που δεν έχουν κάνει Reverse Engineering στη ζωή τους.

Διώξεις και για τον SamSam

Eίχαμε αναφερθεί στο παρελθόν για το χτύπημα στην Ατλάντα των ΗΠΑ τον Μάρτιο του 2018 με Ransomware, επίθεση που είχε προκαλέσει χάος.

Είχαμε αναφερθεί και την προηγούμενη εβδομάδα για τον SamSam και τις ποινικές διώξεις που ασκήθηκαν εναντίον δύο Ιρανών με κατηγορία εμπλοκής τους στην δημιουργία και διασπορά του εν λόγω Ransomware.

Τώρα, διαβάζουμε:
A federal grand jury in Atlanta has returned an indictment charging Faramarz Shahi Savandi and Mohammed Mehdi Shah Mansouri with committing a sophisticated ransomware attack on the City of Atlanta in March 2018 in violation of the Computer Fraud and Abuse Act.

Χάος στην Κίνα με τον UNNAMED1989

Περισσότεροι από 100.000 Η/Υ μολύνθηκαν από έναν κυριολεκτικά αστείο Ransomware, ο οποίος ονομάζεται UNNAMED1989.


Είναι αστείο, γιατί παρά τον τόσο αγώνα που δίνεται καθημερινά από εταιρίες CyberSecurity προκειμένου να μπει τέλος στους Ransomware, τελικά ακόμα και ένας κακογραμμένος Ransomware μπορεί να προκαλέσει χάος.
Ο εν λόγω, ζητούσε πληρωμή μέσω WeChat (!). Εικάζεται ότι ο δημιουργός του χρησιμοποιούσε ένα μέσο κοινωνικής δικτύωσης της Κίνας με την επωνυμία Douban προκειμένου να δελεάσει τα θύματά του προκειμένου να χρησιμοποιήσουν μία δημοφιλή εφαρμογή μέσω της οποίας μπορεί κάποιος να χρησιμοποιεί περισσότερους από έναν λογαριασμούς κοινωνικής δικτύωσης ταυτόχρονα. Μόνο που, η εφαρμογή ήταν παγιδευμένη.
Σε έρευνα που έγινε, βρέθηκαν περισσότεροι από 20.000 κωδικοί λογαριασμών από εφαρμογές δημοφιλείς στην Κίνα όπως το Baidu, το QQ, το Alipay κλπ.

Λίγες μόνο ώρες μετά την κυκλοφορία του, κυκλοφόρησε εφαρμογή αποκρυπτογράφησης από την Tencent και την Velvet, ενώ ο δημιουργός του εντοπίστηκε αφού είχε δηλώσει στην καταχώρηση της εφαρμογής το όνομά του, το τηλέφωνό του και τη διεύθυνσή του (...). Εδώ που τα λέμε δεν άφησε και τίποτα στη φαντασία...
Φυσικά, συνελήφθη από τις αρχές.

Νέος Ransomware - Israbye

Τίποτα το ιδιαίτερο.
Δείτε τον εδώ σε δράση σε ένα βίντεο της Cyber Security.


3/12/18

Τα νέα των Ransomware, 3/12/2018

Eίχαμε ιστορίες με τον SamSam την προηγούμενη εβδομάδα. Μία ομάδα Ιρανών χάκερ κατηγορούνται ότι βρίσκονται πίσω του και στην Αμερική τους ψάχνουν να τους βρουν. Διαβάστε αναλυτικά παρακάτω.

Είχαμε χαμό με Dharma και Scarab, είχαμε και πολλά μικρότερα στελέχη.


Ας τα δούμε αναλυτικά:



Νέοι Dharma

Κι άλλα νέα στελέχη εμφανίστηκαν την προηγούμενη εβδομάδα.

Την Δευτέρα εμφανίστηκε ο .myjob. Δεν αλλάζει απολύτως τίποτα στον τρόπο λειτουργίας. 
Δύο μέρες αργότερα, ανακαλύφθηκε και ο WAR ο οποίος τοποθετεί την επέκταση .[cyberwars@qq.com].war στα κρυπτογραφημένα αρχεία.



Και την Παρασκευή, είχαμε και τον .risk.
Και για τους 3, δεν αλλάζει απολύτως τίποτα στο κομμάτι της κρυπτογράφησης.
ΠΡΟΣΟΧΗ ΟΜΩΣ.

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.


Με μεγάλη μας λύπη διαπιστώνουμε ότι η λαίλαπα εξαπλώθηκε και στη χώρα μας με "κάποιους" να ισχυρίζονται ότι μπορούν να λύσουν τον Dharma και μάλιστα με ... εξπρες διαδικασίες και προνομιακό κόστος, 3000-6000 ευρώ (...) (!!!!).

Γελάμε και κλαίμε ταυτόχρονα.



ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Nέοι Scarab

O πρώτος μας έκανε την εμφάνισή του το βράδυ της Τετάρτης. Τοποθετεί την επέκταση .lolita.
Ο δεύτερος εντοπίστηκε τα ξημερώματα της επόμενης, τοποθετεί την επέκταση .stevenseagal@airmail.cc.


Το βράδυ της 28/11 εντοπίστηκε και τρίτος, τοποθετεί την επέκταση .online24files@airmail.cc.



Nέος Ransomware - Enybeny Nuclear

Μάλλον είναι υπό κατασκευή. Υποτίθεται ότι θα έπρεπε να τοποθετεί επεκτάση (την .PERSONAL_ID:.Nuclear) στα κρυπτογραφημένα αρχεία, αλλά στον κώδικα έχουν βάλει Invalid characters (συγκεκριμένα, τον ':') και δεν λειτουργεί.
Από αυτό που είδαμε, ακόμα και να λειτουργούσε θα μπορούσαμε να τον σπάσουμε.

Δείτε το σε δράση εδώ από βίντεο της CyberSecurity:


Νέος Ransomware - GarrantyDecrypt

Πέρα από τα άπειρα ορθογραφικά στον κώδικα, τίποτα απολύτως το καινούργιο...


Νέος Εverbe

Mία νέα έκδοση του Everbe 2.0 εντόπισε ο Michael Gillespie, τοποθετεί την επέκταση .lightning.