Μόνο που, μετά και από επικοινωνία που είχαμε με τη Δίωξη Ηλεκτρονικού Εγκλήματος, κάτι τέτοιο είναι παράνομο και διώκεται ποινικά.
Φαίνεται, μάλιστα, ότι κάποιο πουλάκι κάνει tweet, αφού τα εντόπια πουλιά αλλάξαν τα κείμενά τους και τώρα παρουσιάζονται ως ειδήμονες.
Κατά τ' άλλα, ένας κακογραμμένος Ransomware προκάλεσε χάος στην Κίνα, μολύνοντας περισσότερους από 100.000 Η/Υ. Ο δημιουργός του συνελήφθη μετά από λίγες ημέρες και ο Ransomware αποκρυπτογραφήθηκε επιτυχώς.
Ας τα δούμε αναλυτικά:
Νέοι Dharma
Το πρώτο στέλεχος εμφανίστηκε πριν από μία εβδομάδα ακριβώς και τοποθετεί την επέκταση .RISK.
Το δεύτερο, την Πέμπτη και τοποθετεί την επέκταση .bkpx.
Δεν υπάρχει κάτι καινούργιο, πρόκειται απλά για άλλα δύο μέλη της (τεράστιας, πλέον) οικογένειας των Dharma.
YΠΕΝΘΥΜΙΖΟΥΜΕ,
Το δεύτερο, την Πέμπτη και τοποθετεί την επέκταση .bkpx.
Δεν υπάρχει κάτι καινούργιο, πρόκειται απλά για άλλα δύο μέλη της (τεράστιας, πλέον) οικογένειας των Dharma.
YΠΕΝΘΥΜΙΖΟΥΜΕ,
ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.
Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:
1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση.
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.
Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.
Εταιρία παριστάνει ότι κάνει πολλά, κάνει λίγα, βρίσκει μπελά
Ούτε και θα πρέπει να πέσετε στην παγίδα και να εμπιστευτείτε εταιρίες που παριστάνουν ότι μπορούν να αποκρυπτογραφήσουν ό,τι κινείται στην αγορά, καθώς θα πέσετε θύμα και δεύτερης απάτης και θα πλουτίσετε τους επιτήδειους.
Μια τέτοια "εταιρία" στη Ρωσία σύμφωνα με την Check Point, η οποία ονομάζεται Dr. Shifro παριστάνει πως έχει λύσεις για τον Dharma (και άλλους, άλυτους Ransomware), ενώ στην πραγματικότητα έκανε τον μεσολαβητή και εισέπραττε την διαφορά.
Το θέμα πήρε μεγάλες διαστάσεις, κάτι που μας κάνει εντύπωση, αφού ήταν/είναι πάγια τακτική ακόμα και δικών μας εγχώριων "ειδημόνων" που δεν έχουν κάνει Reverse Engineering στη ζωή τους.
Μια τέτοια "εταιρία" στη Ρωσία σύμφωνα με την Check Point, η οποία ονομάζεται Dr. Shifro παριστάνει πως έχει λύσεις για τον Dharma (και άλλους, άλυτους Ransomware), ενώ στην πραγματικότητα έκανε τον μεσολαβητή και εισέπραττε την διαφορά.
Το θέμα πήρε μεγάλες διαστάσεις, κάτι που μας κάνει εντύπωση, αφού ήταν/είναι πάγια τακτική ακόμα και δικών μας εγχώριων "ειδημόνων" που δεν έχουν κάνει Reverse Engineering στη ζωή τους.
Διώξεις και για τον SamSam
Eίχαμε αναφερθεί στο παρελθόν για το χτύπημα στην Ατλάντα των ΗΠΑ τον Μάρτιο του 2018 με Ransomware, επίθεση που είχε προκαλέσει χάος.
Είχαμε αναφερθεί και την προηγούμενη εβδομάδα για τον SamSam και τις ποινικές διώξεις που ασκήθηκαν εναντίον δύο Ιρανών με κατηγορία εμπλοκής τους στην δημιουργία και διασπορά του εν λόγω Ransomware.
Τώρα, διαβάζουμε:
A federal grand jury in Atlanta has returned an indictment charging Faramarz Shahi Savandi and Mohammed Mehdi Shah Mansouri with committing a sophisticated ransomware attack on the City of Atlanta in March 2018 in violation of the Computer Fraud and Abuse Act.
Πηγή.
Είχαμε αναφερθεί και την προηγούμενη εβδομάδα για τον SamSam και τις ποινικές διώξεις που ασκήθηκαν εναντίον δύο Ιρανών με κατηγορία εμπλοκής τους στην δημιουργία και διασπορά του εν λόγω Ransomware.
Τώρα, διαβάζουμε:
A federal grand jury in Atlanta has returned an indictment charging Faramarz Shahi Savandi and Mohammed Mehdi Shah Mansouri with committing a sophisticated ransomware attack on the City of Atlanta in March 2018 in violation of the Computer Fraud and Abuse Act.
Πηγή.
Χάος στην Κίνα με τον UNNAMED1989
Περισσότεροι από 100.000 Η/Υ μολύνθηκαν από έναν κυριολεκτικά αστείο Ransomware, ο οποίος ονομάζεται UNNAMED1989.
Είναι αστείο, γιατί παρά τον τόσο αγώνα που δίνεται καθημερινά από εταιρίες CyberSecurity προκειμένου να μπει τέλος στους Ransomware, τελικά ακόμα και ένας κακογραμμένος Ransomware μπορεί να προκαλέσει χάος.
Ο εν λόγω, ζητούσε πληρωμή μέσω WeChat (!). Εικάζεται ότι ο δημιουργός του χρησιμοποιούσε ένα μέσο κοινωνικής δικτύωσης της Κίνας με την επωνυμία Douban προκειμένου να δελεάσει τα θύματά του προκειμένου να χρησιμοποιήσουν μία δημοφιλή εφαρμογή μέσω της οποίας μπορεί κάποιος να χρησιμοποιεί περισσότερους από έναν λογαριασμούς κοινωνικής δικτύωσης ταυτόχρονα. Μόνο που, η εφαρμογή ήταν παγιδευμένη.
Σε έρευνα που έγινε, βρέθηκαν περισσότεροι από 20.000 κωδικοί λογαριασμών από εφαρμογές δημοφιλείς στην Κίνα όπως το Baidu, το QQ, το Alipay κλπ.
Λίγες μόνο ώρες μετά την κυκλοφορία του, κυκλοφόρησε εφαρμογή αποκρυπτογράφησης από την Tencent και την Velvet, ενώ ο δημιουργός του εντοπίστηκε αφού είχε δηλώσει στην καταχώρηση της εφαρμογής το όνομά του, το τηλέφωνό του και τη διεύθυνσή του (...). Εδώ που τα λέμε δεν άφησε και τίποτα στη φαντασία...
Φυσικά, συνελήφθη από τις αρχές.
Είναι αστείο, γιατί παρά τον τόσο αγώνα που δίνεται καθημερινά από εταιρίες CyberSecurity προκειμένου να μπει τέλος στους Ransomware, τελικά ακόμα και ένας κακογραμμένος Ransomware μπορεί να προκαλέσει χάος.
Ο εν λόγω, ζητούσε πληρωμή μέσω WeChat (!). Εικάζεται ότι ο δημιουργός του χρησιμοποιούσε ένα μέσο κοινωνικής δικτύωσης της Κίνας με την επωνυμία Douban προκειμένου να δελεάσει τα θύματά του προκειμένου να χρησιμοποιήσουν μία δημοφιλή εφαρμογή μέσω της οποίας μπορεί κάποιος να χρησιμοποιεί περισσότερους από έναν λογαριασμούς κοινωνικής δικτύωσης ταυτόχρονα. Μόνο που, η εφαρμογή ήταν παγιδευμένη.
Σε έρευνα που έγινε, βρέθηκαν περισσότεροι από 20.000 κωδικοί λογαριασμών από εφαρμογές δημοφιλείς στην Κίνα όπως το Baidu, το QQ, το Alipay κλπ.
Λίγες μόνο ώρες μετά την κυκλοφορία του, κυκλοφόρησε εφαρμογή αποκρυπτογράφησης από την Tencent και την Velvet, ενώ ο δημιουργός του εντοπίστηκε αφού είχε δηλώσει στην καταχώρηση της εφαρμογής το όνομά του, το τηλέφωνό του και τη διεύθυνσή του (...). Εδώ που τα λέμε δεν άφησε και τίποτα στη φαντασία...
Νέος Ransomware - Israbye
Nέος GandCrab 5.0.9
Mε κάτι άθλια αγγλικά στο μήνυμα, τα οποία θα μπορούσαν να μεταφραστούν ως "θα γίνουμε πλάτη πολύ σύντομα", εμφανίστηκε η νέα έκδοση του GandCrab, η οποία πλέον είναι η 5.0.9
Νέος Ransomware - Dablio -- ΈΧΟΥΜΕ ΛΥΣΗ
Ο Karsten Hahn εντόπισε έναν νέο Ransomware ο οποίος είναι γραμμένος σε Python.
Τοποθετεί το πρόθεμα (encrypted) στα κρυπτογραφημένα αρχεία.
Μοιάζει με παραλλαγή του HolyCrypt, για τον οποίο έχουμε λύση.
Αν υπάρχει κάποιος που έχει μολυνθεί, ας έρθει σε επικοινωνία μαζί μας.
Τοποθετεί το πρόθεμα (encrypted) στα κρυπτογραφημένα αρχεία.
Μοιάζει με παραλλαγή του HolyCrypt, για τον οποίο έχουμε λύση.
Αν υπάρχει κάποιος που έχει μολυνθεί, ας έρθει σε επικοινωνία μαζί μας.
Nέος Ransomware - Gerber 1 & 3 &5 μαζί.
Ο πρώτος, τοποθετεί την επέκταση .XY6LR στα κρυπτογραφημένα αρχεία. Είναι σίγουρα InducVirus δηλαδή ο DelphiMorix.
Ο δεύτερος, όπως μπορείτε να δείτε:
έχει αρκετά θεματάκια, με το σοβαρότερο (καλό για εμάς) είναι ότι λόγω άπειρων λαθών στον κώδικα, δεν κρυπτογραφεί.
Αν το έκανε, θα έβαζε την επέκταση .FJ7QvaR9VUmi στα κρυπτογραφημένα, όπως φαίνεται και από εδώ.
O τρίτος, κυκλοφόρησε σήμερα και τοποθετεί την επέκταση .gerber5.
Τον κοιτάμε.
Ο δεύτερος, όπως μπορείτε να δείτε:
έχει αρκετά θεματάκια, με το σοβαρότερο (καλό για εμάς) είναι ότι λόγω άπειρων λαθών στον κώδικα, δεν κρυπτογραφεί.
Αν το έκανε, θα έβαζε την επέκταση .FJ7QvaR9VUmi στα κρυπτογραφημένα, όπως φαίνεται και από εδώ.
O τρίτος, κυκλοφόρησε σήμερα και τοποθετεί την επέκταση .gerber5.
Τον κοιτάμε.
Νέος Scarab
Να και ένας Scarab. Δεν μας έλειψε καθόλου θα πρέπει να σας πούμε. Τοποθετεί την επέκταση .lol.
Toποθετεί την επέκταση .protected στα κρυπτογραφημένα αρχεία.
Δείτε το εδώ σε δράση:΅
To γεγονός ότι κυκλοφορούν τριγύρω μας άνθρωποι που είναι "μπερδεμένοι" (για να το πούμε ευγενικά), είναι γεγονός.
Αυτό όμως, ξεπερνάει.
Το είδαμε, και το μόνο που μπορέσαμε να σκεφτούμε είναι WTF???
Aπό την επέκταση (η οποία είναι .rape) μέχρι το όνομα του Ransom Note και το περιεχόμενό του, κυριολεκτικά WTF.
Νέος Ransomware - Outsider
Δείτε το εδώ σε δράση:΅
Πραγματικά WTF
Αυτό όμως, ξεπερνάει.
Το είδαμε, και το μόνο που μπορέσαμε να σκεφτούμε είναι WTF???
Aπό την επέκταση (η οποία είναι .rape) μέχρι το όνομα του Ransom Note και το περιεχόμενό του, κυριολεκτικά WTF.
Αυτά για τώρα! Καλή εβδομάδα σε όλους!
Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
Ευχαριστούμε την BleepingComputer για την παροχή υλικού.