3/12/18

Τα νέα των Ransomware, 3/12/2018

Eίχαμε ιστορίες με τον SamSam την προηγούμενη εβδομάδα. Μία ομάδα Ιρανών χάκερ κατηγορούνται ότι βρίσκονται πίσω του και στην Αμερική τους ψάχνουν να τους βρουν. Διαβάστε αναλυτικά παρακάτω.

Είχαμε χαμό με Dharma και Scarab, είχαμε και πολλά μικρότερα στελέχη.


Ας τα δούμε αναλυτικά:



Νέοι Dharma

Κι άλλα νέα στελέχη εμφανίστηκαν την προηγούμενη εβδομάδα.

Την Δευτέρα εμφανίστηκε ο .myjob. Δεν αλλάζει απολύτως τίποτα στον τρόπο λειτουργίας. 
Δύο μέρες αργότερα, ανακαλύφθηκε και ο WAR ο οποίος τοποθετεί την επέκταση .[cyberwars@qq.com].war στα κρυπτογραφημένα αρχεία.



Και την Παρασκευή, είχαμε και τον .risk.
Και για τους 3, δεν αλλάζει απολύτως τίποτα στο κομμάτι της κρυπτογράφησης.
ΠΡΟΣΟΧΗ ΟΜΩΣ.

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.


Με μεγάλη μας λύπη διαπιστώνουμε ότι η λαίλαπα εξαπλώθηκε και στη χώρα μας με "κάποιους" να ισχυρίζονται ότι μπορούν να λύσουν τον Dharma και μάλιστα με ... εξπρες διαδικασίες και προνομιακό κόστος, 3000-6000 ευρώ (...) (!!!!).

Γελάμε και κλαίμε ταυτόχρονα.



ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Nέοι Scarab

O πρώτος μας έκανε την εμφάνισή του το βράδυ της Τετάρτης. Τοποθετεί την επέκταση .lolita.
Ο δεύτερος εντοπίστηκε τα ξημερώματα της επόμενης, τοποθετεί την επέκταση .stevenseagal@airmail.cc.


Το βράδυ της 28/11 εντοπίστηκε και τρίτος, τοποθετεί την επέκταση .online24files@airmail.cc.



Nέος Ransomware - Enybeny Nuclear

Μάλλον είναι υπό κατασκευή. Υποτίθεται ότι θα έπρεπε να τοποθετεί επεκτάση (την .PERSONAL_ID:.Nuclear) στα κρυπτογραφημένα αρχεία, αλλά στον κώδικα έχουν βάλει Invalid characters (συγκεκριμένα, τον ':') και δεν λειτουργεί.
Από αυτό που είδαμε, ακόμα και να λειτουργούσε θα μπορούσαμε να τον σπάσουμε.

Δείτε το σε δράση εδώ από βίντεο της CyberSecurity:


Νέος Ransomware - GarrantyDecrypt

Πέρα από τα άπειρα ορθογραφικά στον κώδικα, τίποτα απολύτως το καινούργιο...


Νέος Εverbe

Mία νέα έκδοση του Everbe 2.0 εντόπισε ο Michael Gillespie, τοποθετεί την επέκταση .lightning.



Λύση για τον PUMA

Mιλώντας για τον Michael, όπως είχε υποσχεθεί την προηγούμενη εβδομάδα, κατασκεύασε λύση για τον STOP Ransomware και συγκεκριμένα για την έκδοση PUMA (επεκτάσεις .puma, .pumas, .pumax). 

Το Cable Car της Μόσχας θύμα Ransomware!



To νέο Cable Car στη Μόσχα, που υπόσχονταν δωρεάν μεταφορές στους πολίτες για τον πρώτο μήνα, έπεσε θύμα Ransomware μία μέρα μετά τα επίσημα εγκαίνιά του.


Εδώ, ένας Ρώσος αξιωματικός που ενημερώνει τους πολίτες να μην περιμένουν στην ουρά, και εδώ (στα ρώσικα, τι περιμένατε?) η αναφορά ρώσικης ιστοσελίδας που αναφέρει ότι ο κεντρικός Η/Υ του συστήματος έπεσε θύμα Ransomware.





Nέος Ransomware - Lucky

Toποθετεί την επέκταση [[email]][original].[random].lucky.
Πέρα από ενδιαφέρον pattern στον κώδικα κρυπτογράφησης, όχι κάτι το ιδιαίτερο.



Νέος GusCryptor

To μόνο ενδιαφέρον που έχει αυτός είναι η επέκταση που βάζει, που είναι η .bip, την οποία χρησιμοποιεί και ο Dharma.




Xaμούλης με τον SamSam -- κυρώσεις από τις ΗΠΑ!



Το Υπουργείο Δικαιοσύνης των ΗΠΑ (DOJ) ανακοίνωσε ότι εξέδωσε κατηγορητήριο εναντίον δύο Ιρανών, τους οποίους κατηγορεί για την διακίνηση, διασπορά και μετάδοση του SamSam Ransomware.

Να θυμίσουμε ότι ο SamSam ήταν ιδιαίτερα δραστήριος από το 2016 και έκανε μόνο στοχευμένες επιθέσεις σε υπηρεσίες υγείας (νοσοκομεία κλπ) και κυβερνητικούς οργανισμούς, σπάζοντας τους κωδικούς υπηρεσιών απομακρυσμένης πρόσβασης (Remote Desktop) και εγκαθιστώντας το κακόβουλο λογισμικό χειροκίνητα σε όλο το δίκτυο.


Στη συνέχεια, ζητούσαν λύτρα τα οποία κυμαίνονταν από $5.000 ως $60.000, ανάλογα με το μέγεθος του "στόχου".

Υπολογίζεται ότι το κέρδος τους άγγιζε κατά μέσο όρο τα 16 εκατομμύρια δολάρια (εξαρτώμενο από την τιμή του bitcoin. Τα κέρδη του SamSam ήταν 5.901 bitcoin, που με τη διακύμανση του Bitcoin την τελευταία διετία θα λέγαμε ότι ήταν από 4 εκατομμύρια μέχρι και 116 εκατομμύρια δολάρια (!). Με τη σημερινή ισοτιμία, ο αριθμός αυτός ισοδυναμεί με 24,5 εκατομμύρια δολάρια!

Οι δύο κατηγορούμενοι, Faramarz Shahi Savandi και Mohammad Mehdi Shah Mansouri αντιμετωπίζουν βαρύτατες κατηγορίες και καταζητούνται από το FBI. 


Η ανακοίνωση του DOJ εδώ.


Και δεν σταματάει εδώ. Σύμφωνα με το DOJ, όποιος πλέον πληρώνει λύτρα, παραβιάζει το Σύνταγμα των ΗΠΑ και μπορεί να βρεθεί αντιμέτωπος με το νόμο (που στην Αμερική, δεν πολυαστειεύεται..).

Αντιγράφουμε από το BleepingComputer:
OFAC (U.S. Department of the Treasury’s Office of Foreign Assets Control) has also added Khorashadizadeh and Ghorbaniyan to the Specially Designated Nationals And Blocked Persons List (SDN), which means that U.S. individuals and companies are blocked from doing business or conducting any transactions with these individuals. These sanctions could also affect non U.S. businesses and individuals who conduct transactions with them due to secondary sanctions.



"As a result of today’s action, persons that engage in transactions with Khorashadizadeh and Ghorbaniyan could be subject to secondary sanctions," continued the announcement. "Regardless of whether a transaction is denominated in a digital currency or traditional fiat currency, OFAC compliance obligations are the same."

ΓΙΑ ΠΟΙΟΝ ΧΤΥΠΑΕΙ Η ΚΑΜΠΑΝΑ?


Θέλουμε πολύ να δούμε τους γνωστούς-γνωστούς φίλους μας που παριστάνουν ότι έχουν λύση για τον Dharma, να στέλνουν bitcoin για αγορά λύτρων.

Πολύ το θέλουμε.






Αυτά για τώρα! Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.