14/6/19

Ανάκτηση δεδομένων από σκληρούς δίσκους σε Clean Room


Ανακτηση δεδομένων σε Clean Room

είναι η πρώτη και μοναδική εταιρία ανάκτησης δεδομένων στην Ελλάδα, με ιδιόκτητο CleanRoom διαστάσεων 15 τ.μ., κάτι που εξασφαλίζει τον έλεγχο των συνθηκών που είναι απαραίτητες για το άνοιγμα των σκληρών δίσκων και την επέμβαση στα εσωτερικά μηχανικά τους μέρη.

#datarecovery #hdd #ransomware 

13/6/19

Ανάκτηση Δεδομένων λόγοι να επιλέξετε τη Northwind Data Recovery

15 λόγοι για να προτιμήσετε τη Northwind Data Recovery για την ανάκτηση των δεδομένων του σκληρού σας δίσκου

1. Είμαστε το αρτιότερο εργαστήριο στην Ελλάδα. Ο εξοπλισμός μας είναι ο πλέον σύγχρονος, και, το σημαντικότερο, ξέρουμε να τον αξιοποιούμε για να ανακτούμε το σύνολο των δεδομένων των πελατών μας!
2. Είμαστε πιστοποιημένοι συνεργάτες της Western Digital στον τομέα της ανάκτησης δεδομένων.

Ανακτηση δεδομένων απο σκληρό δίσκο-PCB
3. Ειμαστε η μοναδικη εταιρια ανάκτησης δεδομένων στην Ελλάδα που χρησιμοποιούμε Full Size Clean Room 15τ.μ. το οποίο μπορείτε να δείτε απο κοντά.
4. Έχουμε εμπειρία στην ανάκτηση δεδομένων σκληρών δίσκων από το 2002.
5. Διατηρούμε την εγγύηση του δίσκου σας.
6. Η διάγνωση είναι δωρεάν.
7. Η παραλαβή του σκληρού σας δίσκου είναι δωρεάν.
8. Δεν υπάρχει καμία χρέωση αν δεν ανακτήσουμε τα δεδομένα που θέλετε από το δίσκο σας.

10/6/19

Ανάκτηση δεδομένων από έναν Ψεύτικο σκληρό δίσκο 1TB Seagate

Ηρθε για ανάκτηση αυτός ο ψευτικος σκληρός δίσκος Seagate

O παρακάτω ΨΕΥΤΙΚΟΣ 1TB Seagate σκληρός δίσκος (με σειριακό ST1000LM004!!! 😂 ), μας έκανε όλους εδώ στο εργαστήριο να γελάσουμε...


Για την ακρίβεια δεν είναι 1TB Seagate αλλά ένας 320GB Hitachi σκληρός δίσκος.


Δεν αναρωτιόμαστε καθόλου γιατί ο πελάτης μας ανέφερε ότι στμάτησε χωρίς λόγο να αποθηκεύει και στη συνέχεια να δουλεύει κιόλας.



6/6/19

Ανάκτηση Δεδομένων από οικογένεια WD Passport

Ανάκτηση δεδομένων Data Recovery από σκληρούς δίσκους WD

- Hunny, are you coming home early tonight?

- Nope.
- What happened?
- Some multicolor Passports are keeping me busy
- Is this a joke?
- Nope.






4/6/19

Παραμορφωμένος σκληρός δίσκος ... Ώρα για ανάκτηση δεδομένων

Ανάκτηση δεδομένων από κατεστραμένο σκληρό δίσκοΟυφ!

 Άλλος ένας δίσκος με παραμορφωμένο σασί για ανάκτηση δεδομένων λόγω τροχαίου ατυχήματος (ευτυχώς μόνο με υλικές ζημιές).
Συγκεκριμένα, αυτόν τον HDD τον πάτησε αυτοκίνητο!

Πρόκειται για έναν WD/HGST 1TB ο οποίος ήταν ο κύριος δίσκος ενός laptop, το οποίο ήταν στα χέρια ενός μοτοσυκλετιστή.

Ο μοτοσυκλετιστής έχασε τον έλεγχο της μηχανής, το laptop έφυγε από τα χέρια του, έγινε θρύψαλλα, ο σκληρός δίσκος αποσυνδέθηκε και κατέληξε στις ρόδες ενός επερχόμενου ΙΧ.

Παραμορφωμένος σκληρός δίσκος WD/HGST 1TB - Laptop - Ανάκτηση Δεδομένων ... Δύσκολη υπόθεση για τους μηχανικούς μας.


3/6/19

Ανάκτηση δεδομένων από κάρτες μνήμης, USB, κινητά και φωτογραφικές μηχανές

Ανάκτηση δεδομένων από micro sd και usbΣε περίπτωση που η κάρτα μνήμης σας δεν αναγνωρίζεται από το κινητό η τη φωτογραφική μηχανή ή όποιο άλλο μέσο τη χρησιμοποιούσε, δεν υπάρχουν και πολλά πράγματα που μπορείτε να κάνετε από μόνοι σας. 

Ο λόγος είναι πως κάποιο ηλεκτρονικό τμήμα της συσκευής έχει καταστραφεί και για αυτό δεν μπορεί να εμφανιστεί και να λειτουργήσει. Αυτό γίνεται αναπάντεχα συνήθως και χωρίς κάποια προειδοποίηση. 

Μην προσπαθἠσετε να επέμβετε με κάποιον τρόπο, ή ακόμη χειρότερα μην εμπιστευτείτε κάποιον ῾γνωστό σας῾ που έχει ῾κάποια σχέση῾ με ηλεκτρονικά. 

Καλέστε μας άμεσα και θα κάνουμε δωρεάν διάγνωση εντός 24 ωρών.

27/5/19

Τα νέα των Ransomware, 27/5/2019

Αρκετά και για αυτήν την εβδομάδα, με τους κλασικούς STOP - Dharma - Scarab να συνεχίζουν ακάθεκτοι αλλά και κάποιες λύσεις για άλλα στελέχη.

Αναλύουμε τον τρόπο που λειτουργεί ο GetCrypt και μεταφέρουμε καλά νέα.

Είχαμε και επιθέσεις στο αεροδρόμιο του Louisville, είχαμε και μια ενδιαφέρουσα ανάλυση για την επίθεση στη Βαλτιμόρη.


Ας τα δούμε αναλυτικά:


Νέοι STOP

Τώρα είχαμε:
- Τον .FEROSAS
- Toν .radman
- Toν .rectot
- Τον .skymap

- Τον .shadow

Έναν λιγότερο, δηλαδή σε σχέση με την προηγούμενη εβδομάδα.

GetCrypt: ο τρόπος λειτουργίας του και τα καλά νέα!

Ένας νέος Ransomware εμφανίστηκε στο προσκήνιο την τελευταία εβδομάδα του Μαίου του 2019 και ονομάζεται GetCrypt.

O GetCrypt διασπείρεται μέσω καμπάνιας malvertising και του περιβόητου RIG Exploit Kit.

Συνοπτικά, όταν κάποιος χρήστης μπει σε κάποια ιστοσελίδα που δεν πρέπει να μπει, τότε γίνεται redirect σε άλλη σελίδα που περιέχει το εν λόγω exploit kit, το οποίο θα προσπαθήσει να εκμεταλλευτεί τυχόν κενά ασφαλείας του Η/Υ του θύματος. Αν τα καταφέρει, θα κατεβάσει και θα εγκαταστήσει τον GetCrypt.


Αφήνει απέξω χώρες της πρώην ΕΣΣΔ.

Μόλις εκτελεστεί το κακόβουλο λογισμικό, ο GetCrypt ελέγχει τις εγκατεστημένες γλώσσες των Windows.
Ουσιαστικά, κάνει έλεγχο για αυτές τις γλώσσες: Ukrainian, Belarusian, Russian και Kazakh και αν τις εντοπίσει, τερματίζει τη λειτουργία του και δεν κρυπτογραφεί τίποτα.


Σε αντίθετη περίπτωση, η λειτουργία του προχωράει κανονικά.

Επόμενη ενέργειά του είναι να βρει το CPUID του Η/Υ μέσω του οποίου δημιουργεί 4 χαρακτήρες τους οποίους θα χρησιμοποιήσει σαν επέκταση στα κρυπτογραφημένα αρχεία.

Μετά, διαγράφει τα shadow copies μέσω της εντολής vssadmin.

***Να πούμε εδώ, ότι αν είχατε εφαρμόσει τον οδηγό επιβίωσης ενάντια στους Ransomware που έχουμε δημοσιεύσει εδώ και σχεδόν 2 χρόνια, δεν θα είχατε τέτοιο πρόβλημα, καθώς σας εξηγούμε πώς να κλείσετε την vssadmin***

Επόμενο βήμα,

24/5/19

Ανάκτηση δεδομένων από σκληρούς δίσκους





Σε φουλ ρυθμούς για να προλάβουμε να παραδώσουμε δεδομένα πριν το Σαββατοκύριακο.

Now, that's what we call a busy Friday 

23/5/19

Κατεστραμένες κεφαλές σκληρού δίσκου σε μικροσκόπιο

Έτσι δείχνουν οι κατεστραμένες κεφαλές από σκληρό δίσκο στο ηλεκτρονικό μικροσκόπιο .

Σαφώς και για να ανακτηθούν δεδομένα χρειάζεται αλλαγή κεφαλών με συμβατές.










22/5/19

New HDD stock arrived in Athens and Thessaloniki laboratories


We now have more than 20.000 HDDs in stock.

This helps us have a better control over our spare parts inventory for an urgent job, it minimizes costs and speeds up the procedures for Data Recovery.










21/5/19

7*12TB WD GOLD RAID6 array

A 7*12TB WD GOLD RAID6 array, is not something you see every day!

The data recovery prospects of this case are very promising!










18/5/19

Τα νέα των Ransomware, 20/5/2019

Συνοπτικά όλη η εβδομάδα:
STOP - Dharma - STOP - Dharma - STOP - Dharma - Dharma - Dharma - STOP - Dharma.


Είχαμε και την ανάλυση της ProPublica η οποία ντροπιάζει το επάγγελμά μας, χάρη σε κάποιους "συναδέλφους" που ισχυρίζονται ότι αποκρυπτογραφούν Ransomware, ενώ στην πραγματικότητα το μόνο που κάνουν είναι να πληρώνουν τα λύτρα και να εισπράτουν την προμήθεια. Χαρακτηριστικά είναι τα παραδείγματα και "συναδέλφων" στη χώρα μας.

Ας τα δούμε αναλυτικά:


Νέοι STOP

Πλέον θεωρούμε ότι είναι αδύνατον να καταμετρηθούν όλα τα στελέχη του STOP που κυκλοφορούν εκεί έξω. Εμείς έχουμε καταγεγραμμένα περισσότερα από 80, και αυτά μόλις το τελευταίο δίμηνο.
Για την εβδομάδα που μεσολάβησε, είχαμε:
- Τον .codnat
- Toν .codnat1
- Toν .bufas
- Τον .dotmap

- Τον .fordan
- Toν .assumer
Όλοι αυτοί είναι κοινοί μεταξύ τους, απλώς τους διαχειρίζονται διαφορετικοί εγκληματίες.

6/5/19

Τα νέα των Ransomware, 6/5/2019

Είχαμε μία εβδομάδα με ενδιαφέροντα νέα, όπως τον MegaCortex που χτυπάει συστήματα της Sophos, όπως το σοβαρό κενό ασφαλείας στους WebLogic Servers μέσω του οποίου εγκαθίσταται Ransomware, είχαμε και πολλά νέα στελέχη των γνωστών "παικτών" (Dharma, Stop κλπ) αλλά και λύσεις μέσα από το NoMoreRansom! Project του οποίου είμαστε μέλη.

Ας τα δούμε αναλυτικά:


Κενό ασφαλείας σε WebLogic Servers, εγκαθιστά Ransomware 

Ένα κενό ασφαλείας στους WebLogic Servers ευθύνεται για την εγκατάσταση ενός νέου Ransomware που ονομάζεται Sodinokibi. 
Είναι απολύτως απαραίτητο οι admins να εγκαταστήσουν τις τελευταίες ενημερώσεις για να κλείσει το εν λόγω κενό ασφαλείας.
ΠΡΟΣΟΧΗ! 
 



22/4/19

Τα νέα των Ransomware, 22/4/2019

Είχαμε την εμφάνιση ενός νέου "παίκτη" στο προσκήνιο την εβδομάδα που μας πέρασε, που ονομάζεται RobbinHood. Επιτέθηκε και παρέλυσε το σύστημα Η/Υ στο Greenville των ΗΠΑ ενώ εμφανίζεται ιδιαίτερα δραστήριος.

Είχαμε την ανακοίνωση της Δίωξης Ηλεκτρονικού Εγκλήματος στην Ελλάδα για τον JNEC και είχαμε και τον NamPoHyu που επιτίθεται σε Samba Servers.

Κατά τ' άλλα, τα γνωστά, Scarab, Matrix, Dharma...

Ας τα δούμε αναλυτικά:


Δελτίο Τύπου της Δίωξης Ηλεκτρονικού Εγκλήματος για τον JNEC 

Πραγματικά, χαιρόμαστε όταν βλέπουμε κάποιες υπηρεσίες στην Ελλάδα να λειτουργούν σωστά.
Στις 18/4/19, η Δίωξη Ηλεκτρονικού Εγκλήματος εξέδωσε Δελτίο Τύπου μέσω του οποίου προειδοποιεί του πολίτες για τον κίνδυνο του JNEC, όπως τον είχαμε περιγράψει με έκτακτο post μας στο παρόν blog. 

Συγχαίρουμε τη ΔΗΕ για την ενημέρωση προς το κοινό και αναμένουμε συνέχεια! 


8/4/19

Μια νέα παραλλαγή των κλασικών πορνογραφικών μηνυμάτων ηλεκτρονικής αλληλογραφίας της CIA θέτει πλέον νέα στάνταρ !


              Όσα ξέραμε από την μέχρι τώρα διασπορά τέτοιων email, πλέον επαναπροσδιορίζονται. Οι οδηγίες για πληρωμή του υποτιθέμενου “προστίμου” ώστε να αποφύγουν τα θύματα την δίωξη, έρχεται σε συνημμένο PDF αρχείο που προστατεύεται με κωδικό πρόσβασης. Αυτό προφανώς στα μάτια κάποιου μη γνώστη κάνει τη διαδικασία πιο σοβαρή και πιθανώς πιστευτή.














1/4/19

Τα νέα των Ransomware, 1/4/2019

Αν εξαιρέσει κανείς το πιο παρανοϊκό Ransomware που έχουμε δει ποτέ, μοίαζει σαν μια τυπική εβδομάδα:
Δεκάδες νέα στελέχη από ήδη γνωστές οικογένειες έκαναν την εμφάνισή τους το διάστημα που μας πέρασε.

Μοιάζει πολύ τετριμμένο πλέον, αλλά είχαμε Dharma, Scarab, Matrix, STOP, είχαμε και Xorist, είχαμε και τον UNNAM3D που μόλυνε 30.000 Η/Υ σε λίγες μόνο ώρες, είχαμε και ένα ιδιωτικό πάρκινγκ στον Καναδά να παραλύει από χτύπημα Ransomware, απ' όλα είχε ο μπαξές.

Ας τα δούμε αναλυτικά:


Dharma χτυπάει ιδιωτικό πάρκινγκ στον Καναδά, οι πελάτες παρκάρουν δωρεάν

Στις 28/3/19, η CIRA (Canadian Internet Registration Authority), κάτι σαν τη δική μας ΕΕΤΤ, που διαχειρίζεται τα public internet domains (.ca), χτυπήθηκε από Dharma.
O συγκεκριμένος σταθμός ανήκει στην ιδιωτική εταιρία Precise Parklink και μετά το χτύπημα κατέρρευσε το σύστημα ελέγχου και πληρωμών, με αποτέλεσμα να μπαίνει στο χώρο όποιος θέλει και να παρκάρει δωρέαν.






Νέοι STOP

H λαίλαπα STOP συνεχίζει ακάθεκτη.
Μετά τα 42 (!!!!!) νέα στελέχη που είχαμε στο τελευταίο δίμηνο, για την προηγούμενη εβδομάδα είχαμε:
Τον .chech
Tον .luceq
Toν .proden
Τον .drume

Tον .tronas
Τον .trosak
Τον .grovas

Και δύο νέοι Dharma

Τοποθετούν τις επεκτάσεις .bk666 και .stun αντίστοιχα.
Τίποτα το καινούργιο.

Λύση για τον Hacked

Πρόκειται για ένα στέλεχος που είχε κάνει την εμφάνισή του το 2017. Αν και η διανομή του γενικά ήταν ήπια, είχε αρκετά θύματα.
Η Emsisoft κυκλοφόρησε λύση για το συγκεκριμένο στέλεχος.



Να και ένας Ματριξ

Toποθετεί την επέκταση .MDEN ή SDEN. Πρόκειται για το ίδιο στέλεχος.

O BigBobRoss παριστάνει τον STOP

Όπως αναμενόταν μετά την δημοσίευση λύσης για τον BigBobRoss πριν από 10 μέρες, εμφανίστηκαν δύο νέα στελέχη του, για τα οποία προς το παρόν δεν υπάρχει λύση.
Το ένα στέλεχος τοποθετεί την επέκταση .djvu (την οποία χρησιμοποιεί ο STOP) και το άλλο την .encryptedALL.
UPDATE: Πλέον και ο encryptedALL είναι αντιμετωπίσιμος.

22/3/19

Η εξέλιξη των σκληρών δίσκων - Ιστορική αναδρομή με ημερομηνίες (photos)

Έχουν περάσει 63 χρόνια από τη μέρα που η ΙΒΜ παρουσίασε τον πρώτο σκληρό δίσκο στον κόσμο, τον ΙΒΜ 350.

Ήταν το 1956, όταν η ΙΒΜ ανακοίνωσε ότι μπορεί να επινοικιάσει τον 350 σε όποιον το ήθελε (είχε μέγεθος μεγάλης ντουλάπας), για το διόλου ευκαταφρόνητο ποσό την εποχή εκείνη των ~$3.000 / μήνα.

Να σημείωσουμε ότι η χωρητικότητα του ΙΒΜ 350 ήταν 3.75ΜΒ (MegaByte).


O IBM 350

19/3/19

ΕΚΤΑΚΤΟ! Κενό του WinRAR διασπείρει Ransomware!

ΚΕΝΟ ΑΣΦΑΛΕΙΑΣ ΤΟΥ WINRAR ΔΙΑΣΠΕΙΡΕΙ ΤΟΝ JNEC RANSOMWARE!


Στις 22/2/2019 έγινε γνωστό ότι υπάρχει ένα κενό ασφαλείας στη δημοφιλή εφαρμογή WinRAR, το οποίο κενό, μάλιστα, θεωρείται ότι υφίσταται από το 1999!

Συγκεκριμένα, το κενό ασφαλείας αυτό, επιτρέπει στους επιτιθέμενους να αποκτήσουν πλήρη πρόσβαση στον Η/Υ του θύματος, χρησιμοποιώντας τεχνικές RCE (Remote Code Execution). 

Στις 18/3/2019, περίπου 3 εβδομάδες μετά την ανακοίνωση του κενού ασφαλείας, εντοπίστηκε νέος Ransomware, ο οποίος ονομάζεται JNEC.a και διασπείρεται όταν το θύμα δοκιμάσει να αποσυμπιέσει το .rar αρχείο που θα λάβει, με έκδοση του WinRAR η οποία είναι ευάλωτη.

Ουσιαστικά ευάλωτες θεωρούνται όλες οι εκδόσεις του WinRAR από την 5.70 και πίσω (με την 5.70 να θεωρείται καθαρή).

Ο τρόπος με τον οποίο λειτουργεί ο συγκεκριμένος Ransomware έχει ενδιαφέρον, καθώς ο επιτιθέμενος δελεάζει τα θύματά του χρησιμοποιώντας μια "σπασμένη" φωτογραφία μίας κοπέλας. 



Το WinRAR θα εμφανίσει μήνυμα σφάλματος, ο χρήστης δεν θα δώσει ιδιαίτερη σημασία, όμως το κακό έχει γίνει και ο JNEC έχει ήδη εγκατασταθεί.


Το δεύτερο σημείο που έχει ενδιαφέρον με αυτόν τον Ransomware, είναι το γεγονός ότι ο επιτιθέμενος ζητάει από τα θύματά του να δημιουργήσουν έναν λογαριασμό GMAIL στον οποίο θα στείλει τα αιτήματά του για λύτρα.

Στο Ransom Note αναφέρεται ξεκάθαρα αυτή του η απαίτηση:


Το Ransomware εκμεταλλεύεται το κενό ασφαλείας του WinRAR και τοποθετεί το κακόβουλο λογισμικό στην εκκίνηση των Windows, ονομάζοντάς το GoogleUpdate.exe 


Kαι σαν να μην έφταναν όλα αυτά, ο ίδιος ο κώδικας του JNEC είναι τόσο κακογραμμένος, που ούτε ο ίδιος ο δημιουργός του θα μπορούσε να τον αποκρυπτογραφήσει (συν τοις άλλοις κρυπτογραφεί όλα τα αρχεία στο σύνολό τους, με αποτέλεσμα να θέλει ώρες αν όχι μέρες για να ολοκληρώσει την κρυπτογράφηση). Βάσει αυτού, ο συγκεκριμένος Ransomware θεωρείται wiper, καθώς δεν υπάρχει τρόπος αποκρυπτογράφησης, ακόμα και αν έχει κάποιος το κλειδί (ή ακόμα και να είναι ο ίδιος ο δημιουργός του κακόβουλου λογισμικού).
Γι'αυτό, μεγάλη προσοχή σε όλους!

ΤΙ ΠΡΕΠΕΙ ΝΑ ΚΑΝΕΤΕ


Ανανεώστε τις εκδόσεις του WinRAR σε όλους τους Η/Υ σας, έτσι ώστε η έκδοσή του να είναι η 5.70 ή νεότερη.
Μπορείτε να κάνετε την ανανέωση από εδώ.

18/3/19

Τα νέα των Ransomware, 18/3/19

Εκεί που είχε ηρεμήσει για λίγο, ο STOP επανεμφανίστηκε με 5 6 7 8 διαφορετικά στελέχη, μέσα σε μία εβδομάδα και μάλιστα χρησιμοποιώντας ακόμα πιο επιθετικές τακτικές.

Είχαμε επίσης λύση για τον BigBobRoss (δεν έχουμε δει, πάντως,θύματα στην Ελλάδα ακόμα) και πολλές νέες παραλλαγές από γνωστά στελέχη.
Κάθε φορά που κάποιος μας λέει ότι το Ransomware πέθανε ένα Blockchain κάπου στην Κορέα γελάει ηχηρά. 


Ας τα δούμε αναλυτικά:

O Hermes χτυπάει το Jackson County της Georgia, παίρνει $400.000!

Στις 6/3/2019, ο Hermes με ... ολίγη από Ryuk (επρόκειτο για στέλεχος που ήταν μείγμα των δύο) χτύπησε το Jackson County στην Georgia των ΗΠΑ, γονατίζοντας στην κυριολεξία όλες τις υπηρεσίες της πόλης.
Από σχετική ανακοίνωση, φαίνεται ότι οι υπεύθυνοι αποφάσισαν και πλήρωσαν τα λύτρα, τα οποία ανέρχονται σε $400.000. 





O STOP εγκαθιστά και Trojan με σκοπό την υποκλοπή προσωπικών στοιχείων

Πέρα από τα 10 νέα στελέχη STOP που είχαμε αυτήν την εβδομάδα (βλ. παρακάτω), διαπιστώσαμε ανησυχία ότι ο STOP πλέον εγκαθιστά και τον Azorult, ο οποίος είναι ένα Trojan το οποίο υποκλέπτει από το θύμα προσωπικά στοιχεία, όπως κωδικούς πρόσβασης, ιστορικό περιήγησης, συνομιλίες στο Skype, πορτοφόλια κρυπτονομισμάτων, αρχεία xls και άλλα πολλά.  


Μιας και είναι αδύνατον να γνωρίζουμε από πότε συμβαίνει αυτό, παρακαλούμε όλα τα θύματα του STOP (οποιαδήποτε έκδοση, οποιοδήποτε στέλεχος/οικογένεια) να πάρουν ΑΜΕΣΑ τα παρακάτω μέτρα:

  • Αλλαγή ΟΛΩΝ των κωδικών πρόσβασης για όλους τους online λογαριασμούς καθώς και τους κωδικούς του Η/Υ αν υπάρχουν. ΟΛΟΙ οι κωδικοί που αποθηκεύονται από το πρόγραμμα περιήγησης, θα πρέπει να θεωρούνται εκτεθειμένοι.
  • Αλλαγή όλων των κωδικών πρόσβασης για λογισμικά όπως το Skype, το Telegram το Steam κλπ.
  • Αλλαγή όλων των κωδικών πρόσβασης για τυχόν λογισμικά FTP (Filezilla κλπ).
  • Αρχεία με ευαίσθητα προσωπικά δεδομένα που βρίσκονται στην επιφάνεια εργασίας ή αλλού, θα πρέπει να θεωρούνται εκτεθειμένα. Αν υπήρχαν αρχεία που περιλαμβάνουν κωδικούς πρόσβασης, θα πρέπει να αλλαχτούν άμεσα.


Λύση για τον BigBobRoss

Αν και δεν είχαμε αναφορά θυμάτων στην Ελλάδα από τον συγκεκριμένο Ransomware, πλέον υπάρχει λύση. Η Emsisoft ανακοίνωσε την εξεύρεση λύσης και λίγο αργότερα ακολούθησε και η Avast. Το Ransom Note του εν λόγω Ransomware είναι αυτό:


Αν κάποιος έχει μολυνθεί, ας επικοινωνήσει με την Emsisoft ή μαζί μας.

Νέοι STOP

O STOP, που θεωρείται ίσως ο πιο δραστήριος Ransomware των τελευταίων μηνών, με πολλά θύματα και στην Ελλάδα, μας είχε συνηθίσει να εμφανίζει ένα τουλάχιστον νέο στέλεχος ανά εβδομάδα.
Τις προηγούμενες 20 μέρες υπήρχε μια ησυχία, αλλά μάλλον ήταν η ησυχία πριν την καταιγίδα. Την εβδομάδα που μας πέρασε, πλησίασε τα 10 νέα στελέχη.

Με τη σειρά:
Επέκταση .promorad2 με προέλευση / στοχεύει: Βραζιλία.
Επέκταση .kroput ομοίως με από πάνω.
Πρόκειται για την οικογένεια DJVU.


Επέκταση .kroput1, .pulsar1 και .charck, επίσης της οικογένειας DJVU.

Επέκταση .kropun και .klope της οικογένειας ZzZzZ.

Επέκταση .lastrop της οικογένειας Gilette.

Να και ένας Dharma

Toποθετεί την επέκταση .NWA.


Καπάκι και ένας ακόμα, το κακόβουλο έχει  την ομομασία payload.exe και τοποθετεί την επέκταση .azero.

Kαι τρικάπακο, και ένας τρίτος που τοποθετεί την επέκταση .com.

Ο Yatron προμοτάρεται ως RaaS

Ένας νέος RaaS (Ransomware-As-A-Service) προμοτάρεται μέχρι και μέσω Twitter (!) ότι χρησιμοποιεί το EternalBlue της NSA για να διασπείρει τον εαυτό του μέσω δικτύου. Ισχυρίζεται ότι διαγράφει επιτυχώς αρχεία μετά από x χρόνο αν δεν καταβληθούν τα  λύτρα.
Είναι ανησυχητικό, καθώς από ότι είδαμε, κάνει αυτά που υπόσχεται.




3/3/19

Τα νέα των Ransomware, 4/3/2019

Πολλά και διάφορα είχαμε το διάστημα που μεσολάβησε από την προηγούμενη αναφορά μας.
Είχαμε λύση για τον GandCrab, είχαμε έναν Ransomware που στοχεύει servers που τρέχουν Linux/PHP, είχαμε και πάρα πολλά νέα στελέχη.

Ας τα δούμε αναλυτικά:

Νέος Jigsaw - DeltaSEC

Αυτός δεν κρυπτογραφεί καν, καθώς περιέχει προβληματικό base64 string...




Νέος Scarab

Toποθετεί την επέκταση .X3.  

Λύση για τον GandCrab

Στα τέλεια νέα, η λύση για τον GandCrab που δημοσίευσε η BitDefender σε συνεργασία με τη Europol.
Την αμέσως επόμενη μέρα, κυκλοφόρησε νέα έκδοση η οποία προς το παρόν δεν είναι δυνατόν να σπάσει.



Νέος GarrantyDecrypt

Ένα νέο στέλεχος του GarrantyDecrypt εντοπίστηκε, το οποίο παριστάνει ότι προέρχεται από την ομάδα ασφαλείας της ProtonMail.
Επιβεβαιώσαμε ότι πρόκειται για τον GarrantyDecrypt από το "NANI" signature στα κρυπτογραφημένα αρχεία.




Νέος Everbe2 - SEED

Εντοπίστηκε και νέος Everbe2.0 που τοποθετεί την επέκταση .seed.
Ταυτοποιήσαμε ότι πρόκειται για τον Everbe από τα τελευταία 0x200 bytes που έχουν ASCII στο Hex.





Νέα στελέχη

Ο Michael Gillespie εντόπισε:
Τον BlackPink που είναι κορεάτικος


τον BestChangeRu που είναι ρώσικος


τον Crazy Thief 2.1 που είναι μια μίξη του Stupid, του Jigsaw και βασίζεται σε HiddenTear
(thief όνομα και πράγμα δηλαδή). Φυσικά, είναι δυνατόν να αποκρυπτογραφηθεί.


έναν νέο Matrix που τοποθετεί την επέκταση .GBLOCK
και έναν νέο Dharma που τοποθετεί την επέκταση .aqva.

25/2/19

Να εμπιστευτώ τον SSD μου?

Πόσο αξιόπιστοι είναι οι SSD δίσκοι?



Τελικά, να εμπιστευτώ τους SSD δίσκους?
Είναι από τις πιο συχνές ερωτήσεις που καλούμαστε να απαντήσουμε.


Ας πάρουμε τα πράγματα από την αρχή.
Οι SSD δίσκοι έχουν σαφή πλεονεκτήματα σε σχέση με τους συμβατικούς (HDD) δίσκους.
Πρώτον και κυριότερο, η ταχύτητα. Μπορεί να επιτυγχάνουν μέχρι και 10 φορές μεγαλύτερες ταχύτητες από τους HDD.
Όποιος έχει κάνει αναβάθμιση τον Η/Υ του ή το laptop του με SSD δίσκο αντικαθιστώντας τον παλιό HDD, θα καταλαβαίνει ακριβώς αυτό. Τεράστια διαφορά στην ταχύτητα με την οποία boot-άρει το μηχάνημα και ανοίγει τις εφαρμογές.
Κατά δεύτερον, πλέον έχουν γίνει πολύ προσιτοί οικονομικά, αφού μπορεί κανείς να αγοράσει SSD δίσκο στα 500GB με λιγότερο από 100 ευρώ. 


Όμως, πόσο αξιόπιστοι είναι?
Μπορεί να έχετε διαβάσει κάπου, ότι οι δίσκοι SSD έχουν συγκεκριμένο αριθμό εγγράψιμων κύκλων, ενώ από το σημείο εκείνο και έπειτα καταρρέουν. Αληθεύει?
Για να το πούμε πιο απλά:
Οι δίσκοι SSD χαλάνε? Και αν ναι, χαλάνε πιο γρήγορα και πιο συχνά από τους HDD? Μπορώ να τους εμπιστευτώ με τα ευαίσθητα και σημαντικά δεδομένα μου?
Πότε να τους αντικαθιστώ?

Αυτά είναι μερικά ερωτήματα που θα προσπαθήσουμε να απαντήσουμε.
Ας τα δούμε αναλυτικά.



Οι SSD δίσκοι χαλάνε?

Φυσικά και χαλάνε.
Στα εργαστήριά μας λαμβάνουμε για ανάκτηση τουλάχιστον ένα δίσκο SSD κάθε ημέρα, και αυτό λεει πολλά.



Ποιον SSD να επιλέξω?

Ας ξεκινήσουμε από τα βασικά. Δεν κάνουν όλοι οι SSD για όλες τις δουλειές. Αν ο SSD προορίζεται για τον οικιακό Η/Υ, ο οποίος κάνει βασικές εργασίες, θα πρέπει να επιλεγεί διαφορετικός δίσκος σε σχέση με αυτόν που θα επιλέγαμε για να χρησιμοποιήσουμε σε ένα datacenter όπου ο δίσκος θα έκανε λειτουργίες εγγραφής και ανάγνωσης 24/7.
Θα εξηγήσουμε αμέσως γιατί. Πριν όμως,

Μερικά τεχνικά θεματάκια:

Όλοι οι SSD δίσκοι χρησιμοποιούν τεχνολογία NAND (δεν πρόκειται για ακρονύμιο, προέρχεται από τις λογικές πράξεις NOT και AND που χρησιμοποιούνται στον προγραμματισμό).
Η NAND τεχνολογία έχει συγκεκριμένες ιδιότητες από τις οποίες εξαρτάται η διάρκεια ζωής του αποθηκευτικού μέσου.
Για παράδειγμα, όταν γράφονται δεδομένα σε ένα NAND cell, για να επανεγγραφούν δεδομένα σε αυτό το cell, τα προηγούμενα θα πρέπει να διαγραφούν.
Αυτή η εγγραφή και διαγραφή των δεδομένων γίνεται με την αποστολή ηλεκτρονίων προς τα κελιά (για να το πούμε πολύ -πάρα πολύ- απλά). Αυτά τα ηλεκτρόνια περνάνε μέσα από ένα μονωτή (insulator). H θέση και η τοποθεσία αυτών των ηλεκτρονίων καθορίζουν αν θα περάσει ρεύμα προς το κελί ή όχι και αν αυτό το κελί είναι κατειλημμένο.
Όταν γράφουμε και διαγράφουμε τα δεδομένα από ένα κελί, καθώς τα ηλεκτρόνια πηγαινοέρχονται, ο μονωτής που αναφέραμε φθείρεται σε σημείο που δυσκολεύεται να κρατήσει τα ηλεκτρόνια στη θέση που θα έπρεπε να είναι, με αποτέλεσμα να έχουμε διαρροή ή/και αδυναμία να καθοριστεί αν τα ηλεκτρόνια βρίσκονται εκεί που πρέπει. 
Αυτό με τη σειρά του εξηγεί τον "πεπερασμένο αριθμό εγγράψιμων κύκλων" που αναφέρουμε συχνά. Σημαίνει ότι η ίδια η τεχνολογία flash έχει περιορισμό στον αριθμό των αναγνώσεων και εγγραφών των δεδομένων. 

Πώς μετρείται αυτό?

Αυτό μετρείται από έναν δείκτη που λέγεται P/E. Σημαίνει Programmed/Erased και μετρείται σε κύκλους. Πρόκειται ουσιαστικά για τον σημαντικότερο παράγοντα που δείχνει την (αναμενόμενη) διάρκεια ζωής ενός SSD. Ένας κακής ποιότητας SSD μπορεί να έχει P/E = 1000 ή και λιγότερο. Αυτός ο δίσκος θα καταρρεύσει, εκτός αν χρησιμοποιείται για εργασία που δεν απαιτεί πολλούς κύκλους (light duty). Ένας καλής ποιότητας SSD μπορεί να έχει P/E = 70.000 ή και παραπάνω, και αυτός ο δίσκος υπό κανονικές συνθήκες θα "βγάλει" την 5ετία εύκολα.
Παρόμοιος δείκτης είναι το TBW, το οποίο σημαίνει Terabytes Written, που ισοδυναμεί ουσιαστικά με τον όγκο των δεδομένων που θα εγγραφούν στον SSD, πριν αυτός καταρρεύσει. Ένας καλός SSD δίσκος χωρητικότητας 500GB θα έχει TBW = 200+, δηλαδή περισσότερες από 400 φορές τη χωρητικότητά του. 
Τέλος, το MTBF (Mean Time Between Failures) που μετρείται σε ώρες και ουσιαστικά είναι μέτρηση αξιοπιστίας της συσκευής. Δυστυχώς όμως δεν είναι αυτό που πιστεύουν πολλοί ότι είναι. MTBF = 1.000.000 ώρες δεν σημαίνει ότι ο δίσκος θα ζήσει 1.000.000 ώρες (αυτό είναι 114 χρόνια!). Είναι δείκτης της κατασκευάστριας, η οποία το διαιρεί με το AFR (Annual Failure Rate) για να υπολογίσει πόσο θα αντέξει ένας δίσκος. Επομένως, MTBF = 800.000 σημαίνει ότι σε πλήθος 1000 δίσκων οι οποίοι δουλεύουν 8 ώρες τη μέρα, θα υπάρχει ένας δίσκος που θα χτυπάει ανά 100 ημέρες. 



Tι σημαίνει "καλός" SSD?

Όπως είπαμε, δεν κάνουν όλοι οι SSD δίσκοι για όλες τις δουλειές.
Η βασική τους διαφοροποίηση γίνεται από τον τύπο NAND τεχνολογίας που ενσωματώνουν.

  • SLC (Single Level Cell). Αυτοί έχουν ένα bit ανά κελί. Αυτοί οι δίσκοι παρέχουν τη μεγαλύτερη αξιοπιστία, καθώς ακόμα και αν διαρρεύσουν μερικά ηλεκτρόνια, δεν υπάρχει μεγάλο πρόβλημα, αφού μας ενδιαφέρει να έχουμε την πληροφορία αν "τρέχει" ρεύμα ή όχι. Στα παρακάτω παραδείγματα θα γίνει πιο κατανοητό.
  • MLC (Multi - Level Cell). Εδώ έχουμε δύο bits ανά κελί. Αυτό σημαίνει ότι απαιτείται περισσότερη ακρίβεια και υπάρχει μικρότερη ανοχή στις διαρροές. Μιας και τα δεδομένα γράφονται με άσους και μηδενικά, θα πρέπει να έχουμε την πληροφορία αν το κελί περιέχει 00, 01, 10 ή 11.
  • TLC (Triple Level Cell). Ομοίως με πριν, εδώ έχουμε 3 bits ανά κελί και άρα θα πρέπει να γνωρίζουμε αν πρόκειται για 000, 100, 110 κλπ. Επομένως, ακόμα και μικρή φθορά στον insulator και διαρροή, θα σημαίνει βλάβη στο δίσκο.
  • QLC (Quad Level Cell). Εδώ έχουμε 4 bits ανά κελί και επομένως 16 συνδιασμούς από 1 και 0 και επομένως ακόμα και η παραμικρή φθορά θα δημιουργήσει πρόβλημα. 
Έτσι γίνεται κατανοητό ότι οι SLC SSD δίσκοι είναι οι πιο αξιόπιστοι - και οι πιο ακριβοί. 

Πώς θα καταλάβω ότι ο δίσκος μου πρόκειται να χτυπήσει?

Θα πρέπει να είστε ιδιαίτερα προσεκτικοί και επιφυλακτικοί όταν δείτε περίεργες συμπεριφορές όπως καθυστερήσεις στη λειτουργία εγγραφής ή ανάγνωσης δεδομένων, αν ξαφνικά ο δίσκος γίνει Read - Only, αν ο Η/Υ δεν bootάρει με την πρώτη ή αργεί να ξεκινήσει, αν σας εμφανίζεται μήνυμα σφάλματος όταν πάτε πχ. να αποθηκεύσετε ένα αρχείο κλπ. Φυσικά, αν δείτε αρχεία να εξαφανίζονται "ως δια μαγείας" από το δίσκο, τώρα ξέρετε τι συμβαίνει και ελπίζουμε να έχετε φροντίσει για αντίγραφα.
Μιας και είπαμε για αντίγραφα,

ΦΡΟΝΤΙΣΤΕ ΝΑ ΕΧΕΤΕ ΚΑΛΟ, ΕΝΗΜΕΡΩΜΕΝΟ Backup!

Είμαστε εταιρία ανάκτησης δεδομένων και έχουμε να αφηγηθούμε κάθε μέρα και από μία ιστορία "τρέλας", με ανθρώπους που είχαν αποθηκευμένα δεδομένα ζωτικής σημασίας σε δίσκους 15ετίας, χωρίς αντίγραφα ασφαλείας.
Μην γίνετε η επόμενη ιστορία μας, σχεδιάστε ένα αξιόπιστο τρόπο για να παίρνετε αντίγραφα ασφαλείας.

Τελικά, δεν μου απαντήσατε, να εμπιστευτώ τον SSD μου?

Σας απαντήσαμε και με το παραπάνω. Τηρείτε αντίγραφα ασφαλείας. Αν ο δίσκος σας είναι οτιδήποτε άλλο εκτός από SLC, οι πιθανότητες είναι να χτυπήσει πριν τη λήξη της εγγύησής του. Σαφές.