29/1/19

Προσοχή με τον GandCrab 5.1

ΟΙ ΕΞΟΔΟΙ ΚΙΝΔΥΝΟΥ ΚΡΥΒΟΥΝ ΜΠΕΛΑΔΕΣ...


O GandCrab 5.1 διασπείρεται με νέα καμπάνια malspam, η οποία προωθείται από τον ίδιο server ο οποίος μέχρι πρόσφατα προωθούσε το Ursnif banking trojan.

Δείτε πως λειτουργεί η καμπάνια.

Το υποψήφιο θύμα λαμβάνει ένα email το οποίο έχει επισυναπτόμενο ένα παγιδευμένο αρχείο Word. 
Το email έχει ως αποστολέα κάποια Rosie L. Ashton και θέμα "Up to date emergency exit map" και υποτίθεται ότι περιέχει τα σχέδια του κτιρίου του θύματος με τις εξόδους κινδύνου.




Αν ανοίξουμε το επισυναπτόμενο βλέπουμε αυτό:

δηλαδή μόνο τις λέξεις Emergency exit map και την προειδοποίηση ότι οι μακροεντολές είναι απενεργοποιημένες, με την προτροπή να τις ενεργοποιήσουμε.

Αν ενεργοποιήσουμε τις μακροεντολές, (ΚΑΤΙ ΠΟΥ ΔΕΝ ΘΑ ΠΡΕΠΕΙ ΠΟΤΕ ΝΑ ΚΑΝΕΤΕ, ΙΔΙΩΣ ΑΝ ΔΕΝ ΕΙΣΤΕ 10000% ΣΙΓΟΥΡΟΙ ΓΙΑ ΤΟ ΠΕΡΙΕΧΟΜΕΝΟ ΤΟΥ ΑΡΧΕΙΟΥ ΚΑΙ 1000000% ΣΙΓΟΥΡΟΙ ΓΙΑ ΤΟ ΤΙ ΚΑΝΕΤΕ)

τότε θα εκτελεστεί ένα powershell script το οποίο κατεβάζει και εγκαθιστά τον GandCrab 5.1.

Το σκριπτάκι είναι κωδικοποιημένο, έτσι ώστε να μην εξαρχής σαφές για το τι κάνει:




Αν το αποκωδικοποιήσουμε, θα δούμε ότι κατεβάζει ένα αρχείο που λέγεται putty.exe (που φυσικά δεν έχει καμία σχέση με το γνωστό putty) από τη διεύθυνση http://cameraista.com/olalala/putty.exe, το σώζει στο C:\Windows\temp\putty.exe και το εκτελεί:



Όταν εκτελεστεί το putty.exe, θα κρυπτογραφήσει όλα τα αρχεία του υπολογιστή:



και αφήνει σε κάθε φάκελο το αντίστοιχο Ransom Note



Δυστυχώς, δεν είναι δυνατή η αποκρυπτογράφηση του GandCrab 5.1.
Θα επαναλάβουμε πώς δεν πρέπει να ανοίγετε επισυναπτόμενα εκτός αν επιβεβαιώσετε ότι το email προοριζόταν για εσας ακόμα και αν ο αποστολέας είναι γνωστός σας, καθώς μπορεί να έχει μολυνθεί ή να πρόκειται για spoof.
Έχετε εγκατεστημένο και ανανεωμένο κάποιο καλό λογισμικό antivirus.

Διαβάστε τον οδηγό μας για την πρόληψη των Ransomware: https://northwind-data-recovery.blogspot.com/2017/03/odigos-apofigis-ransomware.html



Ευχαριστούμε την BleepingComputer για την παροχή υλικού.

28/1/19

Τα νέα των Ransomware, 28/1/2019

Δεν έχει σταματημό ο STOP, με δεκάδες θύματα στην Ελλάδα. Δεχόμαστε καθημερινά κλήσεις και μηνύματα σχετικά με αυτόν τον Ransomware και θέλουμε να επαναλάβουμε πώς:
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΓΙΑ ΤΑ ΣΤΕΛΕΧΗ ΑΥΤΑ, υπό προϋποθέσεις. Συγκεκριμένα, αν ο μολυσμένος Η/Υ δεν έχει επανεκκινηθεί, έχουμε καλές πιθανότητες να τα αποκρυπτογραφήσουμε.
Αν έχει γίνει επανεκκίνηση, τότε ίσως μπορούμε να αποκρυπτογραφήσουμε αρχεία τύπου .doc, .xls και .pdf. Όχι όμως άλλου τύπου αρχεία.

Κατά τ' άλλα, ήταν μια τυπική εβδομάδα με Dharma, Scarab και Matrix και πολλά υπό κατασκευή στελέχη.

Ας τα δούμε αναλυτικά:


Νέοι Dharma

Ο πρώτος εμφανίστηκε την προηγούμενη Δευτέρα και τοποθετεί την επέκταση .AUF.
Δύο μέρες αργότερα, εμφανίστηκαν άλλοι 3. Τοποθετούν τις επεκτάσεις .USA, xwx και .best.

Νέος Matrix

O Michael Gillespie εντόπισε ένα νέο στέλεχος του Matrix που τοποθετεί την επέκταση .GMBN.
Την επόμενη, εντοπίστηκε και άλλο ένα στέλεχος που τοποθετεί την επέκταση .SPCT.

Ανησυχία με τον Anatova

Αυτός έχει κάνει εντύπωση και έχει προκαλέσει ανησυχία, μιας και έχει δυνατότητα υποστήριξης modules τα οποία θα μπορούσαν να τον κάνουν "ελβετικό σουγιά" για τους malware developers. Θα επανέλθουμε εντός των ημερών με νέο άρθρο για τον τρόπο λειτουργίας του αναλυτικά.




Νέος Ransomware - JSWorm

Τοποθετεί την επέκταση .JSWorm. Ο δημιουργός του δεν έχει προβλέψει στον κώδικα το ενδεχόμενο να μην μπορεί να φύγει το email που του στέλνει, με αποτέλεσμα αν η αποστολή αποτύχει, η αποκρυπτογράφηση θα είναι αδύνατη από τον ίδιο, αφού δεν θα έχει το κλειδί :s

Απ΄ ότι είδαμε, έχουμε πολλές πιθανότητες αποκρυπτογράφησης.



Νέος Xorist που στέλνει SMS!

Τοποθετεί την επέκταση .vaca. Απ' ότι φαίνεται στον κώδικα, έχει ενσωματωμένη δυνατότητα να στέλνει SMS με το κλειδί σε έναν συγκεκριμένο αριθμό.



21/1/19

Τα νέα των Ransomware, 21/1/2019

Γύρισαν από τις διακοπές τους οι Ransomware Developers και προκάλεσαν χάος.
Ήταν από τις πιο busy εβδομάδες των τελευταίων μηνών αυτή που μας πέρασε.

Ξεχωρίζουμε την έξαρση με τον STOP και συγκεκριμένα το στέλεχος tfudet, για το οποίο είχαμε 6 κλήσεις για βοήθεια (στην Ελλάδα), μέσα σε 3 ημέρες.

Είχαμε - φυσικά - νέους Dharma και Scarab και πολλά νέα και παλιά στελέχη.

Ας τα δούμε αναλυτικά:


Χάος με τον STOP

Ξαφνικά, στις αρχές της προηγούμενης εβδομάδας λαμβάνουμε κλήσεις για βοήθεια για ένα άγνωστο - μέχρι εκείνη την ώρα- στέλεχος.
Στην ανάλυση που κάναμε, συνειδητοποιούμε πώς πρόκειται για στέλεχος του STOP για τον οποίο είχαμε να ακούσουμε μήνες, από την εποχή του στελέχους Puma και INFOWAIT.


Έκτοτε, λάβαμε περισσότερες από 15 κλήσεις για βοήθεια για τον συγκεκριμένο Ransomware, κυρίως για τις εκδόσεις .tfudet και .rumba, μέσα στην προηγούμενη εβδομάδα και 6 μέσα στο σ/κ που μας πέρασε.

ΝΑ ΠΟΥΜΕ ΟΤΙ ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΓΙΑ ΤΑ ΣΤΕΛΕΧΗ ΑΥΤΑ, υπό προϋποθέσεις. Συγκεκριμένα, αν ο μολυσμένος Η/Υ δεν έχει γίνει επανεκκίνηση, έχουμε καλές πιθανότητες να τα αποκρυπτογραφήσουμε.
Αν έχει γίνει επανεκκίνηση, τότε μπορούμε να αποκρυπτογραφήσουμε αρχεία τύπου .doc, .xls και .pdf. Όχι όμως άλλου τύπου αρχεία.




Θυμίζουμε ότι ο STOP διασπείρεται μέσω σπασμένων προγραμμάτων και torrent sites. 

Νέος Matrix

O Michael Gillespie εντόπισε ένα νέο στέλεχος του Matrix που τοποθετεί την επέκταση .GRHAN.
Δεν υπάρχει κάτι καινούργιο απ' ότι είδαμε πάντως.

Νέος Jigsaw

Ένα γαλλικό αλλά εντελώς βαρετό στέλεχος του Jigsaw εμφανίστηκε, που τοποθετεί την επέκταση .data. Και είναι βαρετό, γιατί ενώ ο Jigsaw μας είχε συνηθίσει σε εντυπωσιακά background, αυτός έχει ένα μαύρο τετράγωνο.




Νέος Ransomware - Trumphead

Μοιάζει να είναι υπό κατασκευή αυτός, ο οποίος περιέχει κείμενα που προσομοιάζουν πολύ ... τον Τραμπ...



"We are the best. No one has ever seen such a hacker group as we are".

Νέος Scarab - zzzzzzzz

Όχι κάτι καινούργιο. Είχαμε πάντως αρκετά θύματα και στην Ελλάδα.



7/1/19

Τα νέα των Ransomware, 7/1/2019

Καλή χρονιά σε όλους!

Στο προηγούμενο διάστημα, είχαμε πολλά και διάφορα στον τομέα των Ransomware.

Θα μας επιτρέψετε, όμως, να ξεχωρίσουμε και να βάλουμε ως σημαντικότερη είδηση τη συμφωνία συνεργασίας της εταιρίας μας με το NoMoreRansom project (www.nomoreransom.org).

Αποτελεί επιβράβευση των προσπαθειών μας τόσων ετών στην καταπολέμηση των Ransomware και είμαστε ιδιαίτερα περήφανοι για αυτή μας τη συμφωνία.

Πέρα από αυτό, είχαμε πολλά και διάφορα νέα, καινούργια στελέχη, αποκρυπτογραφήσεις...

Ας τα δούμε αναλυτικά:


Χάος με τον Ryuk

Eπιτέθηκε σε δύο εκδοτικές εταιρίες εφημερίδων των ΗΠΑ, οι οποίες αναγκάστηκαν να αναστείλουν την κυκλοφορία των εκδόσεών τους.
Πρόκειται για τις εκδοτικές LA Times και την Tribune Publishing και οι εφημερίδες που επηρεάστηκαν είναι οι Wall Street Journal, New York Times, Los Angeles Times, Chicago Tribune, Baltimore Sun, Lake County News-Sun, Post-Tribune, Hartford Courant, Capital Gazette και Carroll County Times.


Το θέμα πήρε μεγάλες διαστάσεις.

Πάντως, απ' ότι φαίνεται η επιχείρηση ήταν κερδοφόρα, αφού σε ένα τρίμηνο μόνο, οι δημιουργοί του Ryuk κέρδισαν περίπου 400 Bitcoin...



Θυμίζουμε ότι ο Ryuk επιτίθεται μέσω phising σε συγκεκριμένους στόχους, ενώ έχουν αναφερθεί επιθέσεις του και μέσω εκτεθειμένων RDP.

Στοχευμένες επιθέσεις με τον Target777

To πρωτότυπο με αυτόν είναι ότι εκτός από το γεγονός ότι οι επιθέσεις είναι απολύτως στοχευμένες προς συγκεκριμένους στόχους, μοιάζει να σχεδιάζονται κάθε φορά για τους στόχους αυτούς, αφού χρησιμοποιούν το όνομα του στόχου στα Ransom Notes, στις επεκτάσεις των αρχείων κλπ!

Νέος Ransomware - BooM / hack Facebook 2019

Αυτός είναι Xorist.
Μόλις τρέξει δεν κάνει τίποτα αρχικά και μετά από λίγο εμφανίζει αυτό:

και αυτό


το Pin είναι: 47848486454474431000546876341354
και το Password είναι: M95r2jRwkP87rnWt1p281X1u

Πείτε μας και ένα ευχαριστώ!!

Νέος LockCrypt

Tοποθετεί την επέκταση id-.LyaS και έχει ένα άθλιο χρωματικό που δυσκολεύεσαι να διαβάσεις τι γράφουν.


Ο Junglesec μολύνει αδιακρίτως Servers μέσω IPMI

Aπό τα μέσα Νοεμβρίου, έχει ξεκινήσει μία εκστρατεία επιμόλυνσης Servers με τον Junglesec Ransomware, ο οποίος εκμεταλλεύεται κενά ασφαλείας του IPMI (Intelligent Platform Management Interface - https://en.wikipedia.org/wiki/Intelligent_Platform_Management_Interface).
Έχουν αναφερθεί θύματα Linux, Windows, μέχρι και MacOS.