Στο προηγούμενο διάστημα, είχαμε πολλά και διάφορα στον τομέα των Ransomware.
Θα μας επιτρέψετε, όμως, να ξεχωρίσουμε και να βάλουμε ως σημαντικότερη είδηση τη συμφωνία συνεργασίας της εταιρίας μας με το NoMoreRansom project (www.nomoreransom.org).
Αποτελεί επιβράβευση των προσπαθειών μας τόσων ετών στην καταπολέμηση των Ransomware και είμαστε ιδιαίτερα περήφανοι για αυτή μας τη συμφωνία.
Πέρα από αυτό, είχαμε πολλά και διάφορα νέα, καινούργια στελέχη, αποκρυπτογραφήσεις...
Ας τα δούμε αναλυτικά:
Χάος με τον Ryuk
Eπιτέθηκε σε δύο εκδοτικές εταιρίες εφημερίδων των ΗΠΑ, οι οποίες αναγκάστηκαν να αναστείλουν την κυκλοφορία των εκδόσεών τους.
Πρόκειται για τις εκδοτικές LA Times και την Tribune Publishing και οι εφημερίδες που επηρεάστηκαν είναι οι Wall Street Journal, New York Times, Los Angeles Times, Chicago Tribune, Baltimore Sun, Lake County News-Sun, Post-Tribune, Hartford Courant, Capital Gazette και Carroll County Times.
Το θέμα πήρε μεγάλες διαστάσεις.
Πάντως, απ' ότι φαίνεται η επιχείρηση ήταν κερδοφόρα, αφού σε ένα τρίμηνο μόνο, οι δημιουργοί του Ryuk κέρδισαν περίπου 400 Bitcoin...
Θυμίζουμε ότι ο Ryuk επιτίθεται μέσω phising σε συγκεκριμένους στόχους, ενώ έχουν αναφερθεί επιθέσεις του και μέσω εκτεθειμένων RDP.
Πρόκειται για τις εκδοτικές LA Times και την Tribune Publishing και οι εφημερίδες που επηρεάστηκαν είναι οι Wall Street Journal, New York Times, Los Angeles Times, Chicago Tribune, Baltimore Sun, Lake County News-Sun, Post-Tribune, Hartford Courant, Capital Gazette και Carroll County Times.
Το θέμα πήρε μεγάλες διαστάσεις.
Πάντως, απ' ότι φαίνεται η επιχείρηση ήταν κερδοφόρα, αφού σε ένα τρίμηνο μόνο, οι δημιουργοί του Ryuk κέρδισαν περίπου 400 Bitcoin...
Θυμίζουμε ότι ο Ryuk επιτίθεται μέσω phising σε συγκεκριμένους στόχους, ενώ έχουν αναφερθεί επιθέσεις του και μέσω εκτεθειμένων RDP.
Στοχευμένες επιθέσεις με τον Target777
To πρωτότυπο με αυτόν είναι ότι εκτός από το γεγονός ότι οι επιθέσεις είναι απολύτως στοχευμένες προς συγκεκριμένους στόχους, μοιάζει να σχεδιάζονται κάθε φορά για τους στόχους αυτούς, αφού χρησιμοποιούν το όνομα του στόχου στα Ransom Notes, στις επεκτάσεις των αρχείων κλπ!
Νέος Ransomware - BooM / hack Facebook 2019
Αυτός είναι Xorist.
Μόλις τρέξει δεν κάνει τίποτα αρχικά και μετά από λίγο εμφανίζει αυτό:
και αυτό
το Pin είναι: 47848486454474431000546876341354
και το Password είναι: M95r2jRwkP87rnWt1p281X1u
Πείτε μας και ένα ευχαριστώ!!
Μόλις τρέξει δεν κάνει τίποτα αρχικά και μετά από λίγο εμφανίζει αυτό:
και αυτό
και το Password είναι: M95r2jRwkP87rnWt1p281X1u
Πείτε μας και ένα ευχαριστώ!!
Νέος LockCrypt
Tοποθετεί την επέκταση id-.LyaS και έχει ένα άθλιο χρωματικό που δυσκολεύεσαι να διαβάσεις τι γράφουν.
Ο Junglesec μολύνει αδιακρίτως Servers μέσω IPMI
Aπό τα μέσα Νοεμβρίου, έχει ξεκινήσει μία εκστρατεία επιμόλυνσης Servers με τον Junglesec Ransomware, ο οποίος εκμεταλλεύεται κενά ασφαλείας του IPMI (Intelligent Platform Management Interface - https://en.wikipedia.org/wiki/Intelligent_Platform_Management_Interface).
Έχουν αναφερθεί θύματα Linux, Windows, μέχρι και MacOS.
Έχουν αναφερθεί θύματα Linux, Windows, μέχρι και MacOS.
Ψάχνουμε: .snatch
Αν κάποιος έχει επιμολυνθεί από τον .Snatch Ransomware να έρθει σε επικοινωνία μαζί μας παρακαλούμε.
Ένας Dharma
Δεν θα μπορούσε να λείπει... Τοποθετεί την επέκταση .bizer.
Nέος Aurora - Nano
Eμφανίστηκε ένας νέος Aurora, τοποθετεί την επέκταση .Nano. Nα θυμίσουμε ότι έχουμε λύση για τον Aurora.
2 εκατομμύρια € είναι πολλά?
Ένας -προφανώς παράφρων- Ιάπωνας (?) δημιούργησε αυτόν τον Ransomware και ζητάει 200 εκατομμύρια γιεν (~2 εκατομμύρια ευρώ) (...) (!!!!).
Εμείς πάλι λέμε ότι θα μείνει με την όρεξη, γιατί ο Ransomware του είναι decryptable.
O MMM είναι ένας παλιός - πολύ παλιός- Ransomware που είχε μπει στην κατάψυξη για χρόνια. Κάποιος προφανώς τον ξύπνησε και τον ονόμασε Reborn.
Το αστείο είναι ότι ζητάει 222 Bitcoin (~$800.000), ή τουλάχιστον αυτό καταλαβαίνουμε από τα άθλια αγγλικά του.
Εμείς πάλι λέμε ότι θα μείνει με την όρεξη, γιατί ο Ransomware του είναι decryptable.
Νέος ΜΜΜ - Reborn
Το αστείο είναι ότι ζητάει 222 Bitcoin (~$800.000), ή τουλάχιστον αυτό καταλαβαίνουμε από τα άθλια αγγλικά του.
Και ένας Scarab
Λείπει ο Μάρτης? Κι αυτός τοποθετεί την επέκταση .nano (όπως και ο νέος Aurora που αναφέραμε παραπάνω). Η εβδομάδα του νάνου?
Το γεγονός ότι костя баранин σημαίνει αρσενικό αρνί, το αφήνουμε ασχολίαστο.
Project57 ή αλλιώς áàðàíèí57
Τοποθετεί την επέκταση .[ti_kozel@lashbania.tv].костя баранин ή ".[ti_kozel@lashbania.tv].êîñòÿ áàðàíèí αν η κωδικοσειρά δεν είναι εγκατεστημένη.
Το γεγονός ότι костя баранин σημαίνει αρσενικό αρνί, το αφήνουμε ασχολίαστο.
Ψάχνουμε: .send.ID[redacted].to.dernesatiko@mail.com.crypted
Αν κάποιος έχει μολυνθεί από αυτόν τον Ransomware, να έρθει σε επικοινωνία μαζί μας. Αφήνει Ransom Note HOW TO DECRYPT FILES.txt.
Nέος Ransomware - Lockify
Eίναι υπό κατασκευή. Τοποθετεί την επέκταση .tunca.
Nέος Ransomware - MindSystemNotRansomware
Θα αφήσουμε την φωτογραφία εδώ να μιλήσει από μόνη της.
Nέος Ransomware - Seon
Διασπείρεται μέσω malvertising αλλά και από το GreenFlashSundown EK.
Τοποθετεί την επέκταση .FIXT
Τοποθετεί την επέκταση .FIXT
Ο Ryuk χτύπησε και την DataResolution.net
Σύμφωνα με την ανακοίνωση:
Cloud hosting provider Dataresolution.net is struggling to bring its systems back online after suffering a ransomware infestation on Christmas Eve, KrebsOnSecurity has learned. The company says its systems were hit by the Ryuk ransomware, the same malware strain that crippled printing and delivery operations for multiple major U.S. newspapers over the weekend.
Cloud hosting provider Dataresolution.net is struggling to bring its systems back online after suffering a ransomware infestation on Christmas Eve, KrebsOnSecurity has learned. The company says its systems were hit by the Ryuk ransomware, the same malware strain that crippled printing and delivery operations for multiple major U.S. newspapers over the weekend.
Λύση για τον FilesLocker
Οι δημιουργοί του FilesLocker, στις 2/1 αποφάσισαν να δημοσιεύσουν το master key για το στέλεχος που τοποθετεί την επέκταση .fileslocker@pm.me .
Φυσικά, την επόμενη ακριβώς ημέρα, εντοπίστηκε νέα έκδοσή του (η 2.1) για την οποία το κλειδί δεν δουλεύει.
Είναι πανομοιότυπος με τον 2.0, μόνο που χρησιμοποιεί άλλο κλειδί.
Δυστυχώς, όπως και ο προκάτοχός του, δεν σπάει, εκτός αν αποφασίσουν να διαρρεύσουν το κλειδί.
Οι δημιουργοί του FilesLocker, στις 2/1 αποφάσισαν να δημοσιεύσουν το master key για το στέλεχος που τοποθετεί την επέκταση .fileslocker@pm.me .
Φυσικά, την επόμενη ακριβώς ημέρα, εντοπίστηκε νέα έκδοσή του (η 2.1) για την οποία το κλειδί δεν δουλεύει.Είναι πανομοιότυπος με τον 2.0, μόνο που χρησιμοποιεί άλλο κλειδί.
Δυστυχώς, όπως και ο προκάτοχός του, δεν σπάει, εκτός αν αποφασίσουν να διαρρεύσουν το κλειδί.
Επίθεση στην Luas
Κάποιος επιτέθηκε στην Luas, εταιρία διαχείρισης των σιδηρογραμμών στην Ιρλανδία.
Πριν μερικές μέρες, κάποιος είχε επιτεθεί στην ιστοσελίδα της εταιρίας και είχε αναρτήσει αυτό:
You are hacked
some time ago i wrote that you have serious security holes
you didn't reply
the next time someone talks to you, press the reply button
you must pay 1 bitcoin in 5 days
otherwise I will publish all data and send emails to your users
btc address: 3FsR4CTUmumBJK12Zk8QRwdpPTJEY11aSX
Κάποιος επιτέθηκε στην Luas, εταιρία διαχείρισης των σιδηρογραμμών στην Ιρλανδία.
Πριν μερικές μέρες, κάποιος είχε επιτεθεί στην ιστοσελίδα της εταιρίας και είχε αναρτήσει αυτό:
Πριν μερικές μέρες, κάποιος είχε επιτεθεί στην ιστοσελίδα της εταιρίας και είχε αναρτήσει αυτό:
You are hacked
some time ago i wrote that you have serious security holes
you didn't reply
the next time someone talks to you, press the reply button
you must pay 1 bitcoin in 5 days
otherwise I will publish all data and send emails to your users
btc address: 3FsR4CTUmumBJK12Zk8QRwdpPTJEY11aSX
Μέχρι αυτή τη στιγμή, η ιστοσελίδα της εταιρίας είναι "κάτω" και εμφανίζει αυτό:
Σύμφωνα πάντως με την εταιρία, δεν υπήρξαν προβλήματα με δρομολόγια ή με διαρροή δεδομένων.
Σύμφωνα πάντως με την εταιρία, δεν υπήρξαν προβλήματα με δρομολόγια ή με διαρροή δεδομένων.
Νέος Ransomware - aes256
H MalwareHunterTeam εντόπισε αυτόν τον Ransomware που τοποθετεί την επέκταση .recovery_email_[retmydata@protonmail.com]_ID_[FCFABBBE].aes256.
Εχουμε λύση.
H MalwareHunterTeam εντόπισε αυτόν τον Ransomware που τοποθετεί την επέκταση .recovery_email_[retmydata@protonmail.com]_ID_[FCFABBBE].aes256.
Να και δύο Paradise
Δυο νέα στελέχη του Paradise εμφανίστηκαν.
Το πρώτο τοποθετεί την επέκταση ._%ID%_{alexbanan@tuta.io}.CORP και το δεύτερο τοποθετεί την επέκταση __{}.VACv2.
Και τα δύο αφήνουν Ransom note με τίτλο "Notes about files.HTML".
Δυο νέα στελέχη του Paradise εμφανίστηκαν.
Το πρώτο τοποθετεί την επέκταση ._%ID%_{alexbanan@tuta.io}.CORP και το δεύτερο τοποθετεί την επέκταση __{}.VACv2.
Το πρώτο τοποθετεί την επέκταση ._%ID%_{alexbanan@tuta.io}.CORP και το δεύτερο τοποθετεί την επέκταση __{}.VACv2.
Και τα δύο αφήνουν Ransom note με τίτλο "Notes about files.HTML".
Αυτά για τώρα! Καλή εβδομάδα και καλή χρονιά σε όλους!
Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
Ευχαριστούμε την BleepingComputer για την παροχή υλικού.