Ήταν από τις πιο busy εβδομάδες των τελευταίων μηνών αυτή που μας πέρασε.
Ξεχωρίζουμε την έξαρση με τον STOP και συγκεκριμένα το στέλεχος tfudet, για το οποίο είχαμε 6 κλήσεις για βοήθεια (στην Ελλάδα), μέσα σε 3 ημέρες.
Είχαμε - φυσικά - νέους Dharma και Scarab και πολλά νέα και παλιά στελέχη.
Ας τα δούμε αναλυτικά:
Χάος με τον STOP
Ξαφνικά, στις αρχές της προηγούμενης εβδομάδας λαμβάνουμε κλήσεις για βοήθεια για ένα άγνωστο - μέχρι εκείνη την ώρα- στέλεχος.
Στην ανάλυση που κάναμε, συνειδητοποιούμε πώς πρόκειται για στέλεχος του STOP για τον οποίο είχαμε να ακούσουμε μήνες, από την εποχή του στελέχους Puma και INFOWAIT.
Έκτοτε, λάβαμε περισσότερες από 15 κλήσεις για βοήθεια για τον συγκεκριμένο Ransomware, κυρίως για τις εκδόσεις .tfudet και .rumba, μέσα στην προηγούμενη εβδομάδα και 6 μέσα στο σ/κ που μας πέρασε.
ΝΑ ΠΟΥΜΕ ΟΤΙ ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΓΙΑ ΤΑ ΣΤΕΛΕΧΗ ΑΥΤΑ, υπό προϋποθέσεις. Συγκεκριμένα, αν ο μολυσμένος Η/Υ δεν έχει γίνει επανεκκίνηση, έχουμε καλές πιθανότητες να τα αποκρυπτογραφήσουμε.
Αν έχει γίνει επανεκκίνηση, τότε μπορούμε να αποκρυπτογραφήσουμε αρχεία τύπου .doc, .xls και .pdf. Όχι όμως άλλου τύπου αρχεία.
Θυμίζουμε ότι ο STOP διασπείρεται μέσω σπασμένων προγραμμάτων και torrent sites.
Στην ανάλυση που κάναμε, συνειδητοποιούμε πώς πρόκειται για στέλεχος του STOP για τον οποίο είχαμε να ακούσουμε μήνες, από την εποχή του στελέχους Puma και INFOWAIT.
Έκτοτε, λάβαμε περισσότερες από 15 κλήσεις για βοήθεια για τον συγκεκριμένο Ransomware, κυρίως για τις εκδόσεις .tfudet και .rumba, μέσα στην προηγούμενη εβδομάδα και 6 μέσα στο σ/κ που μας πέρασε.
ΝΑ ΠΟΥΜΕ ΟΤΙ ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΓΙΑ ΤΑ ΣΤΕΛΕΧΗ ΑΥΤΑ, υπό προϋποθέσεις. Συγκεκριμένα, αν ο μολυσμένος Η/Υ δεν έχει γίνει επανεκκίνηση, έχουμε καλές πιθανότητες να τα αποκρυπτογραφήσουμε.
Αν έχει γίνει επανεκκίνηση, τότε μπορούμε να αποκρυπτογραφήσουμε αρχεία τύπου .doc, .xls και .pdf. Όχι όμως άλλου τύπου αρχεία.
Νέος Matrix
O Michael Gillespie εντόπισε ένα νέο στέλεχος του Matrix που τοποθετεί την επέκταση .GRHAN.
Δεν υπάρχει κάτι καινούργιο απ' ότι είδαμε πάντως.
Δεν υπάρχει κάτι καινούργιο απ' ότι είδαμε πάντως.
Νέος Jigsaw
Ένα γαλλικό αλλά εντελώς βαρετό στέλεχος του Jigsaw εμφανίστηκε, που τοποθετεί την επέκταση .data. Και είναι βαρετό, γιατί ενώ ο Jigsaw μας είχε συνηθίσει σε εντυπωσιακά background, αυτός έχει ένα μαύρο τετράγωνο.
Νέος Ransomware - Trumphead
Μοιάζει να είναι υπό κατασκευή αυτός, ο οποίος περιέχει κείμενα που προσομοιάζουν πολύ ... τον Τραμπ...
"We are the best. No one has ever seen such a hacker group as we are".
Νέος Scarab - zzzzzzzz
Νέος Ransomware προσπαθεί να κάνει phising το paypal
Ένας νέος, υπό κατασκευή Ransomware έκανε την εμφάνισή του, ο οποίος έχει την καινοτομία ότι στο Ransom Note προσπαθεί να κλέψει τα στοιχεία της πιστωτικής κάρτας του θύματος του μέσω Phising.
Συγκεκριμένα, ο εν λόγω Ransomware, ο οποίος ναι μεν λειτουργεί καλά αλλά δεν είναι κάτι φοβερό, έχει έξυπνο Ransom Note, στο οποίο εκτός από τον παραδοσιακό τρόπο πληρωμής με Bitcoin, προσφέρει και την επιλογή πληρωμής μέσω Paypal.
Αν κάποιος επιλέξει να πληρώσει μέσω Paypal, τότε τον πηγαίνει σε μία phising σελίδα (στην οποία έχουν κάνει ομολογουμένως πολύ καλή δουλειά) η οποία μοιάζει καταπληκτικά με την αντίστοιχη του κανονικού Paypal, όμως στην πραγματικότητα είναι η http://ppyc-ve0rf.890m.com/s2[.]php.
Όταν το θύμα συμπληρώσει τα στοιχεία του, τότε τον πηγαίνει στο κανονικό Paypal page για τα περαιτέρω, εντωμεταξύ όμως οι κακοποιοί έχουν υποκλέψει τα στοιχεία της πιστωτικής κάρτας και του Paypal του θύματος.
Αν κάποιος επιλέξει να πληρώσει μέσω Paypal, τότε τον πηγαίνει σε μία phising σελίδα (στην οποία έχουν κάνει ομολογουμένως πολύ καλή δουλειά) η οποία μοιάζει καταπληκτικά με την αντίστοιχη του κανονικού Paypal, όμως στην πραγματικότητα είναι η http://ppyc-ve0rf.890m.com/s2[.]php.
Όταν το θύμα συμπληρώσει τα στοιχεία του, τότε τον πηγαίνει στο κανονικό Paypal page για τα περαιτέρω, εντωμεταξύ όμως οι κακοποιοί έχουν υποκλέψει τα στοιχεία της πιστωτικής κάρτας και του Paypal του θύματος.
Το Facepalm της εβδομάδας
Το είδαμε κι αυτό.
Πρόκειται για τον Israbye Ransomware o οποίος, καταρχήν επαναλαμβάνει τον εαυτό του στην επέκταση των κρυπτογραφημένων δεδομένων:
Πρόκειται για τον Israbye Ransomware o οποίος, καταρχήν επαναλαμβάνει τον εαυτό του στην επέκταση των κρυπτογραφημένων δεδομένων:
Δεύτερον, αν το τρέξει κανείς δεύτερη φορά, θα αποκρυπτογραφηθούν τα αρχεία μόνα τους, αφού τα κάνει XOR με hardcoded κλειδί. 
Nέος Paradise
Τοποθετεί την επέκταση _%ID%_{admin@prt-decrypt.xyz}.xyz.
Ψάχνουμε: .obfuscated
Aν κάποιος εκεί έξω έχει μολυνθεί με αυτό, να έρθει σε επικοινωνία μαζί μας.
Kι όμως είναι ζωντανός. Χάκαραν μία γαλλική ιστοσελίδα και τον διένειμαν μέσω αυτής.
ΕΧΟΥΜΕ ΛΥΣΗ ΓΙΑ ΑΥΤΟΝ
Νέος Jobcrypter
Νέος Ransomware - Anatova
Αυτός ζητάει πληρωμή σε Dash. Τον κοιτάμε.
Ο BlackRouter προς πώληση
Πρόκειται για τον BlackHeart με καλύτερο GUI.
Βρίσκεται προς πώληση με μόλις 20% προμήθεια στο Dark Web.
Μάλιστα, εντοπίστηκε να προωθείται σε ένα κανάλι του Telegram από κάποιον Ιρανό.
Βρίσκεται προς πώληση με μόλις 20% προμήθεια στο Dark Web.
Μάλιστα, εντοπίστηκε να προωθείται σε ένα κανάλι του Telegram από κάποιον Ιρανό.
Νέος Ransomware - 7Zip - AES
Ένα νέο στέλεχος του 7zip εμφανίστηκε την προηγούμενη παρασκευή. Αφήνει την επέκταση .aes.
Nέος Ransomware - Xcry
Αυτός είναι γραμμένος σε Nim (!). Τοποθετεί την επέκταση .xcry7684.
Nέος Ransomware - Oscar Venom
Eίναι Jigsaw. Τοποθετεί την επέκταση .venom.
Μιας και μιλάμε για Jigsaw
Δείτε αυτήν την επέκταση:
Νέοι Dharma
O ένας τοποθετεί την επέκταση .gif και ο άλλος την επέκταση .phobos. Ως συνήθως δεν είναι decryptable. :(
Νέος DCRTR-WDM
Αφήνει Ransom Note που είναι το εξής.
Αφήνει Ransom Note που είναι το εξής.
Νέος Ransomware - James
Τοποθετεί την επέκταση .James και το αστείο είναι ότι αν δημιουργήσεις έναν φάκελο /Windows/James και το τρέξεις, κρασάρει και μπαίνει σε λούπα.
Τοποθετεί την επέκταση .James και το αστείο είναι ότι αν δημιουργήσεις έναν φάκελο /Windows/James και το τρέξεις, κρασάρει και μπαίνει σε λούπα.
Νέος Ransomware - RickRoll Locker
Toποθετεί την επέκταση .cryptoid. Μοιάζει να είναι Aurora. Το κοιτάμε.
Toποθετεί την επέκταση .cryptoid. Μοιάζει να είναι Aurora. Το κοιτάμε.
Νέος Bitpaymer
Tελειωμό δεν έχουν τα νέα στελέχη αυτής της εβδομάδας.
Αυτός είναι Bitpaymer που τοποθετεί την επέκταση .locked.
Tελειωμό δεν έχουν τα νέα στελέχη αυτής της εβδομάδας.
Αυτός είναι Bitpaymer που τοποθετεί την επέκταση .locked.
Αυτός είναι Bitpaymer που τοποθετεί την επέκταση .locked.
Αυτά για τώρα! Καλή εβδομάδα και καλή χρονιά σε όλους!
Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
Ευχαριστούμε την BleepingComputer για την παροχή υλικού.