28/1/19

Τα νέα των Ransomware, 28/1/2019

Δεν έχει σταματημό ο STOP, με δεκάδες θύματα στην Ελλάδα. Δεχόμαστε καθημερινά κλήσεις και μηνύματα σχετικά με αυτόν τον Ransomware και θέλουμε να επαναλάβουμε πώς:
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΓΙΑ ΤΑ ΣΤΕΛΕΧΗ ΑΥΤΑ, υπό προϋποθέσεις. Συγκεκριμένα, αν ο μολυσμένος Η/Υ δεν έχει επανεκκινηθεί, έχουμε καλές πιθανότητες να τα αποκρυπτογραφήσουμε.
Αν έχει γίνει επανεκκίνηση, τότε ίσως μπορούμε να αποκρυπτογραφήσουμε αρχεία τύπου .doc, .xls και .pdf. Όχι όμως άλλου τύπου αρχεία.

Κατά τ' άλλα, ήταν μια τυπική εβδομάδα με Dharma, Scarab και Matrix και πολλά υπό κατασκευή στελέχη.

Ας τα δούμε αναλυτικά:


Νέοι Dharma

Ο πρώτος εμφανίστηκε την προηγούμενη Δευτέρα και τοποθετεί την επέκταση .AUF.
Δύο μέρες αργότερα, εμφανίστηκαν άλλοι 3. Τοποθετούν τις επεκτάσεις .USA, xwx και .best.

Νέος Matrix

O Michael Gillespie εντόπισε ένα νέο στέλεχος του Matrix που τοποθετεί την επέκταση .GMBN.
Την επόμενη, εντοπίστηκε και άλλο ένα στέλεχος που τοποθετεί την επέκταση .SPCT.

Ανησυχία με τον Anatova

Αυτός έχει κάνει εντύπωση και έχει προκαλέσει ανησυχία, μιας και έχει δυνατότητα υποστήριξης modules τα οποία θα μπορούσαν να τον κάνουν "ελβετικό σουγιά" για τους malware developers. Θα επανέλθουμε εντός των ημερών με νέο άρθρο για τον τρόπο λειτουργίας του αναλυτικά.




Νέος Ransomware - JSWorm

Τοποθετεί την επέκταση .JSWorm. Ο δημιουργός του δεν έχει προβλέψει στον κώδικα το ενδεχόμενο να μην μπορεί να φύγει το email που του στέλνει, με αποτέλεσμα αν η αποστολή αποτύχει, η αποκρυπτογράφηση θα είναι αδύνατη από τον ίδιο, αφού δεν θα έχει το κλειδί :s

Απ΄ ότι είδαμε, έχουμε πολλές πιθανότητες αποκρυπτογράφησης.



Νέος Xorist που στέλνει SMS!

Τοποθετεί την επέκταση .vaca. Απ' ότι φαίνεται στον κώδικα, έχει ενσωματωμένη δυνατότητα να στέλνει SMS με το κλειδί σε έναν συγκεκριμένο αριθμό.




Κι άλλος Dharma

Και πέμπτος για αυτήν την εβδομάδα...
Τοποθετεί την επέκταση .heets

O Dennis το παίζει

Κάποιος ονόματι Dennis από τη Γερμανία παίζει με τον HiddenTear.
Τον ονομάζει BSS και τοποθετεί επέκταση .bss_locked. 






Τους λείπουν $40 

Ένας νέος Ransomware ονόματι Cyspt που μάλλον βασίζεται στον AresCrypt, εμφανίστηκε. Τοποθετεί την επέκταση .OOFNIK.
Ζητάει $40...





Νέος Scarab

Toποθετεί την επέκταση .GEFEST. Τίποτα καινούργιο.



Αγνώστων στοιχείων

Τοποθετεί την επέκταση .locked (πολύ πρωτότυπο). Δεν ξέρουμε πολλά ακόμα για αυτόν.




Αυτά για τώρα! Καλή εβδομάδα σε όλους!


Ευχαριστούμε την BleepingComputer για την παροχή υλικού.