22/3/19

Η εξέλιξη των σκληρών δίσκων - Ιστορική αναδρομή με ημερομηνίες (photos)

Έχουν περάσει 63 χρόνια από τη μέρα που η ΙΒΜ παρουσίασε τον πρώτο σκληρό δίσκο στον κόσμο, τον ΙΒΜ 350.

Ήταν το 1956, όταν η ΙΒΜ ανακοίνωσε ότι μπορεί να επινοικιάσει τον 350 σε όποιον το ήθελε (είχε μέγεθος μεγάλης ντουλάπας), για το διόλου ευκαταφρόνητο ποσό την εποχή εκείνη των ~$3.000 / μήνα.

Να σημείωσουμε ότι η χωρητικότητα του ΙΒΜ 350 ήταν 3.75ΜΒ (MegaByte).


O IBM 350

19/3/19

ΕΚΤΑΚΤΟ! Κενό του WinRAR διασπείρει Ransomware!

ΚΕΝΟ ΑΣΦΑΛΕΙΑΣ ΤΟΥ WINRAR ΔΙΑΣΠΕΙΡΕΙ ΤΟΝ JNEC RANSOMWARE!


Στις 22/2/2019 έγινε γνωστό ότι υπάρχει ένα κενό ασφαλείας στη δημοφιλή εφαρμογή WinRAR, το οποίο κενό, μάλιστα, θεωρείται ότι υφίσταται από το 1999!

Συγκεκριμένα, το κενό ασφαλείας αυτό, επιτρέπει στους επιτιθέμενους να αποκτήσουν πλήρη πρόσβαση στον Η/Υ του θύματος, χρησιμοποιώντας τεχνικές RCE (Remote Code Execution). 

Στις 18/3/2019, περίπου 3 εβδομάδες μετά την ανακοίνωση του κενού ασφαλείας, εντοπίστηκε νέος Ransomware, ο οποίος ονομάζεται JNEC.a και διασπείρεται όταν το θύμα δοκιμάσει να αποσυμπιέσει το .rar αρχείο που θα λάβει, με έκδοση του WinRAR η οποία είναι ευάλωτη.

Ουσιαστικά ευάλωτες θεωρούνται όλες οι εκδόσεις του WinRAR από την 5.70 και πίσω (με την 5.70 να θεωρείται καθαρή).

Ο τρόπος με τον οποίο λειτουργεί ο συγκεκριμένος Ransomware έχει ενδιαφέρον, καθώς ο επιτιθέμενος δελεάζει τα θύματά του χρησιμοποιώντας μια "σπασμένη" φωτογραφία μίας κοπέλας. 



Το WinRAR θα εμφανίσει μήνυμα σφάλματος, ο χρήστης δεν θα δώσει ιδιαίτερη σημασία, όμως το κακό έχει γίνει και ο JNEC έχει ήδη εγκατασταθεί.


Το δεύτερο σημείο που έχει ενδιαφέρον με αυτόν τον Ransomware, είναι το γεγονός ότι ο επιτιθέμενος ζητάει από τα θύματά του να δημιουργήσουν έναν λογαριασμό GMAIL στον οποίο θα στείλει τα αιτήματά του για λύτρα.

Στο Ransom Note αναφέρεται ξεκάθαρα αυτή του η απαίτηση:


Το Ransomware εκμεταλλεύεται το κενό ασφαλείας του WinRAR και τοποθετεί το κακόβουλο λογισμικό στην εκκίνηση των Windows, ονομάζοντάς το GoogleUpdate.exe 


Kαι σαν να μην έφταναν όλα αυτά, ο ίδιος ο κώδικας του JNEC είναι τόσο κακογραμμένος, που ούτε ο ίδιος ο δημιουργός του θα μπορούσε να τον αποκρυπτογραφήσει (συν τοις άλλοις κρυπτογραφεί όλα τα αρχεία στο σύνολό τους, με αποτέλεσμα να θέλει ώρες αν όχι μέρες για να ολοκληρώσει την κρυπτογράφηση). Βάσει αυτού, ο συγκεκριμένος Ransomware θεωρείται wiper, καθώς δεν υπάρχει τρόπος αποκρυπτογράφησης, ακόμα και αν έχει κάποιος το κλειδί (ή ακόμα και να είναι ο ίδιος ο δημιουργός του κακόβουλου λογισμικού).
Γι'αυτό, μεγάλη προσοχή σε όλους!

ΤΙ ΠΡΕΠΕΙ ΝΑ ΚΑΝΕΤΕ


Ανανεώστε τις εκδόσεις του WinRAR σε όλους τους Η/Υ σας, έτσι ώστε η έκδοσή του να είναι η 5.70 ή νεότερη.
Μπορείτε να κάνετε την ανανέωση από εδώ.

18/3/19

Τα νέα των Ransomware, 18/3/19

Εκεί που είχε ηρεμήσει για λίγο, ο STOP επανεμφανίστηκε με 5 6 7 8 διαφορετικά στελέχη, μέσα σε μία εβδομάδα και μάλιστα χρησιμοποιώντας ακόμα πιο επιθετικές τακτικές.

Είχαμε επίσης λύση για τον BigBobRoss (δεν έχουμε δει, πάντως,θύματα στην Ελλάδα ακόμα) και πολλές νέες παραλλαγές από γνωστά στελέχη.
Κάθε φορά που κάποιος μας λέει ότι το Ransomware πέθανε ένα Blockchain κάπου στην Κορέα γελάει ηχηρά. 


Ας τα δούμε αναλυτικά:

O Hermes χτυπάει το Jackson County της Georgia, παίρνει $400.000!

Στις 6/3/2019, ο Hermes με ... ολίγη από Ryuk (επρόκειτο για στέλεχος που ήταν μείγμα των δύο) χτύπησε το Jackson County στην Georgia των ΗΠΑ, γονατίζοντας στην κυριολεξία όλες τις υπηρεσίες της πόλης.
Από σχετική ανακοίνωση, φαίνεται ότι οι υπεύθυνοι αποφάσισαν και πλήρωσαν τα λύτρα, τα οποία ανέρχονται σε $400.000. 





O STOP εγκαθιστά και Trojan με σκοπό την υποκλοπή προσωπικών στοιχείων

Πέρα από τα 10 νέα στελέχη STOP που είχαμε αυτήν την εβδομάδα (βλ. παρακάτω), διαπιστώσαμε ανησυχία ότι ο STOP πλέον εγκαθιστά και τον Azorult, ο οποίος είναι ένα Trojan το οποίο υποκλέπτει από το θύμα προσωπικά στοιχεία, όπως κωδικούς πρόσβασης, ιστορικό περιήγησης, συνομιλίες στο Skype, πορτοφόλια κρυπτονομισμάτων, αρχεία xls και άλλα πολλά.  


Μιας και είναι αδύνατον να γνωρίζουμε από πότε συμβαίνει αυτό, παρακαλούμε όλα τα θύματα του STOP (οποιαδήποτε έκδοση, οποιοδήποτε στέλεχος/οικογένεια) να πάρουν ΑΜΕΣΑ τα παρακάτω μέτρα:

  • Αλλαγή ΟΛΩΝ των κωδικών πρόσβασης για όλους τους online λογαριασμούς καθώς και τους κωδικούς του Η/Υ αν υπάρχουν. ΟΛΟΙ οι κωδικοί που αποθηκεύονται από το πρόγραμμα περιήγησης, θα πρέπει να θεωρούνται εκτεθειμένοι.
  • Αλλαγή όλων των κωδικών πρόσβασης για λογισμικά όπως το Skype, το Telegram το Steam κλπ.
  • Αλλαγή όλων των κωδικών πρόσβασης για τυχόν λογισμικά FTP (Filezilla κλπ).
  • Αρχεία με ευαίσθητα προσωπικά δεδομένα που βρίσκονται στην επιφάνεια εργασίας ή αλλού, θα πρέπει να θεωρούνται εκτεθειμένα. Αν υπήρχαν αρχεία που περιλαμβάνουν κωδικούς πρόσβασης, θα πρέπει να αλλαχτούν άμεσα.


Λύση για τον BigBobRoss

Αν και δεν είχαμε αναφορά θυμάτων στην Ελλάδα από τον συγκεκριμένο Ransomware, πλέον υπάρχει λύση. Η Emsisoft ανακοίνωσε την εξεύρεση λύσης και λίγο αργότερα ακολούθησε και η Avast. Το Ransom Note του εν λόγω Ransomware είναι αυτό:


Αν κάποιος έχει μολυνθεί, ας επικοινωνήσει με την Emsisoft ή μαζί μας.

Νέοι STOP

O STOP, που θεωρείται ίσως ο πιο δραστήριος Ransomware των τελευταίων μηνών, με πολλά θύματα και στην Ελλάδα, μας είχε συνηθίσει να εμφανίζει ένα τουλάχιστον νέο στέλεχος ανά εβδομάδα.
Τις προηγούμενες 20 μέρες υπήρχε μια ησυχία, αλλά μάλλον ήταν η ησυχία πριν την καταιγίδα. Την εβδομάδα που μας πέρασε, πλησίασε τα 10 νέα στελέχη.

Με τη σειρά:
Επέκταση .promorad2 με προέλευση / στοχεύει: Βραζιλία.
Επέκταση .kroput ομοίως με από πάνω.
Πρόκειται για την οικογένεια DJVU.


Επέκταση .kroput1, .pulsar1 και .charck, επίσης της οικογένειας DJVU.

Επέκταση .kropun και .klope της οικογένειας ZzZzZ.

Επέκταση .lastrop της οικογένειας Gilette.

Να και ένας Dharma

Toποθετεί την επέκταση .NWA.


Καπάκι και ένας ακόμα, το κακόβουλο έχει  την ομομασία payload.exe και τοποθετεί την επέκταση .azero.

Kαι τρικάπακο, και ένας τρίτος που τοποθετεί την επέκταση .com.

Ο Yatron προμοτάρεται ως RaaS

Ένας νέος RaaS (Ransomware-As-A-Service) προμοτάρεται μέχρι και μέσω Twitter (!) ότι χρησιμοποιεί το EternalBlue της NSA για να διασπείρει τον εαυτό του μέσω δικτύου. Ισχυρίζεται ότι διαγράφει επιτυχώς αρχεία μετά από x χρόνο αν δεν καταβληθούν τα  λύτρα.
Είναι ανησυχητικό, καθώς από ότι είδαμε, κάνει αυτά που υπόσχεται.




3/3/19

Τα νέα των Ransomware, 4/3/2019

Πολλά και διάφορα είχαμε το διάστημα που μεσολάβησε από την προηγούμενη αναφορά μας.
Είχαμε λύση για τον GandCrab, είχαμε έναν Ransomware που στοχεύει servers που τρέχουν Linux/PHP, είχαμε και πάρα πολλά νέα στελέχη.

Ας τα δούμε αναλυτικά:

Νέος Jigsaw - DeltaSEC

Αυτός δεν κρυπτογραφεί καν, καθώς περιέχει προβληματικό base64 string...




Νέος Scarab

Toποθετεί την επέκταση .X3.  

Λύση για τον GandCrab

Στα τέλεια νέα, η λύση για τον GandCrab που δημοσίευσε η BitDefender σε συνεργασία με τη Europol.
Την αμέσως επόμενη μέρα, κυκλοφόρησε νέα έκδοση η οποία προς το παρόν δεν είναι δυνατόν να σπάσει.



Νέος GarrantyDecrypt

Ένα νέο στέλεχος του GarrantyDecrypt εντοπίστηκε, το οποίο παριστάνει ότι προέρχεται από την ομάδα ασφαλείας της ProtonMail.
Επιβεβαιώσαμε ότι πρόκειται για τον GarrantyDecrypt από το "NANI" signature στα κρυπτογραφημένα αρχεία.




Νέος Everbe2 - SEED

Εντοπίστηκε και νέος Everbe2.0 που τοποθετεί την επέκταση .seed.
Ταυτοποιήσαμε ότι πρόκειται για τον Everbe από τα τελευταία 0x200 bytes που έχουν ASCII στο Hex.





Νέα στελέχη

Ο Michael Gillespie εντόπισε:
Τον BlackPink που είναι κορεάτικος


τον BestChangeRu που είναι ρώσικος


τον Crazy Thief 2.1 που είναι μια μίξη του Stupid, του Jigsaw και βασίζεται σε HiddenTear
(thief όνομα και πράγμα δηλαδή). Φυσικά, είναι δυνατόν να αποκρυπτογραφηθεί.


έναν νέο Matrix που τοποθετεί την επέκταση .GBLOCK
και έναν νέο Dharma που τοποθετεί την επέκταση .aqva.