3/3/19

Τα νέα των Ransomware, 4/3/2019

Πολλά και διάφορα είχαμε το διάστημα που μεσολάβησε από την προηγούμενη αναφορά μας.
Είχαμε λύση για τον GandCrab, είχαμε έναν Ransomware που στοχεύει servers που τρέχουν Linux/PHP, είχαμε και πάρα πολλά νέα στελέχη.

Ας τα δούμε αναλυτικά:

Νέος Jigsaw - DeltaSEC

Αυτός δεν κρυπτογραφεί καν, καθώς περιέχει προβληματικό base64 string...




Νέος Scarab

Toποθετεί την επέκταση .X3.  

Λύση για τον GandCrab

Στα τέλεια νέα, η λύση για τον GandCrab που δημοσίευσε η BitDefender σε συνεργασία με τη Europol.
Την αμέσως επόμενη μέρα, κυκλοφόρησε νέα έκδοση η οποία προς το παρόν δεν είναι δυνατόν να σπάσει.



Νέος GarrantyDecrypt

Ένα νέο στέλεχος του GarrantyDecrypt εντοπίστηκε, το οποίο παριστάνει ότι προέρχεται από την ομάδα ασφαλείας της ProtonMail.
Επιβεβαιώσαμε ότι πρόκειται για τον GarrantyDecrypt από το "NANI" signature στα κρυπτογραφημένα αρχεία.




Νέος Everbe2 - SEED

Εντοπίστηκε και νέος Everbe2.0 που τοποθετεί την επέκταση .seed.
Ταυτοποιήσαμε ότι πρόκειται για τον Everbe από τα τελευταία 0x200 bytes που έχουν ASCII στο Hex.





Νέα στελέχη

Ο Michael Gillespie εντόπισε:
Τον BlackPink που είναι κορεάτικος


τον BestChangeRu που είναι ρώσικος


τον Crazy Thief 2.1 που είναι μια μίξη του Stupid, του Jigsaw και βασίζεται σε HiddenTear
(thief όνομα και πράγμα δηλαδή). Φυσικά, είναι δυνατόν να αποκρυπτογραφηθεί.


έναν νέο Matrix που τοποθετεί την επέκταση .GBLOCK
και έναν νέο Dharma που τοποθετεί την επέκταση .aqva.


Nέος Ransomware - Cr1pt0r

Στοχεύει αποκλειστικά και μόνο NAS συσκευές της D-Link με παλιό firmware που είναι ευάλωτο σε συγκεκριμένες επιθέσεις.
Συγκεκριμένα, πρόκειται για το μοντέλο DNS-320, του οποίου η τελευταία ενημέρωση ασφαλείας έγινε το 2016.
Σύμφωνα με μέλος του Cr1pt0r dev team, η συγκεκριμένη συσκευή της D-Link έχει τόσα πολλά κενά ασφαλείας, που είναι αδύνατον να κλείσουν όλα και "είναι προτιμότερο να το κατασκευάσει κανείς από την αρχή"...


UPDATE: H D-Link εξέδωσε ανακοίνωση για το περιστατικό.

Νέος Ransomware - Dogge

Πρόκειται για κάποιο αστείο. Κάποιος έπαιζε. Έπαιζε πολύ.



Nέος Ransomware - B0r0nt0K

Στοχεύει αποκλειστικά Linux Servers και ζητάει λύτρα 20 Bitcoin (!) ή περίπου $75.000 με την παρούσα ισοτιμία του Btc.

Η πρώτη αναφορά έγινε για σερβερ που έτρεχε Ubuntu 16.04.
Η κρυπτογράφηση γίνεται με base64 και τοποθετεί την επέκταση .rontok. 





Nέος Xorist - .

Toποθετεί απλώς μία τελεία μετά το τέλος του ονόματος του αρχείου. Έχει πιθανότητες αποκρυπτογράφησης.
Το πιο ανησυχητικό όμως είναι ότι όλα τα λογισμικά antivirus θεωρούν το μολυσμένο αρχείο καθαρό.


Nέος Scarab - Artemy

Δεν θα μπορούσε να λείπει και ένας Scarab...





Nέος Phobos - Frendi

Τίποτα το καινούργιο.


Nέοι STOP

Δεν μας έλειψε καθόλου, εμφανίστηκε με 3 νέα στελέχη που τοποθετούν την επέκταση .promoz, .promorad και .promock αντίστοιχα.

Αυτά για τώρα! Καλή εβδομάδα σε όλους!


Ευχαριστούμε την BleepingComputer για την παροχή υλικού.