Αναλύουμε τον τρόπο που λειτουργεί ο GetCrypt και μεταφέρουμε καλά νέα.
Είχαμε και επιθέσεις στο αεροδρόμιο του Louisville, είχαμε και μια ενδιαφέρουσα ανάλυση για την επίθεση στη Βαλτιμόρη.
Ας τα δούμε αναλυτικά:
Νέοι STOP
Τώρα είχαμε:
- Τον .FEROSAS
- Toν .radman
- Toν .rectot
- Τον .skymap
- Τον .shadow
Έναν λιγότερο, δηλαδή σε σχέση με την προηγούμενη εβδομάδα.
- Τον .FEROSAS
- Toν .radman
- Toν .rectot
- Τον .skymap
- Τον .shadow
Έναν λιγότερο, δηλαδή σε σχέση με την προηγούμενη εβδομάδα.
Νέοι Dharma
Kαι οι νέοι Dharma για αυτήν την εβδομάδα:
- .Tor13
- .eth3
- .good
- .cable
Δηλαδή, 4 λιγότεροι σε σχέση με την προηγούμενη εβδομάδα. Το λες και πρόοδο.
- .eth3
- .good
- .cable
Δηλαδή, 4 λιγότεροι σε σχέση με την προηγούμενη εβδομάδα. Το λες και πρόοδο.
Νέος, εξαιρετικά καλογραμμένος - δυστυχώς - Ransomware
Πέσαμε επάνω στον MCOLD Ransomware, ο οποίος τοποθετεί την επέκταση epta.mcold@gmail.com στα κρυπτογραφημένα αρχεία.
Προσπαθεί να κάνει mount όλους τους δίσκους του δικτύου για να τους κρυπτογραφήσει και εκείνους, ενώ την ώρα που δουλεύει φτιάχνει έναν καινούργιο εικονικό δίσκο στο Ζ:
Μοιάζει πολύ με GlobeImposter αλλά δεν είναι. Μοιάζει με Scarab αλλά δεν είναι.
Τοποθετεί 0χ300 bytes στο τέλος κάθε αρχείου, με τα 0x200 από αυτά να είναι κοινά για όλα τα αρχεία.
Προφανώς πρόκειται για κάποιο detection signature.
Μοιάζει να χρησιμοποιεί διαφορετικό κλειδί για κάθε αρχείο και να κάνει συνδιασμό RSA-4096 και AES256.
Κακά νέα, γενικά...
Προσπαθεί να κάνει mount όλους τους δίσκους του δικτύου για να τους κρυπτογραφήσει και εκείνους, ενώ την ώρα που δουλεύει φτιάχνει έναν καινούργιο εικονικό δίσκο στο Ζ:
Μοιάζει πολύ με GlobeImposter αλλά δεν είναι. Μοιάζει με Scarab αλλά δεν είναι.
Τοποθετεί 0χ300 bytes στο τέλος κάθε αρχείου, με τα 0x200 από αυτά να είναι κοινά για όλα τα αρχεία.
Προφανώς πρόκειται για κάποιο detection signature.
Μοιάζει να χρησιμοποιεί διαφορετικό κλειδί για κάθε αρχείο και να κάνει συνδιασμό RSA-4096 και AES256.
Κακά νέα, γενικά...
Νέος Ransomware - EZDZ
Μοιάζει να είναι υπό κατασκευή, τοποθετεί την επέκταση .EZDZ.
Δηλώσεις που μείνανε δηλώσεις
Έπεσε στην αντίληψή μας ένας νέος Ransomware ο οποίος διασπείρεται μέσω scam malspam καμπάνιας.
Αυτός κάνει δηλώσεις τύπου "κανείς στον πλανήτη δεν μπορεί να αποκρυπτογραφήσει τα δεδομένα σας" και κάτι τέτοια, οπότε μας κίνησε το ενδιαφέρον.
Και μετά είδαμε ότι είναι HiddenTear. Σοβαρά τώρα? Χασμουρηθήκαμε και πήγαμε παρακάτω.
Αυτός κάνει δηλώσεις τύπου "κανείς στον πλανήτη δεν μπορεί να αποκρυπτογραφήσει τα δεδομένα σας" και κάτι τέτοια, οπότε μας κίνησε το ενδιαφέρον.
Και μετά είδαμε ότι είναι HiddenTear. Σοβαρά τώρα? Χασμουρηθήκαμε και πήγαμε παρακάτω.
Λύση για τον JSWORM2!
H Emsisoft μας έστειλε τα καλά νέα της εβδομάδας, με την εξεύρεση λύσης για τον JSWorm 2.0.
Αν έχετε μολυνθεί, ΜΗΝ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!
Αν έχετε μολυνθεί, ΜΗΝ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!
Eπίθεση στο αεροδρόμιο του Louisville την προηγούμενη Δευτέρα
Σύμφωνα με την επικεφαλής του αεροδρομίου, Sara Brown, η επίθεση δεν επηρέασε τις λειτουργίες ή τα συστήματα ασφαλείας του αεροδρομίου, παρά μόνο "τοπικά αρχεία".
Διαβάστε περισσότερα εδώ.
Διαβάστε περισσότερα εδώ.
Πώς χτυπάει ο GetCrypt, δείτε αναλυτικά
Δείτε αναλυτικά στο άρθρο μας εδώ.
Δείτε αναλυτικά στο άρθρο μας εδώ.
Άρθρο της NY Times για το χτύπημα στη Βαλτιμόρη
Ενδιαφέρον άρθρο της ΝΥ Times, δείτε το εδώ.
Ενδιαφέρον άρθρο της ΝΥ Times, δείτε το εδώ.
Και μια αθλιότητα για το τέλος
Το σκουπίδι της εβδομάδας είναι αυτός ο Ransomware, ο οποίος τοποθετεί την επέκταση .crypted και όπως φαίνεται ξεκάθαρα στο παρακάτω screenshot, πρόκειται για wiper, καθώς ΔΕΝ κρυπτογραφεί, απλώς είτε αντικαθιστά bytes του αρχείου με τυχαία, είτε τα διαγράφει...
Το σκουπίδι της εβδομάδας είναι αυτός ο Ransomware, ο οποίος τοποθετεί την επέκταση .crypted και όπως φαίνεται ξεκάθαρα στο παρακάτω screenshot, πρόκειται για wiper, καθώς ΔΕΝ κρυπτογραφεί, απλώς είτε αντικαθιστά bytes του αρχείου με τυχαία, είτε τα διαγράφει...
Αυτά για τώρα! Καλή εβδομάδα σε όλους!
Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
Ευχαριστούμε την BleepingComputer για την παροχή υλικού.