18/5/19

Τα νέα των Ransomware, 20/5/2019

Συνοπτικά όλη η εβδομάδα:
STOP - Dharma - STOP - Dharma - STOP - Dharma - Dharma - Dharma - STOP - Dharma.


Είχαμε και την ανάλυση της ProPublica η οποία ντροπιάζει το επάγγελμά μας, χάρη σε κάποιους "συναδέλφους" που ισχυρίζονται ότι αποκρυπτογραφούν Ransomware, ενώ στην πραγματικότητα το μόνο που κάνουν είναι να πληρώνουν τα λύτρα και να εισπράτουν την προμήθεια. Χαρακτηριστικά είναι τα παραδείγματα και "συναδέλφων" στη χώρα μας.

Ας τα δούμε αναλυτικά:


Νέοι STOP

Πλέον θεωρούμε ότι είναι αδύνατον να καταμετρηθούν όλα τα στελέχη του STOP που κυκλοφορούν εκεί έξω. Εμείς έχουμε καταγεγραμμένα περισσότερα από 80, και αυτά μόλις το τελευταίο δίμηνο.
Για την εβδομάδα που μεσολάβησε, είχαμε:
- Τον .codnat
- Toν .codnat1
- Toν .bufas
- Τον .dotmap

- Τον .fordan
- Toν .assumer
Όλοι αυτοί είναι κοινοί μεταξύ τους, απλώς τους διαχειρίζονται διαφορετικοί εγκληματίες.


Νέοι Dharma

Κάποιος μας είπε ότι το Ransomware πέθανε.
Εμείς του απαντάμε με αυτή τη λίστα...

Έχουμε και λέμε:



- .qbtex
- .yG
- .drweb
- . jack
- .PLUT
- .DDOS
- .mamba (στέλεχος Phobos)
- .cry
- .4k

Και όλα αυτά, σε μία εβδομάδα.
Δυστυχώς ο Dharma δεν έχει λύση και βρισκόμαστε στην αμήχανη θέση απλώς να καταγράφουμε τα νέα στελέχη που κυκλοφορούν...




Για να πούμε την αλήθεια, ντρεπόμαστε λίγο...

Και ντρεπόμαστε γιατί θεωρούμαστε ότι ανήκουμε στον ίδιο επαγγελματικό κλάδο με κάποιους "συναδέλφους", οι οποίοι ισχυρίζονται ότι έχουν "δικές τους μεθόδους" για να αποκρυπτογραφούν Ransomware ενώ στην πραγματικότητα πληρώνουν τα λύτρα και εισπράτουν προμήθεια.
Είναι χαρακτηριστικό το παράδειγμα και εγχώριων "συναδέλφων", δυστυχώς.
Σε άρθρο της η ProPublica κατονομάζει δύο αντίστοιχες εταιρίες της Αμερικής που ακολουθούν αυτή την τακτική, ενώ δυστυχώς όσα αναφέρει στο εν λόγω άρθρο είναι πικρές αλήθειες...


Απίστευτο κι όμως αληθινό...




Ψάχνουμε:
Ransomware που δεν τοποθετεί επέκταση στα αρχεία και αφήνει Ransom Note με τίτλο !!!INSTRUCTION_RNSMW!!!.txt

Αν έχετε μολυνθεί με τον συγκεκριμένο, ελάτε σε επικοινωνία μαζί μας.

Επίσης, ψάχνουμε

Ransomware που τοποθετεί random επέκταση 6-7 χαρακτήρων στα αρχεία (πχ. rC1shGH) και αφήνει Ransom Note με τίτλο DECRYPT-FILES.HTML

Αν έχετε μολυνθεί με τον συγκεκριμένο, ελάτε σε επικοινωνία μαζί μας.

Nέος Ransomware - NON όνομα και πράμα...

Aυτός τοποθετεί την επέκταση .non στα κρυπτογραφημένα αρχεία, όμως η διάνοια που το έγραψε, ξέχασε να βάλει email επικοινωνίας των θυμάτων μαζί του. Τρέχα γύρευε...



Λείπει ο Μάρτης?

Νέος Scarab - Oops.


Νέος Ransomware - geologic

Τοποθετεί την επέκταση .geologic. Μοιάζει να είναι στέλεχος του IEncrypt RW.





Αυτά για τώρα! Καλή εβδομάδα σε όλους!


Ευχαριστούμε την BleepingComputer για την παροχή υλικού.