Εμφάνιση αναρτήσεων με ετικέτα λύτρα. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα λύτρα. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 16 Οκτωβρίου 2017

Τα νεα των Ransomware, 15/10/2017


Σε σχέση με την προηγούμενη εβδομάδα που ήταν πολύ ήσυχη, αυτή είχε και πάλι αυξημένη δραστηριότητα.
Είδαμε  πολλούς νέους Ransomware, οι περισσότεροι από αυτούς είναι δοκιμαστικοί και κατά πάσα πιθανότητα δεν θα κυκλοφορήσουν ποτέ, είδαμε όμως και μία νέα έκδοση του Locky, μία νέα έκδοση του CryptoMix....
Τα μεγάλα νέα έχουν να κάνουν με τον DoubleLocker, έναν Ransomware για Android, ο οποίος χρησιμοποιεί ενδιαφέρουσες παλιές και νέες τεχνικές.

Ας τα δούμε αναλυτικά:



Καμπάνια SPAM στέλνει "βιογραφικά", προωθεί τον GlobeImposter 


Η Myonlinesecurity.co.uk κυκλοφόρησε μια ενδιαφέρουσα ανάλυση σχετικά με τα δήθεν βιογραφικά που στέλνει κάποιος ενδιαφερόμενος για εξεύρεση εργασίας, τα οποία βιογραφικά είναι της μορφής .doc και διασπείρουν τον GlobeImposter Ransomware.

Όταν κάποιος ανοίξει το επισυναπτόμενο, συνδέεται και κατεβάζει το http://89.248.169.136/bigmac.jpg, το οποίο φυσικά δεν είναι αρχείο εικόνας αλλά καμουφλαρισμένο εκτελέσιμο και συγκεκριμένα το ASdsadASd.exe. 

Μπορείτε να διαβάσετε όλη την ανάλυση εδώ.


Νέος Ransomware: LockOn

Είναι μάλλον υπό κατασκευή αλλά δουλεύει σωστά, τοποθετεί την επέκταση .lockon στα κρυπτογραφημένα αρχεία.


Δευτέρα, 9 Οκτωβρίου 2017

Τα νέα των Ransomware, 9/10/17


Ξεκινήσαμε το Μάιο του 2016 να αναλύουμε και να γράφουμε για τους Ransomware. Να τους πολεμάμε και να ψάχνουμε για αδυναμίες στον κώδικά τους με σκοπό να βρούμε λύσεις και να βοηθήσουμε όσους έχουν πέσει θύματα επιτηδείων.

Είναι η πρώτη εβδομάδα που έχουμε όλο κι όλο 6 (έξι) νέα να αναφέρουμε!


Ελπίζουμε αυτό να σημαίνει ότι οι κατασκευαστές των Ransomware να βαρέθηκαν και να σταματήσουν την δημιουργία και διασπορά τους, όμως μάλλον είναι απλά η νηνεμία πριν την καταιγίδα, δυστυχώς.


Έχουμε μία επίθεση Ransomware σε Κέντρο Υγείας και μία σε ένα δημοτικό δίκτυο του Colorado.

Ας τα δούμε αναλυτικά..


Απάτη: "Ransomware Detected"

Εμφανίστηκε αυτή η απάτη, η οποία εμφανίζει στο browser μήνυμα ότι ο υπολογιστής έχει μολυνθεί από Ransomware. Είναι η κλασική απάτη που ζητούν να καλέσει το θύμα ένα νούμερο, όπου είτε χρεώνουν τεράστια ποσά στο λογαριασμό, είτε γίνεται απευθείας συνομιλία με τους απατεώνες, οι οποίοι παριστάνουν τους ειδικούς σε θέματα ασφάλειας Η/Υ και ζητούν χρήματα για να μπουν στον Η/Υ με απομακρυσμένη σύνδεση για να "λύσουν το πρόβλημα". Φυσικά κάτι τέτοιο είναι πολύ επικίνδυνο, ΜΗ ΔΙΝΕΤΕ ΑΠΟΜΑΚΡΥΣΜΕΝΗ ΠΡΟΣΒΑΣΗ ΣΕ ΑΤΟΜΑ ΠΟΥ ΔΕΝ ΓΝΩΡΙΖΕΤΕ!



Δευτέρα, 2 Οκτωβρίου 2017

Ransomware Updates 02/10/2017


Καλημέρα, καλή εβδομάδα και καλό μήνα :)

Δεν είχαμε και πολλά πράγματα σχετικά με τους Ransomware για την εβδομάδα που μας πέρασε.

Τα κυριότερα νέα ήταν η εμφάνιση του RedBoot BootLocker και η συνεχιζόμενη επέλαση του Locky με μαζικές καμπάνιες spam.


Ας τα δούμε αναλυτικά.



Ο Redboot κρυπτογραφεί και αλλάζει το Partition Table!


Εμφανίστηκε ο RedBoot BootLocker, ο οποίος κρυπτογραφεί τα αρχεία, αντικαθιστά το MBR (Master Boot Record) και τροποποιεί το Partition Table. Τα νεα δεν είναι καλά για όποιον έχει μολυνθεί από αυτό το Ransomware, καθώς, αν και βρήκαμε τρόπο να αποκρυπτογραφήσουμε τα αρχεία, δεν είναι δυνατόν να βρούμε δομή, καθώς τόσο το MBR όσο και το Partition Table, αν και μπορούμε να τα δημιουργήσουμε ή να τα αποκαταστήσουμε, κρυπτογραφούνται εκ νέου. Δουλεύουμε στην εξεύρεση λύσης για αυτό.





Νέος Ransomware: SuperB

Αυτός έχει την πρωτοτυπία ότι μετά την κρυπτογράφηση (με την οποία τοποθετεί στα αρχεία την κατάληξη .enc), αντικαθιστά όλα τα αρχικά αρχεία του χρήστη με το Ransom Note. Να πούμε επίσης ότι είναι γραμμένο σε Python. 





Νέος ScreenLocker: John's Locker

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Ανακαλύφθηκε από τον Lawrence Abrams αυτός ο ScreenLocker ο οποίος είναι μάλλον κάποια φάρσα ή αστείο κάποιου. Πατήστε Alt+F4 για να τον κλείσετε (και προσέχετε στο εξης πού κάνετε κλικ!)




Νέος Ransomware: CryptoClone

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Εμφανίστηκε αυτός ο κακογραμμένος Ransomware ο οποίος μιμείται τον WannaCry και ονομάζεται CryptoClone. Τοποθετεί την επέκταση .crypted στα αρχεία. Έχουμε βρει λύση για αυτόν.





Νέος ScreenLocker: Anon

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Σε αυτόν δεν δώσαμε καν όνομα, γιατί δεν άξιζε τον κόπο να ασχοληθούμε μαζί του.
Βάλτε τον κωδικό qwerty και ξεκλειδώστε τον Η/Υ σας (και, ξανά, προσέχετε πού κάνετε κλικ!).





Νέος Ransomware: Onion Crypt v3

Kαι λέγαμε, πότε θα δούμε HiddenTear για αυτήν την εβδομάδα? Νάτος! Τοποθετεί την επέκταση .onion3cry-open-DECRYPTMYFILE. 





Νέος ScreenLocker: Anon

Ονομάζεται THTLocker. Δεν έχουμε πολλά ακόμα να πούμε... Ψάχνουμε λύση για αυτό.





Ο Locky τώρα (ξανά, μετά από καιρό..) μέσω Necurs :(

O Locky διανέμεται ξανά μέσω του Necurs, ενός από τους ισχυρότερους Botnet του πλανήτη. Μάλιστα, χρησιμοποιώντας τεχνικές εντοπισμού θέσης, ο Necurs επιλέγει αν θα στείλει Locky ή Trickbot.
Διαβάζουμε στο My Online Security:


The next in the never ending series of malware downloaders coming from the necurs botnet  is an email with the subject of  Emailing: Scan0253 ( random numbers)  pretending to come from sales@  your own email address or company domain. Today they have changed delivery method and will give either Locky Ransomware or Trickbot banking Trojan depending on your IP address and country of origin.



Επανεμφάνιση του Paradise Ransomware (!)

Mετά από πολύ καιρό, ο Paradise ξαναεμφανίζεται, αυτή τη φορά χρησιμοποιώντας αρχείο html για Ransom Note (σε αντίθεση με το .txt που χρησιμοποιούσε παλιότερα). Κατά τ' άλλα, δεν έχει αλλάξει τίποτα απολύτως.



Ο τεμπέλης ο άνθρωπος...

Ο Karsten Hahn ανακάλυψε ένα υπό κατασκευή Ransomware από τη Σλοβενία, ο οποίος παριστάνει τον DMA Locker. Δεν είναι μόνο αυτό. Ο ηγέτης που τον προγραμμάτισε, αντί να φτιάξει δικό του Layout, εμφανίζει μία εικόνα την οποία κατεβάζει (με hardlink!) από το site της Malwarebytes... Προς το παρόν δεν κλειδώνει και δεν κρυπτογραφεί τίποτα. Ενδιαφέρον έχει επίσης ότι χρησιμοποιεί Ransom Note από την εποχή που το Bitcoin ισοδυναμούσε με €400, δηλαδή το 1/10 της σημερινής του αξίας...




Να και ένας Jigsaw!

Καιρό είχαμε να ασχοληθούμε με αυτόν. Θυμίζουμε ότι έχουμε βρεί λύση για όλες τις προηγούμενες εκδόσεις του Jigsaw.
Σε αυτήν την περίπτωση, δεν θα χρειαστεί να βρούμε λύση γιατί λόγω λάθους στον κώδικα, δεν κρυπτογραφεί τίποτα.
Ενδιαφέρον έχει το γεγονός ότι χρησιμοποιούν ταπετσαρία από εικόνα των Anonymous...





Αυτά είναι όλα για αυτήν την εβδομάδα! :)

Κυριακή, 24 Σεπτεμβρίου 2017

Ransomware Updates 24/9/2017


Τα μεγάλα νέα της εβδομάδας που πέρασε ήταν οι νέες παραλλαγές του Locky που εμφανίστηκαν καθώς και το γεγονός ότι οι δημιουργοί του συνεχίζουν να χρησιμοποιούν μαζικές καμπάνιες από Spam emails για τη διανομή του.
Κατά τ΄ άλλα, πολλά μικρά νεα Ransomware τα οποία κατά πάσα πιθανότητα δεν θα κυκλοφορήσουν ποτε ή πρόκειται για προσπάθειες κάποιων που προφανώς αστειεύονται.

Ας τα δούμε αναλυτικά.



Νέος Ransomware: Hackers Invasion
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Πρόκειται για έναν εντελώς ανόητο Ransomware με Ransom Note που θυμίζει κωμωδία. Τοποθετεί την επέκταση .Doxes όταν κρυπτογραφεί.


Σάββατο, 9 Σεπτεμβρίου 2017

Ransomware Updates 9/9/17

RANSOMWARE UPDATES 9/9/2017


Σε σχέση με την προηγούμενή μας ανάρτηση, παρατηρούμε έξαρση του Locky μέσω της καμπάνιας που είχαμε περιγράψει την προηγούμενη εβδομάδα και πολλά μικρά strains από νέους Ransomware...


Νεος Ransomware: Nulltica

Βασίζεται στον HiddenTear αλλά έχει κάτι διαφορετικό σε σχέση με τους υπόλοιπους που βασίζονται στον HiddenTear: Περιέχει κώδικα που διασπείρει μέσω μηνυμάτων στις επαφές του Facebook. Τοποθετεί την επέκταση .locked.

Νεος Windows Has Been Blocked

Ξαφνικά, βρήκαμε αυτό



Δευτέρα, 4 Σεπτεμβρίου 2017

RANSOMWARE UPDATES 3/9/2017

RANSOMWARE UPDATES 3/9/2017


Την περίοδο που πέρασε από την προηγούμενη μας αναφορά στα Ransomware επικράτησε μια γενικότερη ησυχία, χωρίς να έχει υπάρξει κάτι το ιδιαίτερα συναρπαστικό ή νέο.

Θα τα δούμε αναλυτικά!


EcoParty's Conference Ransomware

Πέσαμε επάνω σε ένα Ransomware το οποίο προμοτάρει το συνέδριο του EkoParty. Εικάζουμε (και ελπίζουμε) ότι πρόκειται για κάποια σεμιναριακή επίδειξη που έκαναν. Τοποθετεί την επέκταση .locked και είναι βασισμένος στον HiddenTear.


Τρίτη, 27 Ιουνίου 2017

BREAKING NEWS : O Petya θερίζει σε όλο το κόσμο ***********UPDATE 00:55 28/6*************

NEO ΞΕΣΠΑΣΜΑ RANSOMWARE ΣΕ ΟΛΟ ΤΟΝ ΚΟΣΜΟ ΜΕ ΤΟΝ PETYA

UPDATE ME ΕΜΒΟΛΙΟ ΠΡΟΣΤΑΣΙΑΣ!

Διαβάστε παρακάτω.

UPDATE: To κείμενο που ακολουθεί γράφτηκε τις πρώτες ώρες της έκρηξης των επιθέσεων του Petya και έχει γίνει εν τω μεταξύ update με διορθώσεις.

Οι πληροφορίες που μας έρχονται είναι καταιγιστικές. Τη στιγμή που γράφονται αυτές οι γραμμές, έχει ξεσπάσει νέα επιδημία Ransomware μολύνσεων σε όλο τον κόσμο, ακολουθώντας αυτό του WannaCry τον Μάιο.
Όπως θα δούμε, οι ομοιότητες είναι αρκετές (και πιθανόν, όχι τυχαίες).

ΑΝΑΛΥΤΙΚΑ:

12.30μμ
Υπάρχουν πρώιμες ενδείξεις για νέα επιδημία Ransomware, που επηρεάζει μεγάλο αριθμό χωρών όπως το Ηνωμένο Βασίλειο, η Ουκρανία, η Ινδία, η Ολλανδία, η Ισπανία, η Δανία και άλλες.

ΠΡΟΣ ΤΟ ΠΑΡΟΝ ΔΕΝ ΜΑΣ ΕΧΕΙ ΓΙΝΕΙ ΓΝΩΣΤΟ ΚΑΠΟΙΟ ΘΥΜΑ ΣΤΗΝ ΕΛΛΑΔΑ ΚΑΙ ΠΑΡΑΚΑΛΟΥΜΕ ΟΠΟΙΟΣ ΕΧΕΙ ΜΟΛΥΝΘΕΙ ΝΑ ΕΡΘΕΙ ΣΕ ΕΠΑΦΗ ΜΑΖΙ ΜΑΣ.

13.30μμ
Αυτή τη στιγμή, η επιδημία μοιάζει να είναι μικρότερη του WannaCry, αλλά ο όγκος της δείχνει να είναι “σημαντικός”, σύμφωνα με την Kaspersky.
Ο τρόπος με τον οποίο χτυπάει ο εν λόγω
Ransomware, o Petya είναι ιδιαίτερος: Κρυπτογραφεί το MFT (Master File Table) των NTFS Partitions και κάνει overwrite το MBR (Master Boot Record) με έναν δικό του bootloader το οποίο εμφανίζει το αντίστοιχο Ransom Note και δεν επιτρέπει το boot των Windows.

13.45μμ
Επιβεβαιώνεται ότι ο Ransomware χτυπάει μόνο συστήματα Windows.

Nέοι Ransomware και τα $1.000.000 λύτρα σε hosting provider

RANSOMWARE UPDATES 
16/6/2017 – 27/6/2017


To διάστημα που μας πέρασε μόνο τρελό μπορεί να χαρακτηριστεί. Ξεχωρίζει το νέο με την εταιρία hosting που πλήρωσε $1.000.000 λύτρα σε bitcoins μετά από επίθεση Ransomware που δέχτηκε. 

ΣΟΚ ΜΕ ΕΤΑΙΡΙΑ HOSTING ΠΟΥ ΠΛΗΡΩΣΕ $1.000.000 ΜΕΤΑ ΑΠΟ ΕΠΙΘΕΣΗ RANSOMWARE

Στις 10/6/17, η Nayana, μια εταιρία hosting από τη Νότια Κορέα δέχτηκε επίθεση Ransomware με αποτέλεσμα να κρυπτογραφηθούν όλοι οι server με τα website των πελατών της. Οι σέρβερ που μολύνθηκαν ήταν 153 στον αριθμό.
Ο Ransomware που επιτέθηκε στους server της εταιρίας, κρυπτογράφησε όλα τα δεδομένα και στη συνέχεια ζητούσε λύτρα, ήταν ο Erebus.



Οι τύποι των αρχείων που στοχεύει ο συγκεκριμένος Ransomware είναι:

targztgztazbztbzbz2, lzlzmalz4, contactdbxdocdocxjntjpgmapimailmsgoabodspdfppsppsmpptpptmprfpstrarrtftxtwabxlsxlsxxmlzip, 1cd, 3ds, 3g2, 3gp, 7z, 7zipaccdbaoiasfaspaspxasxavibakcercfgclassconfigcsscsvdbddsdwgdxfflfflvhtmlidxjskeykwmlaccdbldflitm3umbxmdmdfmidmlbmovmp3, mp4, mpgobjodtpagesphppsdpwmrmsafesavsavesqlsrtswfthmvobwavwmawmvxlsb, 3dmaacaiarwccdrclscpicppcsdb3, docmdotdotmdotxdrwdxbepsflaflacfxgjavamm4vmaxmdbpcdpctplpotmpotxppamppsmppsxpptmpspspimager3drw2, sldmsldxsvgtgawpsxlaxlamxlmxlrxlsmxltxltmxltxxlwactadpalbkpblendcdfcdxcgmcr2, crtdacdbfdcrddddesigndtdfdbffffpxhiifinddjpegmosndnsdnsfnsgnshodcodpoilpaspatpefpfxptxqbbqbmsas7bdatsayst4, st6, stcsxcsxwtlgwadxlkaiffbinbmpcmtdatditedbflvvgifgroupshddhpplogm2tsm4pmkvmpegndfnvramoggostpabpdbpifpngqedqcowqcow2, rvtst7, stmvboxvdivhdvhdxvmdkvmsdvmxvmxf, 3fr, 3prab4, accdeaccdraccdtachacradbadsagdlaitapjasmawgbackbackupbackupdbbankbaybdbbgtbikbpwcdr3, cdr4, cdr5, cdr6, cdrwce1, ce2, cibcrawcrwcshcsldb_journaldc2, dcsddocddrwderdesdgcdjvudngdrfdxgemlerbsqlerfexfffdfhfhdgraygreygryhbkibankibdibziiqincpasjpekc2, kdbxkdckpdxluamdcmefmfwmmwmnymoneywellmrwmydnddnefnk2, nopnrwns2, ns3, ns4, nwbnx2, nxlnyfodbodfodgodmorfotgothotpotsottp12, p7bp7cpddpemplus_muhdplcpotpptxpsafe3, pyqbaqbrqbwqbxqbyrafratrawrdbrwlrwzs3dbsd0, sdasdfsqlitesqlite3, sqlitedbsr2, srfsrwst5, st8, stdstistwstxsxdsxgsxisxmtexwalletwb2, wpdx11, x3fxisycbcrayuvmabjsoninisdbsqlite-shmsqlite-walmsfjarcdbsrbabdqtbcfninfoinfo_, flbdefatbtbntbbtlxpmlpmopnxpncpmipmmlckpm!, pmrusrpndpmjpmlocksrspbfomgwmfshwarascxtif



Τα ενδιαφέροντα σημεία της ιστορίας είναι τα εξής:
α) Η μοναδική έκδοση του Erebus που γνωρίζαμε πριν το συμβάν είχε κυκλοφορήσει το 2016, στη συνέχεια εξαφανίστηκε και μετά ξαναβγήκε στην επιφάνεια το Φεβρουάριο που μας πέρασε. Το θέμα είναι ότι η γνωστή αυτή έκδοση στόχευε μόνο λειτουργικά συστήματα Windows, ενώ αυτός ο οποίος χτύπησε τη Nayana επιτέθηκε σε Linux
β) H αρχική απαίτηση για πληρωμή λύτρων για την αποκρυπτογράφηση ήταν 550 bitcoins (!!!), δηλαδή περίπου $1.620.000 (με την ισοτιμία της τότε ημέρας). Μετά από διαπραγματεύσεις με τους κακοποιούς, κατέβασαν το ποσό των λύτρων σε 397.6 bitcoins (δηλαδή περίπου $1.000.000) με την προοπτική να το πληρώσουν σε 3 δόσεις. Η εταιρία ανακοίνωσε ότι στις 19/6 πλήρωσε τη δεύτερη δόση του ποσού.
γ) Μετά από ανάλυση του website της εταιρίας, διαπιστώνουμε ότι δεν αποτελεί έκπληξη ότι έπεσε θύμα της επιμόλυνσης.
Συγκεκριμένα,
Το website της NAYANA τρέχει Linux kernel 2.6.24.2 ο οποίος είχε γίνει compile το 2008 (…). Επιπροσθέτως, το website της NAYANA χρησιμοποιεί έκδοση Apache 1.3.36 και PHP έκδοση 5.1.4 οι οποίες είχαν κυκλοφορήσει το 2006. Τα τρωτά σημεία και οι ευαισθησίες και των δύο αυτών εκδόσεων είναι γνωστά σε όλους. Τέλος, η έκδοση Apache που χρησιμοποιεί η Nayana τρέχει με user=nobody (uid=99), κάτι που σημαίνει ότι μπορεί να έχει προηγηθεί local exploit στην επίθεση.

Προς το παρόν δεν είναι γνωστός ο τρόπος εισβολής στους εξυπηρετητές της εταιρίας, όμως με τόσες φτωχές πρακτικές ασφαλείας, είναι θέμα ωρών να ξαναχτυπηθούν, αν δεν κλείσουν οι τρύπες ασφαλείας….