Εμφάνιση αναρτήσεων με ετικέτα BTCWare. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα BTCWare. Εμφάνιση όλων των αναρτήσεων

Σάββατο, 2 Δεκεμβρίου 2017

Τα νέα των Ransomware, 2/12/2017

Είχαμε αυξημένη δραστηριότητα την προηγούμενη εβδομάδα στον τομέα των Ransomware. Είχαμε πολλά μικρά και μεγαλύτερα στελέχη να κάνουν την εμφάνισή τους. Είχαμε έναν ακόμα νέο CryptoMix, έναν νέο BTCWare και καμπάνιες διασποράς του GlobeImposter και του Sigma.
Είχαμε όμως και μερικές επιτυχίες με εξέυρεση λύσεων για κάποια στελέχη :-)


Ας τα δούμε αναλυτικά:



ΝΕΟΣ CryptON διασπείρεται μέσω KeyGen

Για εσάς που ζείτε τη ζωή στα άκρα και ψάχνετε να βρείτε σπαστήρια για εφαρμογές με σκοπό να μη πληρώσετε τις άδειες των εφαρμογών αυτών και κατεβάζετε τα λεγόμενα KeyGenerators, τώρα έχετε πρόβλημα (άλλο ένα).
Κυκλοφόρησε ένας CryptOn ο οποίος παριστάνει ότι πρόκειται για KeyGen του γνωστού λογισμικού ανάκτησης δεδομένων EaseUS Data Recovery. 

Έτσι, θέλετε να πειραματιστείτε μόνοι σας προσπαθώντας να ανακτήσετε μόνοι σας τα αρχεία που διαγράψατε. 
Κατεβάζετε το EaseUS αλλά δεν θέλετε να το πληρώσετε κιόλας.
Ψάχνετε να βρείτε σπαστήρι.
Βρίσκετε και κατεβάζετε αυτό:



Πατάτε Generate και γίνεται αυτό:








Ευτυχώς για εσάς, έχουμε βρει λύση ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!





Βρήκαμε λύση για τον HC6/Fucku

Και ο HC6 μας απασχόλησε αυτήν την εβδομάδα, και βρήκαμε λύση!
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!



Τι συμβαίνει με τον Halloware, ποιος είναι ο Luc1f3r? Τεχνική ανάλυση!

Δευτέρα, 16 Οκτωβρίου 2017

Τα νεα των Ransomware, 15/10/2017


Σε σχέση με την προηγούμενη εβδομάδα που ήταν πολύ ήσυχη, αυτή είχε και πάλι αυξημένη δραστηριότητα.
Είδαμε  πολλούς νέους Ransomware, οι περισσότεροι από αυτούς είναι δοκιμαστικοί και κατά πάσα πιθανότητα δεν θα κυκλοφορήσουν ποτέ, είδαμε όμως και μία νέα έκδοση του Locky, μία νέα έκδοση του CryptoMix....
Τα μεγάλα νέα έχουν να κάνουν με τον DoubleLocker, έναν Ransomware για Android, ο οποίος χρησιμοποιεί ενδιαφέρουσες παλιές και νέες τεχνικές.

Ας τα δούμε αναλυτικά:



Καμπάνια SPAM στέλνει "βιογραφικά", προωθεί τον GlobeImposter 


Η Myonlinesecurity.co.uk κυκλοφόρησε μια ενδιαφέρουσα ανάλυση σχετικά με τα δήθεν βιογραφικά που στέλνει κάποιος ενδιαφερόμενος για εξεύρεση εργασίας, τα οποία βιογραφικά είναι της μορφής .doc και διασπείρουν τον GlobeImposter Ransomware.

Όταν κάποιος ανοίξει το επισυναπτόμενο, συνδέεται και κατεβάζει το http://89.248.169.136/bigmac.jpg, το οποίο φυσικά δεν είναι αρχείο εικόνας αλλά καμουφλαρισμένο εκτελέσιμο και συγκεκριμένα το ASdsadASd.exe. 

Μπορείτε να διαβάσετε όλη την ανάλυση εδώ.


Νέος Ransomware: LockOn

Είναι μάλλον υπό κατασκευή αλλά δουλεύει σωστά, τοποθετεί την επέκταση .lockon στα κρυπτογραφημένα αρχεία.


Δευτέρα, 9 Οκτωβρίου 2017

Τα νέα των Ransomware, 9/10/17


Ξεκινήσαμε το Μάιο του 2016 να αναλύουμε και να γράφουμε για τους Ransomware. Να τους πολεμάμε και να ψάχνουμε για αδυναμίες στον κώδικά τους με σκοπό να βρούμε λύσεις και να βοηθήσουμε όσους έχουν πέσει θύματα επιτηδείων.

Είναι η πρώτη εβδομάδα που έχουμε όλο κι όλο 6 (έξι) νέα να αναφέρουμε!


Ελπίζουμε αυτό να σημαίνει ότι οι κατασκευαστές των Ransomware να βαρέθηκαν και να σταματήσουν την δημιουργία και διασπορά τους, όμως μάλλον είναι απλά η νηνεμία πριν την καταιγίδα, δυστυχώς.


Έχουμε μία επίθεση Ransomware σε Κέντρο Υγείας και μία σε ένα δημοτικό δίκτυο του Colorado.

Ας τα δούμε αναλυτικά..


Απάτη: "Ransomware Detected"

Εμφανίστηκε αυτή η απάτη, η οποία εμφανίζει στο browser μήνυμα ότι ο υπολογιστής έχει μολυνθεί από Ransomware. Είναι η κλασική απάτη που ζητούν να καλέσει το θύμα ένα νούμερο, όπου είτε χρεώνουν τεράστια ποσά στο λογαριασμό, είτε γίνεται απευθείας συνομιλία με τους απατεώνες, οι οποίοι παριστάνουν τους ειδικούς σε θέματα ασφάλειας Η/Υ και ζητούν χρήματα για να μπουν στον Η/Υ με απομακρυσμένη σύνδεση για να "λύσουν το πρόβλημα". Φυσικά κάτι τέτοιο είναι πολύ επικίνδυνο, ΜΗ ΔΙΝΕΤΕ ΑΠΟΜΑΚΡΥΣΜΕΝΗ ΠΡΟΣΒΑΣΗ ΣΕ ΑΤΟΜΑ ΠΟΥ ΔΕΝ ΓΝΩΡΙΖΕΤΕ!



Δευτέρα, 2 Οκτωβρίου 2017

Ransomware Updates 02/10/2017


Καλημέρα, καλή εβδομάδα και καλό μήνα :)

Δεν είχαμε και πολλά πράγματα σχετικά με τους Ransomware για την εβδομάδα που μας πέρασε.

Τα κυριότερα νέα ήταν η εμφάνιση του RedBoot BootLocker και η συνεχιζόμενη επέλαση του Locky με μαζικές καμπάνιες spam.


Ας τα δούμε αναλυτικά.



Ο Redboot κρυπτογραφεί και αλλάζει το Partition Table!


Εμφανίστηκε ο RedBoot BootLocker, ο οποίος κρυπτογραφεί τα αρχεία, αντικαθιστά το MBR (Master Boot Record) και τροποποιεί το Partition Table. Τα νεα δεν είναι καλά για όποιον έχει μολυνθεί από αυτό το Ransomware, καθώς, αν και βρήκαμε τρόπο να αποκρυπτογραφήσουμε τα αρχεία, δεν είναι δυνατόν να βρούμε δομή, καθώς τόσο το MBR όσο και το Partition Table, αν και μπορούμε να τα δημιουργήσουμε ή να τα αποκαταστήσουμε, κρυπτογραφούνται εκ νέου. Δουλεύουμε στην εξεύρεση λύσης για αυτό.





Νέος Ransomware: SuperB

Αυτός έχει την πρωτοτυπία ότι μετά την κρυπτογράφηση (με την οποία τοποθετεί στα αρχεία την κατάληξη .enc), αντικαθιστά όλα τα αρχικά αρχεία του χρήστη με το Ransom Note. Να πούμε επίσης ότι είναι γραμμένο σε Python. 





Νέος ScreenLocker: John's Locker

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Ανακαλύφθηκε από τον Lawrence Abrams αυτός ο ScreenLocker ο οποίος είναι μάλλον κάποια φάρσα ή αστείο κάποιου. Πατήστε Alt+F4 για να τον κλείσετε (και προσέχετε στο εξης πού κάνετε κλικ!)




Νέος Ransomware: CryptoClone

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Εμφανίστηκε αυτός ο κακογραμμένος Ransomware ο οποίος μιμείται τον WannaCry και ονομάζεται CryptoClone. Τοποθετεί την επέκταση .crypted στα αρχεία. Έχουμε βρει λύση για αυτόν.





Νέος ScreenLocker: Anon

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Σε αυτόν δεν δώσαμε καν όνομα, γιατί δεν άξιζε τον κόπο να ασχοληθούμε μαζί του.
Βάλτε τον κωδικό qwerty και ξεκλειδώστε τον Η/Υ σας (και, ξανά, προσέχετε πού κάνετε κλικ!).





Νέος Ransomware: Onion Crypt v3

Kαι λέγαμε, πότε θα δούμε HiddenTear για αυτήν την εβδομάδα? Νάτος! Τοποθετεί την επέκταση .onion3cry-open-DECRYPTMYFILE. 





Νέος ScreenLocker: Anon

Ονομάζεται THTLocker. Δεν έχουμε πολλά ακόμα να πούμε... Ψάχνουμε λύση για αυτό.





Ο Locky τώρα (ξανά, μετά από καιρό..) μέσω Necurs :(

O Locky διανέμεται ξανά μέσω του Necurs, ενός από τους ισχυρότερους Botnet του πλανήτη. Μάλιστα, χρησιμοποιώντας τεχνικές εντοπισμού θέσης, ο Necurs επιλέγει αν θα στείλει Locky ή Trickbot.
Διαβάζουμε στο My Online Security:


The next in the never ending series of malware downloaders coming from the necurs botnet  is an email with the subject of  Emailing: Scan0253 ( random numbers)  pretending to come from sales@  your own email address or company domain. Today they have changed delivery method and will give either Locky Ransomware or Trickbot banking Trojan depending on your IP address and country of origin.



Επανεμφάνιση του Paradise Ransomware (!)

Mετά από πολύ καιρό, ο Paradise ξαναεμφανίζεται, αυτή τη φορά χρησιμοποιώντας αρχείο html για Ransom Note (σε αντίθεση με το .txt που χρησιμοποιούσε παλιότερα). Κατά τ' άλλα, δεν έχει αλλάξει τίποτα απολύτως.



Ο τεμπέλης ο άνθρωπος...

Ο Karsten Hahn ανακάλυψε ένα υπό κατασκευή Ransomware από τη Σλοβενία, ο οποίος παριστάνει τον DMA Locker. Δεν είναι μόνο αυτό. Ο ηγέτης που τον προγραμμάτισε, αντί να φτιάξει δικό του Layout, εμφανίζει μία εικόνα την οποία κατεβάζει (με hardlink!) από το site της Malwarebytes... Προς το παρόν δεν κλειδώνει και δεν κρυπτογραφεί τίποτα. Ενδιαφέρον έχει επίσης ότι χρησιμοποιεί Ransom Note από την εποχή που το Bitcoin ισοδυναμούσε με €400, δηλαδή το 1/10 της σημερινής του αξίας...




Να και ένας Jigsaw!

Καιρό είχαμε να ασχοληθούμε με αυτόν. Θυμίζουμε ότι έχουμε βρεί λύση για όλες τις προηγούμενες εκδόσεις του Jigsaw.
Σε αυτήν την περίπτωση, δεν θα χρειαστεί να βρούμε λύση γιατί λόγω λάθους στον κώδικα, δεν κρυπτογραφεί τίποτα.
Ενδιαφέρον έχει το γεγονός ότι χρησιμοποιούν ταπετσαρία από εικόνα των Anonymous...





Αυτά είναι όλα για αυτήν την εβδομάδα! :)

Κυριακή, 24 Σεπτεμβρίου 2017

Ransomware Updates 24/9/2017


Τα μεγάλα νέα της εβδομάδας που πέρασε ήταν οι νέες παραλλαγές του Locky που εμφανίστηκαν καθώς και το γεγονός ότι οι δημιουργοί του συνεχίζουν να χρησιμοποιούν μαζικές καμπάνιες από Spam emails για τη διανομή του.
Κατά τ΄ άλλα, πολλά μικρά νεα Ransomware τα οποία κατά πάσα πιθανότητα δεν θα κυκλοφορήσουν ποτε ή πρόκειται για προσπάθειες κάποιων που προφανώς αστειεύονται.

Ας τα δούμε αναλυτικά.



Νέος Ransomware: Hackers Invasion
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Πρόκειται για έναν εντελώς ανόητο Ransomware με Ransom Note που θυμίζει κωμωδία. Τοποθετεί την επέκταση .Doxes όταν κρυπτογραφεί.


Δευτέρα, 29 Μαΐου 2017

Μην πληρώσετε τα λύτρα για τους Ransomware ΒTCWare, D2+D, HiddenTear κ.α.


H εβδομάδα που μας πέρασε περιείχε άπειρες μικρές παραλλαγές του WannaCry, του HiddenTear και δεκάδες υπό κατασκευή Ransomware τα οποία μάλλον -ελπίζουμε- ότι δεν θα κυκλοφορήσουν ποτε.
Στα καλά νεα, ο δημιουργός του
AES-NI (ο οποίος ήταν ο πρώτος που χρησιμοποίησε τα εργαλεία της NSA), αποφάσισε να σταματήσει όλα του τα project και να μοιράσει τα κλειδιά.
Ας δούμε αναλυτικά...

ΒΡΗΚΑΜΕ ΛΥΣΗ ΚΑΙ ΓΙΑ ΤΙΣ ΛΟΙΠΕΣ ΠΑΡΑΛΛΑΓΕΣ ΤΟΥ BTCWare !!!

Nα περάσει ο επόμενος...
Λέγαμε τ
ην προηγούμενη εβδομάδα ότι βρήκαμε λύση για τις δύο πρώτες εκδόσεις του BTCWare (.btcware και .cryptobyte) και πως δουλεύαμε επάνω στην εξεύρεση ολοκληρωμένης λύσης για τις άλλες δύο (.cryptowin και .theva).
Λύση βρήκαμε, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Update 27/5/2017: Όπως γίνεται συνήθως, οι δημιουργοί του BTCWare έκλεισαν κάποια κενά στον κώδικά τους και κυκλοφόρησαν καινούργια έκδοση, την οποία ονομάζουν OnyonWare με επέκταση .onyon. Καταφέραμε και σπάσαμε μερικώς τον αλγόριθμό τους, οπότε μπορούμε να υποστηρίξουμε partially και αυτήν την έκδοση!!

Update 29/5/2017: Και νέα παραλλαγή! Τοποθετεί την επέκταση .xfile στα αρχεία. ΜΗΝ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΒΡΗΚΑΜΕ ΛΥΣΗ ΚΑΙ ΓΙΑ ΑΥΤΗΝ ΤΗΝ ΕΚΔΟΣΗ!!! :)

Τρίτη, 23 Μαΐου 2017

Προσοχή οι νέοι RANSOMWARE που θερίζουν ...

15/5/2017 – 22/5/2017 (Update !)

        Παρακάτω δίνονται όλα τα νέα ransomware που κυκλοφόρησαν. Πολλά από αυτά έχουν λύση και σας την δίνουμε οπότε μην πληρώσετε τα λύτρα ! Για τα υπόλοιπα που δεν υπάρχει ακόμη λύση οι μηχανικοί μας δουλεύουν για την αποκρυπτογράφηση.

ΛΥΣΕΙΣ ΓΙΑ .WALLET, .ONION, BTCWare

Τα μεγάλα νεα της εβδομάδας που μας πέρασε ήταν η εύρεση λύσης για τον Dharma καθώς και για τον BTCWare.

Συγκεκριμένα, ο Dharma .wallet που έχει προσβάλλει περισσότερους από 15.000.000 χρήστες παγκοσμίως, πλέον αποτελεί παρελθόν. Αυτό αποτελεί σπουδαίο νέο για όλους και ακόμα περισσότερο, από τη στιγμή που καταφέραμε και αποκρυπτογραφήσαμε και την τελευταία γνωστή έκδοσή του, τον .onion.



Δευτέρα, 8 Μαΐου 2017

Λύσεις για τους νέους ransomware - Μην πληρώσετε τα λύτρα σε Bitcoin !


Μόνο ως εφιαλτική θα μπορούσε να χαρακτηριστεί η εβδομάδα που μας πέρασε. Μετρήσαμε 38 νέα στελέχη Ransomware, εκ των οποίων τα 10 εμφανίστηκαν την Πρωτομαγιά!
Τα περισσότερα από αυτά είναι σκουπίδια, αλλά έρχονται να προστεθούν στο τεράστιο κύμα επιμολύνσεων που παρατηρείται.
Στα καλά νέα, καταφέραμε να αποκρυπτογραφήσουμε αρκετούς νέους
Ransomware.

Για να τα δούμε αναλυτικά ποιοι είναι αυτοί :

Αυτή τη βδομάδα εμφανίστηκε ο Mikoyan :
Ένας από τους πιο ηλίθια γραμμένους Ransomware που έχουμε δει

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

ΝΙΚΗΣΑΜΕ ΤΟΝ Cry128

Αυτός είναι μία παραλλαγή του CryptON, τον οποίο (και όλες τις υπόλοιπες παραλλαγές του, Cry9, Cry123, Crypppp κλπ) έχουμε αποκρυπτογραφήσει εδώ και καιρό.
Τηρώντας την παράδοση, αποκρυπτογραφήσαμε και τον
Cry128.

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ


ΝΕΟΣ RANSOMWARE: FuckTheSystem
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Αυτός τοποθετεί την επέκταση .anon στα κρυπτογραφημένα αρχεία.

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

ΝΕΟΣ RANSOMWARE: Haters


ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ
Κι αυτός καινούργιος. Τοποθετεί την επέκταση .haters στα κρυπτογραφημένα αρχεία. Δεν έζησε όμως και πολύ.

ΝΕΟΣ RANSOMWARE: XnCrypt
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Ούτε κι αυτός έζησε πολύ.. Τοποθετεί την επέκταση .xncrypt στα κρυπτογραφημένα αρχεία.
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

ΝΕΟΣ RANSOMWARE: Klara
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ


ΝΕΟΣ RANSOMWARE: BTCWare
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ
Ούτε κι αυτός είχε μεγάλη τύχη...


ΝΕΟΣ RANSOMWARE: AntiDDOS

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Ούτε ο κύριος αυτός τα κατάφερε...
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

ΝΕΟΣ RANSOMWARE: ZipLocker
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Αυτός ζιπάρει τα αρχεία και τοποθετεί κωδικό στο zip αρχείο που δημιουργεί. Η μετονομασία που κάνει στα αρχεία είναι για παράδειγμα 01.jpg ---> 01locked.zip