Εμφάνιση αναρτήσεων με ετικέτα Bitpaymer. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα Bitpaymer. Εμφάνιση όλων των αναρτήσεων

Τρίτη, 5 Ιουνίου 2018

Τα νέα των Ransomware, 05/06/2018

Αρκετά busy η εβδομάδα που πέρασε, με πολλά νέα στελέχη να κάνουν την εμφάνισή τους.

Είχαμε επανεμφάνιση του CryptoMix, είχαμε νέο LockCrypt που υπό συνθήκες γίνεται wiper, είχαμε και νέο Jigsaw με C2 server.

Μας προξένησε εντύπωση ότι ο Sigrun προσφέρει δωρεάν αποκρυπτογράφηση στα θύματά του από τη Ρωσία και σας έχουμε και ένα απίστευτα αστείο facepalm στο τέλος του άρθρου.


Ας τα δούμε αναλυτικά:

Nέος Jigsaw - fun

Κάποιος "παίζει" με τον Jigsaw. Μάλιστα, είναι η πρώτη έκδοση που συναντάμε η οποία χρησιμοποιεί C2 Server (Command & Control) για τα κλειδιά.


Νέος LockCrypt 2.0

Στα κακά νέα της εβδομάδας, εμφανίστηκε ένας νέος LockCrypt, ο οποίος διορθώνει τα σφάλματα της προηγούμενης έκδοσης, τα οποία είχαμε εκμεταλλευτεί και μπορούσαμε να αποκρυπτογραφήσουμε. Πλέον μοιάζει να μην έχει αδυναμίες :(

Το "αστείο" της υπόθεσης (που δεν είναι καθόλου αστείο) είναι ότι η αποκρυπτογράφηση βασίζεται στο αρχείο Decode.key που αφήνει στο C:\Windows, συν το private κλειδί. Όμως, δεν τρέχει τη ρουτίνα ως διαχειριστής και δεν τσεκάρει αν η εγγραφή στο C:\Windows ήταν επιτυχής, με αποτέλεσμα αν αυτό αποτύχει, η αποκρυπτογράφηση να είναι 100% αδύνατη από οποιονδήποτε.


Διασπείρεται μέσω Remote Desktop, οπότε τα γνωστά...


Νέος Dharma Arrow

Mία νέα έκδοση του Dharma εμφανίστηκε, με επέκταση java2018@tuta.io.arrow.
Παρακάτω έχουμε ένα βίντεο της Cybersecurity που δείχνει τον τρόπο επίθεσης.







Και ο Aurora με C2 server

H MalwarehunterTeam ανακάλυψε αυτόν τον νέο Aurora ο οποίος χρησιμοποιεί κι αυτός πλέον C2 Server.


Νέος CryptConsole - helps

Aυτός πλέον χρησιμοποιεί άλλο email για την επικοινωνία, κατά τ' άλλα δεν έχουν αλλάξει και πολλά πράγματα. Εξακολουθούμε να μπορούμε να τον σπάσουμε!
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ -- ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!