Εμφάνιση αναρτήσεων με ετικέτα Cerber. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα Cerber. Εμφάνιση όλων των αναρτήσεων

Παρασκευή, 24 Μαΐου 2019

Ανάκτηση δεδομένων από σκληρούς δίσκους





Σε φουλ ρυθμούς για να προλάβουμε να παραδώσουμε δεδομένα πριν το Σαββατοκύριακο.

Now, that's what we call a busy Friday 

Δευτέρα, 12 Νοεμβρίου 2018

Τα νέα των Ransomware, 10/11/2018

Έχουμε γράψει εδώ κι εδώ κι εδώ κι εδώ κι εδώ για τους απατεώνες που ισχυρίζονται ότι μπορούν να επιλύσουν τον Dharma. Μάλλιασε η γλώσσα μας να λέμε ότι είναι απατεώνες και μην τους εμπιστεύεστε.

Ως τώρα επρόκειτο για τυχοδιώκτες οι οποίοι κρύβονταν πίσω από ένα email, ή στην χειρότερη περίπτωση εταιρίες - "φωτοβολίδες" όπως τις ονομάζουμε (αφού εμφανίζονται και εξαφανίζονται μέσα σε μία νύχτα) του εξωτερικού.


Με μεγάλη μας λύπη διαπιστώνουμε ότι η λαίλαπα εξαπλώθηκε και στη χώρα μας με "κάποιους" να ισχυρίζονται ότι μπορούν να λύσουν τον Dharma και μάλιστα με ... εξπρες διαδικασίες και προνομιακό κόστος, 3000-6000 ευρώ (...) (!!!!).


Γελάμε και κλαίμε ταυτόχρονα.

Για πάμε όλοι μαζί:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA -- ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ



Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 3 μήνες, ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena/.cezar/.brr (έχουν προστεθεί δεκάδες άλλα)

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Ελπίδες για GandCrab

Η λύση για τον GandCrab v1, v4 & v5 (έως και 5.0.3) λειτουργεί άψογα, όχι όμως και για τις λοιπές εκδόσεις (v2, v3, v5.0.4 & v5.0.5).
Παρόλα αυτά σε επικοινωνία που είχαμε με τον επικεφαλής των μηχανικών της BitDefender, μας ενημέρωσε ότι είναι πολύ κοντά στην ανακοίνωση λύσης τόσο για τον 5.0.4 όσο και για τον v.3.
Σε αναμονή.





Νέοι Dharma

Η λαίλαπα συνεχίζεται ακάθεκτη.
Την Δευτέρα εμφανίστηκε ο .tron.
Την Τρίτη δεν είχαμε κάποιον, όμως
την Τετάρτη έκαναν ρελανς με τον .AUDIT και τον .ADOBE.
Την Πέμπτη εμφανίστηκε ο .cccmn
Την Παρασκευή γράφαμε αυτές τις γραμμές.


Νέος Ransomware - M@r1a

Tοποθετεί την επέκταση .mariacbc. Είναι βασισμένος στον BlackHeart και δυστυχώς είναι πολύ καλογραμμένος.
Το κλειδί είναι προστατετυμένο με RSA-2048 και αποθηκεύεται στο Ransom Note.


Νέος Kraken Cryptor 2.2

Είχαμε αλλαγές επιχειρηματικού χαρακτήρα στον Kraken με αυτήν την έκδοση. Εννοούμε ότι το αφεντικό τρελάθηκε και έριξε τα λύτρα από 0.1BTC (~550 ευρώ) στα $80, και αλλάξανε τη διανομή η οποία τώρα γίνεται μέσω του Fallout Exploit Kit. Αλλάξανε και την ταπετσαρία η οποία τώρα θυμίζει αρκετά Cerber. 



Τρίτη, 26 Δεκεμβρίου 2017

Τα Χριστουγεννιάτικα νέα των Ransomware, 25/12/2017

Καλά Χριστούγεννα και καλές γιορτές σε όλους!

Οι γιορτινές ημέρες είναι εδώ και ακόμα και οι δημιουργοί των Ransomware κάνουν διάλειμμα...
Αυτήν την εβδομάδα που πέρασε, είχαμε πολύ λίγα στελέχη να διασπείρονται και ελάχιστες επιμολύνσεις, κάτι που πάντα είναι καλό νέο.

Τα κυριότερα νέα αφορούν την επίσημη τοποθέτηση της κυβέρνησης των ΗΠΑ μέσω της οποίας κατονομάζει την Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry, ο οποίος είχε σπείρει το χάος σε όλο τον κόσμο το Μάιο που μας πέρασε.
Επίσης, είχαμε συλλήψεις ατόμων που σχετίζονται με την διασπορά του Cerber και του CTB-Locker.

Ας τα δούμε αναλυτικά:


Ψεύτικος πολλαπλασιαστής Bitcoin εγκαθιστά Ransomware

Έχετε Bitcoin? Διαβάζετε "κάπου" για ένα λογισμικό που θα πολλαπλασιάσει τα Bitcoin σας και το κατεβάζετε. Προφανώς δεν είστε και πολύ μέσα στα πράγματα, γιατί αλλιώς θα γνωρίζατε ότι τα Bitcoin δεν πολλαπλασιάζονται έτσι απλά...
Κατεβάζετε, λοιπόν το Bitcoin-x2 κολλάτε έναν περιποιημένο Ransomware και μετά ξοδεύετε τα Bitcoin σας σε λύτρα..





Συλλήψεις για τον CTB-Locker και τον Cerber (vid)

Οι αρχές της Ρουμανίας συνέλαβαν πέντε άτομα με τις κατηγορίες της διασποράς email με παγιδευμένα επισυναπτόμενα, προσπαθώντας να μολύνουν χρήστες με τον CTB-Locker και τον Cerber.

Οι αρχές ανακοίνωσαν ότι πρόκειται για διανομείς των Ransomware και όχι για τους δημιουργούς. Οι συλληφθέντες χρησιμοποιούσαν RaaS (Ransomware As A Service) και έστελναν αρχεία που έμοιαζαν με τιμολόγια προκειμένουν να μολύνουν χρήστες και να απαιτήσουν λύτρα.
Από τα χρήματα που εισέπρατταν, το 30% πήγαινε στο RaaS.


Παρακάτω είναι ένα βίντεο από την εισβολή της αστυνομίες σε διάφορες τοποθεσίες και από τις αντίστοιχες συλλήψεις.



Ο Λευκός Οίκος κατηγορεί επίσημα την Βόρεια Κορέα για τη διασπορά του WannaCry.

Ο υπεύθυνος ασφαλείας των ΗΠΑ Thomas Bossert σε δήλωσή του στη Wall Street Journal, κατονόμασε τη Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry που προκάλεσε παγκόσμιο χάος τον Μάιο που μας πέρασε. Μπορείτε να διαβάσετε στο παραπάνω λινκ αναλυτικά τη δήλωση.


ΝΕA ΣΤΕΛΕΧΗ του RSAUtil Ransomware

Δύο νέα στελέχη του RSAUtil είχαμε αυτήν την εβδομάδα, το ένα από αυτά

Σάββατο, 21 Οκτωβρίου 2017

Τα νέα των Ransomware, 21/10/2017


Και αυτήν την εβδομάδα είχαμε αρκετά μικρά στελέχη να εμφανίζονται ή να επανεμφανίζονται, τα μεγάλα νέα όμως ήταν η εμφάνιση του Magniber και η χρήση του Hermes Ransomware σαν βιτρίνα για τη ληστεία σε μία τράπεζα στην Ταϊβάν. 

Ας τα δούμε αναλυτικά:

ΒορειοΚορεάτες πίσω από τη ληστεία τράπεζας στην Ταϊβάν

Μην φανταστείτε ότι μπήκαν με όπλα και ζήτησαν από τους υπαλλήλους να αδειάσουν τα ταμεία.
Η ιστορία έχει ως εξής, και είναι ιδιαίτερα ενδιαφέρουσα:

Πίσω από τη ληστεία, σύμφωνα με όλες τις ενδείξεις, κρύβεται η σπείρα Lazarous Group, μία ομάδα hackers από τη Βόρεια Κορέα.

Στις αρχές του μήνα, υπεύθυνοι της τράπεζες FEIB (Far Eastern International Bank) στην Ταϊβάν, ανακάλυψαν ότι έχει γίνει παραβίαση στα συστήματα της τράπεζας. Η παραβίαση είχε ως στόχο τη μεταφορά 60 εκατομμυρίων δολλαρίων (!) σε τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.


Οι επιτιθέμενοι έστειλαν email με παγιδευμένα αρχεία Word και Excel σε εργαζόμενους της τράπεζας. Τα αρχεία αυτά, με το άνοιγμά τους, εγκαθιστούσαν το ζητούμενο Malware. Στη συνέχεια, χρησιμοποιώντας SMB μπήκαν πρακτικά στο δίκτυο της τράπεζας.

Αφού χαρτογράφησαν το δίκτυο της τράπεζας και στόχευσαν Η/Υ που κατείχαν ευαίσθητο υλικό, τους έστειλαν άλλο malware το οποίο είχαν φτιάξει οι ίδιοι. Αυτή η επίθεση συνέβη την 1/10/17.


Στις 3/10, οι Lazarus χρησιμοποίησαν το συνθηματικό πρόσβασης ενός υπαλλήλου της τράπεζας και απέκτησαν πρόσβαση στον λογαριασμό SWIFT. Έτσι, έστειλαν χρήματα σε διαφορετικές τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.
Εκεί έγινε και το λάθος των Lazarus, που οδήγησε στην αποκάλυψη της παραβίασης από την τράπεζα: Χρησιμοποίησαν τους κωδικούς συναλλαγής MT103 και MT202COV, όμως τους τελευταίους τους τοποθέτησαν λανθασμένα.


Μόλις η FEIB ανακάλυψε την παραβίαση, οι Lazarus εξαπέλησαν στο δίκτυο της τράπεζας τον Hermes Ransomware με σκοπό να κρυπτογραφήσουν και να καταστρέψουν τα αποδεικτικά στοιχεία της εισβολής τους.

Να πούμε ότι ο Hermes είναι ένας Ransomware που κυκλοφόρησε το Φεβρουάριο και λίγο αργότερα βρέθηκε λύση και μπόρεσε να αποκρυπτογραφηθεί. Όμως, οι δημιουργοί του έφτιαξαν λίγο αργότερα την έκδοση 2.0, για την οποία δεν υπάρχει λύση παγκοσμίως.


Οι Lazarus πάντως δεν εξαπέλησαν την έκδοση 2.0, αλλά μία τροποποιημένη έκδοσή της. Αντί να αφήνει αυτό, που είναι το κλασικό Ransom Note του Hermes,


άφηνε ένα popup που απλά έλεγε Finish Work και ένα αρχείο "Unique_id_do_not_remove" σε κάθε φάκελο του Η/Υ.

Οι αρχές της Σρι Λάνκα ανέφεραν για το περιστατικό, ότι συνέλαβαν ένα άτομο το οποίο έκανε ανάληψη Rs30.000.000 (~$195.000) και δύο μέρες αργότερα επιχείρησε να "σηκώσςει" άλλες $52.000 που προέρχονταν από την Ταϊβάν, σε 3 διαφορετικούς λογαριασμούς σε τράπεζα της Ceylon.


Τρίτη, 27 Ιουνίου 2017

Nέοι Ransomware και τα $1.000.000 λύτρα σε hosting provider

RANSOMWARE UPDATES 
16/6/2017 – 27/6/2017


To διάστημα που μας πέρασε μόνο τρελό μπορεί να χαρακτηριστεί. Ξεχωρίζει το νέο με την εταιρία hosting που πλήρωσε $1.000.000 λύτρα σε bitcoins μετά από επίθεση Ransomware που δέχτηκε. 

ΣΟΚ ΜΕ ΕΤΑΙΡΙΑ HOSTING ΠΟΥ ΠΛΗΡΩΣΕ $1.000.000 ΜΕΤΑ ΑΠΟ ΕΠΙΘΕΣΗ RANSOMWARE

Στις 10/6/17, η Nayana, μια εταιρία hosting από τη Νότια Κορέα δέχτηκε επίθεση Ransomware με αποτέλεσμα να κρυπτογραφηθούν όλοι οι server με τα website των πελατών της. Οι σέρβερ που μολύνθηκαν ήταν 153 στον αριθμό.
Ο Ransomware που επιτέθηκε στους server της εταιρίας, κρυπτογράφησε όλα τα δεδομένα και στη συνέχεια ζητούσε λύτρα, ήταν ο Erebus.



Οι τύποι των αρχείων που στοχεύει ο συγκεκριμένος Ransomware είναι:

targztgztazbztbzbz2, lzlzmalz4, contactdbxdocdocxjntjpgmapimailmsgoabodspdfppsppsmpptpptmprfpstrarrtftxtwabxlsxlsxxmlzip, 1cd, 3ds, 3g2, 3gp, 7z, 7zipaccdbaoiasfaspaspxasxavibakcercfgclassconfigcsscsvdbddsdwgdxfflfflvhtmlidxjskeykwmlaccdbldflitm3umbxmdmdfmidmlbmovmp3, mp4, mpgobjodtpagesphppsdpwmrmsafesavsavesqlsrtswfthmvobwavwmawmvxlsb, 3dmaacaiarwccdrclscpicppcsdb3, docmdotdotmdotxdrwdxbepsflaflacfxgjavamm4vmaxmdbpcdpctplpotmpotxppamppsmppsxpptmpspspimager3drw2, sldmsldxsvgtgawpsxlaxlamxlmxlrxlsmxltxltmxltxxlwactadpalbkpblendcdfcdxcgmcr2, crtdacdbfdcrddddesigndtdfdbffffpxhiifinddjpegmosndnsdnsfnsgnshodcodpoilpaspatpefpfxptxqbbqbmsas7bdatsayst4, st6, stcsxcsxwtlgwadxlkaiffbinbmpcmtdatditedbflvvgifgroupshddhpplogm2tsm4pmkvmpegndfnvramoggostpabpdbpifpngqedqcowqcow2, rvtst7, stmvboxvdivhdvhdxvmdkvmsdvmxvmxf, 3fr, 3prab4, accdeaccdraccdtachacradbadsagdlaitapjasmawgbackbackupbackupdbbankbaybdbbgtbikbpwcdr3, cdr4, cdr5, cdr6, cdrwce1, ce2, cibcrawcrwcshcsldb_journaldc2, dcsddocddrwderdesdgcdjvudngdrfdxgemlerbsqlerfexfffdfhfhdgraygreygryhbkibankibdibziiqincpasjpekc2, kdbxkdckpdxluamdcmefmfwmmwmnymoneywellmrwmydnddnefnk2, nopnrwns2, ns3, ns4, nwbnx2, nxlnyfodbodfodgodmorfotgothotpotsottp12, p7bp7cpddpemplus_muhdplcpotpptxpsafe3, pyqbaqbrqbwqbxqbyrafratrawrdbrwlrwzs3dbsd0, sdasdfsqlitesqlite3, sqlitedbsr2, srfsrwst5, st8, stdstistwstxsxdsxgsxisxmtexwalletwb2, wpdx11, x3fxisycbcrayuvmabjsoninisdbsqlite-shmsqlite-walmsfjarcdbsrbabdqtbcfninfoinfo_, flbdefatbtbntbbtlxpmlpmopnxpncpmipmmlckpm!, pmrusrpndpmjpmlocksrspbfomgwmfshwarascxtif



Τα ενδιαφέροντα σημεία της ιστορίας είναι τα εξής:
α) Η μοναδική έκδοση του Erebus που γνωρίζαμε πριν το συμβάν είχε κυκλοφορήσει το 2016, στη συνέχεια εξαφανίστηκε και μετά ξαναβγήκε στην επιφάνεια το Φεβρουάριο που μας πέρασε. Το θέμα είναι ότι η γνωστή αυτή έκδοση στόχευε μόνο λειτουργικά συστήματα Windows, ενώ αυτός ο οποίος χτύπησε τη Nayana επιτέθηκε σε Linux
β) H αρχική απαίτηση για πληρωμή λύτρων για την αποκρυπτογράφηση ήταν 550 bitcoins (!!!), δηλαδή περίπου $1.620.000 (με την ισοτιμία της τότε ημέρας). Μετά από διαπραγματεύσεις με τους κακοποιούς, κατέβασαν το ποσό των λύτρων σε 397.6 bitcoins (δηλαδή περίπου $1.000.000) με την προοπτική να το πληρώσουν σε 3 δόσεις. Η εταιρία ανακοίνωσε ότι στις 19/6 πλήρωσε τη δεύτερη δόση του ποσού.
γ) Μετά από ανάλυση του website της εταιρίας, διαπιστώνουμε ότι δεν αποτελεί έκπληξη ότι έπεσε θύμα της επιμόλυνσης.
Συγκεκριμένα,
Το website της NAYANA τρέχει Linux kernel 2.6.24.2 ο οποίος είχε γίνει compile το 2008 (…). Επιπροσθέτως, το website της NAYANA χρησιμοποιεί έκδοση Apache 1.3.36 και PHP έκδοση 5.1.4 οι οποίες είχαν κυκλοφορήσει το 2006. Τα τρωτά σημεία και οι ευαισθησίες και των δύο αυτών εκδόσεων είναι γνωστά σε όλους. Τέλος, η έκδοση Apache που χρησιμοποιεί η Nayana τρέχει με user=nobody (uid=99), κάτι που σημαίνει ότι μπορεί να έχει προηγηθεί local exploit στην επίθεση.

Προς το παρόν δεν είναι γνωστός ο τρόπος εισβολής στους εξυπηρετητές της εταιρίας, όμως με τόσες φτωχές πρακτικές ασφαλείας, είναι θέμα ωρών να ξαναχτυπηθούν, αν δεν κλείσουν οι τρύπες ασφαλείας….