Εμφάνιση αναρτήσεων με ετικέτα Crypto. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα Crypto. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 26 Νοεμβρίου 2018

Τα νέα των Ransomware, 26/11/2018

Αρκετά ενδιαφέροντα έγιναν την προηγούμενη εβδομάδα, με κύριους πρωταγωνιστές σταθερά τον Dharma, έναν Ransomware που λέει ταυτόχρονα αλήθειες και ψέματα και έναν ακόμα που τρολάρει τους malware hunters. 

Na υπενθυμίσουμε, συνοπτικά, ότι το Ransomware δεν έχει καθόλου εξαλείψει. Είναι εκεί έξω με πολλές τυφλές και στοχευμένες επιθέσεις.
Μείνετε προστατευμένοι. Βεβαιωθείτε ότι τα αντίγραφα ασφαλείας σας είναι έγκυρα, ότι οι υπηρεσίες RDP που χρησιμοποιείτε είναι ασφαλείς, ότι δεν ανοίγετε επισυναπτόμενα από αυτούς που δεν γνωρίζετε και εγκαταστείτε τα updates από τα λογισμικά που χρησιμοποιείτε.

Ας τα δούμε αναλυτικά:

Νέοι Dharma

Δύο νέα στελέχη εμφανίστηκαν την προηγούμενη εβδομάδα, τοποθετεί τις καταλήξεις .fire και .shhh

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

Με μεγάλη μας λύπη διαπιστώνουμε ότι η λαίλαπα εξαπλώθηκε και στη χώρα μας με "κάποιους" να ισχυρίζονται ότι μπορούν να λύσουν τον Dharma και μάλιστα με ... εξπρες διαδικασίες και προνομιακό κόστος, 3000-6000 ευρώ (...) (!!!!).

Γελάμε και κλαίμε ταυτόχρονα.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Nέος STOP Ransomware - INFOWAIT

Toποθετεί την επέκταση .INFOWAIT. 
Δείτε το εδώ σε δράση:
https://app.any.run/tasks/5256ec09-df0c-4949-8888-13df86199219


Ο Aurora λέει αλήθειες και ψέματα...

Μεγάλη δραστηριότητα παρουσίασε ο Aurora τις τελευταίες μέρες.
Παραθέτουμε το Ransom Note:


H αλήθεια είναι αυτή για περιπτώσεις όπως ο Dharma, όπου "συνάδελφοι" κάνουν ακριβώς αυτό που περιγράφουν. Οπότε προσέξτε με ποιους συνεργάζεστε.
Το ψέμα που λένε οι κύριοι παραπάνω στο Ransom Note είναι ότι μόνο αυτοί μπορούν να αποκρυπτογραφήσουν τον συγκεκριμένο Ransomware, καθώς ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ για τον Aurora/Zorro και μπορούμε να τον αποκρυπτογραφήσουμε.

Αυτό που δεν μπορούμε να διανοηθούμε είναι ότι ενώ υπάρχει διαθέσιμη λύση, ρίχνοντας μια ματιά στο bitcoin wallet των κακοποιών, διαπιστώνουμε ότι από τις αρχές του Οκτώβρη μέχρι σήμερα έχει δεχθεί 109 πληρωμές.



Δείτε εδώ
https://www.blockchain.com/btc/address/18sj1xr86c3YHK44Mj2AXAycEsT2QLUFac

Νέος Ransomware - Vapor

Xρησιμοποιούν gmail ως μέσο επικοινωνίας με τα θύματα (!!!). Ισχυρίζονται ότι διαγράφουν δεδομένα όταν λήξει ο χρόνος, όμως το δείγμα που εξετάσαμε δεν έκανε κάτι τέτοιο. Τοποθετεί την επέκταση .VAPOR. 
Έχει θεματάκια με τον κώδικα, το κοιτάμε.


Νέος Ransomware - EnybenyHorsuke

Aυτός τοποθετεί την επέκταση .Horsuke και μόλις ολοκληρώσει την κρυπτογράφηση, εμφανίζει Ransom Note με τίτλο Hack.txt και έχει και φωνητικό μήνυμα με τα κακά μαντάτα.
Για να μη λέτε ότι δε σας προσέχουν.


Τρίτη, 9 Μαΐου 2017

Προσοχή στους ransomware Μαΐου 2017

RANSOMWARE UPDATES Mάιος 2017 (part II)

Μόνο ως εφιαλτική θα μπορούσε να χαρακτηριστεί η εβδομάδα που μας πέρασε. Μετρήσαμε 38 νέα στελέχη Ransomware, εκ των οποίων τα 10 εμφανίστηκαν την Πρωτομαγιά!
Τα περισσότερα από αυτά είναι σκουπίδια, αλλά έρχονται να προστεθούν στο τεράστιο κύμα επιμολύνσεων που παρατηρείται.
Στα καλά νέα, καταφέραμε να αποκρυπτογραφήσουμε αρκετούς νέους
Ransomware.
Για να τα δούμε αναλυτικά:


ΝΕΟΣ RANSOMWARE: RSAUtil
Εμφανίστηκε (άλλος ένας) νέος HiddenTear Ransomware που ονομάζεται RSAUtil και αφήνει αυτό το Ransom Note με την ονομασία How_return_files.txt και τραγικά Αγγλικά.




Παρασκευή, 20 Ιανουαρίου 2017

RANSOMWARE UPDATES Ιανουάριος (Part 2)

RANSOMWARE UPDATES 27 12 16 – 14 01 17
(Part 2)

ΤΕΡΑΣΤΙΑ ΕΠΙΘΕΣΗ ΠΡΟΣ ΤΟ MongoDB
Τις προηγούμενες ημέρες υπήρξε ανηλεής επίθεση με Ransom, προς του Server του MongoDB. Η πλειοψηφία των server ανακαλύφθηκε πως είχε τρύπες ασφαλείας, με αποτέλεσμα να χτυπηθούν πάνω από 10.500 MongoDB Server σε χρονικό διάστημα 2 ημερών. Θεωρείται πως αυτό το νούμερο αποτελέι το 25% περίπου των ενεργών server στο διαδίκτυο.


Στη συνέχεια σε άλλες δύο μέρες, μέχρι και την 9η Ιανουαρίου, ο αριθμός των θυμάτων είχε ανέβει στο αστρονομικό νούμερο των 28.200 server (~68% όλων των mongoDB server στο διαδίκτυο!)

Λίγες μέρες αργότερα, η ομάδα Ransom γνωστή ως Kraken, έβγαλε πωλητήριο του script με το οποίο επιτέθηκαν στους servers, προς $200:

… και στη συνέχεια επιτέθηκαν στους server του ElasticSearch ζητώντας λύτρα. Το πρώτο κύμα επιθέσεων χτύπησε το ElasticSearch στις 13/1 ενώ ήδη πολλά θύματα ξεκίνησαν τα παράπονα στα forum της ElasticSearch.