Εμφάνιση αναρτήσεων με ετικέτα CryptoMix. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα CryptoMix. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 22 Απριλίου 2019

Τα νέα των Ransomware, 22/4/2019

Είχαμε την εμφάνιση ενός νέου "παίκτη" στο προσκήνιο την εβδομάδα που μας πέρασε, που ονομάζεται RobbinHood. Επιτέθηκε και παρέλυσε το σύστημα Η/Υ στο Greenville των ΗΠΑ ενώ εμφανίζεται ιδιαίτερα δραστήριος.

Είχαμε την ανακοίνωση της Δίωξης Ηλεκτρονικού Εγκλήματος στην Ελλάδα για τον JNEC και είχαμε και τον NamPoHyu που επιτίθεται σε Samba Servers.

Κατά τ' άλλα, τα γνωστά, Scarab, Matrix, Dharma...

Ας τα δούμε αναλυτικά:


Δελτίο Τύπου της Δίωξης Ηλεκτρονικού Εγκλήματος για τον JNEC 

Πραγματικά, χαιρόμαστε όταν βλέπουμε κάποιες υπηρεσίες στην Ελλάδα να λειτουργούν σωστά.
Στις 18/4/19, η Δίωξη Ηλεκτρονικού Εγκλήματος εξέδωσε Δελτίο Τύπου μέσω του οποίου προειδοποιεί του πολίτες για τον κίνδυνο του JNEC, όπως τον είχαμε περιγράψει με έκτακτο post μας στο παρόν blog. 

Συγχαίρουμε τη ΔΗΕ για την ενημέρωση προς το κοινό και αναμένουμε συνέχεια! 


Δευτέρα, 17 Δεκεμβρίου 2018

Τα νέα των Ransomware, 17/12/2018

Παραδοσιακά, οι μέρες πριν από τα Χριστούγεννα είναι πάντα πιο ήσυχες στον τομέα των Ransomware, πιθανώς λόγω του γεγονότος ότι πολύς κόσμος μετακινείται για τις γιορτές και πολλές εταιρίες υπολειτουργούν.

Είχαμε νέα στελέχη Dharma και Scarab κλασικά, ενώ είχαμε και ανησυχητική εξέλιξη στον τομέα του Sextortion.

Ας τα δούμε αναλυτικά:

Sextortion tactics

Ανησυχητικές διαστάσεις παίρνει η τακτική του sextortion, μέσω τις οποίας οι κυβερνο-εκβιαστές αποκομίζουν μεγάλα χρηματικά ποσά.


Τι είναι το sextortion?


Το υποψήφιο θύμα λαμβάνει ένα email στο οποίο αναφέρεται ότι έχει πιαστεί επαυτοφόρω να παρακολουθεί ιστοσελίδες με πορνογραφικό περιεχόμενο (μερικές φορές αναφέρουν και παιδική πορνογραφία). Γίνεται λόγος για χρήση της κάμερας του Η/Υ του θύματος, μέσω της οποίας έχουν αποδεικτικά της ... "δράσης" του θύματος και απειλούν να δημοσιεύσουν φωτογραφίες του σε προσωπικές στιγμές την ώρα που παρακολουθούν το πορνογραφικό περιεχόμενο.
Φυσικά, τίποτα από αυτά δεν υφίσταται.


Τον τελευταίο καιρό έχει εξελιχθεί η τακτική τους και έχει γίνει εξυπνότερη. 
Στοχεύουν σε θύματα των οποίων το email και ο κωδικός του έχουν διαρρεύσει και αποστέλλουν το παρακάτω email.



To κείμενο είναι το εξής:

Hello!

I have very bad news for you.
09/08/2018 - On this day, I got access to your OS and gained complete control over your system. **@gmail.com
On this day your account **@gmail.com has password: XXXX

How I made it:

In the software of the router, through which you went online, was avulnerability.
I just got into the router and got root rights and put my malicious code on it. 
When you went online, my trojan was installed on the OS of your device.

After that, I made a full dump of your (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I'm talk you about sites for adults.

I want to say - you are a BIG pervert. Your fantasy is shifted far away from the nromal course!

And i got an idea....
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!

As proof of my words, I made a video presentation in Power Point.
And laid out in a private cloud, look You can copy the link below and paste it into the browser.

https://google.com/url?Q=[url here]

I'm know that you would like to show these screenshots to your friends, relatives or colleagues.
I think #381 is a very, very small amount for my silence.
Besides, I have been spying on your for so long, having spect a lot of time!

Πολλά, λοιπόν, από τα θύματα θα προσπαθήσουν να κατεβάσουν το βίντεο που αποτελεί "απόδειξη" των πράξεών τους, με αποτέλεσμα να επιμολυνθούν με δύο διαφορετικά κακόβουλα λογισμικά:

Αρχικά με τον Azorult, μέσω του οποίου -πραγματικά αυτή τη φορά- αποσπούν προσωπικά στοιχεία όπως συνθηματικά πρόσβασης, ιστορικά συνομιλιών κλπ,
και στη συνέχεια επιμολύνονται με GandCrab και κρυπτογραφούνται τα δεδομένα τους.


Άλλη μία απόδειξη ότι πρέπει να δείχνουμε μεγάλη προσοχή σε ποια λινκ πατάμε!

Νέος GlobeImposter - EQ

Toποθετεί την επέκταση .fuck. Όχι κάτι παραπάνω καινούργιο.


Νέος Gerber 

Mετά τους Gerber1, 3 & 5 που αναφέραμε την προηγούμενη εβδομάδα, είχαμε άλλον έναν αυτήν την εβδομάδα με τον .FJ7QvaR9VUmi


Νέος Dharma - Santa

Στο κλίμα των ημερών, νέος Dharma με επέκταση .santa. Τίποτα απολύτως το καινούργιο.




Τρίτη, 5 Ιουνίου 2018

Τα νέα των Ransomware, 05/06/2018

Αρκετά busy η εβδομάδα που πέρασε, με πολλά νέα στελέχη να κάνουν την εμφάνισή τους.

Είχαμε επανεμφάνιση του CryptoMix, είχαμε νέο LockCrypt που υπό συνθήκες γίνεται wiper, είχαμε και νέο Jigsaw με C2 server.

Μας προξένησε εντύπωση ότι ο Sigrun προσφέρει δωρεάν αποκρυπτογράφηση στα θύματά του από τη Ρωσία και σας έχουμε και ένα απίστευτα αστείο facepalm στο τέλος του άρθρου.


Ας τα δούμε αναλυτικά:

Nέος Jigsaw - fun

Κάποιος "παίζει" με τον Jigsaw. Μάλιστα, είναι η πρώτη έκδοση που συναντάμε η οποία χρησιμοποιεί C2 Server (Command & Control) για τα κλειδιά.


Νέος LockCrypt 2.0

Στα κακά νέα της εβδομάδας, εμφανίστηκε ένας νέος LockCrypt, ο οποίος διορθώνει τα σφάλματα της προηγούμενης έκδοσης, τα οποία είχαμε εκμεταλλευτεί και μπορούσαμε να αποκρυπτογραφήσουμε. Πλέον μοιάζει να μην έχει αδυναμίες :(

Το "αστείο" της υπόθεσης (που δεν είναι καθόλου αστείο) είναι ότι η αποκρυπτογράφηση βασίζεται στο αρχείο Decode.key που αφήνει στο C:\Windows, συν το private κλειδί. Όμως, δεν τρέχει τη ρουτίνα ως διαχειριστής και δεν τσεκάρει αν η εγγραφή στο C:\Windows ήταν επιτυχής, με αποτέλεσμα αν αυτό αποτύχει, η αποκρυπτογράφηση να είναι 100% αδύνατη από οποιονδήποτε.


Διασπείρεται μέσω Remote Desktop, οπότε τα γνωστά...


Νέος Dharma Arrow

Mία νέα έκδοση του Dharma εμφανίστηκε, με επέκταση java2018@tuta.io.arrow.
Παρακάτω έχουμε ένα βίντεο της Cybersecurity που δείχνει τον τρόπο επίθεσης.







Και ο Aurora με C2 server

H MalwarehunterTeam ανακάλυψε αυτόν τον νέο Aurora ο οποίος χρησιμοποιεί κι αυτός πλέον C2 Server.


Νέος CryptConsole - helps

Aυτός πλέον χρησιμοποιεί άλλο email για την επικοινωνία, κατά τ' άλλα δεν έχουν αλλάξει και πολλά πράγματα. Εξακολουθούμε να μπορούμε να τον σπάσουμε!
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ -- ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!


Δευτέρα, 2 Απριλίου 2018

Τα νέα των Ransomware, 2/4/2018

Κυρίως μικρά στελέχη για αυτήν την εβδομάδα. Είχαμε ένα νέο Cryptomix, ένα wiper που ονομάζεται UselessDisk και μεταμφιέζεται σε Ransomware και μία εντελώς περίεργη είδηση (?) ότι η Boeing μολύνθηκε από τον WannaCry. 

Ας τα δούμε αναλυτικά:

Ο UselessDisk (ή αλλιώς Diskwriter) είναι wiper?

Ένας νέος bootlocker που ονομάζεται Diskwriter ή Uselessdisk, εμφανίστηκε στην αρχή της προηγούμενης εβδομάδας. Αυτός τροποποιεί το MBR (Master Boot Record), ώστε να εμφανίζει το παρακάτω Ransom Note όταν κάνει επανεκκίνηση  ο Η/Υ, και δεν μπαίνει στα Windows. Ζητάει $300 σε Bitcoins. Επειδή δεν βλέπουμε κανέναν απολύτως τρόπο να μπορεί να επανέρθει ο Η/Υ στην προηγούμενη κατάσταση, ακόμα και αν κάποιος πληρώσει τα λύτρα, τον θεωρούμε wiper. 



Αναστάτωση με την Boeing - μολύνθηκε από WannaCry?

Στα "τρελά" νέα της εβδομάδας, βγήκε η είδηση ότι η Boeing μολύνθηκε από τον WannaCry. Και λέμε "τρελή" γιατί ο WannaCry θεωρείται πλέον παλιά ιστορία και από το καλοκαίρι που μας πέρασε δεν έχει εμφανιστεί κανένα κρούσμα. 



Όλα ξεκίνησαν από ένα memo που έστειλε ο Mike VanderWel, επικεφαλής μηχανικός των αεροσκαφών Boeing, το οποίο
 σύμφωνα με την Seattle Times :

“It is metastasizing rapidly out of North Charleston and I just heard 777 (automated spar assembly tools) may have gone down,” VanderWel wrote, adding that he’s concerned the virus will hit equipment used in functional tests of airplanes ready to roll out and potentially “spread to airplane software.”


To πιο πιθανό πάντως είναι να πρόκειται για κάποιο από τα χιλιάδες Ransomware που εμφανίστηκαν και μιμούνται τον WannaCry. 

Αργότερα, στο twitter της Boeing εμφανίστηκε αυτό το Tweet:



Nέος Ransomware - EggLocker

Είναι υπό κατασκευή, δεν επηρεάζει τα ονόματα αρχείων -προς το παρόν μάλλον-

Δευτέρα, 8 Ιανουαρίου 2018

Τα νέα των Ransomware, 6/1/18

Καλή χρονιά με υγεία και ευημερία σε όλους!

Πέρα από το Case Study που δημοσιεύσαμε το οποίο δείχνει στην πράξη πώς καταφέρνουμε μερικές φορές και "σπάμε" τους Ransomware, oι γιορτινές ημέρες πέρασαν ήρεμα στον τομέα αυτόν. Όπως και πέρσι έτσι και φέτος οι δημιουργοί τους πήραν μερικές μέρες ρεπό. Είδαμε κυρίως νέες παραλλαγές γνωστών στελεχών, κυρίως του CryptoMix.

Πέραν τούτων, μερικά υπό κατασκευή στελέχη και αυτό είναι όλο. Αν πάντως θα τολμούσαμε μία πρόβλεψη, θα ήταν ότι προς το τέλος του μήνα θα δούμε μεγάλη έξαρση δυστυχώς.


Ας τα δούμε αναλυτικά:


Nέος Damage/Dangerous

Αυτός εμφανίστηκε στην πιάτσα ανήμερα των Χριστουγέννων. Τοποθετεί την επέκταση .wtf και αφήνει αυτό το Ransom Note:





Νέος Ransomware - Pulpy

Εντελώς αδιάφορος..





Νεος Ransomware - MadBit

Ditto με από πάνω - εντελώς αδιάφορος. Τοποθετεί την επέκταση .enc. Πρωτοτυπία υπό του μηδενός...



Νέος Ransomware - Heropoint

Ο Lawrence Abrams εντόπισε αυτόν τον Ransomware στις 2/1/18. Είναι υπό κατασκευή και δεν κρυπτογραφεί ακόμα, αλλά θεωρείται σχεδόν σίγουρο ότι θα 

Τρίτη, 26 Δεκεμβρίου 2017

Τα Χριστουγεννιάτικα νέα των Ransomware, 25/12/2017

Καλά Χριστούγεννα και καλές γιορτές σε όλους!

Οι γιορτινές ημέρες είναι εδώ και ακόμα και οι δημιουργοί των Ransomware κάνουν διάλειμμα...
Αυτήν την εβδομάδα που πέρασε, είχαμε πολύ λίγα στελέχη να διασπείρονται και ελάχιστες επιμολύνσεις, κάτι που πάντα είναι καλό νέο.

Τα κυριότερα νέα αφορούν την επίσημη τοποθέτηση της κυβέρνησης των ΗΠΑ μέσω της οποίας κατονομάζει την Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry, ο οποίος είχε σπείρει το χάος σε όλο τον κόσμο το Μάιο που μας πέρασε.
Επίσης, είχαμε συλλήψεις ατόμων που σχετίζονται με την διασπορά του Cerber και του CTB-Locker.

Ας τα δούμε αναλυτικά:


Ψεύτικος πολλαπλασιαστής Bitcoin εγκαθιστά Ransomware

Έχετε Bitcoin? Διαβάζετε "κάπου" για ένα λογισμικό που θα πολλαπλασιάσει τα Bitcoin σας και το κατεβάζετε. Προφανώς δεν είστε και πολύ μέσα στα πράγματα, γιατί αλλιώς θα γνωρίζατε ότι τα Bitcoin δεν πολλαπλασιάζονται έτσι απλά...
Κατεβάζετε, λοιπόν το Bitcoin-x2 κολλάτε έναν περιποιημένο Ransomware και μετά ξοδεύετε τα Bitcoin σας σε λύτρα..





Συλλήψεις για τον CTB-Locker και τον Cerber (vid)

Οι αρχές της Ρουμανίας συνέλαβαν πέντε άτομα με τις κατηγορίες της διασποράς email με παγιδευμένα επισυναπτόμενα, προσπαθώντας να μολύνουν χρήστες με τον CTB-Locker και τον Cerber.

Οι αρχές ανακοίνωσαν ότι πρόκειται για διανομείς των Ransomware και όχι για τους δημιουργούς. Οι συλληφθέντες χρησιμοποιούσαν RaaS (Ransomware As A Service) και έστελναν αρχεία που έμοιαζαν με τιμολόγια προκειμένουν να μολύνουν χρήστες και να απαιτήσουν λύτρα.
Από τα χρήματα που εισέπρατταν, το 30% πήγαινε στο RaaS.


Παρακάτω είναι ένα βίντεο από την εισβολή της αστυνομίες σε διάφορες τοποθεσίες και από τις αντίστοιχες συλλήψεις.



Ο Λευκός Οίκος κατηγορεί επίσημα την Βόρεια Κορέα για τη διασπορά του WannaCry.

Ο υπεύθυνος ασφαλείας των ΗΠΑ Thomas Bossert σε δήλωσή του στη Wall Street Journal, κατονόμασε τη Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry που προκάλεσε παγκόσμιο χάος τον Μάιο που μας πέρασε. Μπορείτε να διαβάσετε στο παραπάνω λινκ αναλυτικά τη δήλωση.


ΝΕA ΣΤΕΛΕΧΗ του RSAUtil Ransomware

Δύο νέα στελέχη του RSAUtil είχαμε αυτήν την εβδομάδα, το ένα από αυτά

Σάββατο, 16 Δεκεμβρίου 2017

Τα νέα των Ransomware, 17/12/2017

Αυτή η εβδομάδα που πέρασε, είχε κυρίως μικρά υπό κατασκευή Ransomware, με τα μεγαλύτερα νέα να αφορούν τον File Spider Ransomware, που στοχοποίησε Βαλκανικές χώρες (προς το παρόν, δεν είχαμε θύματα στην Ελλάδα).
Στην Καλιφόρνια, η βάση δεδομένων των ψηφοφόρων "απήχθη" και κρατείται ζητώντας λύτρα!

Ας τα δούμε αναλυτικά:


ΝΕΟΣ Ransomware: TrOwX

Ξεκινάμε με HiddenTear φυσικά, αυτός ονομάζεται TrOwX και πετάει το Ransom Note READ_AND_CRY+[passTxt].txt και χρησιμοποιεί την επέκταση .locked.

Τώρα, το αστείο είναι το Read and cry... Σοβαρά τώρα? Μάλλον όχι, εκτός αν εννοούν ότι θα κλάψουμε από τα γέλια διαβάζοντας το γελοίο κώδικα που έχουν γράψει...





ΝΕΟΣ Ransomware: D4rkL0cker

Προς το παρόν δεν κρυπτογραφεί. 







O File Spider στοχεύει Βαλκανικές χώρες

Την Τρίτη που μας πέρασε, εμφανίστηκε ένας νέος Ransomware, ο File Spider. Αυτός

Σάββατο, 18 Νοεμβρίου 2017

Τα νέα των Ransomware, 19/11/2017

Αυτήν την εβδομάδα είχαμε κυρίως μικρά στελέχη Ransomware να κάνουν την εμφάνισή τους.
Μας κίνησαν το ενδιαφέρον δύο παραλλαγές του CryptoMix και ένα υπό κατασκευή Ransomware που δημιουργήθηκε για να επιτεθεί σε συγκεκριμένο σχολείο της Αμερικής.


Ας τα δούμε αναλυτικά:



Νέος Jigsaw Ransomware: Pabluklocker 

O Michael Gillespie ανακάλυψε ένα strain του φίλου μας του Jigsaw που τοποθετεί την επέκταση .##ENCRYPTED_BY_pabluklocker## στα κρυπτογραφημένα αρχεία, και χρησιμοποιεί ένα σωρό εικόνες...


Νέος Ransomware: CyberPolice

Tην Τρίτη εμφανίστηκε ο πρώτος HiddenTear αυτής της εβομάδας. Τοποθετεί την επέκταση .locked. Απο πρωτοτυπία σκίζουμε, ε? 

Νέος Ransomware: Stroman

Aυτός τοποθετεί την ενδιαφέρουσα επέκταση

Δευτέρα, 16 Οκτωβρίου 2017

Τα νεα των Ransomware, 15/10/2017


Σε σχέση με την προηγούμενη εβδομάδα που ήταν πολύ ήσυχη, αυτή είχε και πάλι αυξημένη δραστηριότητα.
Είδαμε  πολλούς νέους Ransomware, οι περισσότεροι από αυτούς είναι δοκιμαστικοί και κατά πάσα πιθανότητα δεν θα κυκλοφορήσουν ποτέ, είδαμε όμως και μία νέα έκδοση του Locky, μία νέα έκδοση του CryptoMix....
Τα μεγάλα νέα έχουν να κάνουν με τον DoubleLocker, έναν Ransomware για Android, ο οποίος χρησιμοποιεί ενδιαφέρουσες παλιές και νέες τεχνικές.

Ας τα δούμε αναλυτικά:



Καμπάνια SPAM στέλνει "βιογραφικά", προωθεί τον GlobeImposter 


Η Myonlinesecurity.co.uk κυκλοφόρησε μια ενδιαφέρουσα ανάλυση σχετικά με τα δήθεν βιογραφικά που στέλνει κάποιος ενδιαφερόμενος για εξεύρεση εργασίας, τα οποία βιογραφικά είναι της μορφής .doc και διασπείρουν τον GlobeImposter Ransomware.

Όταν κάποιος ανοίξει το επισυναπτόμενο, συνδέεται και κατεβάζει το http://89.248.169.136/bigmac.jpg, το οποίο φυσικά δεν είναι αρχείο εικόνας αλλά καμουφλαρισμένο εκτελέσιμο και συγκεκριμένα το ASdsadASd.exe. 

Μπορείτε να διαβάσετε όλη την ανάλυση εδώ.


Νέος Ransomware: LockOn

Είναι μάλλον υπό κατασκευή αλλά δουλεύει σωστά, τοποθετεί την επέκταση .lockon στα κρυπτογραφημένα αρχεία.


Τρίτη, 28 Φεβρουαρίου 2017

Android και MacOs Ransomware στο προσκήνιο...

RANSOMWARE UPDATES 20/2/2017 – 27/2/2017


Μην πληρώσετε τα λύτρα σε bitcoin ψάχνουμε λύση για την αποκρυπτογράφηση
Lockdroid Ransomware
RANSOMWARE ΓΙΑ ANDROID ΖΗΤΑΕΙ ΑΠΟ ΤΑ ΘΥΜΑΤΑ ΤΟΥ ΝΑ ΠΟΥΝ ΤΟΝ ΚΩΔΙΚΟ!

Μία νέα παραλλαγή του Lockdroid ζητάει από τα θύματά του να πουν τον κωδικό μετά την πληρωμή τους, στην ειδική εφαρμογή του προκειμένου να προχωρήσουν στην αποκρυπτογράφηση. Η πληκτρολόγηση του κωδικού είναι αδύνατη...

Τρίτη, 7 Φεβρουαρίου 2017

Λύσεις για να μην πληρώσετε λύτρα για τους Ransomware Ιούς Κρυπτογράφησης

NIKHΣΑΜΕ ΚΑΙ ΤΟΝ ΚΑΙΝΟΥΡΓΙΟ JIGSAW!

Μη πληρώσετε τα Bitcoin για λύτρα αποκρυπτογράφησης του Ransomware Jigsaw
Λύση για τον Ransomware - ιός κρυπτογράφησης  Jigsaw
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!


Και άλλη μία παραλλαγή του Jigsaw εμφανίστηκε στο προσκήνιο αυτήν την εβδομάδα,
η οποία τοποθετεί την επέκταση .uk-dealer@sigaint.org στα κρυπτογραφημένα αρχεία. ΚΑΙ για αυτήν την περίπτωση.

UPDATE 5/2/2017: 
Λύσαμε και την τέταρτη παραλλαγή του Jigsaw η οποία μας έβριζε στα γερμανικά τοποθετώντας την επέκταση .geficked (fucked στα γερμανικά...). 

MH ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!