Εμφάνιση αναρτήσεων με ετικέτα Globeimposter. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα Globeimposter. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 17 Δεκεμβρίου 2018

Τα νέα των Ransomware, 17/12/2018

Παραδοσιακά, οι μέρες πριν από τα Χριστούγεννα είναι πάντα πιο ήσυχες στον τομέα των Ransomware, πιθανώς λόγω του γεγονότος ότι πολύς κόσμος μετακινείται για τις γιορτές και πολλές εταιρίες υπολειτουργούν.

Είχαμε νέα στελέχη Dharma και Scarab κλασικά, ενώ είχαμε και ανησυχητική εξέλιξη στον τομέα του Sextortion.

Ας τα δούμε αναλυτικά:

Sextortion tactics

Ανησυχητικές διαστάσεις παίρνει η τακτική του sextortion, μέσω τις οποίας οι κυβερνο-εκβιαστές αποκομίζουν μεγάλα χρηματικά ποσά.


Τι είναι το sextortion?


Το υποψήφιο θύμα λαμβάνει ένα email στο οποίο αναφέρεται ότι έχει πιαστεί επαυτοφόρω να παρακολουθεί ιστοσελίδες με πορνογραφικό περιεχόμενο (μερικές φορές αναφέρουν και παιδική πορνογραφία). Γίνεται λόγος για χρήση της κάμερας του Η/Υ του θύματος, μέσω της οποίας έχουν αποδεικτικά της ... "δράσης" του θύματος και απειλούν να δημοσιεύσουν φωτογραφίες του σε προσωπικές στιγμές την ώρα που παρακολουθούν το πορνογραφικό περιεχόμενο.
Φυσικά, τίποτα από αυτά δεν υφίσταται.


Τον τελευταίο καιρό έχει εξελιχθεί η τακτική τους και έχει γίνει εξυπνότερη. 
Στοχεύουν σε θύματα των οποίων το email και ο κωδικός του έχουν διαρρεύσει και αποστέλλουν το παρακάτω email.



To κείμενο είναι το εξής:

Hello!

I have very bad news for you.
09/08/2018 - On this day, I got access to your OS and gained complete control over your system. **@gmail.com
On this day your account **@gmail.com has password: XXXX

How I made it:

In the software of the router, through which you went online, was avulnerability.
I just got into the router and got root rights and put my malicious code on it. 
When you went online, my trojan was installed on the OS of your device.

After that, I made a full dump of your (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I'm talk you about sites for adults.

I want to say - you are a BIG pervert. Your fantasy is shifted far away from the nromal course!

And i got an idea....
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!

As proof of my words, I made a video presentation in Power Point.
And laid out in a private cloud, look You can copy the link below and paste it into the browser.

https://google.com/url?Q=[url here]

I'm know that you would like to show these screenshots to your friends, relatives or colleagues.
I think #381 is a very, very small amount for my silence.
Besides, I have been spying on your for so long, having spect a lot of time!

Πολλά, λοιπόν, από τα θύματα θα προσπαθήσουν να κατεβάσουν το βίντεο που αποτελεί "απόδειξη" των πράξεών τους, με αποτέλεσμα να επιμολυνθούν με δύο διαφορετικά κακόβουλα λογισμικά:

Αρχικά με τον Azorult, μέσω του οποίου -πραγματικά αυτή τη φορά- αποσπούν προσωπικά στοιχεία όπως συνθηματικά πρόσβασης, ιστορικά συνομιλιών κλπ,
και στη συνέχεια επιμολύνονται με GandCrab και κρυπτογραφούνται τα δεδομένα τους.


Άλλη μία απόδειξη ότι πρέπει να δείχνουμε μεγάλη προσοχή σε ποια λινκ πατάμε!

Νέος GlobeImposter - EQ

Toποθετεί την επέκταση .fuck. Όχι κάτι παραπάνω καινούργιο.


Νέος Gerber 

Mετά τους Gerber1, 3 & 5 που αναφέραμε την προηγούμενη εβδομάδα, είχαμε άλλον έναν αυτήν την εβδομάδα με τον .FJ7QvaR9VUmi


Νέος Dharma - Santa

Στο κλίμα των ημερών, νέος Dharma με επέκταση .santa. Τίποτα απολύτως το καινούργιο.




Δευτέρα, 19 Νοεμβρίου 2018

Τα νέα των Ransomware, 19/11/2018

Με τον Dharma ασχολούμαστε και πάλι, αυτή τη φορά μας κίνησε το ενδιαφέρον άρθρο γνωστής ιστοσελίδας στο οποίο γίνεται σύνδεση του Dharma με την Τουρκία. Διαβάστε λεπτομέρειες παρακάτω.

Κατά τ' άλλα, κυρίως στελέχη γνωστών Ransomware όπως ο Dharma και ο Matrix μονοπώλησαν το ενδιαφέρον για την εβδομάδα που πέρασε.

Ας τα δούμε αναλυτικά.



Ο DHARMA ΕΙΝΑΙ ΤΟΥΡΚΙΚΗΣ ΠΡΟΕΛΕΥΣΗΣ?


Σύμφωνα με την ιστοσελίδα FortiGuard

Our telemetry also shows that for the past 6 months more than 25% of detection is originating from Turkey.

The cyberwar is not at rest. Turkish sources have reported that
Dharma has attacked more than 100 Greek websites. Details of these attacks seems to confirm news reports about the political tensions between Turkey and Greece regarding islands ownership in the Aegean sea, showing that ransomware attacks can be used for activism as well as for financial gain.

o Dharma έχει χρησιμοποιηθεί για επίθεση σε 100 ελληνικές ιστοσελίδες, λόγω της κλιμακούμενης έντασης στο Αιγαίο.

Κρίνοντας από το γεγονός ότι οι απατεώνες που μας προσέγγισαν προσφέροντάς μας τη "λύση" τους για τον Dharma είχαν τουρκικά ονόματα, έχει λογική.

Μιας και μιλήσαμε για απατεώνες,

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Νέος Ransomware - XUY

Τίποτα το ενδιαφέρον. Βασίζεται στον Tron μάλλον.



Νέος Ransomware - Argus

Toποθετεί την επέκταση .ARGUS και αφήνει Ransom Note με την ονομασία ARGUS-DECRYPT.html.



Ο GlobeImposter διασπείρεται και μέσω HookAds

H καμπάνια malware HookAds εμφάνισε έντονη δραστηριότητα τις προηγούμενες ημέρες και στέλνει χρήστες στο Fallout Exploit Kit. Αυτό με τη σειρά του διασπείρει το DanaBot (το οποίο είναι Banking Trojan), τον Nocturnal και τον GlobeImposter. 

Ένα από τα sites που διασπείρουν τον HookAds είναι αυτό:


Ακόμα και ένας αδαής θα καταλάβαινε ότι ιστοσελίδες με την παραπάνω μορφή μυρίζουν μπαρούτι...
Η συγκεκριμένη ευαισθησία που εκμεταλλεύεται ο Fallout για να φορτώσει το payload είναι γνωστή.

Νέος SaveFiles - DataWait

Παραλλαγή του SaveFiles με την ονομασία DataWait. Τοποθετεί την επέκταση .DATAWAIT. Κατά τ' άλλα τίποτα το καινούργιο.





Δευτέρα, 30 Ιουλίου 2018

Τα νέα των Ransomware, 30/7/2018

Του ... Scarab το κάγκελο για αυτήν την εβδομάδα, με περισσότερα από 6 νέα στελέχη να κάνουν την εμφάνισή τους και να είναι ιδιαίτερα δραστήρια.
Όπως έχουμε πει πολλές φορές, η Northwind έχει βρει κάποια αδυναμία στα περισσότερα από αυτά τα στελέχη, και αν έχετε μολυνθεί, ελάτε σε επικοινωνία μαζί μας.


Κατά τ' άλλα, ενδιαφέρον είχε το χτύπημα με Ransomware στον κολοσσό Cosco, απάντηση σε όσους λένε ότι το Ransomware πέθανε.


Ας τα δούμε αναλυτικά:

NEOΣ GandCrab

Χωρίς καμία ιδιαίτερη αλλαγή σε σχέση με την προηγούμενη έκδοση, 4.2 απλώς προσθέτει μηνύματα ειρωνίας σε διάφορους security researchers.




Nέος Ransomware - Armage

Αυτός καταστρέφει τα εικονίδια του Windows Explorer και τοποθετεί την επέκταση .armage. Τίποτα το περισσότερο ενδιαφέρον.


Νέος Dharma

Toποθετεί την επέκταση .id.combo. Τίποτα το καινούργιο.


Νέος Jigsaw

Toποθετεί την επέκταση .black007. Κατά τα γνωστά, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ. 


Νέοι Scarab ....

Πρώτα εμφανίστηκε η παραλλαγή ΒΙΝ. Τοποθετεί την επέκταση .bin2 στα αρχεία και αφήνει πίσω του ένα Ransom Note με την ονομασία HOW TO RECOVER ENCRYPTED FILES.TXT.




Στη συνέχεια

Δευτέρα, 11 Ιουνίου 2018

Τα νέα των Ransomware, 11/6/2018

Αυτήν την εβδομάδα είχαμε έξαρση σε στελέχη του CryptConsole, Magniber και άλλων μικρών Ransomware. 

Συνεχίζει πάντως η πτώση στην κινητικότητα των Ransomware καθώς οι δημιουργοί τους κινούνται προς στοχευμένες επιθέσεις που έχουν περισσότερες πιθανότητες να εισπράξουν, παρά από τυφλά χτυπήματα μέσω malspam. 

Ας τα δούμε αναλυτικά:

Νέοι CryptConsole -- ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Την εβδομάδα που πέρασε, εμφανίστηκαν περισσότερες από 5 παραλλαγές του CryptConsole. Να υπενθυμίσουμε ότι έχουμε βρει λύση για όλους, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!
Οι παραλλαγές που εμφανίστηκαν, έχουν πέσει στα χέρια μας και μπορούμε να αποκρυπτογραφήσουμε, χρησιμοποιούν τα email: xser@tutanote.com, redbul@tutanota.com, heineken@tuta.io (μη πίνετε πολύ, παιδιά...)

Χάθηκαν καταγραφές ετών από τις κάμερες του Αστυνομικού Τμήματος της Ατλάντα

Σύμφωνα με την Atlanta Journal, σε συνέντευξη που έδωσε η επικεφαλής του Α.Τ. Erika Shields, "οι καταγραφές των καμερών των περιπολικών έχουν χαθεί οριστικά". Το περιστατικό συνέβη το Μάρτιο και η επίθεση έγινε με τη χρήση του SamSam.
Σύμφωνα με τα όσα έγιναν γνωστά, η πόλη της Ατλάντα ξόδεψε περισσότερα από 5 εκατομμύρια δολλάρια προκειμένου να αποκαταστήσει τις βλάβες στα συστήματα που επηρεάστηκαν! Περισσότερα εδώ.




Νέος Ransomware  - RedEye

Άλλος ένας καταστροφικός Ransomware εμφανίστηκε, ο οποίος διαγράφει το περιέχομενο των αρχείων :(
Επιπροσθέτως, τροποποιεί το MBR προκειμένου να εμφανίσει μήνυμα σχετικό με τα λύτρα.

Ο δημιουργός του εμφανίστηκε σε φόρουμ και δήλωσε ότι το εν λόγω Ransomware δεν δημιουργήθηκε με σκοπό τη διασπορά αλλά "για πλάκα", αλλά έχουμε ήδη δύο αναφορές για κρούσματα...




Νέος GlobeImposter

Mέσα σε όλα, είχαμε και νέο GlobeImposter, που τοποθετεί την επέκταση .emilysupp. Υπενθυμίζουμε ότι ο GlobeImposter 2.0 θέρισε πριν λίγο καιρό, με πολλά θύματα και στην Ελλάδα.




Νέος Ransomware - Princess

Εντοπίστηκε να πωλείται στο Dark Web για  ένα κομμάτι ψωμί...

Νέος PGPSnippet - ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

H MalwareHunterTeam εντόπισε ένα νέο στέλεχος του PGPSnippet που τοποθετεί την επέκταση .digiworldhack@tutanota.com στα κρυπτογραφημένα αρχεία. Όπως και με τα άλλα στελέχη του PGPSnippet, ΜΗ ΠΛΗΡΩΣΕΤΑ ΤΑ ΛΥΤΡΑ, ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ


Δευτέρα, 12 Μαρτίου 2018

Τα νέα των Ransomware, 12/3/2018

Για αυτήν την εβδομάδα, είχαμε την επανεμφάνιση του GandCrab με νέο στέλεχος που προς το παρόν δεν έχουμε καταφέρει να σπάσουμε :(

Είχαμε επίσης την έρευνα της CyberEdge για τους Ransomware, με απίστευτα αποτελέσματα: Οι μισοί από όσους πλήρωσαν τα λύτρα, δεν πήραν ποτέ τα δεδομένα τους :(


Ας τα δούμε αναλυτικά:

Μεγάλη καμπάνια διασπείρει GlobeImposter και GandCrab -- ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!

Υπάρχει σε εξέλιξη μεγάλη καμπάνια με malspam, εξαιρετικά επικίνδυνη, που διασπείρει τους GandCrab και GlobeImposter.
Και οι δύο Ransomware είναι εξαιρετικά δραστήριοι και δεν μπορούν να αποκρυπτογραφηθούν.

Τα email που έρχονται είναι κάπως έτσι:



Tα email που έχουν εντοπιστεί να χρησιμοποιούνται ως αποστολείς είναι:



ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!!!!
Ακολουθήστε πιστά τον οδηγό επιβίωσης που έχουμε γράψει εδώ και καιρό.
ΜΗΝ ΑΝΟΙΓΕΤΕ ΕΠΙΣΥΝΑΠΤΟΜΕΝΑ ΑΠΟ ΜΗ ΕΜΠΙΣΤΕΣ ΠΗΓΕΣ.


Νέος Gandcrab - Δυστυχώς δεν επαληθευτήκαμε

Γράψαμε την προηγούμενη εβδομάδα για τον GandCrab για τον οποίο βρέθηκε λύση, ότι οι δημιουργοί του είχαν γράψει στο DarkWeb ότι ήδη ετοιμάζουν νέα έκδοση η οποία θα είναι αδιαπέραστη.
Είχαμε πει ότι πιθανώς και να μη προλάβουν να την κυκλοφορήσουν, μιας και επίκεινται συλλήψεις.
Τελικά πρόλαβαν. 
Η νέα έκδοση είναι δυστυχώς ασφαλής, τοποθετεί την επέκταση .CRAB και έχει επανασχεδιαστεί.

Έρευνα - σοκ της CyberEdge για τους Ransomware - Μόνο το ~50% όσων πλήρωσαν τα λύτρα πήραν πίσω δεδομένα!

Σε μία πολύ ενδιαφέρουσα έρευνα της CyberEdge, γίνεται φανερό ότι οι μισοί

Τρίτη, 20 Φεβρουαρίου 2018

Τα νέα των Ransomware, 19/2/18

Στα ΚαθαροΔευτεριάτικα νέα των Ransomware, δεν έχουμε και πολλά πράγματα.

Η μεγαλύτερη είδηση είναι η επίσημη τοποθέτηση της Αγγλίας, η οποία χρεώνει τον NotPetya σε Ρώσους χάκερς.

Μεταξύ άλλων, μας κίνησε το ενδιαφέρον ο Saturn, ο οποίος μοιάζει να είναι πολύ οργανωμένος σε πολλούς τομείς σε σχέση με άλλα μικρά στελέχη που βλέπουμε κατά καιρούς και είναι ιδιαίτερα δραστήριος. 


Τέλος, άσχημα νέα με τον GandCrab ο οποίος ενώ ως τώρα στόχευε θύματα στην Κορέα, την προηγούμενη εβδομάδα είχαμε δύο κλήσεις για βοήθεια στην Ελλάδα. Δυστυχώς δεν υπάρχει (ακόμα) λύση για αυτόν.


Ας τα δούμε αναλυτικά:

Νέος Ransomware - TBlocker

Mε καλά νέα ξεκινάμε, την Δευτέρα που μας πέρασε εμφανίστηκε αυτός, για τον οποίο ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!


Έχουμε βρει λύση, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Παιδιά, έχετε μπερδευτεί λιγάκι...

Μια νέα παραλλαγή του Rapid εμφανίστηκε την προηγούμενη εβδομάδα, ο οποίος προσπαθεί να διασπαρεί μέσω malspam παριστάνοντας ότι πρόκειται για ηλεκτρονικό μήνυμα από το IRS (το ΣΔΟΕ της Αμερικής - ας πούμε).

Το θέμα είναι ότι το IRS είναι Αμερικάνικο, ο αποστολέας χρησιμοποιεί spoof email με κατάληξη Αγγλίας και το επισυναπτόμενο είναι στα γερμανικά...





Περί αλητείας ο λόγος

Μόνο σαν αλητεία μπορούμε να χαρακτηρίσουμε την τακτική του Defender Ransomware, ο οποίος δεν μπορεί να αποκρυπτογραφηθεί. Με κανέναν τρόπο.

Και ο λόγος είναι ότι

Δευτέρα, 5 Φεβρουαρίου 2018

Τα νέα των Ransomware, 5/2/2018

Θυμάστε την προηγούμενη εβδομάδα που αναφέραμε ότι χτυπήθηκε η πόλη του Farmington στο New Mexico των ΗΠΑ? Well, that escalated quickly, αφού είχαμε και άλλες επιθέσεις...
Είχαμε επίσης μια ενδιαφέρουσα εβδομάδα σε γενικές γραμμές, με τον GandCrab να διανέμεται μέσω exploit kits και κάποια TOR Gateways τα οποία έκλεψαν χρήματα από ransomware developers!


Ας τα δούμε αναλυτικά:



Νέος Ransomware - GandCrab

To προηγούμενο Σαββατοκύριακο εμφανίστηκε αυτός, οριακά δεν προλάβαμε να τον αναφέρουμε στα νέα της προηγούμενης εβδομάδας.
Η καινοτομία του είναι ότι δέχεται πληρωμή μόνο σε DASH, πιθανώς λόγω του ότι το DASH είναι φτιαγμένο με απόλυτο σκοπό την πλήρη ανωνυμία.
Τοποθετεί την επέκταση .GDCB.







Tor-to-Web Proxy κλέβει Ransomware Developers, όπως λέμε ο κλέψας του κλέψαντος...

Μία απίστευτη ιστορία έλαβε χώρα τη Δευτέρα που μας πέρασε, αφού εντοπίστηκε τουλάχιστον ένα Tor Proxy service να αντικαθιστά τις διευθύνσεις Bitcoin από πληρωμές Ransomware, μεταφέροντας ουσιαστικά τις πληρωμές των λύτρων, σε άλλο wallet!


To Tor Proxy Service είναι μία υπηρεσία που επιτρέπει στους χρήστες να επισκεφτούν τις .onion σελίδες του Tor, χωρίς την εγκατάσταση του αντίστοιχου Tor browser.

Πιο συγκεριμένα, σε κάποιες περιπτώσεις τα Ransomware εμφανίζουν τόσο τη διεύθυνση Tor για την πληρωμή των λύτρων, όσο και εναλλακτικές Tor-to-web διευθύνσεις, για την περίπτωση που το θύμα δεν έχει τις τεχνικές λεπτομέρειες για να εγκαταστήσει Tor κλπ.

Μία τέτοια υπηρεσία είναι το onion.top, το οποίο στο παρασκήνιο σκάναρε το Dark Web για σελίδες που περιέχουν διευθύνσεις που μοιάζουν με Bitcoin wallets, και τις αντικαθιστούσαν με δικές τους, με αποτέλεσμα τα θύματα να πληρώνουν λύτρα και τα χρήματα να πηγαίνουν στο onion.top!


Ήδη ο LockeR Ransomware, ο Sigma και ο GlobeImposter έχουν πέσει θύματα, με τον LockeR να εμφανίζει και προειδοποιητικό μήνυμα..


Υπολογίζεται ότι τα μέχρι στιγμής κέρδη τους είναι περίπου $44.000.

Σχολείο στην Νότια Καρολίνα, θύμα Ransomware

Ενα σχολείο στην Νότια Καρολίνα, στο Chester County, έπεσε θύμα Ransomware την προηγούμενη Δευτέρα. Όπως αναφέρθηκε,

Chester County School District posted on its Facebook page Monday that ransomware hit the district’s servers over the weekend. The post went on to say that no data has been taken or breached, and it has a specialist on site to assist the district.

Τρίτη, 26 Δεκεμβρίου 2017

Τα Χριστουγεννιάτικα νέα των Ransomware, 25/12/2017

Καλά Χριστούγεννα και καλές γιορτές σε όλους!

Οι γιορτινές ημέρες είναι εδώ και ακόμα και οι δημιουργοί των Ransomware κάνουν διάλειμμα...
Αυτήν την εβδομάδα που πέρασε, είχαμε πολύ λίγα στελέχη να διασπείρονται και ελάχιστες επιμολύνσεις, κάτι που πάντα είναι καλό νέο.

Τα κυριότερα νέα αφορούν την επίσημη τοποθέτηση της κυβέρνησης των ΗΠΑ μέσω της οποίας κατονομάζει την Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry, ο οποίος είχε σπείρει το χάος σε όλο τον κόσμο το Μάιο που μας πέρασε.
Επίσης, είχαμε συλλήψεις ατόμων που σχετίζονται με την διασπορά του Cerber και του CTB-Locker.

Ας τα δούμε αναλυτικά:


Ψεύτικος πολλαπλασιαστής Bitcoin εγκαθιστά Ransomware

Έχετε Bitcoin? Διαβάζετε "κάπου" για ένα λογισμικό που θα πολλαπλασιάσει τα Bitcoin σας και το κατεβάζετε. Προφανώς δεν είστε και πολύ μέσα στα πράγματα, γιατί αλλιώς θα γνωρίζατε ότι τα Bitcoin δεν πολλαπλασιάζονται έτσι απλά...
Κατεβάζετε, λοιπόν το Bitcoin-x2 κολλάτε έναν περιποιημένο Ransomware και μετά ξοδεύετε τα Bitcoin σας σε λύτρα..





Συλλήψεις για τον CTB-Locker και τον Cerber (vid)

Οι αρχές της Ρουμανίας συνέλαβαν πέντε άτομα με τις κατηγορίες της διασποράς email με παγιδευμένα επισυναπτόμενα, προσπαθώντας να μολύνουν χρήστες με τον CTB-Locker και τον Cerber.

Οι αρχές ανακοίνωσαν ότι πρόκειται για διανομείς των Ransomware και όχι για τους δημιουργούς. Οι συλληφθέντες χρησιμοποιούσαν RaaS (Ransomware As A Service) και έστελναν αρχεία που έμοιαζαν με τιμολόγια προκειμένουν να μολύνουν χρήστες και να απαιτήσουν λύτρα.
Από τα χρήματα που εισέπρατταν, το 30% πήγαινε στο RaaS.


Παρακάτω είναι ένα βίντεο από την εισβολή της αστυνομίες σε διάφορες τοποθεσίες και από τις αντίστοιχες συλλήψεις.



Ο Λευκός Οίκος κατηγορεί επίσημα την Βόρεια Κορέα για τη διασπορά του WannaCry.

Ο υπεύθυνος ασφαλείας των ΗΠΑ Thomas Bossert σε δήλωσή του στη Wall Street Journal, κατονόμασε τη Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry που προκάλεσε παγκόσμιο χάος τον Μάιο που μας πέρασε. Μπορείτε να διαβάσετε στο παραπάνω λινκ αναλυτικά τη δήλωση.


ΝΕA ΣΤΕΛΕΧΗ του RSAUtil Ransomware

Δύο νέα στελέχη του RSAUtil είχαμε αυτήν την εβδομάδα, το ένα από αυτά

Σάββατο, 9 Δεκεμβρίου 2017

Τα νέα των Ransomware, 11/12/2017

Πολλά μικρά στελέχη εμφανίστηκαν την προηγούμενη εβδομάδα και ήταν αυτά που μας κίνησαν το ενδιαφέρον.
Είχαμε όμως και μερικές μεγάλες ιστορίες, με τον HC7 o οποίος στοχεύει και χτυπάει ολόκληρα δίκτυα μέσω Remote Desktop, είχαμε τον StorageCrypt στον οποίο είχαμε αναφερθεί και την προηγούμενη εβδομάδα που χτυπάει κουτιά NAS μέσω SambaCry και είχαμε και τους Η/Υ της κομητείας του Mecklenburg στην Βόρεια Καρολίνα των ΗΠΑ να μολύνονται με τον LockCrypt.

Ας τα δούμε αναλυτικά:



ΝΕΟΣ Ransomware: Napoleon

Αυτός βασίζεται στον Blind και τοποθετεί την επέκταση .napoleon στα κρυπτογραφημένα αρχεία.
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!








ΝΕΟΣ Ransomware: Eternity

O Karsten Hahn ανακάλυψε έναν υπό κατασκευή Ransomware, βασισμένο στον Stupid Ransomware, ο οποίος κρασάρει λόγω ενός αρχείου ήχου που λείπει.
Τοποθετεί την επέκταση .eTeRnItY στα κρυπτογραφημένα αρχεία.

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!





ΝΕΟΣ Ransomware: Jcoder (variant)

Σάββατο, 25 Νοεμβρίου 2017

Τα Νέα των Ransomware, 26/11/2017

Ησυχία επικράτησε την εβδομάδα που μας πέρασε. Το ενδιαφέρον μας κίνησε ο Scarab Ransomware, κυρίως λόγω του τρόπου διασποράς του, καθώς και ο qkG ο οποίος διανέμεται μέσω μολυσμένου αρχείου office. Πέραν αυτών, ήταν μία εβδομάδα με μικρά στελέχη σε διάφορα στάδια κατασκευής.

Ας τα δούμε αναλυτικά:



Νέος Ransomware: WannaDie

H εβδομάδα ξεκινάει με έναν Ρώσικο Ransomware, που αρχικά πιστέψαμε ότι προσπαθεί να μιμηθεί τον WannaCry. Μετά είδαμε ότι δεν κρυπτογραφεί, οπότε τον εκλαμβάνουμε ως αστείο.


Νέa έκδοση του Dharma/Crysis

Tην επέκταση .java χρησιμοποιούν πλέον σε κάποιες από τις εκδόσεις τους οι δημιουργοί του Dharma.
Την εβδομάδα που μας πέρασε εμφανίστηκαν ήδη 3 στελέχη.

Ομοίως...

Ο Cryakl χρησιμοποιεί πλέον την έκδοση με την οποία τοποθετεί

Σάββατο, 18 Νοεμβρίου 2017

Τα νέα των Ransomware, 19/11/2017

Αυτήν την εβδομάδα είχαμε κυρίως μικρά στελέχη Ransomware να κάνουν την εμφάνισή τους.
Μας κίνησαν το ενδιαφέρον δύο παραλλαγές του CryptoMix και ένα υπό κατασκευή Ransomware που δημιουργήθηκε για να επιτεθεί σε συγκεκριμένο σχολείο της Αμερικής.


Ας τα δούμε αναλυτικά:



Νέος Jigsaw Ransomware: Pabluklocker 

O Michael Gillespie ανακάλυψε ένα strain του φίλου μας του Jigsaw που τοποθετεί την επέκταση .##ENCRYPTED_BY_pabluklocker## στα κρυπτογραφημένα αρχεία, και χρησιμοποιεί ένα σωρό εικόνες...


Νέος Ransomware: CyberPolice

Tην Τρίτη εμφανίστηκε ο πρώτος HiddenTear αυτής της εβομάδας. Τοποθετεί την επέκταση .locked. Απο πρωτοτυπία σκίζουμε, ε? 

Νέος Ransomware: Stroman

Aυτός τοποθετεί την ενδιαφέρουσα επέκταση