Εμφάνιση αναρτήσεων με ετικέτα HC7. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα HC7. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 15 Ιανουαρίου 2018

Τα νέα των Ransomware, 15/1/2018


Άλλη μία εβδομάδα με λίγα πράγματα στον τομέα των Ransomware -κάτι που είναι πάντα καλό νέο- με μόνο μικρές παραλλαγές και ανούσια νέα στελέχη.

Τα κυριότερα νέα αφορούν τον HC7, ο οποίος είναι ο πρώτος Ransomware που δέχεται ως πληρωμή το κρυπτονόμισμα Ethereum. 


Ας τα δούμε αναλυτικά:


Nέος Jigsaw, NSFW

Δευτέρα πρωί-πρωί εμφανίστηκε ένας νέος Jigsaw ο οποίος είναι NSFW (Not Safe For Work) καθώς περιέχει γυμνές φωτογραφίες (εμείς "λογοκρίναμε" την παρακάτω φώτο). Είναι σε δοκιμαστικό στάδιο με hardcoded κωδικό (είναι χαρακτηριστικό ότι ζητάει 100 εκατομμύρια δολάρια σε λύτρα...). 




Νεος HC7 - Planetary

Tην Τρίτη εμφανίστηκε ένας νέος HC7 ο οποίος τοποθετεί την επέκταση .PLANETARY στα κρυπτογραφημένα αρχεία.
Αυτό που τον κάνει μοναδικό είναι ότι είναι ο πρώτος που δέχεται ως τρόπο πληρωμής το κρυπτονόμισμα Ethereum.
Φυσικά κάνουν δεκτά και Bitcoin και Monero, μην αφήσουν κανέναν παραπονεμένο.



ALL FILES ARE ENCRYPTED. 
TO RESTORE, YOU MUST SEND $700 EQUIVALENT FOR ONE COMPUTER
OR $5,000 FOR ALL NETWORK
PAYMENTS ACCEPTED VIA BITCOIN, MONERO AND ETHEREUM
BTC ADDRESS: [bitcoin_address]
MONERO (XMR) ADDRESS: [monero_address]
CONTACT US WHEN ETHEREUM PAYMENT INFORMATION
BEFORE PAYMENT SENT EMAIL m4rk0v@tutanota.de
ALONG WITH YOUR IDENTITY: [base64_encoded_computer_name]
INCLUDE SAMPLE ENCRYPTED FILE FOR PROOF OF DECRYPT


NOT TO SHUT OFF YOUR COMPUTER, UNLESS IT WILL BREAK


Ποιος είναι πάλι αυτός?

Ο d.koporushkin είναι κάποιος που θα έπρεπε να ξέρουμε?
Γιατί σε αυτόν τον "Ransomware", εμφανίζεται το όνομα αυτό σε ένα αρχείο. Και βάζουμε το Ransomware σε εισαγωγικά γιατί ο εν λόγω δεν κρυπτογραφεί (προς το παρόν), αν και είναι φτιαγμένος για κάτι τέτοιο. Πάντως, υποκλέπτει δεδομένα, τα κρυπτογραφεί με hardcoded κωδικό και random αλάτι και τα ανεβάζει σε ένα ftp. Είναι βασισμένος στον HiddenTear.





Δευτέρα, 8 Ιανουαρίου 2018

Τα νέα των Ransomware, 6/1/18

Καλή χρονιά με υγεία και ευημερία σε όλους!

Πέρα από το Case Study που δημοσιεύσαμε το οποίο δείχνει στην πράξη πώς καταφέρνουμε μερικές φορές και "σπάμε" τους Ransomware, oι γιορτινές ημέρες πέρασαν ήρεμα στον τομέα αυτόν. Όπως και πέρσι έτσι και φέτος οι δημιουργοί τους πήραν μερικές μέρες ρεπό. Είδαμε κυρίως νέες παραλλαγές γνωστών στελεχών, κυρίως του CryptoMix.

Πέραν τούτων, μερικά υπό κατασκευή στελέχη και αυτό είναι όλο. Αν πάντως θα τολμούσαμε μία πρόβλεψη, θα ήταν ότι προς το τέλος του μήνα θα δούμε μεγάλη έξαρση δυστυχώς.


Ας τα δούμε αναλυτικά:


Nέος Damage/Dangerous

Αυτός εμφανίστηκε στην πιάτσα ανήμερα των Χριστουγέννων. Τοποθετεί την επέκταση .wtf και αφήνει αυτό το Ransom Note:





Νέος Ransomware - Pulpy

Εντελώς αδιάφορος..





Νεος Ransomware - MadBit

Ditto με από πάνω - εντελώς αδιάφορος. Τοποθετεί την επέκταση .enc. Πρωτοτυπία υπό του μηδενός...



Νέος Ransomware - Heropoint

Ο Lawrence Abrams εντόπισε αυτόν τον Ransomware στις 2/1/18. Είναι υπό κατασκευή και δεν κρυπτογραφεί ακόμα, αλλά θεωρείται σχεδόν σίγουρο ότι θα 

Σάββατο, 16 Δεκεμβρίου 2017

Τα νέα των Ransomware, 17/12/2017

Αυτή η εβδομάδα που πέρασε, είχε κυρίως μικρά υπό κατασκευή Ransomware, με τα μεγαλύτερα νέα να αφορούν τον File Spider Ransomware, που στοχοποίησε Βαλκανικές χώρες (προς το παρόν, δεν είχαμε θύματα στην Ελλάδα).
Στην Καλιφόρνια, η βάση δεδομένων των ψηφοφόρων "απήχθη" και κρατείται ζητώντας λύτρα!

Ας τα δούμε αναλυτικά:


ΝΕΟΣ Ransomware: TrOwX

Ξεκινάμε με HiddenTear φυσικά, αυτός ονομάζεται TrOwX και πετάει το Ransom Note READ_AND_CRY+[passTxt].txt και χρησιμοποιεί την επέκταση .locked.

Τώρα, το αστείο είναι το Read and cry... Σοβαρά τώρα? Μάλλον όχι, εκτός αν εννοούν ότι θα κλάψουμε από τα γέλια διαβάζοντας το γελοίο κώδικα που έχουν γράψει...





ΝΕΟΣ Ransomware: D4rkL0cker

Προς το παρόν δεν κρυπτογραφεί. 







O File Spider στοχεύει Βαλκανικές χώρες

Την Τρίτη που μας πέρασε, εμφανίστηκε ένας νέος Ransomware, ο File Spider. Αυτός