Τα νέα των Ransomware, 27/5/2019

Αρκετά και για αυτήν την εβδομάδα, με τους κλασικούς STOP - Dharma - Scarab να συνεχίζουν ακάθεκτοι αλλά και κάποιες λύσεις για άλλα στελέχη.

Αναλύουμε τον τρόπο που λειτουργεί ο GetCrypt και μεταφέρουμε καλά νέα.

Είχαμε και επιθέσεις στο αεροδρόμιο του Louisville, είχαμε και μια ενδιαφέρουσα ανάλυση για την επίθεση στη Βαλτιμόρη.

Ας τα δούμε αναλυτικά:

Νέοι STOP

Τώρα είχαμε:
- Τον .FEROSAS
- Toν .radman
- Toν .rectot
- Τον .skymap
- Τον .shadow

Έναν λιγότερο, δηλαδή σε σχέση με την προηγούμενη εβδομάδα.

Ανάκτηση δεδομένων από σκληρούς δίσκους

Σε φουλ ρυθμούς για να προλάβουμε να παραδώσουμε δεδομένα πριν το Σαββατοκύριακο.

Now, that's what we call a busy Friday 

Τα νέα των Ransomware, 17/12/2018

Παραδοσιακά, οι μέρες πριν από τα Χριστούγεννα είναι πάντα πιο ήσυχες στον τομέα των Ransomware, πιθανώς λόγω του γεγονότος ότι πολύς κόσμος μετακινείται για τις γιορτές και πολλές εταιρίες υπολειτουργούν.

Είχαμε νέα στελέχη Dharma και Scarab κλασικά, ενώ είχαμε και ανησυχητική εξέλιξη στον τομέα του Sextortion.

Ας τα δούμε αναλυτικά:

Sextortion tactics

Ανησυχητικές διαστάσεις παίρνει η τακτική του sextortion, μέσω τις οποίας οι κυβερνο-εκβιαστές αποκομίζουν μεγάλα χρηματικά ποσά.

Τι είναι το sextortion?

Το υποψήφιο θύμα λαμβάνει ένα email στο οποίο αναφέρεται ότι έχει πιαστεί επαυτοφόρω να παρακολουθεί ιστοσελίδες με πορνογραφικό περιεχόμενο (μερικές φορές αναφέρουν και παιδική πορνογραφία). Γίνεται λόγος για χρήση της κάμερας του Η/Υ του θύματος, μέσω της οποίας έχουν αποδεικτικά της ... "δράσης" του θύματος και απειλούν να δημοσιεύσουν φωτογραφίες του σε προσωπικές στιγμές την ώρα που παρακολουθούν το πορνογραφικό περιεχόμενο.
Φυσικά, τίποτα από αυτά δεν υφίσταται.

Τον τελευταίο καιρό έχει εξελιχθεί η τακτική τους και έχει γίνει εξυπνότερη. 
Στοχεύουν σε θύματα των οποίων το email και ο κωδικός του έχουν διαρρεύσει και αποστέλλουν το παρακάτω email.

To κείμενο είναι το εξής:

Hello!

I have very bad news for you.
09/08/2018 - On this day, I got access to your OS and gained complete control over your system. **@gmail.com
On this day your account **@gmail.com has password: XXXX

How I made it:

In the software of the router, through which you went online, was avulnerability.
I just got into the router and got root rights and put my malicious code on it. 
When you went online, my trojan was installed on the OS of your device.

After that, I made a full dump of your (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I'm talk you about sites for adults.

I want to say - you are a BIG pervert. Your fantasy is shifted far away from the nromal course!

And i got an idea....
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!

As proof of my words, I made a video presentation in Power Point.
And laid out in a private cloud, look You can copy the link below and paste it into the browser.

https://google.com/url?Q=[url here]

I'm know that you would like to show these screenshots to your friends, relatives or colleagues.
I think #381 is a very, very small amount for my silence.
Besides, I have been spying on your for so long, having spect a lot of time!

Πολλά, λοιπόν, από τα θύματα θα προσπαθήσουν να κατεβάσουν το βίντεο που αποτελεί "απόδειξη" των πράξεών τους, με αποτέλεσμα να επιμολυνθούν με δύο διαφορετικά κακόβουλα λογισμικά:

Αρχικά με τον Azorult, μέσω του οποίου -πραγματικά αυτή τη φορά- αποσπούν προσωπικά στοιχεία όπως συνθηματικά πρόσβασης, ιστορικά συνομιλιών κλπ,
και στη συνέχεια επιμολύνονται με GandCrab και κρυπτογραφούνται τα δεδομένα τους.

Άλλη μία απόδειξη ότι πρέπει να δείχνουμε μεγάλη προσοχή σε ποια λινκ πατάμε!

Νέος GlobeImposter - EQ

Toποθετεί την επέκταση .fuck. Όχι κάτι παραπάνω καινούργιο.

Νέος Gerber 

Mετά τους Gerber1, 3 & 5 που αναφέραμε την προηγούμενη εβδομάδα, είχαμε άλλον έναν αυτήν την εβδομάδα με τον .FJ7QvaR9VUmi

Νέος Dharma - Santa

Στο κλίμα των ημερών, νέος Dharma με επέκταση .santa. Τίποτα απολύτως το καινούργιο.

Τα νέα των Ransomware, 5/3/2018

Μιας και την προηγούμενη εβδομάδα τεμπελιάσαμε, σήμερα θα έχουμε τα νέα των Ransomware για δύο εβδομάδες συμπτυγμένα.

Τα μεγαλύτερα νέα αφορούν την εξεύρεση λύσης για συγκεκριμένα στελέχη του Gandcrab, ο οποίος είχε εμφανιστεί πριν από περίπου 1 μήνα και έκτοτε ήταν από τους πλέον δραστήριους Ransomware, με πολλά θύματα και στην Ελλάδα.

Ας τα δούμε αναλυτικά:

Νέος Ransomware - Thanatos

Παρά το ελληνικό του όνομα, μάλλον προέρχεται από τη Ρωσία. Το πρόβλημα είναι ότι ο Thanatos αποτελεί άλλο ένα παράδειγμα όπου οι δημιουργοί Ransomware βγάζουν στη φόρα επιμολύνσεις που δεν είναι επαρκώς δοκιμασμένες και έχουν τόσα bugs που είναι εξαιρετικά απίθανο έως αδύνατον να αποκρυπτογραφηθούν τα δεδομένα, ακόμα και αν το θύμα πληρώσει τα λύτρα.

Στην προκειμένη περίπτωση, ο Thanatos δημιουργεί ένα κλειδί για κάθε αρχείο ξεχωριστά (!). Το πρόβλημα είναι ότι αυτό το κλειδί δεν αποθηκεύεται κάπου. Επομένως, αν το θύμα πληρώσει τα λύτρα, ο επιτιθέμενος δεν έχει τρόπο να του αποκρυπτογραφήσει τα αρχεία...

Τα καλά νέα είναι ότι για συγκεκριμένους τύπους αρχείου και με δεδομένο ότι υπάρχει επάρκεια χρόνου, ίσως μπορούμε να σπάσουμε τον κωδικό για κάθε αρχείο με τη μέθοδο Brute Force.

Το άλλο ενδιαφέρον με τον συγκεκριμένο είναι ότι είναι ο πρώτος που δέχεται Bitcoin Cash ως πληρωμή.

Όπως και να έχει, όπως είπαμε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ καθώς δεν θα σας δώσουν κλειδί αποκρυπτογράφησης, πολύ απλά γιατί κλειδί αποκρυπτογράφησης δεν υπάρχει.

Τεράστια επίθεση του SamSam στο Υπουργείο Μεταφορών στο Colorado των ΗΠΑ

Στις 21/2/2018, το Υπουργείο Μεταφορών του Κολοράντο των ΗΠΑ δέχτηκε μια μαζική επίθεση από τον SamSam, ο οποίος μόλυνε περισσότερους από 2.000 Η/Υ.

Μπορείτε να διαβάσετε περισσότερα για την επίθεση εδώ και εδώ.

Θυμίζουμε ότι ο SamSam θεωρείται από τους πιο δραστήριους Ransomware αυτήν την εποχή και διασπείρεται χειροκίνητα μέσω Remote Desktop, όπου υπάρχει αδύναμος οδηγός.

Για το λόγο αυτό γράψαμε έναν οδηγό ο οποίος μπορεί να σας βοηθήσει να δημιουργήσετε αδιαπέραστους κωδικούς, τους οποίους θα θυμάστε απ' έξω.

Λύση για τον GandCrab!!

Είχαμε αναφερθεί εκτενώς σε αυτόν [1, 2].
Τα καλά νέα είναι ότι έχουμε βρει λύση για τις περισσότερες από τις ως τώρα επιμολύνσεις.
Τα κακά νέα είναι

Τα Νέα των Ransomware, 26/11/2017

Ησυχία επικράτησε την εβδομάδα που μας πέρασε. Το ενδιαφέρον μας κίνησε ο Scarab Ransomware, κυρίως λόγω του τρόπου διασποράς του, καθώς και ο qkG ο οποίος διανέμεται μέσω μολυσμένου αρχείου office. Πέραν αυτών, ήταν μία εβδομάδα με μικρά στελέχη σε διάφορα στάδια κατασκευής.

Ας τα δούμε αναλυτικά:

Νέος Ransomware: WannaDie

H εβδομάδα ξεκινάει με έναν Ρώσικο Ransomware, που αρχικά πιστέψαμε ότι προσπαθεί να μιμηθεί τον WannaCry. Μετά είδαμε ότι δεν κρυπτογραφεί, οπότε τον εκλαμβάνουμε ως αστείο.

Νέa έκδοση του Dharma/Crysis

Tην επέκταση .java χρησιμοποιούν πλέον σε κάποιες από τις εκδόσεις τους οι δημιουργοί του Dharma.
Την εβδομάδα που μας πέρασε εμφανίστηκαν ήδη 3 στελέχη.

Ομοίως...

Ο Cryakl χρησιμοποιεί πλέον την έκδοση με την οποία τοποθετεί

Τα νέα των Ransomware, 19/11/2017

Αυτήν την εβδομάδα είχαμε κυρίως μικρά στελέχη Ransomware να κάνουν την εμφάνισή τους.
Μας κίνησαν το ενδιαφέρον δύο παραλλαγές του CryptoMix και ένα υπό κατασκευή Ransomware που δημιουργήθηκε για να επιτεθεί σε συγκεκριμένο σχολείο της Αμερικής.

Ας τα δούμε αναλυτικά:

Νέος Jigsaw Ransomware: Pabluklocker 

O Michael Gillespie ανακάλυψε ένα strain του φίλου μας του Jigsaw που τοποθετεί την επέκταση .##ENCRYPTED_BY_pabluklocker## στα κρυπτογραφημένα αρχεία, και χρησιμοποιεί ένα σωρό εικόνες...

Νέος Ransomware: CyberPolice

Tην Τρίτη εμφανίστηκε ο πρώτος HiddenTear αυτής της εβομάδας. Τοποθετεί την επέκταση .locked. Απο πρωτοτυπία σκίζουμε, ε? 

Νέος Ransomware: Stroman

Aυτός τοποθετεί την ενδιαφέρουσα επέκταση

Τα νέα των Ransomware, 13/11/2017

Κυρίως μικρά ανόητα variants για αυτήν την εβδομάδα, όμως είχαμε μερικές ενδιαφέρουσες ιστορίες.
Η μεγαλύτερη ήταν ένα νέο στέλεχος του Crysis/Dharma. Είχαμε επίσης ένα wiper που παριστάνει το Ransomware και επιτίθεται σε επιχειρήσεις στη Γερμανία, ενώ είχαμε και την είδηση ότι hackers χρησιμοποιήσαν απομακρυσμένη πρόσβαση για να εγκαταστήσουν τον LockCrypt σε εταιρικούς Η/Υ.

Ας τα δούμε αναλυτικά:

Νέος Ransomware: Curumim

Mε HiddenTear ξεκινάμε και αυτήν την εβδομάδα, την περασμένη Δευτέρα εμφανίστηκε αυτός ο οποίος ονομάζεται Curumim και αυτή είναι και η επέκταση που τοποθετεί στα κρυπτογραφημένα αρχεία. Μας έρχεται από την Πορτογαλία.

Νέa εκδοση του Xiaoba

Την Τρίτη, ο Karsten Hahn ανακάλυψε μία καινούργια έκδοση του Xiaoba, η οποία ζητάει $37.696 σε Bitcoin και κλειδώνει την οθόνη. 

Νέος Ransomware: Zika

...και με HiddenTear θα συνεχίσουμε.

Τα νέα των Ransomware, 6/11/2017

Αυτήν την εβδομάδα είχαμε κυρίως μικρά στελέχη. Είχαμε όμως και τον Gibon, έναν Ransomware που παρουσιάζει ενδιαφέρον και -κυρίως- έχουμε βρει λύση και μπορούμε να τον αποκρυπτογραφήσουμε :)

Ας τα δούμε αναλυτικά:

Trick Or Treat Screenlocker - Ανανεώθηκε

Είχαμε γράψει την προηγούμενη εβδομάδα για αυτόν. Εμφανίστηκε μια καινούργια έκδοση με ανανεωμένο Background. Εξακολουθεί πάντως να μη κρυπτογραφεί.

O Oni επιτίθεται σε Ιαπωνικές εταιρίες

Επί έναν ολόκληρο μήνα, ο Oni Ransomware στόχευε εταιρίες στην Ιαπωνία. 

Τα νέα των Ransomware, 21/10/2017

Και αυτήν την εβδομάδα είχαμε αρκετά μικρά στελέχη να εμφανίζονται ή να επανεμφανίζονται, τα μεγάλα νέα όμως ήταν η εμφάνιση του Magniber και η χρήση του Hermes Ransomware σαν βιτρίνα για τη ληστεία σε μία τράπεζα στην Ταϊβάν. 

Ας τα δούμε αναλυτικά:

ΒορειοΚορεάτες πίσω από τη ληστεία τράπεζας στην Ταϊβάν

Μην φανταστείτε ότι μπήκαν με όπλα και ζήτησαν από τους υπαλλήλους να αδειάσουν τα ταμεία.
Η ιστορία έχει ως εξής, και είναι ιδιαίτερα ενδιαφέρουσα:

Πίσω από τη ληστεία, σύμφωνα με όλες τις ενδείξεις, κρύβεται η σπείρα Lazarous Group, μία ομάδα hackers από τη Βόρεια Κορέα.

Στις αρχές του μήνα, υπεύθυνοι της τράπεζες FEIB (Far Eastern International Bank) στην Ταϊβάν, ανακάλυψαν ότι έχει γίνει παραβίαση στα συστήματα της τράπεζας. Η παραβίαση είχε ως στόχο τη μεταφορά 60 εκατομμυρίων δολλαρίων (!) σε τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.

Οι επιτιθέμενοι έστειλαν email με παγιδευμένα αρχεία Word και Excel σε εργαζόμενους της τράπεζας. Τα αρχεία αυτά, με το άνοιγμά τους, εγκαθιστούσαν το ζητούμενο Malware. Στη συνέχεια, χρησιμοποιώντας SMB μπήκαν πρακτικά στο δίκτυο της τράπεζας.

Αφού χαρτογράφησαν το δίκτυο της τράπεζας και στόχευσαν Η/Υ που κατείχαν ευαίσθητο υλικό, τους έστειλαν άλλο malware το οποίο είχαν φτιάξει οι ίδιοι. Αυτή η επίθεση συνέβη την 1/10/17.

Στις 3/10, οι Lazarus χρησιμοποίησαν το συνθηματικό πρόσβασης ενός υπαλλήλου της τράπεζας και απέκτησαν πρόσβαση στον λογαριασμό SWIFT. Έτσι, έστειλαν χρήματα σε διαφορετικές τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.
Εκεί έγινε και το λάθος των Lazarus, που οδήγησε στην αποκάλυψη της παραβίασης από την τράπεζα: Χρησιμοποίησαν τους κωδικούς συναλλαγής MT103 και MT202COV, όμως τους τελευταίους τους τοποθέτησαν λανθασμένα.

Μόλις η FEIB ανακάλυψε την παραβίαση, οι Lazarus εξαπέλησαν στο δίκτυο της τράπεζας τον Hermes Ransomware με σκοπό να κρυπτογραφήσουν και να καταστρέψουν τα αποδεικτικά στοιχεία της εισβολής τους.

Να πούμε ότι ο Hermes είναι ένας Ransomware που κυκλοφόρησε το Φεβρουάριο και λίγο αργότερα βρέθηκε λύση και μπόρεσε να αποκρυπτογραφηθεί. Όμως, οι δημιουργοί του έφτιαξαν λίγο αργότερα την έκδοση 2.0, για την οποία δεν υπάρχει λύση παγκοσμίως.

Οι Lazarus πάντως δεν εξαπέλησαν την έκδοση 2.0, αλλά μία τροποποιημένη έκδοσή της. Αντί να αφήνει αυτό, που είναι το κλασικό Ransom Note του Hermes,

άφηνε ένα popup που απλά έλεγε Finish Work και ένα αρχείο "Unique_id_do_not_remove" σε κάθε φάκελο του Η/Υ.

Οι αρχές της Σρι Λάνκα ανέφεραν για το περιστατικό, ότι συνέλαβαν ένα άτομο το οποίο έκανε ανάληψη Rs30.000.000 (~$195.000) και δύο μέρες αργότερα επιχείρησε να "σηκώσςει" άλλες $52.000 που προέρχονταν από την Ταϊβάν, σε 3 διαφορετικούς λογαριασμούς σε τράπεζα της Ceylon.

Μην πληρώσετε τα λύτρα για τους Ransomware ΒTCWare, D2+D, HiddenTear κ.α.

H εβδομάδα που μας πέρασε περιείχε άπειρες μικρές παραλλαγές του WannaCry, του HiddenTear και δεκάδες υπό κατασκευή Ransomware τα οποία μάλλον -ελπίζουμε- ότι δεν θα κυκλοφορήσουν ποτε.
Στα καλά νεα, ο δημιουργός του AES-NI (ο οποίος ήταν ο πρώτος που χρησιμοποίησε τα εργαλεία της NSA), αποφάσισε να σταματήσει όλα του τα project και να μοιράσει τα κλειδιά.

Ας δούμε αναλυτικά...

ΒΡΗΚΑΜΕ ΛΥΣΗ ΚΑΙ ΓΙΑ ΤΙΣ ΛΟΙΠΕΣ ΠΑΡΑΛΛΑΓΕΣ ΤΟΥ BTCWare !!!

Nα περάσει ο επόμενος...
Λέγαμε την προηγούμενη εβδομάδα ότι βρήκαμε λύση για τις δύο πρώτες εκδόσεις του BTCWare (.btcware και .cryptobyte) και πως δουλεύαμε επάνω στην εξεύρεση ολοκληρωμένης λύσης για τις άλλες δύο (.cryptowin και .theva).

Λύση βρήκαμε, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Update 27/5/2017: Όπως γίνεται συνήθως, οι δημιουργοί του BTCWare έκλεισαν κάποια κενά στον κώδικά τους και κυκλοφόρησαν καινούργια έκδοση, την οποία ονομάζουν OnyonWare με επέκταση .onyon. Καταφέραμε και σπάσαμε μερικώς τον αλγόριθμό τους, οπότε μπορούμε να υποστηρίξουμε partially και αυτήν την έκδοση!!

Update 29/5/2017: Και νέα παραλλαγή! Τοποθετεί την επέκταση .xfile στα αρχεία. ΜΗΝ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΒΡΗΚΑΜΕ ΛΥΣΗ ΚΑΙ ΓΙΑ ΑΥΤΗΝ ΤΗΝ ΕΚΔΟΣΗ!!! :)

Προσοχή στους ransomware Μαΐου 2017

RANSOMWARE UPDATES Mάιος 2017 (part II)

Μόνο ως εφιαλτική θα μπορούσε να χαρακτηριστεί η εβδομάδα που μας πέρασε. Μετρήσαμε 38 νέα στελέχη Ransomware, εκ των οποίων τα 10 εμφανίστηκαν την Πρωτομαγιά!
Τα περισσότερα από αυτά είναι σκουπίδια, αλλά έρχονται να προστεθούν στο τεράστιο κύμα επιμολύνσεων που παρατηρείται.
Στα καλά νέα, καταφέραμε να αποκρυπτογραφήσουμε αρκετούς νέους Ransomware.

Για να τα δούμε αναλυτικά:

ΝΕΟΣ RANSOMWARE: RSAUtil

Εμφανίστηκε (άλλος ένας) νέος HiddenTear Ransomware που ονομάζεται RSAUtil και αφήνει αυτό το Ransom Note με την ονομασία How_return_files.txt και τραγικά Αγγλικά.

Προσοχή νέοι Ransomware με έξαρση στην Ελλάδα

RANSOMWARE UPDATES 2/4/2017 – 9/4/2017

Kενό ασφαλείας στο Firmware της Gigabyte επιτρέπει την εγκατάσταση Ransomware

H εβδομάδα ξεκίνησε με την είδηση ότι ένα flaw στον μικροκώδικα της Gigabyte επιτρέπει την εγκατάσταση του UEFI Ransomware. Το κενό ασφαλείας, το οποίο έχει δύο εκδόσεις, επιτρέπει την εγγραφή κακόβουλου κώδικα στο UEFI firmware των συσκευών BRIX του κατασκευαστικού 
κολοσσού.

RANSOMWARE UPDATES 24/11/16 – 06/12/16 (Part 1)

NEOΣ Ransomware: Crypter

Ένας νέος Ransomware εμφανίστηκε που ονομάζεται Crypter και στοχεύει κυρίως υπολογιστές στη Βραζιλία. Στην πραγματικότητα δεν κρυπτογραφεί τα αρχεία, αλλά τα μετονομάζει.

RANSOMWARE UPDATES 19/11/2016 – 29/11/2016 (part 2)

Πιθανή η εξάπλωση του Locky μέσω MHT αρχείων

Διαβάζουμε ότι οι επόμενες καμπάνιες εξάπλωσης του Locky πιθανώς να γίνουν μέσω MHT (MHTML) αρχείων ως επισυναπτόμενα σε παραπλανητικά email. Με αυτόν τον τρόπο θα μπορούν να παρακάμψουν το χρυσό κανόνα: Μην ανοίγετε .rar, .zip κλπ από άγνωστους αποστολείς.

Το εντυπωσιακό είναι ότι τα spoof emails είναι πλέον αρκετά πειστικά, σε σημείο που δίνουν και συμβουλές για την εγκατάσταση προγραμμάτων προστασίας από κακόβουλα λογισμικά, καθώς και την προτροπή να μην ανοίγονται email από άγνωστους αποστολείς!