Εμφάνιση αναρτήσεων με ετικέτα Locky. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα Locky. Εμφάνιση όλων των αναρτήσεων

Παρασκευή, 24 Μαΐου 2019

Ανάκτηση δεδομένων από σκληρούς δίσκους





Σε φουλ ρυθμούς για να προλάβουμε να παραδώσουμε δεδομένα πριν το Σαββατοκύριακο.

Now, that's what we call a busy Friday 

Δευτέρα, 16 Οκτωβρίου 2017

Τα νεα των Ransomware, 15/10/2017


Σε σχέση με την προηγούμενη εβδομάδα που ήταν πολύ ήσυχη, αυτή είχε και πάλι αυξημένη δραστηριότητα.
Είδαμε  πολλούς νέους Ransomware, οι περισσότεροι από αυτούς είναι δοκιμαστικοί και κατά πάσα πιθανότητα δεν θα κυκλοφορήσουν ποτέ, είδαμε όμως και μία νέα έκδοση του Locky, μία νέα έκδοση του CryptoMix....
Τα μεγάλα νέα έχουν να κάνουν με τον DoubleLocker, έναν Ransomware για Android, ο οποίος χρησιμοποιεί ενδιαφέρουσες παλιές και νέες τεχνικές.

Ας τα δούμε αναλυτικά:



Καμπάνια SPAM στέλνει "βιογραφικά", προωθεί τον GlobeImposter 


Η Myonlinesecurity.co.uk κυκλοφόρησε μια ενδιαφέρουσα ανάλυση σχετικά με τα δήθεν βιογραφικά που στέλνει κάποιος ενδιαφερόμενος για εξεύρεση εργασίας, τα οποία βιογραφικά είναι της μορφής .doc και διασπείρουν τον GlobeImposter Ransomware.

Όταν κάποιος ανοίξει το επισυναπτόμενο, συνδέεται και κατεβάζει το http://89.248.169.136/bigmac.jpg, το οποίο φυσικά δεν είναι αρχείο εικόνας αλλά καμουφλαρισμένο εκτελέσιμο και συγκεκριμένα το ASdsadASd.exe. 

Μπορείτε να διαβάσετε όλη την ανάλυση εδώ.


Νέος Ransomware: LockOn

Είναι μάλλον υπό κατασκευή αλλά δουλεύει σωστά, τοποθετεί την επέκταση .lockon στα κρυπτογραφημένα αρχεία.


Δευτέρα, 9 Οκτωβρίου 2017

Τα νέα των Ransomware, 9/10/17


Ξεκινήσαμε το Μάιο του 2016 να αναλύουμε και να γράφουμε για τους Ransomware. Να τους πολεμάμε και να ψάχνουμε για αδυναμίες στον κώδικά τους με σκοπό να βρούμε λύσεις και να βοηθήσουμε όσους έχουν πέσει θύματα επιτηδείων.

Είναι η πρώτη εβδομάδα που έχουμε όλο κι όλο 6 (έξι) νέα να αναφέρουμε!


Ελπίζουμε αυτό να σημαίνει ότι οι κατασκευαστές των Ransomware να βαρέθηκαν και να σταματήσουν την δημιουργία και διασπορά τους, όμως μάλλον είναι απλά η νηνεμία πριν την καταιγίδα, δυστυχώς.


Έχουμε μία επίθεση Ransomware σε Κέντρο Υγείας και μία σε ένα δημοτικό δίκτυο του Colorado.

Ας τα δούμε αναλυτικά..


Απάτη: "Ransomware Detected"

Εμφανίστηκε αυτή η απάτη, η οποία εμφανίζει στο browser μήνυμα ότι ο υπολογιστής έχει μολυνθεί από Ransomware. Είναι η κλασική απάτη που ζητούν να καλέσει το θύμα ένα νούμερο, όπου είτε χρεώνουν τεράστια ποσά στο λογαριασμό, είτε γίνεται απευθείας συνομιλία με τους απατεώνες, οι οποίοι παριστάνουν τους ειδικούς σε θέματα ασφάλειας Η/Υ και ζητούν χρήματα για να μπουν στον Η/Υ με απομακρυσμένη σύνδεση για να "λύσουν το πρόβλημα". Φυσικά κάτι τέτοιο είναι πολύ επικίνδυνο, ΜΗ ΔΙΝΕΤΕ ΑΠΟΜΑΚΡΥΣΜΕΝΗ ΠΡΟΣΒΑΣΗ ΣΕ ΑΤΟΜΑ ΠΟΥ ΔΕΝ ΓΝΩΡΙΖΕΤΕ!



Δευτέρα, 2 Οκτωβρίου 2017

Ransomware Updates 02/10/2017


Καλημέρα, καλή εβδομάδα και καλό μήνα :)

Δεν είχαμε και πολλά πράγματα σχετικά με τους Ransomware για την εβδομάδα που μας πέρασε.

Τα κυριότερα νέα ήταν η εμφάνιση του RedBoot BootLocker και η συνεχιζόμενη επέλαση του Locky με μαζικές καμπάνιες spam.


Ας τα δούμε αναλυτικά.



Ο Redboot κρυπτογραφεί και αλλάζει το Partition Table!


Εμφανίστηκε ο RedBoot BootLocker, ο οποίος κρυπτογραφεί τα αρχεία, αντικαθιστά το MBR (Master Boot Record) και τροποποιεί το Partition Table. Τα νεα δεν είναι καλά για όποιον έχει μολυνθεί από αυτό το Ransomware, καθώς, αν και βρήκαμε τρόπο να αποκρυπτογραφήσουμε τα αρχεία, δεν είναι δυνατόν να βρούμε δομή, καθώς τόσο το MBR όσο και το Partition Table, αν και μπορούμε να τα δημιουργήσουμε ή να τα αποκαταστήσουμε, κρυπτογραφούνται εκ νέου. Δουλεύουμε στην εξεύρεση λύσης για αυτό.





Νέος Ransomware: SuperB

Αυτός έχει την πρωτοτυπία ότι μετά την κρυπτογράφηση (με την οποία τοποθετεί στα αρχεία την κατάληξη .enc), αντικαθιστά όλα τα αρχικά αρχεία του χρήστη με το Ransom Note. Να πούμε επίσης ότι είναι γραμμένο σε Python. 





Νέος ScreenLocker: John's Locker

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Ανακαλύφθηκε από τον Lawrence Abrams αυτός ο ScreenLocker ο οποίος είναι μάλλον κάποια φάρσα ή αστείο κάποιου. Πατήστε Alt+F4 για να τον κλείσετε (και προσέχετε στο εξης πού κάνετε κλικ!)




Νέος Ransomware: CryptoClone

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Εμφανίστηκε αυτός ο κακογραμμένος Ransomware ο οποίος μιμείται τον WannaCry και ονομάζεται CryptoClone. Τοποθετεί την επέκταση .crypted στα αρχεία. Έχουμε βρει λύση για αυτόν.





Νέος ScreenLocker: Anon

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Σε αυτόν δεν δώσαμε καν όνομα, γιατί δεν άξιζε τον κόπο να ασχοληθούμε μαζί του.
Βάλτε τον κωδικό qwerty και ξεκλειδώστε τον Η/Υ σας (και, ξανά, προσέχετε πού κάνετε κλικ!).





Νέος Ransomware: Onion Crypt v3

Kαι λέγαμε, πότε θα δούμε HiddenTear για αυτήν την εβδομάδα? Νάτος! Τοποθετεί την επέκταση .onion3cry-open-DECRYPTMYFILE. 





Νέος ScreenLocker: Anon

Ονομάζεται THTLocker. Δεν έχουμε πολλά ακόμα να πούμε... Ψάχνουμε λύση για αυτό.





Ο Locky τώρα (ξανά, μετά από καιρό..) μέσω Necurs :(

O Locky διανέμεται ξανά μέσω του Necurs, ενός από τους ισχυρότερους Botnet του πλανήτη. Μάλιστα, χρησιμοποιώντας τεχνικές εντοπισμού θέσης, ο Necurs επιλέγει αν θα στείλει Locky ή Trickbot.
Διαβάζουμε στο My Online Security:


The next in the never ending series of malware downloaders coming from the necurs botnet  is an email with the subject of  Emailing: Scan0253 ( random numbers)  pretending to come from sales@  your own email address or company domain. Today they have changed delivery method and will give either Locky Ransomware or Trickbot banking Trojan depending on your IP address and country of origin.



Επανεμφάνιση του Paradise Ransomware (!)

Mετά από πολύ καιρό, ο Paradise ξαναεμφανίζεται, αυτή τη φορά χρησιμοποιώντας αρχείο html για Ransom Note (σε αντίθεση με το .txt που χρησιμοποιούσε παλιότερα). Κατά τ' άλλα, δεν έχει αλλάξει τίποτα απολύτως.



Ο τεμπέλης ο άνθρωπος...

Ο Karsten Hahn ανακάλυψε ένα υπό κατασκευή Ransomware από τη Σλοβενία, ο οποίος παριστάνει τον DMA Locker. Δεν είναι μόνο αυτό. Ο ηγέτης που τον προγραμμάτισε, αντί να φτιάξει δικό του Layout, εμφανίζει μία εικόνα την οποία κατεβάζει (με hardlink!) από το site της Malwarebytes... Προς το παρόν δεν κλειδώνει και δεν κρυπτογραφεί τίποτα. Ενδιαφέρον έχει επίσης ότι χρησιμοποιεί Ransom Note από την εποχή που το Bitcoin ισοδυναμούσε με €400, δηλαδή το 1/10 της σημερινής του αξίας...




Να και ένας Jigsaw!

Καιρό είχαμε να ασχοληθούμε με αυτόν. Θυμίζουμε ότι έχουμε βρεί λύση για όλες τις προηγούμενες εκδόσεις του Jigsaw.
Σε αυτήν την περίπτωση, δεν θα χρειαστεί να βρούμε λύση γιατί λόγω λάθους στον κώδικα, δεν κρυπτογραφεί τίποτα.
Ενδιαφέρον έχει το γεγονός ότι χρησιμοποιούν ταπετσαρία από εικόνα των Anonymous...





Αυτά είναι όλα για αυτήν την εβδομάδα! :)

Κυριακή, 24 Σεπτεμβρίου 2017

Ransomware Updates 24/9/2017


Τα μεγάλα νέα της εβδομάδας που πέρασε ήταν οι νέες παραλλαγές του Locky που εμφανίστηκαν καθώς και το γεγονός ότι οι δημιουργοί του συνεχίζουν να χρησιμοποιούν μαζικές καμπάνιες από Spam emails για τη διανομή του.
Κατά τ΄ άλλα, πολλά μικρά νεα Ransomware τα οποία κατά πάσα πιθανότητα δεν θα κυκλοφορήσουν ποτε ή πρόκειται για προσπάθειες κάποιων που προφανώς αστειεύονται.

Ας τα δούμε αναλυτικά.



Νέος Ransomware: Hackers Invasion
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Πρόκειται για έναν εντελώς ανόητο Ransomware με Ransom Note που θυμίζει κωμωδία. Τοποθετεί την επέκταση .Doxes όταν κρυπτογραφεί.


Παρασκευή, 19 Μαΐου 2017

Nέοι RANSOMWARE προσοχή ! 7/5/2017 – 14/5/2017

BREAKING NEWS!
Βρήκαμε λύση για τον .wallet Dharma!!!

O φοβερότερος Ransomware όλων των εποχών, αποτελεί πλέον παρελθόν!

MH ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!!

NEΑ ΠΑΡΑΛΛΑΓΗ ΤΟΥ ENJEY

Κατά τ' άλλα, εμφανίστηκε μία παραλλαγή του Enjey στην οποία δουλεύουμε για να βρούμε λύση. Τοποθετεί την επέκταση .encrypted.decrypter_here.


ΝΕΟΣ RANSOMWARE: GruxEr
Εμφανίστηκε ένας νέος Ransomware ονόματι GruxEr ο οποίος είναι αρκετά περίεργος: Εϊναι παραλλαγή του HiddenTear. Είναι ταυτόχρονα ScreenLocker και μολύνει τα JPG αρχεία, εισάγωντας μέσα τους ένα άλλο άσχετο .PNG αρχείο.



UPDATE 14/5/2017: Εμφανίστηκε και μία παραλλαγή του ακόμα που χρησιμοποιεί background από το Matrix
Παρόλα αυτά, δεν είδαμε να κρυπτογραφεί κάτι η συγκεκριμένη παραλλαγή...


ΝΕΟΣ LOCKY: LOPTR
Όπως αναμενόταν και όπως είχαμε προειδοποιήσει, ο Locky ξαναεμφανίστηκε με νέα επέκταση στα κρυπτογραφημένα αρχεία ενώ το Ransom Note είναι loptr-*4χαρακτηρες*.htm

MIAΣ ΚΑΙ ΜΙΛΑΜΕ ΓΙΑ LOCKY...
Πολλοί θεωρούν ότι ο Jaff είναι ο νέος LOCKY. Παρόλο που δεν έχει κάτι το ιδιαίτερο, μεταδίδεται χρησιμοποιώντας τον Necurs (όπως και ο Locky), χρησιμοποιεί το ίδιο payment gateway (όπως και ο Locky) και χρησιμοποιεί τις ίδιες μεθόδους διασποράς (όπως και ο Locky).


Ο SLOCKER ΞΑΝΑΧΤΥΠΑ ΜΕ 400 (!!!) ΠΑΡΑΛΛΑΓΕΣ!


Παρόλο που είχαμε να τον ακούσουμε από το καλοκαίρι του 2016, ο Slocker ξαφνικά ξύπνησε και χτυπάει με μεγάλο κύμα μολύνσεων όπως φαίνεται και στο γράφημα.

Δευτέρα, 24 Απριλίου 2017

Προσοχή ! Δυναμική επιστροφή για τον πιο επικίνδυνο ransomware τον Locky


Locky RANSOMWARE
...UPDATE...


H εβδομάδα που μας πέρασε σηματοδότησε την επιστροφή του Locky, μετά από περισσότερους από 4 μήνες αδράνειας. Αυτό φυσικά είναι κακό νέο, αφού ο Locky είναι ένας από τους Ransomware που δεν έχουν αδυναμίες στην κρυπτογράφησή τους και η διασπορά του είναι εξαιρετικά επιτυχημένη.

Locky Ransomware Απρίλιος 2017
Eξαιρετικά επιτυχημένη διασπορά για τον Locky Ransomware τον Απρίλιο 2017

Κυριακή, 29 Ιανουαρίου 2017

Κατατροπώνοντας τους Ransomware, μέρα με την ημέρα...

ΝΕΑ ΠΑΡΑΛΛΑΓΗ ΤΟΥ JIGSAW, ΒΡΗΚΑΜΕ ΛΥΣΗ!

Την προηγούμενη εβδομάδα είχε κυκλοφορήσει μία παραλλαγή του Jigsaw, που τοποθετούσε την επέκταση .paytounlock στα κρυπτογραφημένα αρχεία.

Βρήκαμε λύση για να μην πληρώσετε τα λύτρα στον ransomware jigsaw
ΒΡΗΚΑΜΕ ΛΥΣΗ ΚΑΙ ΓΙΑ ΑΥΤΗΝ ΤΗΝ ΠΑΡΑΛΛΑΓΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!!

Δευτέρα, 23 Ιανουαρίου 2017

Η ΔΡΑΣΤΗΡΙΟΤΗΤΑ ΤΟΥ RANSOMWARE LOCKY ΠΕΦΤΕΙ ΚΑΤΑ 81%

RANSOMWARE UPDATES 13/1/2017 – 21/1/2017

Η ΔΡΑΣΤΗΡΙΟΤΗΤΑ ΤΟΥ LOCKY ΠΕΦΤΕΙ ΚΑΤΑ 81%

Ερευνητές παρατήρησαν ότι για περισσότερες από 4 εβδομάδες, η δραστηριότητα του Locky έχει πέσει κατά 81%.
Αυτό φυσικά δεν οφείλεται στο ότι οι εγκληματίες που βρίσκονται πίσω από τον φοβερότερο Ransomware όλων των εποχών έχουν αλλάξει ρότα, αλλά γιατί το Necurs botnet, η βασικότερη πηγή των επιμολύνσεων του Locky είναι offline.

Ψάχνουμε λύση για να μην πληρώσετε λύτρα σε bitcoin αν κολλήσατε Ransomware - ιό κρυπτογράφησης Locky
Γράφημα Ransomware Locky ιού κρυπτογράφησης


Αξίζει πάντως να αναφέρουμε ότι έχει επίσης παρατηρηθεί ότι πολλά “malware center” που προηγουμένως διέσπειραν αποκλειστικά και μόνο τον Cerber, τώρα έχουν γυρίσει και διασπείρουν τον Locky και τον Spora.

Τετάρτη, 18 Ιανουαρίου 2017

Στα άδυτα της βιομηχανίας των Cerber Ransomware...

Στα άδυτα της χρυσής βιομηχανίας των Ransomware...

Ψάχνουμε λύση για να μην πληρώσετε λύτρα σε bitcoin αν κολλήσατε Ransomware - ιό κρυπτογράφησης Locky, Cerber
Γράφημα για τους
Ransomware - ιούς κρυπτογράφησης Locky, Cerber

Πολλές φορές αναρωτιέστε :
- "πως κόλλησα ransomware ?" ή
- "πως κόλλησα ιο κρυπτογρήφησης ?".

    Η αλήθεια είναι πως αυτή την ερώτηση την ακούμε καθημερινά πολλές φορές !

   Το πρώτο στάδιο που παρατηρεί ένας απλός χρήστης που δεν κατάλαβε ότι κόλλησε Cerber ή κάποιον άλλο Ransomware (ιο κρυπτογρήφησης) είναι πως τα αρχεία του άλλαξαν κατάληξη ενώ αυτός δούλευε κανονικά στον υπολογιστή του.
   Αυτή η ενέργεια συμβαίνει προφανώς λόγο της 
κρυπτογράφησης του ιού.
   Το αμέσως επόμενο πράγμα που σκέφτεται ένας χρήστης προφανώς και είναι
- " υπάρχει λύση για ransomware ?".

   Δυστυχώς αν κολλήσατε Io "Locky" ή κολλήσατε Io "Cerber" δεν υπάρχει ακόμη λύση παγκοσμίως για την από- κρυπτογράφηση και να γλυτώσετε τα λύτρα που ζητάει ο ιός σε bitcoin. 
  Άλλωστε αυτή είναι η μορφή και ο τρόπος λειτουργίας των ιών κρυπτογράφησης (Ransomware). Να κρυπτογραφούν με τέτοιο τρόπο τα αρχεία και να τους αλλάζουν την κατάληξη που η απο- κρυπτογράφηση τους για ένα μεγάλο σύνολο από αυτούς (μεταξύ αυτών οι Locky και Cerber) να είναι αδύνατη ΑΚΟΜΗ !

  Παρακάτω σας αναλύουμε πως διασπείρονται οι Κρυπτογραφημένοι Ιοί (Ransomware) και πόσοι χρήστες παγκοσμίως έχουν κολλήσει Cerber ή Locky με αποτέλεσμα  να πρέπει να πληρώσουν τα λύτρα που ζητάει ο ιός σε bitcoin.




Πέμπτη, 1 Δεκεμβρίου 2016

RANSOMWARE UPDATES 19/11/2016 – 29/11/2016 (part 2)

Πιθανή η εξάπλωση του Locky μέσω MHT αρχείων


Διαβάζουμε ότι οι επόμενες καμπάνιες εξάπλωσης του Locky πιθανώς να γίνουν μέσω MHT (MHTML) αρχείων ως επισυναπτόμενα σε παραπλανητικά email. Με αυτόν τον τρόπο θα μπορούν να παρακάμψουν το χρυσό κανόνα: Μην ανοίγετε .rar, .zip κλπ από άγνωστους αποστολείς.


Το εντυπωσιακό είναι ότι τα spoof emails είναι πλέον αρκετά πειστικά, σε σημείο που δίνουν και συμβουλές για την εγκατάσταση προγραμμάτων προστασίας από κακόβουλα λογισμικά, καθώς και την προτροπή να μην ανοίγονται email από άγνωστους αποστολείς!

Δευτέρα, 7 Νοεμβρίου 2016

RANSOMWARE UPDATES (2) 22/10/2016 – 03/11/2016

ΕΤΟΙΜΑΖΕΤΑΙ RANSOM ΙΟΣ Ο ΟΠΟΙΟΣ ΣΕ ΑΝΑΓΚΑΖΕΙ ΝΑ ΣΥΜΜΕΤΕΧΕΙΣ ΣΕ ΓΚΑΛΟΠ!
Είναι που είναι ενοχλητικά τα Ransomware, ένας καινούργιος ιός σε αναγκάζει να συμμετέχεις σε γκάλοπ χρησιμοποιώντας την πλατφόρμα της FileIce, για να ξεκλειδώσει ο υπολογιστής σου! Θεωρείται αυτή τη στιγμή πάντως ότι δεν είναι ακόμα σε κυκλοφορία και είναι σε δοκιμαστικό στάδιο....


Παρασκευή, 4 Νοεμβρίου 2016

RANSOMWARE UPDATES 22/10/2016 – 03/11/2016



NEOΣ RANSOM ΙΟΣ: Lock93
Αυτός ο ιός αλλάζει την επέκταση των αρχείων σε Lock93.