Εμφάνιση αναρτήσεων με ετικέτα Matrix. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα Matrix. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 1 Απριλίου 2019

Τα νέα των Ransomware, 1/4/2019

Αν εξαιρέσει κανείς το πιο παρανοϊκό Ransomware που έχουμε δει ποτέ, μοίαζει σαν μια τυπική εβδομάδα:
Δεκάδες νέα στελέχη από ήδη γνωστές οικογένειες έκαναν την εμφάνισή τους το διάστημα που μας πέρασε.

Μοιάζει πολύ τετριμμένο πλέον, αλλά είχαμε Dharma, Scarab, Matrix, STOP, είχαμε και Xorist, είχαμε και τον UNNAM3D που μόλυνε 30.000 Η/Υ σε λίγες μόνο ώρες, είχαμε και ένα ιδιωτικό πάρκινγκ στον Καναδά να παραλύει από χτύπημα Ransomware, απ' όλα είχε ο μπαξές.

Ας τα δούμε αναλυτικά:


Dharma χτυπάει ιδιωτικό πάρκινγκ στον Καναδά, οι πελάτες παρκάρουν δωρεάν

Στις 28/3/19, η CIRA (Canadian Internet Registration Authority), κάτι σαν τη δική μας ΕΕΤΤ, που διαχειρίζεται τα public internet domains (.ca), χτυπήθηκε από Dharma.
O συγκεκριμένος σταθμός ανήκει στην ιδιωτική εταιρία Precise Parklink και μετά το χτύπημα κατέρρευσε το σύστημα ελέγχου και πληρωμών, με αποτέλεσμα να μπαίνει στο χώρο όποιος θέλει και να παρκάρει δωρέαν.






Νέοι STOP

H λαίλαπα STOP συνεχίζει ακάθεκτη.
Μετά τα 42 (!!!!!) νέα στελέχη που είχαμε στο τελευταίο δίμηνο, για την προηγούμενη εβδομάδα είχαμε:
Τον .chech
Tον .luceq
Toν .proden
Τον .drume

Tον .tronas
Τον .trosak
Τον .grovas

Και δύο νέοι Dharma

Τοποθετούν τις επεκτάσεις .bk666 και .stun αντίστοιχα.
Τίποτα το καινούργιο.

Λύση για τον Hacked

Πρόκειται για ένα στέλεχος που είχε κάνει την εμφάνισή του το 2017. Αν και η διανομή του γενικά ήταν ήπια, είχε αρκετά θύματα.
Η Emsisoft κυκλοφόρησε λύση για το συγκεκριμένο στέλεχος.



Να και ένας Ματριξ

Toποθετεί την επέκταση .MDEN ή SDEN. Πρόκειται για το ίδιο στέλεχος.

O BigBobRoss παριστάνει τον STOP

Όπως αναμενόταν μετά την δημοσίευση λύσης για τον BigBobRoss πριν από 10 μέρες, εμφανίστηκαν δύο νέα στελέχη του, για τα οποία προς το παρόν δεν υπάρχει λύση.
Το ένα στέλεχος τοποθετεί την επέκταση .djvu (την οποία χρησιμοποιεί ο STOP) και το άλλο την .encryptedALL.
UPDATE: Πλέον και ο encryptedALL είναι αντιμετωπίσιμος.

Δευτέρα, 18 Μαρτίου 2019

Τα νέα των Ransomware, 18/3/19

Εκεί που είχε ηρεμήσει για λίγο, ο STOP επανεμφανίστηκε με 5 6 7 8 διαφορετικά στελέχη, μέσα σε μία εβδομάδα και μάλιστα χρησιμοποιώντας ακόμα πιο επιθετικές τακτικές.

Είχαμε επίσης λύση για τον BigBobRoss (δεν έχουμε δει, πάντως,θύματα στην Ελλάδα ακόμα) και πολλές νέες παραλλαγές από γνωστά στελέχη.
Κάθε φορά που κάποιος μας λέει ότι το Ransomware πέθανε ένα Blockchain κάπου στην Κορέα γελάει ηχηρά. 


Ας τα δούμε αναλυτικά:

O Hermes χτυπάει το Jackson County της Georgia, παίρνει $400.000!

Στις 6/3/2019, ο Hermes με ... ολίγη από Ryuk (επρόκειτο για στέλεχος που ήταν μείγμα των δύο) χτύπησε το Jackson County στην Georgia των ΗΠΑ, γονατίζοντας στην κυριολεξία όλες τις υπηρεσίες της πόλης.
Από σχετική ανακοίνωση, φαίνεται ότι οι υπεύθυνοι αποφάσισαν και πλήρωσαν τα λύτρα, τα οποία ανέρχονται σε $400.000. 





O STOP εγκαθιστά και Trojan με σκοπό την υποκλοπή προσωπικών στοιχείων

Πέρα από τα 10 νέα στελέχη STOP που είχαμε αυτήν την εβδομάδα (βλ. παρακάτω), διαπιστώσαμε ανησυχία ότι ο STOP πλέον εγκαθιστά και τον Azorult, ο οποίος είναι ένα Trojan το οποίο υποκλέπτει από το θύμα προσωπικά στοιχεία, όπως κωδικούς πρόσβασης, ιστορικό περιήγησης, συνομιλίες στο Skype, πορτοφόλια κρυπτονομισμάτων, αρχεία xls και άλλα πολλά.  


Μιας και είναι αδύνατον να γνωρίζουμε από πότε συμβαίνει αυτό, παρακαλούμε όλα τα θύματα του STOP (οποιαδήποτε έκδοση, οποιοδήποτε στέλεχος/οικογένεια) να πάρουν ΑΜΕΣΑ τα παρακάτω μέτρα:

  • Αλλαγή ΟΛΩΝ των κωδικών πρόσβασης για όλους τους online λογαριασμούς καθώς και τους κωδικούς του Η/Υ αν υπάρχουν. ΟΛΟΙ οι κωδικοί που αποθηκεύονται από το πρόγραμμα περιήγησης, θα πρέπει να θεωρούνται εκτεθειμένοι.
  • Αλλαγή όλων των κωδικών πρόσβασης για λογισμικά όπως το Skype, το Telegram το Steam κλπ.
  • Αλλαγή όλων των κωδικών πρόσβασης για τυχόν λογισμικά FTP (Filezilla κλπ).
  • Αρχεία με ευαίσθητα προσωπικά δεδομένα που βρίσκονται στην επιφάνεια εργασίας ή αλλού, θα πρέπει να θεωρούνται εκτεθειμένα. Αν υπήρχαν αρχεία που περιλαμβάνουν κωδικούς πρόσβασης, θα πρέπει να αλλαχτούν άμεσα.


Λύση για τον BigBobRoss

Αν και δεν είχαμε αναφορά θυμάτων στην Ελλάδα από τον συγκεκριμένο Ransomware, πλέον υπάρχει λύση. Η Emsisoft ανακοίνωσε την εξεύρεση λύσης και λίγο αργότερα ακολούθησε και η Avast. Το Ransom Note του εν λόγω Ransomware είναι αυτό:


Αν κάποιος έχει μολυνθεί, ας επικοινωνήσει με την Emsisoft ή μαζί μας.

Νέοι STOP

O STOP, που θεωρείται ίσως ο πιο δραστήριος Ransomware των τελευταίων μηνών, με πολλά θύματα και στην Ελλάδα, μας είχε συνηθίσει να εμφανίζει ένα τουλάχιστον νέο στέλεχος ανά εβδομάδα.
Τις προηγούμενες 20 μέρες υπήρχε μια ησυχία, αλλά μάλλον ήταν η ησυχία πριν την καταιγίδα. Την εβδομάδα που μας πέρασε, πλησίασε τα 10 νέα στελέχη.

Με τη σειρά:
Επέκταση .promorad2 με προέλευση / στοχεύει: Βραζιλία.
Επέκταση .kroput ομοίως με από πάνω.
Πρόκειται για την οικογένεια DJVU.


Επέκταση .kroput1, .pulsar1 και .charck, επίσης της οικογένειας DJVU.

Επέκταση .kropun και .klope της οικογένειας ZzZzZ.

Επέκταση .lastrop της οικογένειας Gilette.

Να και ένας Dharma

Toποθετεί την επέκταση .NWA.


Καπάκι και ένας ακόμα, το κακόβουλο έχει  την ομομασία payload.exe και τοποθετεί την επέκταση .azero.

Kαι τρικάπακο, και ένας τρίτος που τοποθετεί την επέκταση .com.

Ο Yatron προμοτάρεται ως RaaS

Ένας νέος RaaS (Ransomware-As-A-Service) προμοτάρεται μέχρι και μέσω Twitter (!) ότι χρησιμοποιεί το EternalBlue της NSA για να διασπείρει τον εαυτό του μέσω δικτύου. Ισχυρίζεται ότι διαγράφει επιτυχώς αρχεία μετά από x χρόνο αν δεν καταβληθούν τα  λύτρα.
Είναι ανησυχητικό, καθώς από ότι είδαμε, κάνει αυτά που υπόσχεται.




Κυριακή, 3 Μαρτίου 2019

Τα νέα των Ransomware, 4/3/2019

Πολλά και διάφορα είχαμε το διάστημα που μεσολάβησε από την προηγούμενη αναφορά μας.
Είχαμε λύση για τον GandCrab, είχαμε έναν Ransomware που στοχεύει servers που τρέχουν Linux/PHP, είχαμε και πάρα πολλά νέα στελέχη.

Ας τα δούμε αναλυτικά:

Νέος Jigsaw - DeltaSEC

Αυτός δεν κρυπτογραφεί καν, καθώς περιέχει προβληματικό base64 string...




Νέος Scarab

Toποθετεί την επέκταση .X3.  

Λύση για τον GandCrab

Στα τέλεια νέα, η λύση για τον GandCrab που δημοσίευσε η BitDefender σε συνεργασία με τη Europol.
Την αμέσως επόμενη μέρα, κυκλοφόρησε νέα έκδοση η οποία προς το παρόν δεν είναι δυνατόν να σπάσει.



Νέος GarrantyDecrypt

Ένα νέο στέλεχος του GarrantyDecrypt εντοπίστηκε, το οποίο παριστάνει ότι προέρχεται από την ομάδα ασφαλείας της ProtonMail.
Επιβεβαιώσαμε ότι πρόκειται για τον GarrantyDecrypt από το "NANI" signature στα κρυπτογραφημένα αρχεία.




Νέος Everbe2 - SEED

Εντοπίστηκε και νέος Everbe2.0 που τοποθετεί την επέκταση .seed.
Ταυτοποιήσαμε ότι πρόκειται για τον Everbe από τα τελευταία 0x200 bytes που έχουν ASCII στο Hex.





Νέα στελέχη

Ο Michael Gillespie εντόπισε:
Τον BlackPink που είναι κορεάτικος


τον BestChangeRu που είναι ρώσικος


τον Crazy Thief 2.1 που είναι μια μίξη του Stupid, του Jigsaw και βασίζεται σε HiddenTear
(thief όνομα και πράγμα δηλαδή). Φυσικά, είναι δυνατόν να αποκρυπτογραφηθεί.


έναν νέο Matrix που τοποθετεί την επέκταση .GBLOCK
και έναν νέο Dharma που τοποθετεί την επέκταση .aqva.

Δευτέρα, 18 Φεβρουαρίου 2019

Τα νέα των Ransomware, 18/02/2019

Πάντα χαιρόμαστε όταν βλέπουμε εβδομάδες σαν την προηγούμενη στον τομέα των Ransomware, καθώς δεν είχαμε και πολλά πράγματα.

Το πιο ενδιαφέρον νέο της εβδομάδας ήταν η απόπειρα μόλυνσης MSPs με GandCrab, η οποία απ 'ότι φαίνεται ήταν επιτυχής :(

Κλασικά, νέα στελέχη Dharma, Matrix...


Ας τα δούμε αναλυτικά:

Νέοι Dharma

2 νέα στελέχη και για αυτήν την εβδομάδα, τοποθετούν τις επεκτάσεις .KARLS και .888.
Τίποτα καινούργιο ως συνήθως.


Κόμικ για Ransomware!


O Christian Beek σε συνεργασία με την Hackerstrip δημιούργησε ένα κόμικ για τους Ransomware!
Κοστίζει περίπου 2€ για Kindle και όλα τα έσοδα πηγαίνουν για καλό σκοπό.
Μπορείτε να το βρείτε εδώ



Νέοι Matrix

O Michael Gillespie εντόπισε ένα άλλο ένα νέο στέλεχος του Matrix που τοποθετεί την επέκταση .PEDANT. Αργότερα εντοπίστηκε και άλλο στέλεχος που τοποθετεί την επέκταση .PLANT. O Matrix εξακολουθεί να είναι ένας Ransomware για τον οποίο δυστυχώς δεν υπάρχει λύση.


Νέος Ransomware - Encrypted5

Ένα περίεργο στέλεχος ανιχνεύθηκε την Παρασκευή, το οποίο τοποθετεί την επέκταση .Encrypted5. Και είναι περίεργο γιατί μοιάζει να έχει εντοπιστεί μόλις μία επιμόλυνση παγκοσμίως και επομένως δεν έχουμε καθόλου πληροφορίες για το τι είναι και τι κάνει.



Ο GandCrab μολύνει MSPs 

Οι RW developers έχουν αρχίσει να στοχεύουν Managed Service Providers (MSPs) με σκοπό να προκαλέσουν μαζική μόλυνση με μία μόνο επίθεση.
Οι MSPs είναι εταιρίες που διαχειρίζονται απομακρυσμένα την τεχνολογική υποδομή εταιριών (πραγματοποιώντας για παράδειγμα συντήρηση κάποιου δικτύου ή Η/Υ απομακρυσμένα).
Σύμφωνα με δημοσιεύμα, μία μεσαία MSP δέχτηκε επίθεση και περισσότεροι από 80 πελάτες της μολύνθηκαν.




Νέος Ransomware - Snatch

Toποθετεί την επέκταση .jupstb



Δευτέρα, 4 Φεβρουαρίου 2019

Τα νέα των Ransomware, 4/2/2019

Είχαμε πολλές νέες παραλλαγές από ήδη υπάρχοντα στελέχη, αυτήν την εβδομάδα.

Ο STOP συνεχίζει και σαρώνει για 3η συνεχόμενη εβδομάδα.
Θα ακουστεί κοινότυπο, αλλά όταν χρησιμοποιείτε λογισμικά, αγοράστε τα. Εκτός από το ηθικό κομμάτι, υπάρχει σοβαρή πιθανότητα να μολυνθείτε με STOP ή άλλον Ransomware.


Ενδιαφέρον είχε επίσης η επανεμφάνιση του Xorist (!!) με δύο νέα στελέχη.

Ας τα δούμε αναλυτικά:


Νέοι Dharma

3 νέα στελέχη, τοποθετούν τις επεκτάσεις.qwex, .ΕΤΗ και .air.
Τίποτα καινούργιο.


Νέος Ransomware - Anti-Capitalist Fun

Μοιάζει να είναι Jigsaw. Παρά το πολιτικό περιεχόμενο που θα περίμενε κανείς να διαβάσει λόγω της εικόνας, το κείμενο (που είναι στα γαλλικά) δεν έχει τίποτα το πολιτικό.



Νέος Scarab

Τοποθετεί την επέκταση .Crash. Επίσης όχι κάτι το νέο.




Νέοι Xorist

O πρώτος εντοπίστηκε στην αρχή της εβδομάδας από τον Michael Gillespie και τοποθετεί την επέκταση .mbrcodes και ο δεύτερος τοποθετεί την επέκταση .Mcafee! στα κρυπτογραφημένα αρχεία.

ΕΧΟΥΜΕ ΠΟΛΥ ΚΑΛΕΣ ΠΙΘΑΝΟΤΗΤΕΣ ΜΑΖΙ ΤΟΥ. ΑΝ ΕΧΕΤΕ ΜΟΛΥΝΘΕΙ ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ.



Νέος Obfuscated - id

Τοποθετεί την προέκταση [id=] πριν από το όνομα του αρχείου που κρυπτογραφεί.



Δευτέρα, 28 Ιανουαρίου 2019

Τα νέα των Ransomware, 28/1/2019

Δεν έχει σταματημό ο STOP, με δεκάδες θύματα στην Ελλάδα. Δεχόμαστε καθημερινά κλήσεις και μηνύματα σχετικά με αυτόν τον Ransomware και θέλουμε να επαναλάβουμε πώς:
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΓΙΑ ΤΑ ΣΤΕΛΕΧΗ ΑΥΤΑ, υπό προϋποθέσεις. Συγκεκριμένα, αν ο μολυσμένος Η/Υ δεν έχει επανεκκινηθεί, έχουμε καλές πιθανότητες να τα αποκρυπτογραφήσουμε.
Αν έχει γίνει επανεκκίνηση, τότε ίσως μπορούμε να αποκρυπτογραφήσουμε αρχεία τύπου .doc, .xls και .pdf. Όχι όμως άλλου τύπου αρχεία.

Κατά τ' άλλα, ήταν μια τυπική εβδομάδα με Dharma, Scarab και Matrix και πολλά υπό κατασκευή στελέχη.

Ας τα δούμε αναλυτικά:


Νέοι Dharma

Ο πρώτος εμφανίστηκε την προηγούμενη Δευτέρα και τοποθετεί την επέκταση .AUF.
Δύο μέρες αργότερα, εμφανίστηκαν άλλοι 3. Τοποθετούν τις επεκτάσεις .USA, xwx και .best.

Νέος Matrix

O Michael Gillespie εντόπισε ένα νέο στέλεχος του Matrix που τοποθετεί την επέκταση .GMBN.
Την επόμενη, εντοπίστηκε και άλλο ένα στέλεχος που τοποθετεί την επέκταση .SPCT.

Ανησυχία με τον Anatova

Αυτός έχει κάνει εντύπωση και έχει προκαλέσει ανησυχία, μιας και έχει δυνατότητα υποστήριξης modules τα οποία θα μπορούσαν να τον κάνουν "ελβετικό σουγιά" για τους malware developers. Θα επανέλθουμε εντός των ημερών με νέο άρθρο για τον τρόπο λειτουργίας του αναλυτικά.




Νέος Ransomware - JSWorm

Τοποθετεί την επέκταση .JSWorm. Ο δημιουργός του δεν έχει προβλέψει στον κώδικα το ενδεχόμενο να μην μπορεί να φύγει το email που του στέλνει, με αποτέλεσμα αν η αποστολή αποτύχει, η αποκρυπτογράφηση θα είναι αδύνατη από τον ίδιο, αφού δεν θα έχει το κλειδί :s

Απ΄ ότι είδαμε, έχουμε πολλές πιθανότητες αποκρυπτογράφησης.



Νέος Xorist που στέλνει SMS!

Τοποθετεί την επέκταση .vaca. Απ' ότι φαίνεται στον κώδικα, έχει ενσωματωμένη δυνατότητα να στέλνει SMS με το κλειδί σε έναν συγκεκριμένο αριθμό.



Δευτέρα, 21 Ιανουαρίου 2019

Τα νέα των Ransomware, 21/1/2019

Γύρισαν από τις διακοπές τους οι Ransomware Developers και προκάλεσαν χάος.
Ήταν από τις πιο busy εβδομάδες των τελευταίων μηνών αυτή που μας πέρασε.

Ξεχωρίζουμε την έξαρση με τον STOP και συγκεκριμένα το στέλεχος tfudet, για το οποίο είχαμε 6 κλήσεις για βοήθεια (στην Ελλάδα), μέσα σε 3 ημέρες.

Είχαμε - φυσικά - νέους Dharma και Scarab και πολλά νέα και παλιά στελέχη.

Ας τα δούμε αναλυτικά:


Χάος με τον STOP

Ξαφνικά, στις αρχές της προηγούμενης εβδομάδας λαμβάνουμε κλήσεις για βοήθεια για ένα άγνωστο - μέχρι εκείνη την ώρα- στέλεχος.
Στην ανάλυση που κάναμε, συνειδητοποιούμε πώς πρόκειται για στέλεχος του STOP για τον οποίο είχαμε να ακούσουμε μήνες, από την εποχή του στελέχους Puma και INFOWAIT.


Έκτοτε, λάβαμε περισσότερες από 15 κλήσεις για βοήθεια για τον συγκεκριμένο Ransomware, κυρίως για τις εκδόσεις .tfudet και .rumba, μέσα στην προηγούμενη εβδομάδα και 6 μέσα στο σ/κ που μας πέρασε.

ΝΑ ΠΟΥΜΕ ΟΤΙ ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΓΙΑ ΤΑ ΣΤΕΛΕΧΗ ΑΥΤΑ, υπό προϋποθέσεις. Συγκεκριμένα, αν ο μολυσμένος Η/Υ δεν έχει γίνει επανεκκίνηση, έχουμε καλές πιθανότητες να τα αποκρυπτογραφήσουμε.
Αν έχει γίνει επανεκκίνηση, τότε μπορούμε να αποκρυπτογραφήσουμε αρχεία τύπου .doc, .xls και .pdf. Όχι όμως άλλου τύπου αρχεία.




Θυμίζουμε ότι ο STOP διασπείρεται μέσω σπασμένων προγραμμάτων και torrent sites. 

Νέος Matrix

O Michael Gillespie εντόπισε ένα νέο στέλεχος του Matrix που τοποθετεί την επέκταση .GRHAN.
Δεν υπάρχει κάτι καινούργιο απ' ότι είδαμε πάντως.

Νέος Jigsaw

Ένα γαλλικό αλλά εντελώς βαρετό στέλεχος του Jigsaw εμφανίστηκε, που τοποθετεί την επέκταση .data. Και είναι βαρετό, γιατί ενώ ο Jigsaw μας είχε συνηθίσει σε εντυπωσιακά background, αυτός έχει ένα μαύρο τετράγωνο.




Νέος Ransomware - Trumphead

Μοιάζει να είναι υπό κατασκευή αυτός, ο οποίος περιέχει κείμενα που προσομοιάζουν πολύ ... τον Τραμπ...



"We are the best. No one has ever seen such a hacker group as we are".

Νέος Scarab - zzzzzzzz

Όχι κάτι καινούργιο. Είχαμε πάντως αρκετά θύματα και στην Ελλάδα.



Δευτέρα, 19 Νοεμβρίου 2018

Τα νέα των Ransomware, 19/11/2018

Με τον Dharma ασχολούμαστε και πάλι, αυτή τη φορά μας κίνησε το ενδιαφέρον άρθρο γνωστής ιστοσελίδας στο οποίο γίνεται σύνδεση του Dharma με την Τουρκία. Διαβάστε λεπτομέρειες παρακάτω.

Κατά τ' άλλα, κυρίως στελέχη γνωστών Ransomware όπως ο Dharma και ο Matrix μονοπώλησαν το ενδιαφέρον για την εβδομάδα που πέρασε.

Ας τα δούμε αναλυτικά.



Ο DHARMA ΕΙΝΑΙ ΤΟΥΡΚΙΚΗΣ ΠΡΟΕΛΕΥΣΗΣ?


Σύμφωνα με την ιστοσελίδα FortiGuard

Our telemetry also shows that for the past 6 months more than 25% of detection is originating from Turkey.

The cyberwar is not at rest. Turkish sources have reported that
Dharma has attacked more than 100 Greek websites. Details of these attacks seems to confirm news reports about the political tensions between Turkey and Greece regarding islands ownership in the Aegean sea, showing that ransomware attacks can be used for activism as well as for financial gain.

o Dharma έχει χρησιμοποιηθεί για επίθεση σε 100 ελληνικές ιστοσελίδες, λόγω της κλιμακούμενης έντασης στο Αιγαίο.

Κρίνοντας από το γεγονός ότι οι απατεώνες που μας προσέγγισαν προσφέροντάς μας τη "λύση" τους για τον Dharma είχαν τουρκικά ονόματα, έχει λογική.

Μιας και μιλήσαμε για απατεώνες,

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Νέος Ransomware - XUY

Τίποτα το ενδιαφέρον. Βασίζεται στον Tron μάλλον.



Νέος Ransomware - Argus

Toποθετεί την επέκταση .ARGUS και αφήνει Ransom Note με την ονομασία ARGUS-DECRYPT.html.



Ο GlobeImposter διασπείρεται και μέσω HookAds

H καμπάνια malware HookAds εμφάνισε έντονη δραστηριότητα τις προηγούμενες ημέρες και στέλνει χρήστες στο Fallout Exploit Kit. Αυτό με τη σειρά του διασπείρει το DanaBot (το οποίο είναι Banking Trojan), τον Nocturnal και τον GlobeImposter. 

Ένα από τα sites που διασπείρουν τον HookAds είναι αυτό:


Ακόμα και ένας αδαής θα καταλάβαινε ότι ιστοσελίδες με την παραπάνω μορφή μυρίζουν μπαρούτι...
Η συγκεκριμένη ευαισθησία που εκμεταλλεύεται ο Fallout για να φορτώσει το payload είναι γνωστή.

Νέος SaveFiles - DataWait

Παραλλαγή του SaveFiles με την ονομασία DataWait. Τοποθετεί την επέκταση .DATAWAIT. Κατά τ' άλλα τίποτα το καινούργιο.





Δευτέρα, 14 Μαΐου 2018

Τα νέα των Ransomware, 14/5/2018

Είναι σαφές ότι οι Ransomware έχουν κατεβάσει ταχύτητα και οι επιμολύνσεις είναι λιγότερες. Οι περισσότερες επιθέσεις πραγματοποιούνται πλέον μέσω RDP (Remote Desktop) και είναι στοχευμένες.

Έχουμε φυσικά και πολλά μικρά στελέχη που δημιουργούνται κάθε εβδομάδα, αν και τις περισσότερες φορές δεν έχουν καμία ελπίδα να κάνουν κάτι σημαντικό.


Τις προηγούμενες δύο εβδομάδες, τα κυριότερα νέα είχαν να κάνουν με αλλεπάλληλες εκδόσεις του GandCrab, ο οποίος μοιάζει να είναι ο πιο δραστήριος Ransomware των τελευταίων μηνών. Είχαμε επίσης μία αναφορά του FBI που μοιάζει με ανέκδοτο και τον Facebook Ransomware που περισσότερο είναι wiper.

Ας τα δούμε αναλυτικά:

Το Υπουργείο Υγείας της Αγγλίας αναβαθμίζει σε Win10 φοβούμενο νέο ξέσπασμα τύπου WannaCry

Tο Υπουργείο Υγείας και Κοινωνικής Πρόνοιας του Ηνωμένου Βασιλείου ανακοίνωσε ότι θα αναβαθμίσει όλα τα συστήματα της σε Windows 10, καθώς φοβάται ξέσπασμα τύπου WannaCry. Οι υπεύθυνοι αναφέρθηκαν στην "προηγμένη" ασφάλεια των W10.

The UK Department of Health and Social Care has announced that it will transition all National Health Service (NHS) computer systems to Windows 10.
Officials cited the operating system's more advanced security features as the primary reason for upgrading current systems, such as the SmartScreen technology included with Microsoft Edge (a Google Safe Browsing-like system) and Windows Defender, Microsoft's sneakily good antivirus product.

Nέος Ransomware - Facebook // FBLocker

Πρόκειται μάλλον για wiper παρά για Ransomware. Δημιουργεί ένα κλειδί για κάθε αρχείο που κρυπτογραφεί, το οποίο κλειδί όμως δεν το αποθηκεύει πουθενά. Δεν υπάρχει τρόπος να ανακτηθούν δεδομένα. Επίσης παριστάνει ότι είναι από τη Ρωσία, αλλά τα ρώσικα τους είναι επιπέδου Μπαγκλαντες (no offense για τη συμπαθή χώρα). 


FBI: Oι αναφορές για επιμολύνσεις Ransomware παρουσίασαν μείωση το 2017 #not


Σε ένα report του FBI το οποίο θεωρούμε ότι δεν αντικατοπτρίζει σε καμία περίπτωση την πραγματικότητα, αναφέρεται ότι οι επιμολύνσεις από Ransomware παρουσίασαν μείωση το 2017 (!), φτάνοντας σχεδόν σε επίπεδα 2014 (!!!). Κάτι που μας έκανε να γελάσουμε.

2014201520162017
1,4022,4532,6731,783


Φυσικά, τα νουμερά αυτά αντιστοιχούν στις αναφορές που γίνονται στην πλατφόρμα IC3 του FBI και δεν έχουν καμία σχέση με το τι συμβαίνει πραγματικά, αφού όπως ξέρουμε, ένας τεράστιος αριθμός από θύματα δεν κάνει αναφορά του συμβάντος, είτε γιατί παραμελεί, είτε γιατί η επιμόλυνση δεν έχει αντίκτυπο μιας και υπήρχαν αντίγραφα, είτε γιατί αποφασίζει να πληρώσει τα λύτρα, είτε γιατί απευθύνεται σε εμας (ή αντίστοιχες εταιρίες σαν τη δική μας) για την αποκρυπτογράφηση, είτε τέλος γιατί τα κρυπτογραφημένα δεδομένα δεν έχουν καμία αξία.

Μπορείτε να δείτε την αναφορά του FBI για το 2017 σε μορφή PDF εδώ.

Το BlackHeart χρησιμοποιεί το AnyDesk?

Διαβάζουμε:
We recently discovered a new ransomware (Detected as RANSOM_BLACKHEART.THDBCAH), which drops and executes the legitimate tool known as AnyDesk alongside its malicious payload.  This isn’t the first time that a malware abused a similar tool. TeamViewer, a tool with more than 200 million users, was abused as by a previous ransomware that used the victim’s connections as a distribution method.
In this instance, however, RANSOM_BLACKHEART bundles both the legitimate program and the malware together instead of using AnyDesk for propagation.

Περισσότερα εδώ

Νέος Ransomware - Useless


Useless όνομα και πράμα, μάλλον...

Δευτέρα, 16 Απριλίου 2018

Τα νέα των Ransomware, 16/4/2018

Για αυτήν την εβδομάδα είχαμε έξαρση του Matrix με δύο νέα στελέχη τα οποία θερίζουν. Είχαμε ήδη αρκετές αναφορές για θύματα και στην Ελλάδα. ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!

Ta μεγάλα νέα αφορούν την προσθήκη προστασίας κατά των Ransomware στα Windows 10 από τη Microsoft.

Κατά τ' άλλα, κυριώς νέα στελέχη από ήδη υπάρχοντα Ransomware για αυτήν την εβδομάδα. Εϊχαμε και το αστείο PUBG Ransomware, το οποίο αναγκάζει τα θύματά του να παίξουν ένα παιχνίδι για να τους δώσει κλειδί αποκρυπτογράφησης... 


Ας τα δούμε αναλυτικά:

Δύο νέα στελέχη του Matrix θερίζουν -- ΘΥΜΑΤΑ ΚΑΙ ΣΤΗΝ ΕΛΛΑΔΑ

Δύο νέα στελέχη έκαναν την εμφάνισή τους την προηγούμενη εβδομάδα. Παρατηρούμε αυξημένη δραστηριότητά τους και είχαμε ήδη και πολλές αναφορές για θύματα και στη χώρα μας.

Το πρώτο στέλεχος χρησιμοποιεί την επέκταση [Files4463@tuta.io] και random χαρακτήρες στο όνομα αρχείου. Τα κρυπτογραφημένα αρχεία γίνονται κάπως έτσι:
DCIM5209.jpg --> otrN4jg830vgC-JUDKjghe.[FILES4463@tuta.io].


To δεύτερο στέλεχος λειτουργεί με παρόμοιο τρόπο, όμως είναι πιο advanced. Toποθετεί την επέκταση [RestorFile@tutanota.com] και μόλις ολοκληρώσει την κρυπτογράφηση, κρυπτογραφεί ΚΑΙ τον κενό χώρο του δίσκου, γεμίζοντάς τον και δημιουργώντας περισσότερα προβλήματα αφού ουσιαστικά αποκλείει τη χρήση λογισμικών ανάκτησης για διαγραμμένα αρχεία.  

Η επιμόλυνση γίνεται μέσω Remote Desktop και μέχρι αυτή τη στιγμή η αποκρυπτογράφηση είναι δυστυχώς αδύνατη.




Nέος Ransomware - Horros

Πρόκειται για νέο εύρημα. Τον αναλύουμε προς το παρόν.

Update: ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!


Νέος Ransomware - Dcrtr

Mία κακογραμμένη σαβούρα, ο dcrtr εμφανίστηκε αυτήν την εβδομάδα. Είναι τόσο κακογραμμένος, που κατά τη διάρκεια της κρυπτογράφησης, το σύστημα κρεμάει. Το ποσό των λύτρων εξαρτάται από την ταχύτητα με την οποία τα θύματα θα επικοινωνήσουν με τον εισβολέα (!). 


Ο PUBG θέλει παιχνιδάκια...

Ο PUBG, που είναι τα αρχικά του Player's Unknown BattleGround, ζητάει από τα θύματά του

Κυριακή, 5 Νοεμβρίου 2017

Τα νέα των Ransomware, 6/11/2017

Αυτήν την εβδομάδα είχαμε κυρίως μικρά στελέχη. Είχαμε όμως και τον Gibon, έναν Ransomware που παρουσιάζει ενδιαφέρον και -κυρίως- έχουμε βρει λύση και μπορούμε να τον αποκρυπτογραφήσουμε :)

Ας τα δούμε αναλυτικά:



Trick Or Treat Screenlocker - Ανανεώθηκε

Είχαμε γράψει την προηγούμενη εβδομάδα για αυτόν. Εμφανίστηκε μια καινούργια έκδοση με ανανεωμένο Background. Εξακολουθεί πάντως να μη κρυπτογραφεί.


O Oni επιτίθεται σε Ιαπωνικές εταιρίες

Επί έναν ολόκληρο μήνα, ο Oni Ransomware στόχευε εταιρίες στην Ιαπωνία.