Εμφάνιση αναρτήσεων με ετικέτα MoneroPay. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα MoneroPay. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 29 Ιανουαρίου 2018

Τα νέα των Ransomware, 29/1/2018


Πολλά νέα σε ένα εκτενές update έχουμε ετοιμάσει για αυτήν την εβδομάδα.

Τα σημαντικότερα νέα είχαν να κάνουν με μεγάλη έξαρση στον SamSam. Υπενθυμίζουμε ότι ο SamSam διασπείρεται μέσω Remote Desktop και ακόμα και τώρα υπάρχουν πολλοί Η/Υ που έχουν την απομακρυσμένη πρόσβαση σχεδόν ελεύθερη για όλους....

Ενδιαφέρον έχουν οι δηλώσεις του προέδρου της Maersk για τον NotPetya, η επανεμφάνιση του KillDisk, και η νέα λαίλαπα που έκανε την εμφάνισή της, το BlackmailWare το οποίο μοιάζει να είναι πιο αποδοτικό από το Ransomware. 


Ας τα δούμε αναλυτικά:



Επανεμφάνιση του KillDisk

Tην Δευτέρα η TrendMicro ανακοίνωσε ότι παρατηρείται έξαρση του KillDisk σε εταιρίες της Λατινικής Αμερικής.
Να θυμήσουμε ότι ο KillDisk είναι ένας Ransomware με πολλές ιδιαιτερότητες, που κατασκευάστηκε από την ίδια ομάδα Ρώσων κυβερνο-εγκληματιών οι οποίοι ευθύνονται για την επίθεση στο δίκτυο Ενέργειας της Ουκρανίας με το BlackEnergy malware, για την επίθεση σε βιομηχανίες των ΗΠΑ με τον Sandworm malware και φυσικά για τον NotPetya που χτύπησε πολλές εταιρίες τον Ιούνιο του 2017.


Ο KillDisk έχει την ιδιαιτερότητα ότι αφού μπει στον Η/Υ, εγκαθίσταται στη μνήμη του, διαγράφει τον εαυτό του από το δίσκο και μετονομάζει τον εαυτό του.

Στη συνέχεια κάνει overwrite τα πρώτα 20 sectors από το MBR όλων των δίσκων του συστήματος και γράφει από πάνω τους μηδενικά.
Μετά, γράφει μηδενικά και στα πρώτα 2800 bytes από κάθε αρχείο των δίσκων αυτών (εξαιρεί τα αρχεία συστήματος) και αφήνει το Ransom Note.

Τέλος, μετράει 15 λεπτά (άγνωστο γιατί) και ξεκινάει να τερματίζει processes των Windows με σκοπό να προκαλέσει είτε πάγωμα του Η/Υ είτε μπλέ οθόνη (BSOD) με σκοπό να επανεκκινηθεί ο Η/Υ.

Μόλις ο Η/Υ επανεκκινηθεί φυσικά δεν μπορεί να μπει σε Windows αφού τα MBR έχουν μηδενιστεί. Το θύμα θα επισκεφθεί κάποιον τεχνικό ο οποίος προφανώς ψάχνοντας για αρχεία θα δει τα Ransom Notes.  






Νοσοκομείο πληρώνει $55.000 για λύτρα -- είχε backup!

Tην Τρίτη ενημερωθήκαμε ότι νοσοκομείο στην Indiana των ΗΠΑ πλήρωσε $55.000 σε λύτρα προκειμένου να απαλλαγεί από Ransomware που τους χτύπησε. Πρόκειται για το Hancock Health Hospital στο GreenField της Indiana.

Το νοσοκομείο χτυπήθηκε από τον SamSam ο οποίος μετονόμασε όλα τα αρχεία τοποθετώντας τη φράση "I'm sorry" στο όνομα αρχείου.
Η επίθεση έλαβε χώρα την προηγούμενη εβδομάδα (11/1) όμως ανακοινώθηκε επίσημα αργότερα. Την επόμενη μέρα, Παρασκευή, το νοσοκομείο ήταν γεμάτο με ανακοινώσεις που καλούσε όλους τους εργαζόμενους να τερματίσουν τους Η/Υ τους.




Όλες οι μηχανογραφικές εργασίες του νοσοκομείου σταμάτησαν. Οι γιατροί και το νοσηλευτικό προσωπικό συνέχισε να εργάζεται με χαρτί και μολύβι και όποια άλλα μέσα υπήρχαν διαθέσιμα. 

Σε ανακοίνωση του νοσοκομείου, παραδέχονται το γεγονός με πολύ λίγες, πάντως, λεπτομέρειες.
Το νοσοκομείο λειτούργησε ξανά 100% την επόμενη Δευτέρα, αφού πλήρωσε $55.000 για λύτρα. Εκπρόσωπος του νοσοκομείου δήλωσε ότι υπήρχαν αντίγραφα ασφαλείας αλλά θα τους έπαιρνε πολλές μέρες ή ακόμα και εβδομάδες για πλήρη αποκατάσταση, και αποφάσισαν ότι η πληρωμή των λύτρων ήταν γρηγορότερη διαδικασία...

ΝΕΟΣ Ransomware - MoneroPay - μεταμφιέζεται σε πορτοφόλι κρυπτονομισμάτων!

Είναι εντελώς καινούργιος, εμφανίστηκε την προηγούμενη Τετάρτη. Προσπαθεί να εκμεταλλευτεί την τρέλα που επικρατεί με τα κρυπτονομίσματα, προωθώντας τον εαυτό του ως πορτοφόλι ενός κρυπτονομίσματος -του SpriteCoin- το οποίο