Εμφάνιση αναρτήσεων με ετικέτα Paradise. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα Paradise. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 7 Ιανουαρίου 2019

Τα νέα των Ransomware, 7/1/2019

Καλή χρονιά σε όλους!

Στο προηγούμενο διάστημα, είχαμε πολλά και διάφορα στον τομέα των Ransomware.

Θα μας επιτρέψετε, όμως, να ξεχωρίσουμε και να βάλουμε ως σημαντικότερη είδηση τη συμφωνία συνεργασίας της εταιρίας μας με το NoMoreRansom project (www.nomoreransom.org).

Αποτελεί επιβράβευση των προσπαθειών μας τόσων ετών στην καταπολέμηση των Ransomware και είμαστε ιδιαίτερα περήφανοι για αυτή μας τη συμφωνία.

Πέρα από αυτό, είχαμε πολλά και διάφορα νέα, καινούργια στελέχη, αποκρυπτογραφήσεις...

Ας τα δούμε αναλυτικά:


Χάος με τον Ryuk

Eπιτέθηκε σε δύο εκδοτικές εταιρίες εφημερίδων των ΗΠΑ, οι οποίες αναγκάστηκαν να αναστείλουν την κυκλοφορία των εκδόσεών τους.
Πρόκειται για τις εκδοτικές LA Times και την Tribune Publishing και οι εφημερίδες που επηρεάστηκαν είναι οι Wall Street Journal, New York Times, Los Angeles Times, Chicago Tribune, Baltimore Sun, Lake County News-Sun, Post-Tribune, Hartford Courant, Capital Gazette και Carroll County Times.


Το θέμα πήρε μεγάλες διαστάσεις.

Πάντως, απ' ότι φαίνεται η επιχείρηση ήταν κερδοφόρα, αφού σε ένα τρίμηνο μόνο, οι δημιουργοί του Ryuk κέρδισαν περίπου 400 Bitcoin...



Θυμίζουμε ότι ο Ryuk επιτίθεται μέσω phising σε συγκεκριμένους στόχους, ενώ έχουν αναφερθεί επιθέσεις του και μέσω εκτεθειμένων RDP.

Στοχευμένες επιθέσεις με τον Target777

To πρωτότυπο με αυτόν είναι ότι εκτός από το γεγονός ότι οι επιθέσεις είναι απολύτως στοχευμένες προς συγκεκριμένους στόχους, μοιάζει να σχεδιάζονται κάθε φορά για τους στόχους αυτούς, αφού χρησιμοποιούν το όνομα του στόχου στα Ransom Notes, στις επεκτάσεις των αρχείων κλπ!

Νέος Ransomware - BooM / hack Facebook 2019

Αυτός είναι Xorist.
Μόλις τρέξει δεν κάνει τίποτα αρχικά και μετά από λίγο εμφανίζει αυτό:

και αυτό


το Pin είναι: 47848486454474431000546876341354
και το Password είναι: M95r2jRwkP87rnWt1p281X1u

Πείτε μας και ένα ευχαριστώ!!

Νέος LockCrypt

Tοποθετεί την επέκταση id-.LyaS και έχει ένα άθλιο χρωματικό που δυσκολεύεσαι να διαβάσεις τι γράφουν.


Ο Junglesec μολύνει αδιακρίτως Servers μέσω IPMI

Aπό τα μέσα Νοεμβρίου, έχει ξεκινήσει μία εκστρατεία επιμόλυνσης Servers με τον Junglesec Ransomware, ο οποίος εκμεταλλεύεται κενά ασφαλείας του IPMI (Intelligent Platform Management Interface - https://en.wikipedia.org/wiki/Intelligent_Platform_Management_Interface).
Έχουν αναφερθεί θύματα Linux, Windows, μέχρι και MacOS.


Δευτέρα, 18 Ιουνίου 2018

Τα νέα των Ransomware, 18/6/2018

Πολύ καλά νέα, αποκρυπτογραφήσαμε τον Scarab Ransomware! Αν έχετε πέσει θύμα του, ελάτε σε επικοινωνία μαζί μας!
Αποκρυπτογραφήσαμε και τον Everbe! ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Κατά τ' άλλα, κυρίως μικρά νέα στελέχη είχαμε αυτήν την εβδομάδα, με κάποια να παρουσιάζουν ενδιαφέρον σχετικά με τον τρόπο διασποράς τους.


Ας τα δούμε αναλυτικά:

Νέος Ransomware - Donut -- MH ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!

Αυτός τοποθετεί την επέκταση .donut στα κρυπτογραφημένα αρχεία και εμφανίζει το ακόλουθο Ransom Note. ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ - ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!


Νέα έκδοση του Paradise Ransomware

Η MalwareHunterTeam εντόπισε μία νέα έκδοση του Paradise Ransomware, που τοποθετεί την επέκταση _V.0.0.0.1{paradise@all-ransomware.info}.prt.




Νέος RotorCrypt

Ο RotorCrypt είναι εκεί έξω και συνεχίζει να διασπείρεται (αρκετά θύματα και στην Ελλάδα). Αυτή η νέα έκδοση δεν έχει κάτι το συνταρακτικό, εκτός από αυτήν την εξαιρετικά ενοχλητικά κατάληξη που χρησιμοποιεί για τα κρυπτογραφημένα αρχεία: !@#$%______<email>_____%$#@.mail



ΠΟΛΥ ΚΑΛΑ ΝΕΑ, ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΑΜΕ ΤΟΝ SCARAB!

Στα καλά νέα, καταφέραμε και αποκρυπτογραφήσαμε έναν μεγάλο αριθμό παραλλαγών του Scarab Ransomware :-)
Μέσα σε αυτές είναι οι επεκτάσεις .scarab, .scorpio αλλά και πολλές άλλες.
ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!!





Νέος Xorist με εύκολη επέκταση

Εντοπίστηκε ένας νέος Xorist που χρησιμοποιεί αυτήν εύκολη επέκταση στα κρυπτογραφημένα αρχεία .......PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_YOU_NEED_TO_PURCHASE_THE_DECRYPTOR_FROM_US_FAST_AND_URGENT.

Πάλι Scarab!

Λίγες ώρες μετά την επιτυχία της αποκρυπτογράφησης  του Scarab, εμφανίστηκαν τρία νέα στελέχη, που χρησιμοποιούν τις επεκτάσεις .fastrecovery@airmail.cc και .leen και αφήνει Ransom note που λέγεται Recover-files-xmail@cock.li.txt, How to recover encrypted files-fastrecovery@airmail.cc.txt και INSTRUCTIONS FOR RESTORING FILES.TXT αντίστοιχα.

Ψάχνουμε για δείγματα από αυτά τα νέα στελέχη για να δούμε αν η μέθοδος μας λειτουργεί και σε αυτά.
Αν κάποιος έχει μολυνθεί από αυτά,
παρακαλούμε να έρθει σε επικοινωνία μαζί μας.

Δευτέρα, 26 Μαρτίου 2018

Τα νέα των Ransomware, 26/3/2018

Ο λόγος για τον οποίο δεν είχαμε νέα των Ransomware την προηγούμενη εβδομάδα, ήταν απλώς επειδή δεν υπήρχαν νέα (με εξαίρεση 1-2 καινούργια στελέχη).

Και αν αυτό αρχικά φαινόταν καλό νέο, και διαβάζουμε δεξιά κι αριστερά ότι το Ransomware πέθανε, ήρθε αυτή η εβδομάδα που μας πέρασε, να διαψεύσει τους πάντες:

Μεγάλοι οργανισμοί θύματα επίθεσης, η πόλη της Atlanta στην Georgia των ΗΠΑ να δέχεται ΤΕΡΑΣΤΙΑ επίθεση από τον SamSam, συλλήψεις στην Πολωνία, νέα στελέχη με καινούργιες μεθόδους επίθεσης και πάει λέγοντας... Δεν θα το λέγαμε ακριβώς αδράνεια...


Ας τα δούμε αναλυτικά:

Ο Νecurs και ο Gamut κρύβονται πίσω από το 97% (!!!) των spam emails που κυκλοφορούν στο διαδίκτυο!

Λαμβάνετε πολλά spam email? Σας εκνευρίζουν? Προφανώς ναι και ναι.
Πίσω από τη διακίνηση των email αυτών κρύβονται δύο (όλα κι όλα) botnets, ο Necurs και ο Gamut. 



Πηγή: McAfee

Mιας και μιλάμε για spam...

Μία μεγάλη καμπάνια διασποράς του Sigma Ransomware είναι σε εξέλιξη, με τη χρήση Malspam. Παριστάνει ότι αποστέλλεται από τη δημοφιλή αμερικάνικη πλατφόρμα αγγελιών Craigslist και περιέχει είτε αρχείο word κλειδωμένο με κωδικό (..?) είτε .rtf αρχείο, τα οποία κατεβάζουν και εκτελούν τον Sigma στον Η/Υ του θύματος.


Επίθεση του SamSam στην Atlanta






O δήμαρχος της Atlanta στην Georgia των ΗΠΑ επιβεβαίωσε ότι στις 22/3/2018 η πόλη δέχτηκε μεγάλη επίθεση από τον SamSam και ότι διάφορα συστήματα των υποδομών και της διαχείρισης της πόλης κατέρρευσαν. 

Το περιστατικό θεωρείται ιδιαίτερα σοβαρό και υπήρξε ανησυχία μέχρι και για τη λειτουργία του αεροδρομίου, ενώ υπήρξαν διακοπές ρεύματος,


διακοπές στη λειτουργία του MARTA (τα ΜΜΜ της πόλης)



Το περιστατικό έχει αναλάβει  το FBI ενώ οι πληροφορίες λένε ότι το ποσό που ζητήθηκε σαν λύτρα ήταν $51.000.

Περισσότερα εδώ.

To R2D2 η λύση για τους Ransomware?




Επιστήμονες από το πανεπιστήμιο του Purdue έχουν εξελίξει ένα σύστημα ασφάλειας δεδομένων που το ονομάζουν R2D2 (Reactive Redundancy for Data Destruction). Μπορεί να προστατεύσει σε ποσοστό 100% τα δεδομένα που βρίσκονται μέσα σε έναν εικονικό δίσκο διαγραφή και τροποποίηση.
Συνοπτικά, το σύστημα δημιουργεί checkpoints για τον έλεγχο αν η διαδικασία είναι κακόβουλη και αν δεν πάρει τα απαραίτητα εχέγγυα, δημιουργεί snapshot των δεδομένων, μην επιτρέποντας την τροποποίησή τους.





Συλλήψεις στην Πολωνία!




Καλά νέα με τη σύλληψη του δημιουργού των Polski Ransomware, Vortex Ransomware (τον είχαμε ήδη λύσει) και του Flotera Ransomware στην Πολωνία.
Ο συλληφθείς ονομάζεται