Εμφάνιση αναρτήσεων με ετικέτα Scarab. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα Scarab. Εμφάνιση όλων των αναρτήσεων

Παρασκευή, 24 Μαΐου 2019

Ανάκτηση δεδομένων από σκληρούς δίσκους





Σε φουλ ρυθμούς για να προλάβουμε να παραδώσουμε δεδομένα πριν το Σαββατοκύριακο.

Now, that's what we call a busy Friday 

Σάββατο, 18 Μαΐου 2019

Τα νέα των Ransomware, 20/5/2019

Συνοπτικά όλη η εβδομάδα:
STOP - Dharma - STOP - Dharma - STOP - Dharma - Dharma - Dharma - STOP - Dharma.


Είχαμε και την ανάλυση της ProPublica η οποία ντροπιάζει το επάγγελμά μας, χάρη σε κάποιους "συναδέλφους" που ισχυρίζονται ότι αποκρυπτογραφούν Ransomware, ενώ στην πραγματικότητα το μόνο που κάνουν είναι να πληρώνουν τα λύτρα και να εισπράτουν την προμήθεια. Χαρακτηριστικά είναι τα παραδείγματα και "συναδέλφων" στη χώρα μας.

Ας τα δούμε αναλυτικά:


Νέοι STOP

Πλέον θεωρούμε ότι είναι αδύνατον να καταμετρηθούν όλα τα στελέχη του STOP που κυκλοφορούν εκεί έξω. Εμείς έχουμε καταγεγραμμένα περισσότερα από 80, και αυτά μόλις το τελευταίο δίμηνο.
Για την εβδομάδα που μεσολάβησε, είχαμε:
- Τον .codnat
- Toν .codnat1
- Toν .bufas
- Τον .dotmap

- Τον .fordan
- Toν .assumer
Όλοι αυτοί είναι κοινοί μεταξύ τους, απλώς τους διαχειρίζονται διαφορετικοί εγκληματίες.

Δευτέρα, 22 Απριλίου 2019

Τα νέα των Ransomware, 22/4/2019

Είχαμε την εμφάνιση ενός νέου "παίκτη" στο προσκήνιο την εβδομάδα που μας πέρασε, που ονομάζεται RobbinHood. Επιτέθηκε και παρέλυσε το σύστημα Η/Υ στο Greenville των ΗΠΑ ενώ εμφανίζεται ιδιαίτερα δραστήριος.

Είχαμε την ανακοίνωση της Δίωξης Ηλεκτρονικού Εγκλήματος στην Ελλάδα για τον JNEC και είχαμε και τον NamPoHyu που επιτίθεται σε Samba Servers.

Κατά τ' άλλα, τα γνωστά, Scarab, Matrix, Dharma...

Ας τα δούμε αναλυτικά:


Δελτίο Τύπου της Δίωξης Ηλεκτρονικού Εγκλήματος για τον JNEC 

Πραγματικά, χαιρόμαστε όταν βλέπουμε κάποιες υπηρεσίες στην Ελλάδα να λειτουργούν σωστά.
Στις 18/4/19, η Δίωξη Ηλεκτρονικού Εγκλήματος εξέδωσε Δελτίο Τύπου μέσω του οποίου προειδοποιεί του πολίτες για τον κίνδυνο του JNEC, όπως τον είχαμε περιγράψει με έκτακτο post μας στο παρόν blog. 

Συγχαίρουμε τη ΔΗΕ για την ενημέρωση προς το κοινό και αναμένουμε συνέχεια! 


Δευτέρα, 1 Απριλίου 2019

Τα νέα των Ransomware, 1/4/2019

Αν εξαιρέσει κανείς το πιο παρανοϊκό Ransomware που έχουμε δει ποτέ, μοίαζει σαν μια τυπική εβδομάδα:
Δεκάδες νέα στελέχη από ήδη γνωστές οικογένειες έκαναν την εμφάνισή τους το διάστημα που μας πέρασε.

Μοιάζει πολύ τετριμμένο πλέον, αλλά είχαμε Dharma, Scarab, Matrix, STOP, είχαμε και Xorist, είχαμε και τον UNNAM3D που μόλυνε 30.000 Η/Υ σε λίγες μόνο ώρες, είχαμε και ένα ιδιωτικό πάρκινγκ στον Καναδά να παραλύει από χτύπημα Ransomware, απ' όλα είχε ο μπαξές.

Ας τα δούμε αναλυτικά:


Dharma χτυπάει ιδιωτικό πάρκινγκ στον Καναδά, οι πελάτες παρκάρουν δωρεάν

Στις 28/3/19, η CIRA (Canadian Internet Registration Authority), κάτι σαν τη δική μας ΕΕΤΤ, που διαχειρίζεται τα public internet domains (.ca), χτυπήθηκε από Dharma.
O συγκεκριμένος σταθμός ανήκει στην ιδιωτική εταιρία Precise Parklink και μετά το χτύπημα κατέρρευσε το σύστημα ελέγχου και πληρωμών, με αποτέλεσμα να μπαίνει στο χώρο όποιος θέλει και να παρκάρει δωρέαν.






Νέοι STOP

H λαίλαπα STOP συνεχίζει ακάθεκτη.
Μετά τα 42 (!!!!!) νέα στελέχη που είχαμε στο τελευταίο δίμηνο, για την προηγούμενη εβδομάδα είχαμε:
Τον .chech
Tον .luceq
Toν .proden
Τον .drume

Tον .tronas
Τον .trosak
Τον .grovas

Και δύο νέοι Dharma

Τοποθετούν τις επεκτάσεις .bk666 και .stun αντίστοιχα.
Τίποτα το καινούργιο.

Λύση για τον Hacked

Πρόκειται για ένα στέλεχος που είχε κάνει την εμφάνισή του το 2017. Αν και η διανομή του γενικά ήταν ήπια, είχε αρκετά θύματα.
Η Emsisoft κυκλοφόρησε λύση για το συγκεκριμένο στέλεχος.



Να και ένας Ματριξ

Toποθετεί την επέκταση .MDEN ή SDEN. Πρόκειται για το ίδιο στέλεχος.

O BigBobRoss παριστάνει τον STOP

Όπως αναμενόταν μετά την δημοσίευση λύσης για τον BigBobRoss πριν από 10 μέρες, εμφανίστηκαν δύο νέα στελέχη του, για τα οποία προς το παρόν δεν υπάρχει λύση.
Το ένα στέλεχος τοποθετεί την επέκταση .djvu (την οποία χρησιμοποιεί ο STOP) και το άλλο την .encryptedALL.
UPDATE: Πλέον και ο encryptedALL είναι αντιμετωπίσιμος.

Κυριακή, 3 Μαρτίου 2019

Τα νέα των Ransomware, 4/3/2019

Πολλά και διάφορα είχαμε το διάστημα που μεσολάβησε από την προηγούμενη αναφορά μας.
Είχαμε λύση για τον GandCrab, είχαμε έναν Ransomware που στοχεύει servers που τρέχουν Linux/PHP, είχαμε και πάρα πολλά νέα στελέχη.

Ας τα δούμε αναλυτικά:

Νέος Jigsaw - DeltaSEC

Αυτός δεν κρυπτογραφεί καν, καθώς περιέχει προβληματικό base64 string...




Νέος Scarab

Toποθετεί την επέκταση .X3.  

Λύση για τον GandCrab

Στα τέλεια νέα, η λύση για τον GandCrab που δημοσίευσε η BitDefender σε συνεργασία με τη Europol.
Την αμέσως επόμενη μέρα, κυκλοφόρησε νέα έκδοση η οποία προς το παρόν δεν είναι δυνατόν να σπάσει.



Νέος GarrantyDecrypt

Ένα νέο στέλεχος του GarrantyDecrypt εντοπίστηκε, το οποίο παριστάνει ότι προέρχεται από την ομάδα ασφαλείας της ProtonMail.
Επιβεβαιώσαμε ότι πρόκειται για τον GarrantyDecrypt από το "NANI" signature στα κρυπτογραφημένα αρχεία.




Νέος Everbe2 - SEED

Εντοπίστηκε και νέος Everbe2.0 που τοποθετεί την επέκταση .seed.
Ταυτοποιήσαμε ότι πρόκειται για τον Everbe από τα τελευταία 0x200 bytes που έχουν ASCII στο Hex.





Νέα στελέχη

Ο Michael Gillespie εντόπισε:
Τον BlackPink που είναι κορεάτικος


τον BestChangeRu που είναι ρώσικος


τον Crazy Thief 2.1 που είναι μια μίξη του Stupid, του Jigsaw και βασίζεται σε HiddenTear
(thief όνομα και πράγμα δηλαδή). Φυσικά, είναι δυνατόν να αποκρυπτογραφηθεί.


έναν νέο Matrix που τοποθετεί την επέκταση .GBLOCK
και έναν νέο Dharma που τοποθετεί την επέκταση .aqva.

Δευτέρα, 4 Φεβρουαρίου 2019

Τα νέα των Ransomware, 4/2/2019

Είχαμε πολλές νέες παραλλαγές από ήδη υπάρχοντα στελέχη, αυτήν την εβδομάδα.

Ο STOP συνεχίζει και σαρώνει για 3η συνεχόμενη εβδομάδα.
Θα ακουστεί κοινότυπο, αλλά όταν χρησιμοποιείτε λογισμικά, αγοράστε τα. Εκτός από το ηθικό κομμάτι, υπάρχει σοβαρή πιθανότητα να μολυνθείτε με STOP ή άλλον Ransomware.


Ενδιαφέρον είχε επίσης η επανεμφάνιση του Xorist (!!) με δύο νέα στελέχη.

Ας τα δούμε αναλυτικά:


Νέοι Dharma

3 νέα στελέχη, τοποθετούν τις επεκτάσεις.qwex, .ΕΤΗ και .air.
Τίποτα καινούργιο.


Νέος Ransomware - Anti-Capitalist Fun

Μοιάζει να είναι Jigsaw. Παρά το πολιτικό περιεχόμενο που θα περίμενε κανείς να διαβάσει λόγω της εικόνας, το κείμενο (που είναι στα γαλλικά) δεν έχει τίποτα το πολιτικό.



Νέος Scarab

Τοποθετεί την επέκταση .Crash. Επίσης όχι κάτι το νέο.




Νέοι Xorist

O πρώτος εντοπίστηκε στην αρχή της εβδομάδας από τον Michael Gillespie και τοποθετεί την επέκταση .mbrcodes και ο δεύτερος τοποθετεί την επέκταση .Mcafee! στα κρυπτογραφημένα αρχεία.

ΕΧΟΥΜΕ ΠΟΛΥ ΚΑΛΕΣ ΠΙΘΑΝΟΤΗΤΕΣ ΜΑΖΙ ΤΟΥ. ΑΝ ΕΧΕΤΕ ΜΟΛΥΝΘΕΙ ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ.



Νέος Obfuscated - id

Τοποθετεί την προέκταση [id=] πριν από το όνομα του αρχείου που κρυπτογραφεί.



Δευτέρα, 28 Ιανουαρίου 2019

Τα νέα των Ransomware, 28/1/2019

Δεν έχει σταματημό ο STOP, με δεκάδες θύματα στην Ελλάδα. Δεχόμαστε καθημερινά κλήσεις και μηνύματα σχετικά με αυτόν τον Ransomware και θέλουμε να επαναλάβουμε πώς:
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΓΙΑ ΤΑ ΣΤΕΛΕΧΗ ΑΥΤΑ, υπό προϋποθέσεις. Συγκεκριμένα, αν ο μολυσμένος Η/Υ δεν έχει επανεκκινηθεί, έχουμε καλές πιθανότητες να τα αποκρυπτογραφήσουμε.
Αν έχει γίνει επανεκκίνηση, τότε ίσως μπορούμε να αποκρυπτογραφήσουμε αρχεία τύπου .doc, .xls και .pdf. Όχι όμως άλλου τύπου αρχεία.

Κατά τ' άλλα, ήταν μια τυπική εβδομάδα με Dharma, Scarab και Matrix και πολλά υπό κατασκευή στελέχη.

Ας τα δούμε αναλυτικά:


Νέοι Dharma

Ο πρώτος εμφανίστηκε την προηγούμενη Δευτέρα και τοποθετεί την επέκταση .AUF.
Δύο μέρες αργότερα, εμφανίστηκαν άλλοι 3. Τοποθετούν τις επεκτάσεις .USA, xwx και .best.

Νέος Matrix

O Michael Gillespie εντόπισε ένα νέο στέλεχος του Matrix που τοποθετεί την επέκταση .GMBN.
Την επόμενη, εντοπίστηκε και άλλο ένα στέλεχος που τοποθετεί την επέκταση .SPCT.

Ανησυχία με τον Anatova

Αυτός έχει κάνει εντύπωση και έχει προκαλέσει ανησυχία, μιας και έχει δυνατότητα υποστήριξης modules τα οποία θα μπορούσαν να τον κάνουν "ελβετικό σουγιά" για τους malware developers. Θα επανέλθουμε εντός των ημερών με νέο άρθρο για τον τρόπο λειτουργίας του αναλυτικά.




Νέος Ransomware - JSWorm

Τοποθετεί την επέκταση .JSWorm. Ο δημιουργός του δεν έχει προβλέψει στον κώδικα το ενδεχόμενο να μην μπορεί να φύγει το email που του στέλνει, με αποτέλεσμα αν η αποστολή αποτύχει, η αποκρυπτογράφηση θα είναι αδύνατη από τον ίδιο, αφού δεν θα έχει το κλειδί :s

Απ΄ ότι είδαμε, έχουμε πολλές πιθανότητες αποκρυπτογράφησης.



Νέος Xorist που στέλνει SMS!

Τοποθετεί την επέκταση .vaca. Απ' ότι φαίνεται στον κώδικα, έχει ενσωματωμένη δυνατότητα να στέλνει SMS με το κλειδί σε έναν συγκεκριμένο αριθμό.



Δευτέρα, 21 Ιανουαρίου 2019

Τα νέα των Ransomware, 21/1/2019

Γύρισαν από τις διακοπές τους οι Ransomware Developers και προκάλεσαν χάος.
Ήταν από τις πιο busy εβδομάδες των τελευταίων μηνών αυτή που μας πέρασε.

Ξεχωρίζουμε την έξαρση με τον STOP και συγκεκριμένα το στέλεχος tfudet, για το οποίο είχαμε 6 κλήσεις για βοήθεια (στην Ελλάδα), μέσα σε 3 ημέρες.

Είχαμε - φυσικά - νέους Dharma και Scarab και πολλά νέα και παλιά στελέχη.

Ας τα δούμε αναλυτικά:


Χάος με τον STOP

Ξαφνικά, στις αρχές της προηγούμενης εβδομάδας λαμβάνουμε κλήσεις για βοήθεια για ένα άγνωστο - μέχρι εκείνη την ώρα- στέλεχος.
Στην ανάλυση που κάναμε, συνειδητοποιούμε πώς πρόκειται για στέλεχος του STOP για τον οποίο είχαμε να ακούσουμε μήνες, από την εποχή του στελέχους Puma και INFOWAIT.


Έκτοτε, λάβαμε περισσότερες από 15 κλήσεις για βοήθεια για τον συγκεκριμένο Ransomware, κυρίως για τις εκδόσεις .tfudet και .rumba, μέσα στην προηγούμενη εβδομάδα και 6 μέσα στο σ/κ που μας πέρασε.

ΝΑ ΠΟΥΜΕ ΟΤΙ ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΓΙΑ ΤΑ ΣΤΕΛΕΧΗ ΑΥΤΑ, υπό προϋποθέσεις. Συγκεκριμένα, αν ο μολυσμένος Η/Υ δεν έχει γίνει επανεκκίνηση, έχουμε καλές πιθανότητες να τα αποκρυπτογραφήσουμε.
Αν έχει γίνει επανεκκίνηση, τότε μπορούμε να αποκρυπτογραφήσουμε αρχεία τύπου .doc, .xls και .pdf. Όχι όμως άλλου τύπου αρχεία.




Θυμίζουμε ότι ο STOP διασπείρεται μέσω σπασμένων προγραμμάτων και torrent sites. 

Νέος Matrix

O Michael Gillespie εντόπισε ένα νέο στέλεχος του Matrix που τοποθετεί την επέκταση .GRHAN.
Δεν υπάρχει κάτι καινούργιο απ' ότι είδαμε πάντως.

Νέος Jigsaw

Ένα γαλλικό αλλά εντελώς βαρετό στέλεχος του Jigsaw εμφανίστηκε, που τοποθετεί την επέκταση .data. Και είναι βαρετό, γιατί ενώ ο Jigsaw μας είχε συνηθίσει σε εντυπωσιακά background, αυτός έχει ένα μαύρο τετράγωνο.




Νέος Ransomware - Trumphead

Μοιάζει να είναι υπό κατασκευή αυτός, ο οποίος περιέχει κείμενα που προσομοιάζουν πολύ ... τον Τραμπ...



"We are the best. No one has ever seen such a hacker group as we are".

Νέος Scarab - zzzzzzzz

Όχι κάτι καινούργιο. Είχαμε πάντως αρκετά θύματα και στην Ελλάδα.



Δευτέρα, 7 Ιανουαρίου 2019

Τα νέα των Ransomware, 7/1/2019

Καλή χρονιά σε όλους!

Στο προηγούμενο διάστημα, είχαμε πολλά και διάφορα στον τομέα των Ransomware.

Θα μας επιτρέψετε, όμως, να ξεχωρίσουμε και να βάλουμε ως σημαντικότερη είδηση τη συμφωνία συνεργασίας της εταιρίας μας με το NoMoreRansom project (www.nomoreransom.org).

Αποτελεί επιβράβευση των προσπαθειών μας τόσων ετών στην καταπολέμηση των Ransomware και είμαστε ιδιαίτερα περήφανοι για αυτή μας τη συμφωνία.

Πέρα από αυτό, είχαμε πολλά και διάφορα νέα, καινούργια στελέχη, αποκρυπτογραφήσεις...

Ας τα δούμε αναλυτικά:


Χάος με τον Ryuk

Eπιτέθηκε σε δύο εκδοτικές εταιρίες εφημερίδων των ΗΠΑ, οι οποίες αναγκάστηκαν να αναστείλουν την κυκλοφορία των εκδόσεών τους.
Πρόκειται για τις εκδοτικές LA Times και την Tribune Publishing και οι εφημερίδες που επηρεάστηκαν είναι οι Wall Street Journal, New York Times, Los Angeles Times, Chicago Tribune, Baltimore Sun, Lake County News-Sun, Post-Tribune, Hartford Courant, Capital Gazette και Carroll County Times.


Το θέμα πήρε μεγάλες διαστάσεις.

Πάντως, απ' ότι φαίνεται η επιχείρηση ήταν κερδοφόρα, αφού σε ένα τρίμηνο μόνο, οι δημιουργοί του Ryuk κέρδισαν περίπου 400 Bitcoin...



Θυμίζουμε ότι ο Ryuk επιτίθεται μέσω phising σε συγκεκριμένους στόχους, ενώ έχουν αναφερθεί επιθέσεις του και μέσω εκτεθειμένων RDP.

Στοχευμένες επιθέσεις με τον Target777

To πρωτότυπο με αυτόν είναι ότι εκτός από το γεγονός ότι οι επιθέσεις είναι απολύτως στοχευμένες προς συγκεκριμένους στόχους, μοιάζει να σχεδιάζονται κάθε φορά για τους στόχους αυτούς, αφού χρησιμοποιούν το όνομα του στόχου στα Ransom Notes, στις επεκτάσεις των αρχείων κλπ!

Νέος Ransomware - BooM / hack Facebook 2019

Αυτός είναι Xorist.
Μόλις τρέξει δεν κάνει τίποτα αρχικά και μετά από λίγο εμφανίζει αυτό:

και αυτό


το Pin είναι: 47848486454474431000546876341354
και το Password είναι: M95r2jRwkP87rnWt1p281X1u

Πείτε μας και ένα ευχαριστώ!!

Νέος LockCrypt

Tοποθετεί την επέκταση id-.LyaS και έχει ένα άθλιο χρωματικό που δυσκολεύεσαι να διαβάσεις τι γράφουν.


Ο Junglesec μολύνει αδιακρίτως Servers μέσω IPMI

Aπό τα μέσα Νοεμβρίου, έχει ξεκινήσει μία εκστρατεία επιμόλυνσης Servers με τον Junglesec Ransomware, ο οποίος εκμεταλλεύεται κενά ασφαλείας του IPMI (Intelligent Platform Management Interface - https://en.wikipedia.org/wiki/Intelligent_Platform_Management_Interface).
Έχουν αναφερθεί θύματα Linux, Windows, μέχρι και MacOS.


Δευτέρα, 17 Δεκεμβρίου 2018

Τα νέα των Ransomware, 17/12/2018

Παραδοσιακά, οι μέρες πριν από τα Χριστούγεννα είναι πάντα πιο ήσυχες στον τομέα των Ransomware, πιθανώς λόγω του γεγονότος ότι πολύς κόσμος μετακινείται για τις γιορτές και πολλές εταιρίες υπολειτουργούν.

Είχαμε νέα στελέχη Dharma και Scarab κλασικά, ενώ είχαμε και ανησυχητική εξέλιξη στον τομέα του Sextortion.

Ας τα δούμε αναλυτικά:

Sextortion tactics

Ανησυχητικές διαστάσεις παίρνει η τακτική του sextortion, μέσω τις οποίας οι κυβερνο-εκβιαστές αποκομίζουν μεγάλα χρηματικά ποσά.


Τι είναι το sextortion?


Το υποψήφιο θύμα λαμβάνει ένα email στο οποίο αναφέρεται ότι έχει πιαστεί επαυτοφόρω να παρακολουθεί ιστοσελίδες με πορνογραφικό περιεχόμενο (μερικές φορές αναφέρουν και παιδική πορνογραφία). Γίνεται λόγος για χρήση της κάμερας του Η/Υ του θύματος, μέσω της οποίας έχουν αποδεικτικά της ... "δράσης" του θύματος και απειλούν να δημοσιεύσουν φωτογραφίες του σε προσωπικές στιγμές την ώρα που παρακολουθούν το πορνογραφικό περιεχόμενο.
Φυσικά, τίποτα από αυτά δεν υφίσταται.


Τον τελευταίο καιρό έχει εξελιχθεί η τακτική τους και έχει γίνει εξυπνότερη. 
Στοχεύουν σε θύματα των οποίων το email και ο κωδικός του έχουν διαρρεύσει και αποστέλλουν το παρακάτω email.



To κείμενο είναι το εξής:

Hello!

I have very bad news for you.
09/08/2018 - On this day, I got access to your OS and gained complete control over your system. **@gmail.com
On this day your account **@gmail.com has password: XXXX

How I made it:

In the software of the router, through which you went online, was avulnerability.
I just got into the router and got root rights and put my malicious code on it. 
When you went online, my trojan was installed on the OS of your device.

After that, I made a full dump of your (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I'm talk you about sites for adults.

I want to say - you are a BIG pervert. Your fantasy is shifted far away from the nromal course!

And i got an idea....
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!

As proof of my words, I made a video presentation in Power Point.
And laid out in a private cloud, look You can copy the link below and paste it into the browser.

https://google.com/url?Q=[url here]

I'm know that you would like to show these screenshots to your friends, relatives or colleagues.
I think #381 is a very, very small amount for my silence.
Besides, I have been spying on your for so long, having spect a lot of time!

Πολλά, λοιπόν, από τα θύματα θα προσπαθήσουν να κατεβάσουν το βίντεο που αποτελεί "απόδειξη" των πράξεών τους, με αποτέλεσμα να επιμολυνθούν με δύο διαφορετικά κακόβουλα λογισμικά:

Αρχικά με τον Azorult, μέσω του οποίου -πραγματικά αυτή τη φορά- αποσπούν προσωπικά στοιχεία όπως συνθηματικά πρόσβασης, ιστορικά συνομιλιών κλπ,
και στη συνέχεια επιμολύνονται με GandCrab και κρυπτογραφούνται τα δεδομένα τους.


Άλλη μία απόδειξη ότι πρέπει να δείχνουμε μεγάλη προσοχή σε ποια λινκ πατάμε!

Νέος GlobeImposter - EQ

Toποθετεί την επέκταση .fuck. Όχι κάτι παραπάνω καινούργιο.


Νέος Gerber 

Mετά τους Gerber1, 3 & 5 που αναφέραμε την προηγούμενη εβδομάδα, είχαμε άλλον έναν αυτήν την εβδομάδα με τον .FJ7QvaR9VUmi


Νέος Dharma - Santa

Στο κλίμα των ημερών, νέος Dharma με επέκταση .santa. Τίποτα απολύτως το καινούργιο.




Δευτέρα, 10 Δεκεμβρίου 2018

Τα νέα των Ransomware, 10/12/2018

Με μεγάλο ενδιαφέρον παρακολουθούμε τις εξελίξεις γύρω από το θόρυβο που έχει ξεσπάσει σχετικά με τους απατεώνες που ισχυρίζονται ότι μπορούν να λύσουν διάφορα στελέχη Ransomware όπως ο Dharma και απλώς έρχονται σε επικοινωνία με τους κακοποιούς/δημιουργούς του κακόβουλου λογισμικού και εισπράττουν την μεσιτεία.
Μόνο που, μετά και από επικοινωνία που είχαμε με τη Δίωξη Ηλεκτρονικού Εγκλήματος, κάτι τέτοιο είναι παράνομο και διώκεται ποινικά.

Φαίνεται, μάλιστα, ότι κάποιο πουλάκι κάνει tweet, αφού τα εντόπια πουλιά αλλάξαν τα κείμενά τους και τώρα παρουσιάζονται ως ειδήμονες. 

Κατά τ' άλλα, ένας κακογραμμένος Ransomware προκάλεσε χάος στην Κίνα, μολύνοντας περισσότερους από 100.000 Η/Υ. Ο δημιουργός του συνελήφθη μετά από λίγες ημέρες και ο Ransomware αποκρυπτογραφήθηκε επιτυχώς. 

Ας τα δούμε αναλυτικά:

Νέοι Dharma

Το πρώτο στέλεχος εμφανίστηκε πριν από μία εβδομάδα ακριβώς και τοποθετεί την επέκταση .RISK.

Το δεύτερο, την Πέμπτη και τοποθετεί την επέκταση .bkpx.

Δεν υπάρχει κάτι καινούργιο, πρόκειται απλά για άλλα δύο μέλη της (τεράστιας, πλέον) οικογένειας των Dharma.


YΠΕΝΘΥΜΙΖΟΥΜΕ,

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Εταιρία παριστάνει ότι κάνει πολλά, κάνει λίγα, βρίσκει μπελά

Ούτε και θα πρέπει να πέσετε στην παγίδα και να εμπιστευτείτε εταιρίες που παριστάνουν ότι μπορούν να αποκρυπτογραφήσουν ό,τι κινείται στην αγορά, καθώς θα πέσετε θύμα και δεύτερης απάτης και θα πλουτίσετε τους επιτήδειους.

Μια τέτοια "εταιρία" στη Ρωσία σύμφωνα με την Check Point, η οποία ονομάζεται Dr. Shifro παριστάνει πως έχει λύσεις για τον Dharma (και άλλους, άλυτους Ransomware), ενώ στην πραγματικότητα έκανε τον μεσολαβητή και εισέπραττε την διαφορά.

Το θέμα πήρε μεγάλες διαστάσεις, κάτι που μας κάνει εντύπωση, αφού ήταν/είναι πάγια τακτική ακόμα και δικών μας εγχώριων "ειδημόνων" που δεν έχουν κάνει Reverse Engineering στη ζωή τους.

Διώξεις και για τον SamSam

Eίχαμε αναφερθεί στο παρελθόν για το χτύπημα στην Ατλάντα των ΗΠΑ τον Μάρτιο του 2018 με Ransomware, επίθεση που είχε προκαλέσει χάος.

Είχαμε αναφερθεί και την προηγούμενη εβδομάδα για τον SamSam και τις ποινικές διώξεις που ασκήθηκαν εναντίον δύο Ιρανών με κατηγορία εμπλοκής τους στην δημιουργία και διασπορά του εν λόγω Ransomware.

Τώρα, διαβάζουμε:
A federal grand jury in Atlanta has returned an indictment charging Faramarz Shahi Savandi and Mohammed Mehdi Shah Mansouri with committing a sophisticated ransomware attack on the City of Atlanta in March 2018 in violation of the Computer Fraud and Abuse Act.

Χάος στην Κίνα με τον UNNAMED1989

Περισσότεροι από 100.000 Η/Υ μολύνθηκαν από έναν κυριολεκτικά αστείο Ransomware, ο οποίος ονομάζεται UNNAMED1989.


Είναι αστείο, γιατί παρά τον τόσο αγώνα που δίνεται καθημερινά από εταιρίες CyberSecurity προκειμένου να μπει τέλος στους Ransomware, τελικά ακόμα και ένας κακογραμμένος Ransomware μπορεί να προκαλέσει χάος.
Ο εν λόγω, ζητούσε πληρωμή μέσω WeChat (!). Εικάζεται ότι ο δημιουργός του χρησιμοποιούσε ένα μέσο κοινωνικής δικτύωσης της Κίνας με την επωνυμία Douban προκειμένου να δελεάσει τα θύματά του προκειμένου να χρησιμοποιήσουν μία δημοφιλή εφαρμογή μέσω της οποίας μπορεί κάποιος να χρησιμοποιεί περισσότερους από έναν λογαριασμούς κοινωνικής δικτύωσης ταυτόχρονα. Μόνο που, η εφαρμογή ήταν παγιδευμένη.
Σε έρευνα που έγινε, βρέθηκαν περισσότεροι από 20.000 κωδικοί λογαριασμών από εφαρμογές δημοφιλείς στην Κίνα όπως το Baidu, το QQ, το Alipay κλπ.

Λίγες μόνο ώρες μετά την κυκλοφορία του, κυκλοφόρησε εφαρμογή αποκρυπτογράφησης από την Tencent και την Velvet, ενώ ο δημιουργός του εντοπίστηκε αφού είχε δηλώσει στην καταχώρηση της εφαρμογής το όνομά του, το τηλέφωνό του και τη διεύθυνσή του (...). Εδώ που τα λέμε δεν άφησε και τίποτα στη φαντασία...
Φυσικά, συνελήφθη από τις αρχές.

Νέος Ransomware - Israbye

Τίποτα το ιδιαίτερο.
Δείτε τον εδώ σε δράση σε ένα βίντεο της Cyber Security.


Δευτέρα, 3 Δεκεμβρίου 2018

Τα νέα των Ransomware, 3/12/2018

Eίχαμε ιστορίες με τον SamSam την προηγούμενη εβδομάδα. Μία ομάδα Ιρανών χάκερ κατηγορούνται ότι βρίσκονται πίσω του και στην Αμερική τους ψάχνουν να τους βρουν. Διαβάστε αναλυτικά παρακάτω.

Είχαμε χαμό με Dharma και Scarab, είχαμε και πολλά μικρότερα στελέχη.


Ας τα δούμε αναλυτικά:



Νέοι Dharma

Κι άλλα νέα στελέχη εμφανίστηκαν την προηγούμενη εβδομάδα.

Την Δευτέρα εμφανίστηκε ο .myjob. Δεν αλλάζει απολύτως τίποτα στον τρόπο λειτουργίας. 
Δύο μέρες αργότερα, ανακαλύφθηκε και ο WAR ο οποίος τοποθετεί την επέκταση .[cyberwars@qq.com].war στα κρυπτογραφημένα αρχεία.



Και την Παρασκευή, είχαμε και τον .risk.
Και για τους 3, δεν αλλάζει απολύτως τίποτα στο κομμάτι της κρυπτογράφησης.
ΠΡΟΣΟΧΗ ΟΜΩΣ.

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.


Με μεγάλη μας λύπη διαπιστώνουμε ότι η λαίλαπα εξαπλώθηκε και στη χώρα μας με "κάποιους" να ισχυρίζονται ότι μπορούν να λύσουν τον Dharma και μάλιστα με ... εξπρες διαδικασίες και προνομιακό κόστος, 3000-6000 ευρώ (...) (!!!!).

Γελάμε και κλαίμε ταυτόχρονα.



ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Nέοι Scarab

O πρώτος μας έκανε την εμφάνισή του το βράδυ της Τετάρτης. Τοποθετεί την επέκταση .lolita.
Ο δεύτερος εντοπίστηκε τα ξημερώματα της επόμενης, τοποθετεί την επέκταση .stevenseagal@airmail.cc.


Το βράδυ της 28/11 εντοπίστηκε και τρίτος, τοποθετεί την επέκταση .online24files@airmail.cc.



Nέος Ransomware - Enybeny Nuclear

Μάλλον είναι υπό κατασκευή. Υποτίθεται ότι θα έπρεπε να τοποθετεί επεκτάση (την .PERSONAL_ID:.Nuclear) στα κρυπτογραφημένα αρχεία, αλλά στον κώδικα έχουν βάλει Invalid characters (συγκεκριμένα, τον ':') και δεν λειτουργεί.
Από αυτό που είδαμε, ακόμα και να λειτουργούσε θα μπορούσαμε να τον σπάσουμε.

Δείτε το σε δράση εδώ από βίντεο της CyberSecurity:


Νέος Ransomware - GarrantyDecrypt

Πέρα από τα άπειρα ορθογραφικά στον κώδικα, τίποτα απολύτως το καινούργιο...


Νέος Εverbe

Mία νέα έκδοση του Everbe 2.0 εντόπισε ο Michael Gillespie, τοποθετεί την επέκταση .lightning.


Δευτέρα, 26 Νοεμβρίου 2018

Τα νέα των Ransomware, 26/11/2018

Αρκετά ενδιαφέροντα έγιναν την προηγούμενη εβδομάδα, με κύριους πρωταγωνιστές σταθερά τον Dharma, έναν Ransomware που λέει ταυτόχρονα αλήθειες και ψέματα και έναν ακόμα που τρολάρει τους malware hunters. 

Na υπενθυμίσουμε, συνοπτικά, ότι το Ransomware δεν έχει καθόλου εξαλείψει. Είναι εκεί έξω με πολλές τυφλές και στοχευμένες επιθέσεις.
Μείνετε προστατευμένοι. Βεβαιωθείτε ότι τα αντίγραφα ασφαλείας σας είναι έγκυρα, ότι οι υπηρεσίες RDP που χρησιμοποιείτε είναι ασφαλείς, ότι δεν ανοίγετε επισυναπτόμενα από αυτούς που δεν γνωρίζετε και εγκαταστείτε τα updates από τα λογισμικά που χρησιμοποιείτε.

Ας τα δούμε αναλυτικά:

Νέοι Dharma

Δύο νέα στελέχη εμφανίστηκαν την προηγούμενη εβδομάδα, τοποθετεί τις καταλήξεις .fire και .shhh

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

Με μεγάλη μας λύπη διαπιστώνουμε ότι η λαίλαπα εξαπλώθηκε και στη χώρα μας με "κάποιους" να ισχυρίζονται ότι μπορούν να λύσουν τον Dharma και μάλιστα με ... εξπρες διαδικασίες και προνομιακό κόστος, 3000-6000 ευρώ (...) (!!!!).

Γελάμε και κλαίμε ταυτόχρονα.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Nέος STOP Ransomware - INFOWAIT

Toποθετεί την επέκταση .INFOWAIT. 
Δείτε το εδώ σε δράση:
https://app.any.run/tasks/5256ec09-df0c-4949-8888-13df86199219


Ο Aurora λέει αλήθειες και ψέματα...

Μεγάλη δραστηριότητα παρουσίασε ο Aurora τις τελευταίες μέρες.
Παραθέτουμε το Ransom Note:


H αλήθεια είναι αυτή για περιπτώσεις όπως ο Dharma, όπου "συνάδελφοι" κάνουν ακριβώς αυτό που περιγράφουν. Οπότε προσέξτε με ποιους συνεργάζεστε.
Το ψέμα που λένε οι κύριοι παραπάνω στο Ransom Note είναι ότι μόνο αυτοί μπορούν να αποκρυπτογραφήσουν τον συγκεκριμένο Ransomware, καθώς ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ για τον Aurora/Zorro και μπορούμε να τον αποκρυπτογραφήσουμε.

Αυτό που δεν μπορούμε να διανοηθούμε είναι ότι ενώ υπάρχει διαθέσιμη λύση, ρίχνοντας μια ματιά στο bitcoin wallet των κακοποιών, διαπιστώνουμε ότι από τις αρχές του Οκτώβρη μέχρι σήμερα έχει δεχθεί 109 πληρωμές.



Δείτε εδώ
https://www.blockchain.com/btc/address/18sj1xr86c3YHK44Mj2AXAycEsT2QLUFac

Νέος Ransomware - Vapor

Xρησιμοποιούν gmail ως μέσο επικοινωνίας με τα θύματα (!!!). Ισχυρίζονται ότι διαγράφουν δεδομένα όταν λήξει ο χρόνος, όμως το δείγμα που εξετάσαμε δεν έκανε κάτι τέτοιο. Τοποθετεί την επέκταση .VAPOR. 
Έχει θεματάκια με τον κώδικα, το κοιτάμε.


Νέος Ransomware - EnybenyHorsuke

Aυτός τοποθετεί την επέκταση .Horsuke και μόλις ολοκληρώσει την κρυπτογράφηση, εμφανίζει Ransom Note με τίτλο Hack.txt και έχει και φωνητικό μήνυμα με τα κακά μαντάτα.
Για να μη λέτε ότι δε σας προσέχουν.