Εμφάνιση αναρτήσεων με ετικέτα Screenlocker. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα Screenlocker. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 23 Απριλίου 2018

Τα νέα των Ransomware, 23/4/2018

Για αυτήν την εβδομάδα είχαμε μερικά μικρά στελέχη και αρκετά ενδιαφέροντα νέα. Εϊχαμε εργαζόμενο της Microsoft να κατηγορείται ότι εμπλέκεται με το Reveton Ransomware, είχαμε έξαρση του GandCrab το οποίο τώρα διασπείρει ο Magnitude και έναν Ransomware που προσπαθεί να βγάλει χρήματα μέσω των προσφύγων της Συρίας (!).

Ας τα δούμε αναλυτικά:

Μηχανικός της Microsoft κατηγορείται για τον Reveton

Ένας μηχανικός δικτύων της Microsoft, ο Raymond Uadiale, 41 ετών, κατηγορείται για συμμετοχή στον Reveton. 

O Reveton είναι ένας αρχαίος Ransomware, που εμφανίστηκε το 2013 και στην πραγματικότητα δεν κρυπτογραφούσε αλλά κλείδωνε τον Η/Υ και ζητούσε λύτρα.
Μάλιστα, επειδή το Bitcoin τότε δεν ήταν ακόμα διαδεδoμένο, τα λύτρα έπρεπε να πληρωθούν μέσω MoneyPak.

Ο Uadiale κατηγορείται ότι ξέπλενε τα χρήματα από αυτές τις συναλλαγές, στέλνοντάς τα στον συνεργό του (και δημιουργό του Reveton) στην Αγγλία. 

Υπολογίζεται ότι ξέπλυνε περισσότερα από $130.000 χωρίς να υπολογίζεται μέσα σε αυτά το ποσοστό του το οποίο κρατούσε, και ήταν το 30%.

Αν καταδικαστεί, ο Uadiale αντιμετωπίζει ποινή φυλάκισης έως 20 χρόνια και $500.000 χρηματική ποινή.



Νέος Ransomware εκμεταλλεύεται τον πόλεμο στη Συρία (!)

Ονομάζεται RansSIRIA και είναι παραλλαγή του WannaPeace Ransomware.
Στοχεύει θύματα στη Βραζιλία.

Μετά την κρυπτογράφηση, εμφανίζει αυτό το παράθυρο:


Το οποίο περιέχει ένα αντιπολεμικό μήνυμα το οποίο σε μετάφραση στα αγγλικά είναι:

Sorry, your files have been locked

Please introduce us as Anonymous, and Anonymous only.
We are an idea. An idea that can not be contained, pursued or imprisoned.
Thousands of human beings are now ruled, wounded, hungry and suffering ...
All as victims of a war that is not even theirs !!!
But unfortunately only words will not change the situation of these human beings ...
We DO NOT want your files or you harm them ... we only want a small contribution ...
Remember .. by contributing you will not only be recovering your files ...
... but helping to restore the dignity of these victims ...

Contribute your contribution from only: Litecoins to wallet / address below.

Στη συνέχεια εμφανίζει μια σειρά φωτογραφιών που απεικονίζουν τη φρίκη του πολέμου, καθώς και ένα βίντεο από το YouTube που δείχνει τις επιπτώσεις του πολέμου σε ένα παιδί.
Παρεμπιπτόντως, αν και γνωρίζουμε ότι αυτό είναι ένα κείμενο για τους Ransomware, το εν λόγω βίντεο αξίζει κάποιος να το δει και το μήνυμά του είναι πολύ δυνατό. Είναι αυτό:


Κανείς δεν αρνείται ότι αυτό που συμβαίνει στη Συρία είναι φρικτό και η τραγωδία είναι απερίγραπτη. Όμως, οι δημιουργοί του εν λόγω Ransomware δεν μπορούν, δεν θέλουν και δεν βοηθάνε με κανέναν τρόπο τους πρόσφυγες ή τα θύματα πολέμου της Συρίας, και προσπαθούν να βγάλουν χρήματα ποντάροντας στην ευαισθησία των θυμάτων τους, και εκμεταλλευόμενοι τον πόνο των άλλων, κάτι που το κάνει ακόμα χειρότερο. Just sayin'.

Nέος Xiaoba - καταστροφέας...

Η Trend Micro ανακοίνωσε ότι ανακάλυψε έναν νέο Xiaoba ο οποίος αν και δεν είναι πλέον Ransomware αλλά προσπαθεί να κάνει mining για κρυπτονομίσματα, καταστρέφει τα αρχεία του Η/Υ και το ίδιο το λειτουργικό σύστημα.
Δεν το ήθελαν, μάλλον, αλλά κατάφεραν να γράψουν κώδικα με τόσα λάθη που τελικά αυτό που ήθελαν ΔΕΝ γίνεται.

Κυριακή, 24 Σεπτεμβρίου 2017

Ransomware Updates 24/9/2017


Τα μεγάλα νέα της εβδομάδας που πέρασε ήταν οι νέες παραλλαγές του Locky που εμφανίστηκαν καθώς και το γεγονός ότι οι δημιουργοί του συνεχίζουν να χρησιμοποιούν μαζικές καμπάνιες από Spam emails για τη διανομή του.
Κατά τ΄ άλλα, πολλά μικρά νεα Ransomware τα οποία κατά πάσα πιθανότητα δεν θα κυκλοφορήσουν ποτε ή πρόκειται για προσπάθειες κάποιων που προφανώς αστειεύονται.

Ας τα δούμε αναλυτικά.



Νέος Ransomware: Hackers Invasion
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Πρόκειται για έναν εντελώς ανόητο Ransomware με Ransom Note που θυμίζει κωμωδία. Τοποθετεί την επέκταση .Doxes όταν κρυπτογραφεί.


Πέμπτη, 29 Ιουνίου 2017

Ransomware που λύσαμε - Μη πληρώσετε λύτρα

Ιούλιος 2017 - Ransomware
BUSTED!

Αρκετές αποκρυπτογραφήσεις καταφέραμε και αυτήν την εβδομάδα, με τον Jaff να ξεχωρίζει.
Ας τις δούμε αναλυτικά.


Ξεκινάμε με τον αγαπημένο μας…
Jigsaw!
Άλλες δύο παραλλαγές εμφανίστηκαν, μία με την επέκταση .ghost και μία με την επέκταση .sux.

Βρήκαμε λύση, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!


ΝΕΟΣ SCREENLOCKER: SkullLockeR
Κλείστε το με Alt+F4, δεν κάνει τίποτα απολύτως.


Τρίτη, 27 Ιουνίου 2017

Nέοι Ransomware και τα $1.000.000 λύτρα σε hosting provider

RANSOMWARE UPDATES 
16/6/2017 – 27/6/2017


To διάστημα που μας πέρασε μόνο τρελό μπορεί να χαρακτηριστεί. Ξεχωρίζει το νέο με την εταιρία hosting που πλήρωσε $1.000.000 λύτρα σε bitcoins μετά από επίθεση Ransomware που δέχτηκε. 

ΣΟΚ ΜΕ ΕΤΑΙΡΙΑ HOSTING ΠΟΥ ΠΛΗΡΩΣΕ $1.000.000 ΜΕΤΑ ΑΠΟ ΕΠΙΘΕΣΗ RANSOMWARE

Στις 10/6/17, η Nayana, μια εταιρία hosting από τη Νότια Κορέα δέχτηκε επίθεση Ransomware με αποτέλεσμα να κρυπτογραφηθούν όλοι οι server με τα website των πελατών της. Οι σέρβερ που μολύνθηκαν ήταν 153 στον αριθμό.
Ο Ransomware που επιτέθηκε στους server της εταιρίας, κρυπτογράφησε όλα τα δεδομένα και στη συνέχεια ζητούσε λύτρα, ήταν ο Erebus.



Οι τύποι των αρχείων που στοχεύει ο συγκεκριμένος Ransomware είναι:

targztgztazbztbzbz2, lzlzmalz4, contactdbxdocdocxjntjpgmapimailmsgoabodspdfppsppsmpptpptmprfpstrarrtftxtwabxlsxlsxxmlzip, 1cd, 3ds, 3g2, 3gp, 7z, 7zipaccdbaoiasfaspaspxasxavibakcercfgclassconfigcsscsvdbddsdwgdxfflfflvhtmlidxjskeykwmlaccdbldflitm3umbxmdmdfmidmlbmovmp3, mp4, mpgobjodtpagesphppsdpwmrmsafesavsavesqlsrtswfthmvobwavwmawmvxlsb, 3dmaacaiarwccdrclscpicppcsdb3, docmdotdotmdotxdrwdxbepsflaflacfxgjavamm4vmaxmdbpcdpctplpotmpotxppamppsmppsxpptmpspspimager3drw2, sldmsldxsvgtgawpsxlaxlamxlmxlrxlsmxltxltmxltxxlwactadpalbkpblendcdfcdxcgmcr2, crtdacdbfdcrddddesigndtdfdbffffpxhiifinddjpegmosndnsdnsfnsgnshodcodpoilpaspatpefpfxptxqbbqbmsas7bdatsayst4, st6, stcsxcsxwtlgwadxlkaiffbinbmpcmtdatditedbflvvgifgroupshddhpplogm2tsm4pmkvmpegndfnvramoggostpabpdbpifpngqedqcowqcow2, rvtst7, stmvboxvdivhdvhdxvmdkvmsdvmxvmxf, 3fr, 3prab4, accdeaccdraccdtachacradbadsagdlaitapjasmawgbackbackupbackupdbbankbaybdbbgtbikbpwcdr3, cdr4, cdr5, cdr6, cdrwce1, ce2, cibcrawcrwcshcsldb_journaldc2, dcsddocddrwderdesdgcdjvudngdrfdxgemlerbsqlerfexfffdfhfhdgraygreygryhbkibankibdibziiqincpasjpekc2, kdbxkdckpdxluamdcmefmfwmmwmnymoneywellmrwmydnddnefnk2, nopnrwns2, ns3, ns4, nwbnx2, nxlnyfodbodfodgodmorfotgothotpotsottp12, p7bp7cpddpemplus_muhdplcpotpptxpsafe3, pyqbaqbrqbwqbxqbyrafratrawrdbrwlrwzs3dbsd0, sdasdfsqlitesqlite3, sqlitedbsr2, srfsrwst5, st8, stdstistwstxsxdsxgsxisxmtexwalletwb2, wpdx11, x3fxisycbcrayuvmabjsoninisdbsqlite-shmsqlite-walmsfjarcdbsrbabdqtbcfninfoinfo_, flbdefatbtbntbbtlxpmlpmopnxpncpmipmmlckpm!, pmrusrpndpmjpmlocksrspbfomgwmfshwarascxtif



Τα ενδιαφέροντα σημεία της ιστορίας είναι τα εξής:
α) Η μοναδική έκδοση του Erebus που γνωρίζαμε πριν το συμβάν είχε κυκλοφορήσει το 2016, στη συνέχεια εξαφανίστηκε και μετά ξαναβγήκε στην επιφάνεια το Φεβρουάριο που μας πέρασε. Το θέμα είναι ότι η γνωστή αυτή έκδοση στόχευε μόνο λειτουργικά συστήματα Windows, ενώ αυτός ο οποίος χτύπησε τη Nayana επιτέθηκε σε Linux
β) H αρχική απαίτηση για πληρωμή λύτρων για την αποκρυπτογράφηση ήταν 550 bitcoins (!!!), δηλαδή περίπου $1.620.000 (με την ισοτιμία της τότε ημέρας). Μετά από διαπραγματεύσεις με τους κακοποιούς, κατέβασαν το ποσό των λύτρων σε 397.6 bitcoins (δηλαδή περίπου $1.000.000) με την προοπτική να το πληρώσουν σε 3 δόσεις. Η εταιρία ανακοίνωσε ότι στις 19/6 πλήρωσε τη δεύτερη δόση του ποσού.
γ) Μετά από ανάλυση του website της εταιρίας, διαπιστώνουμε ότι δεν αποτελεί έκπληξη ότι έπεσε θύμα της επιμόλυνσης.
Συγκεκριμένα,
Το website της NAYANA τρέχει Linux kernel 2.6.24.2 ο οποίος είχε γίνει compile το 2008 (…). Επιπροσθέτως, το website της NAYANA χρησιμοποιεί έκδοση Apache 1.3.36 και PHP έκδοση 5.1.4 οι οποίες είχαν κυκλοφορήσει το 2006. Τα τρωτά σημεία και οι ευαισθησίες και των δύο αυτών εκδόσεων είναι γνωστά σε όλους. Τέλος, η έκδοση Apache που χρησιμοποιεί η Nayana τρέχει με user=nobody (uid=99), κάτι που σημαίνει ότι μπορεί να έχει προηγηθεί local exploit στην επίθεση.

Προς το παρόν δεν είναι γνωστός ο τρόπος εισβολής στους εξυπηρετητές της εταιρίας, όμως με τόσες φτωχές πρακτικές ασφαλείας, είναι θέμα ωρών να ξαναχτυπηθούν, αν δεν κλείσουν οι τρύπες ασφαλείας….