Εμφάνιση αναρτήσεων με ετικέτα Sepsis. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα Sepsis. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 25 Ιουνίου 2018

Τα νέα των Ransomware 25/6/18

Μία εξαιρετικά καλή εβδομάδα ήταν αυτή που πέρασε στον τομέα των Ransomware.
Είχαμε πολλές αποκρυπτογραφήσεις. 

Πέρα από αυτό, αυτή ήταν η εβδομάδα των Scarab. Scarab παντού. Ευτυχώς, στη συντριπτική πλειοψηφία των περιπτώσεων έχουμε βρει λύση, μη πληρώσετε τα λύτρα και ελάτε σε επικοινωνία μαζί μας. 

Στα άλλα καλά νέα, αποκρυπτογραφήσαμε και 2-3 ακόμα μικρότερα στελέχη όπως ο Sepsis και ο νέος Everbe.


Ας τα δούμε αναλυτικά:

NEOI SCARAB -- MH ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!

Την εβδομάδα που μας πέρασε είχαμε τεράστια έξαρση του Scarab με πολλά νέα στελέχη. ΕΧΟΥΜΕ ΚΑΤΑΦΕΡΕΙ ΚΑΙ ΕΧΟΥΜΕ ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΕΙ ΤΗ ΣΥΝΤΡΙΠΤΙΚΗ ΠΛΕΙΟΨΗΦΙΑ ΤΩΝ ΣΤΕΛΕΧΩΝ ΑΥΤΩΝ, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ ΚΑΙ ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ.

Το πρώτο που εμφανίστηκε ήταν το στέλεχος .good.


To δεύτερο ήταν το στέλεχος Danger το οποίο τοποθετεί την επέκταση .fastrecovery@xmpp.jp στα κρυπτογραφημένα αρχεία.

Μετά, εμφανίστηκε ο Oneway, o πρώτος που εμφανίστηκε που ήταν στα Ρώσικα. Αφήνει ένα Ransom Note με τίτλο Расшифровать файлы oneway.TXT

Ο επόμενος ήταν ο Bomber με μεγάλη καμπάνια σε εξέλιξη στη Ρωσία. Τοποθετεί την επέκταση .bomber
Πέμπτη στη σειρά ήταν η έκδοση RECME που τοποθετεί την επέκταση .recme και αφήνει Ransom Note HOW_TO_RECOVER_ENCRYPTED_FILES.TXT .

Έκτο στέλεχος, το DAN. Τοποθετεί την επέκταση .dan@cock.email.

Για άλλη μια φορά, για όλα τα παραπάνω, αν έχετε μολυνθεί, ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!

Αποκρυπτογραφήσαμε και τον Sepsis!

Eίχαμε γράψει για αυτόν πριν ένα μήνα. Βρήκαμε λύση, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!




Υπάρχει ένα μικρό θεματάκι με την αποκρυπτογραφήση, η οποία σχετίζεται με κάποιο bug στο ίδιο το Ransomware, και συγκεκριμένα σε κάποιο padding bug, το οποίο προκαλεί πρόβλημα στην αποκρυπτογράφηση των τελευταίων 16 bytes των αρχείων, στην περίπτωση που το μέγεθός τους δεν είναι πολλαπλάσιο του 16. Κατά τ' άλλα όμως, ό,τι έχουμε δοκιμάσει λειτουργεί μια χαρά.

Νέος Ransomware - BadMonkey

Είναι υπό κατασκευή με πολλά προβλήματα προς το παρόν.



Nέα έκδοση του FileIce, ζητάει να συμπληρώσετε δημοσκοπήσεις!

Είχαμε γράψει το 2016 για αυτόν, τώρα εμφανίστηκε και νέα έκδοση!
Ζητάει από τα θύματά του να συμπληρώσουν ερωτηματολόγια, προκειμένου να τους δώσει το κλειδί αποκρυπτογράφησης...






Νέος Ransomware - Pulpy

Τίποτα απολύτως το αξιόλογο. Τοποθετεί την επέκταση AES στα κρυπτογραφημένα αρχεία.

Δύο νέα στελέχη του CyberSCCP

To πρώτο τοποθετεί την επέκταση .cybersccp στα κρυπτογραφημένα αρχεία


και το δεύτερο με πιο εντυπωσιακό background


Δευτέρα, 21 Μαΐου 2018

Τα νέα των Ransomware, 21/5/2018

Για την εβδομάδα που πέρασε είχαμε συνέχεια της έξαρσης του GandCrab και του Samas, ενώ ενδιαφέρον παρουσίασαν ειδήσεις για χτυπήματα Ransomware σε διάφορες κυβερνητικές υπηρεσίες των ΗΠΑ.

Κατά τ' άλλα, παρατηρούμε αρκετά χτυπήματα CryptON/Sigrun στην Ελλάδα (προσοχή σε όλους!). 


Ας τα δούμε αναλυτικά:

Η αστυνομία του Riverside πέφτει θύμα Ransomware για δεύτερη φορά.


Επίθεση Ransomware δέχτηκε η αστυνομία του Riverside στο Ohio των ΗΠΑ, για δεύτερη φορά μέσα σε ένα μήνα.
Η επίθεση πραγματοποιήθηκε στις 4 Μαΐου αλλά έγινε γνωστή τώρα, καθώς έφτασαν στην πόλη στελέχη των μυστικών υπηρεσιών των ΗΠΑ για να διερευνήσουν την υπόθεση.
Αν και στην πρώτη επίθεση που έγινε στις 23/4/18, ανακοινώθηκε ότι χάθηκαν αρχεία που πήγαιναν μέχρι και 10 μήνες πίσω, αυτή τη φορά αναφέρθηκε ότι η απώλεια ήταν μερικών ωρών, καθώς υπήρχαν αντίγραφα.
Περισσότερα εδώ

Nέος Ransomware - CryptON

Βασίζεται στον Nemesis. Το ενδιαφέρον είναι ότι μπορεί να αναγνωρίσει Virtual Machines, στα οποία επιτίθεται επίσης. Τοποθετεί την επέκταση xxx.ransomed@india.com, όπου χχχ είναι το ID του θύματος. 


Nέος Ransomware/Wiper - Stalin

Αυτός είναι υπό κατασκευή, αλλά δουλεύει πολύ καλά και θα μπορούσε εύκολα να βγει στην κυκλοφορία.
Δίνει 10 λεπτά για να τοποθετηθεί ο σωστός κωδικός, ειδάλλως ξεκινάει να κάνει wipe τα δεδομένα του δίσκου.
Όσο "περιμένει" παίζει στο παρασκήνιο τον εθνικό ύμνο της Ρωσίας και εμφανίζει εικόνες του Στάλιν.
Προς το παρόν, ο κωδικός για να ξεκλειδώσει, προκύπτει αφαιρώντας την ημερομηνία επιμόλυνσης, από την ημερομηνία δημιουργίας και σχηματισμού της ΕΣΣΔ, δηλαδή 30/12/1922.
Το ενδιαφέρον είναι τις ημερομηνίες τις δέχεται γραμμένες με τον αμερικάνικο τρόπο, δηλαδή 1922.12.30.

Νέος Rapid - version 3 ΣΕ ΜΕΓΑΛΗ ΕΞΑΡΣΗ

Μία νέα έκδοση του Rapid είναι εκεί έξω και είναι σε έξαρση. Ήδη υπάρχουν πολλές αναφορές για επιμολύνσεις από πολλές χώρες.
Δυστυχώς ο συγκεκριμένος Ransomware δεν παρουσιάζει αδυναμίες, οπότε η αποκρυπτογράφησή του είναι αδύνατη. :(

Νέος Ransomware - Σήψη


Ονομάζεται Sepsis και εμφανίστηκε την Τετάρτη που μας πέρασε. Τοποθετεί την επέκταση .[Sepsis@protonmail.com].sepsis στα κρυπτογραφημένα αρχεία. Και όχι, δεν είναι ελληνικός.

Νέος Jigsaw - Booknish

Toποθετεί την επέκταση .booknish. Αφήνει κάτι εκφοβιστικά μηνύματα του τύπου "πλήρωσέ με τώρα ειδάλλως θα διαγράψω 1000 αρχεία αν κλείσεις τον Η/Υ".
Φυσικά, έχουμε βρεί λύση, μη πληρώσετε τα λύτρα.




Nέος Dharma - Bip

Δυστυχώς κυκλοφορεί ακόμα.
Εμφανίστηκε την