Εμφάνιση αναρτήσεων με ετικέτα Sigrun. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα Sigrun. Εμφάνιση όλων των αναρτήσεων

Τρίτη, 5 Ιουνίου 2018

Τα νέα των Ransomware, 05/06/2018

Αρκετά busy η εβδομάδα που πέρασε, με πολλά νέα στελέχη να κάνουν την εμφάνισή τους.

Είχαμε επανεμφάνιση του CryptoMix, είχαμε νέο LockCrypt που υπό συνθήκες γίνεται wiper, είχαμε και νέο Jigsaw με C2 server.

Μας προξένησε εντύπωση ότι ο Sigrun προσφέρει δωρεάν αποκρυπτογράφηση στα θύματά του από τη Ρωσία και σας έχουμε και ένα απίστευτα αστείο facepalm στο τέλος του άρθρου.


Ας τα δούμε αναλυτικά:

Nέος Jigsaw - fun

Κάποιος "παίζει" με τον Jigsaw. Μάλιστα, είναι η πρώτη έκδοση που συναντάμε η οποία χρησιμοποιεί C2 Server (Command & Control) για τα κλειδιά.


Νέος LockCrypt 2.0

Στα κακά νέα της εβδομάδας, εμφανίστηκε ένας νέος LockCrypt, ο οποίος διορθώνει τα σφάλματα της προηγούμενης έκδοσης, τα οποία είχαμε εκμεταλλευτεί και μπορούσαμε να αποκρυπτογραφήσουμε. Πλέον μοιάζει να μην έχει αδυναμίες :(

Το "αστείο" της υπόθεσης (που δεν είναι καθόλου αστείο) είναι ότι η αποκρυπτογράφηση βασίζεται στο αρχείο Decode.key που αφήνει στο C:\Windows, συν το private κλειδί. Όμως, δεν τρέχει τη ρουτίνα ως διαχειριστής και δεν τσεκάρει αν η εγγραφή στο C:\Windows ήταν επιτυχής, με αποτέλεσμα αν αυτό αποτύχει, η αποκρυπτογράφηση να είναι 100% αδύνατη από οποιονδήποτε.


Διασπείρεται μέσω Remote Desktop, οπότε τα γνωστά...


Νέος Dharma Arrow

Mία νέα έκδοση του Dharma εμφανίστηκε, με επέκταση java2018@tuta.io.arrow.
Παρακάτω έχουμε ένα βίντεο της Cybersecurity που δείχνει τον τρόπο επίθεσης.







Και ο Aurora με C2 server

H MalwarehunterTeam ανακάλυψε αυτόν τον νέο Aurora ο οποίος χρησιμοποιεί κι αυτός πλέον C2 Server.


Νέος CryptConsole - helps

Aυτός πλέον χρησιμοποιεί άλλο email για την επικοινωνία, κατά τ' άλλα δεν έχουν αλλάξει και πολλά πράγματα. Εξακολουθούμε να μπορούμε να τον σπάσουμε!
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ -- ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!


Δευτέρα, 21 Μαΐου 2018

Τα νέα των Ransomware, 21/5/2018

Για την εβδομάδα που πέρασε είχαμε συνέχεια της έξαρσης του GandCrab και του Samas, ενώ ενδιαφέρον παρουσίασαν ειδήσεις για χτυπήματα Ransomware σε διάφορες κυβερνητικές υπηρεσίες των ΗΠΑ.

Κατά τ' άλλα, παρατηρούμε αρκετά χτυπήματα CryptON/Sigrun στην Ελλάδα (προσοχή σε όλους!). 


Ας τα δούμε αναλυτικά:

Η αστυνομία του Riverside πέφτει θύμα Ransomware για δεύτερη φορά.


Επίθεση Ransomware δέχτηκε η αστυνομία του Riverside στο Ohio των ΗΠΑ, για δεύτερη φορά μέσα σε ένα μήνα.
Η επίθεση πραγματοποιήθηκε στις 4 Μαΐου αλλά έγινε γνωστή τώρα, καθώς έφτασαν στην πόλη στελέχη των μυστικών υπηρεσιών των ΗΠΑ για να διερευνήσουν την υπόθεση.
Αν και στην πρώτη επίθεση που έγινε στις 23/4/18, ανακοινώθηκε ότι χάθηκαν αρχεία που πήγαιναν μέχρι και 10 μήνες πίσω, αυτή τη φορά αναφέρθηκε ότι η απώλεια ήταν μερικών ωρών, καθώς υπήρχαν αντίγραφα.
Περισσότερα εδώ

Nέος Ransomware - CryptON

Βασίζεται στον Nemesis. Το ενδιαφέρον είναι ότι μπορεί να αναγνωρίσει Virtual Machines, στα οποία επιτίθεται επίσης. Τοποθετεί την επέκταση xxx.ransomed@india.com, όπου χχχ είναι το ID του θύματος. 


Nέος Ransomware/Wiper - Stalin

Αυτός είναι υπό κατασκευή, αλλά δουλεύει πολύ καλά και θα μπορούσε εύκολα να βγει στην κυκλοφορία.
Δίνει 10 λεπτά για να τοποθετηθεί ο σωστός κωδικός, ειδάλλως ξεκινάει να κάνει wipe τα δεδομένα του δίσκου.
Όσο "περιμένει" παίζει στο παρασκήνιο τον εθνικό ύμνο της Ρωσίας και εμφανίζει εικόνες του Στάλιν.
Προς το παρόν, ο κωδικός για να ξεκλειδώσει, προκύπτει αφαιρώντας την ημερομηνία επιμόλυνσης, από την ημερομηνία δημιουργίας και σχηματισμού της ΕΣΣΔ, δηλαδή 30/12/1922.
Το ενδιαφέρον είναι τις ημερομηνίες τις δέχεται γραμμένες με τον αμερικάνικο τρόπο, δηλαδή 1922.12.30.

Νέος Rapid - version 3 ΣΕ ΜΕΓΑΛΗ ΕΞΑΡΣΗ

Μία νέα έκδοση του Rapid είναι εκεί έξω και είναι σε έξαρση. Ήδη υπάρχουν πολλές αναφορές για επιμολύνσεις από πολλές χώρες.
Δυστυχώς ο συγκεκριμένος Ransomware δεν παρουσιάζει αδυναμίες, οπότε η αποκρυπτογράφησή του είναι αδύνατη. :(

Νέος Ransomware - Σήψη


Ονομάζεται Sepsis και εμφανίστηκε την Τετάρτη που μας πέρασε. Τοποθετεί την επέκταση .[Sepsis@protonmail.com].sepsis στα κρυπτογραφημένα αρχεία. Και όχι, δεν είναι ελληνικός.

Νέος Jigsaw - Booknish

Toποθετεί την επέκταση .booknish. Αφήνει κάτι εκφοβιστικά μηνύματα του τύπου "πλήρωσέ με τώρα ειδάλλως θα διαγράψω 1000 αρχεία αν κλείσεις τον Η/Υ".
Φυσικά, έχουμε βρεί λύση, μη πληρώσετε τα λύτρα.




Nέος Dharma - Bip

Δυστυχώς κυκλοφορεί ακόμα.
Εμφανίστηκε την