Εμφάνιση αναρτήσεων με ετικέτα bigbobross. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα bigbobross. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 1 Απριλίου 2019

Τα νέα των Ransomware, 1/4/2019

Αν εξαιρέσει κανείς το πιο παρανοϊκό Ransomware που έχουμε δει ποτέ, μοίαζει σαν μια τυπική εβδομάδα:
Δεκάδες νέα στελέχη από ήδη γνωστές οικογένειες έκαναν την εμφάνισή τους το διάστημα που μας πέρασε.

Μοιάζει πολύ τετριμμένο πλέον, αλλά είχαμε Dharma, Scarab, Matrix, STOP, είχαμε και Xorist, είχαμε και τον UNNAM3D που μόλυνε 30.000 Η/Υ σε λίγες μόνο ώρες, είχαμε και ένα ιδιωτικό πάρκινγκ στον Καναδά να παραλύει από χτύπημα Ransomware, απ' όλα είχε ο μπαξές.

Ας τα δούμε αναλυτικά:


Dharma χτυπάει ιδιωτικό πάρκινγκ στον Καναδά, οι πελάτες παρκάρουν δωρεάν

Στις 28/3/19, η CIRA (Canadian Internet Registration Authority), κάτι σαν τη δική μας ΕΕΤΤ, που διαχειρίζεται τα public internet domains (.ca), χτυπήθηκε από Dharma.
O συγκεκριμένος σταθμός ανήκει στην ιδιωτική εταιρία Precise Parklink και μετά το χτύπημα κατέρρευσε το σύστημα ελέγχου και πληρωμών, με αποτέλεσμα να μπαίνει στο χώρο όποιος θέλει και να παρκάρει δωρέαν.






Νέοι STOP

H λαίλαπα STOP συνεχίζει ακάθεκτη.
Μετά τα 42 (!!!!!) νέα στελέχη που είχαμε στο τελευταίο δίμηνο, για την προηγούμενη εβδομάδα είχαμε:
Τον .chech
Tον .luceq
Toν .proden
Τον .drume

Tον .tronas
Τον .trosak
Τον .grovas

Και δύο νέοι Dharma

Τοποθετούν τις επεκτάσεις .bk666 και .stun αντίστοιχα.
Τίποτα το καινούργιο.

Λύση για τον Hacked

Πρόκειται για ένα στέλεχος που είχε κάνει την εμφάνισή του το 2017. Αν και η διανομή του γενικά ήταν ήπια, είχε αρκετά θύματα.
Η Emsisoft κυκλοφόρησε λύση για το συγκεκριμένο στέλεχος.



Να και ένας Ματριξ

Toποθετεί την επέκταση .MDEN ή SDEN. Πρόκειται για το ίδιο στέλεχος.

O BigBobRoss παριστάνει τον STOP

Όπως αναμενόταν μετά την δημοσίευση λύσης για τον BigBobRoss πριν από 10 μέρες, εμφανίστηκαν δύο νέα στελέχη του, για τα οποία προς το παρόν δεν υπάρχει λύση.
Το ένα στέλεχος τοποθετεί την επέκταση .djvu (την οποία χρησιμοποιεί ο STOP) και το άλλο την .encryptedALL.
UPDATE: Πλέον και ο encryptedALL είναι αντιμετωπίσιμος.

Δευτέρα, 18 Μαρτίου 2019

Τα νέα των Ransomware, 18/3/19

Εκεί που είχε ηρεμήσει για λίγο, ο STOP επανεμφανίστηκε με 5 6 7 8 διαφορετικά στελέχη, μέσα σε μία εβδομάδα και μάλιστα χρησιμοποιώντας ακόμα πιο επιθετικές τακτικές.

Είχαμε επίσης λύση για τον BigBobRoss (δεν έχουμε δει, πάντως,θύματα στην Ελλάδα ακόμα) και πολλές νέες παραλλαγές από γνωστά στελέχη.
Κάθε φορά που κάποιος μας λέει ότι το Ransomware πέθανε ένα Blockchain κάπου στην Κορέα γελάει ηχηρά. 


Ας τα δούμε αναλυτικά:

O Hermes χτυπάει το Jackson County της Georgia, παίρνει $400.000!

Στις 6/3/2019, ο Hermes με ... ολίγη από Ryuk (επρόκειτο για στέλεχος που ήταν μείγμα των δύο) χτύπησε το Jackson County στην Georgia των ΗΠΑ, γονατίζοντας στην κυριολεξία όλες τις υπηρεσίες της πόλης.
Από σχετική ανακοίνωση, φαίνεται ότι οι υπεύθυνοι αποφάσισαν και πλήρωσαν τα λύτρα, τα οποία ανέρχονται σε $400.000. 





O STOP εγκαθιστά και Trojan με σκοπό την υποκλοπή προσωπικών στοιχείων

Πέρα από τα 10 νέα στελέχη STOP που είχαμε αυτήν την εβδομάδα (βλ. παρακάτω), διαπιστώσαμε ανησυχία ότι ο STOP πλέον εγκαθιστά και τον Azorult, ο οποίος είναι ένα Trojan το οποίο υποκλέπτει από το θύμα προσωπικά στοιχεία, όπως κωδικούς πρόσβασης, ιστορικό περιήγησης, συνομιλίες στο Skype, πορτοφόλια κρυπτονομισμάτων, αρχεία xls και άλλα πολλά.  


Μιας και είναι αδύνατον να γνωρίζουμε από πότε συμβαίνει αυτό, παρακαλούμε όλα τα θύματα του STOP (οποιαδήποτε έκδοση, οποιοδήποτε στέλεχος/οικογένεια) να πάρουν ΑΜΕΣΑ τα παρακάτω μέτρα:

  • Αλλαγή ΟΛΩΝ των κωδικών πρόσβασης για όλους τους online λογαριασμούς καθώς και τους κωδικούς του Η/Υ αν υπάρχουν. ΟΛΟΙ οι κωδικοί που αποθηκεύονται από το πρόγραμμα περιήγησης, θα πρέπει να θεωρούνται εκτεθειμένοι.
  • Αλλαγή όλων των κωδικών πρόσβασης για λογισμικά όπως το Skype, το Telegram το Steam κλπ.
  • Αλλαγή όλων των κωδικών πρόσβασης για τυχόν λογισμικά FTP (Filezilla κλπ).
  • Αρχεία με ευαίσθητα προσωπικά δεδομένα που βρίσκονται στην επιφάνεια εργασίας ή αλλού, θα πρέπει να θεωρούνται εκτεθειμένα. Αν υπήρχαν αρχεία που περιλαμβάνουν κωδικούς πρόσβασης, θα πρέπει να αλλαχτούν άμεσα.


Λύση για τον BigBobRoss

Αν και δεν είχαμε αναφορά θυμάτων στην Ελλάδα από τον συγκεκριμένο Ransomware, πλέον υπάρχει λύση. Η Emsisoft ανακοίνωσε την εξεύρεση λύσης και λίγο αργότερα ακολούθησε και η Avast. Το Ransom Note του εν λόγω Ransomware είναι αυτό:


Αν κάποιος έχει μολυνθεί, ας επικοινωνήσει με την Emsisoft ή μαζί μας.

Νέοι STOP

O STOP, που θεωρείται ίσως ο πιο δραστήριος Ransomware των τελευταίων μηνών, με πολλά θύματα και στην Ελλάδα, μας είχε συνηθίσει να εμφανίζει ένα τουλάχιστον νέο στέλεχος ανά εβδομάδα.
Τις προηγούμενες 20 μέρες υπήρχε μια ησυχία, αλλά μάλλον ήταν η ησυχία πριν την καταιγίδα. Την εβδομάδα που μας πέρασε, πλησίασε τα 10 νέα στελέχη.

Με τη σειρά:
Επέκταση .promorad2 με προέλευση / στοχεύει: Βραζιλία.
Επέκταση .kroput ομοίως με από πάνω.
Πρόκειται για την οικογένεια DJVU.


Επέκταση .kroput1, .pulsar1 και .charck, επίσης της οικογένειας DJVU.

Επέκταση .kropun και .klope της οικογένειας ZzZzZ.

Επέκταση .lastrop της οικογένειας Gilette.

Να και ένας Dharma

Toποθετεί την επέκταση .NWA.


Καπάκι και ένας ακόμα, το κακόβουλο έχει  την ομομασία payload.exe και τοποθετεί την επέκταση .azero.

Kαι τρικάπακο, και ένας τρίτος που τοποθετεί την επέκταση .com.

Ο Yatron προμοτάρεται ως RaaS

Ένας νέος RaaS (Ransomware-As-A-Service) προμοτάρεται μέχρι και μέσω Twitter (!) ότι χρησιμοποιεί το EternalBlue της NSA για να διασπείρει τον εαυτό του μέσω δικτύου. Ισχυρίζεται ότι διαγράφει επιτυχώς αρχεία μετά από x χρόνο αν δεν καταβληθούν τα  λύτρα.
Είναι ανησυχητικό, καθώς από ότι είδαμε, κάνει αυτά που υπόσχεται.