Εμφάνιση αναρτήσεων με ετικέτα dcrtr. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα dcrtr. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 21 Ιανουαρίου 2019

Τα νέα των Ransomware, 21/1/2019

Γύρισαν από τις διακοπές τους οι Ransomware Developers και προκάλεσαν χάος.
Ήταν από τις πιο busy εβδομάδες των τελευταίων μηνών αυτή που μας πέρασε.

Ξεχωρίζουμε την έξαρση με τον STOP και συγκεκριμένα το στέλεχος tfudet, για το οποίο είχαμε 6 κλήσεις για βοήθεια (στην Ελλάδα), μέσα σε 3 ημέρες.

Είχαμε - φυσικά - νέους Dharma και Scarab και πολλά νέα και παλιά στελέχη.

Ας τα δούμε αναλυτικά:


Χάος με τον STOP

Ξαφνικά, στις αρχές της προηγούμενης εβδομάδας λαμβάνουμε κλήσεις για βοήθεια για ένα άγνωστο - μέχρι εκείνη την ώρα- στέλεχος.
Στην ανάλυση που κάναμε, συνειδητοποιούμε πώς πρόκειται για στέλεχος του STOP για τον οποίο είχαμε να ακούσουμε μήνες, από την εποχή του στελέχους Puma και INFOWAIT.


Έκτοτε, λάβαμε περισσότερες από 15 κλήσεις για βοήθεια για τον συγκεκριμένο Ransomware, κυρίως για τις εκδόσεις .tfudet και .rumba, μέσα στην προηγούμενη εβδομάδα και 6 μέσα στο σ/κ που μας πέρασε.

ΝΑ ΠΟΥΜΕ ΟΤΙ ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΓΙΑ ΤΑ ΣΤΕΛΕΧΗ ΑΥΤΑ, υπό προϋποθέσεις. Συγκεκριμένα, αν ο μολυσμένος Η/Υ δεν έχει γίνει επανεκκίνηση, έχουμε καλές πιθανότητες να τα αποκρυπτογραφήσουμε.
Αν έχει γίνει επανεκκίνηση, τότε μπορούμε να αποκρυπτογραφήσουμε αρχεία τύπου .doc, .xls και .pdf. Όχι όμως άλλου τύπου αρχεία.




Θυμίζουμε ότι ο STOP διασπείρεται μέσω σπασμένων προγραμμάτων και torrent sites. 

Νέος Matrix

O Michael Gillespie εντόπισε ένα νέο στέλεχος του Matrix που τοποθετεί την επέκταση .GRHAN.
Δεν υπάρχει κάτι καινούργιο απ' ότι είδαμε πάντως.

Νέος Jigsaw

Ένα γαλλικό αλλά εντελώς βαρετό στέλεχος του Jigsaw εμφανίστηκε, που τοποθετεί την επέκταση .data. Και είναι βαρετό, γιατί ενώ ο Jigsaw μας είχε συνηθίσει σε εντυπωσιακά background, αυτός έχει ένα μαύρο τετράγωνο.




Νέος Ransomware - Trumphead

Μοιάζει να είναι υπό κατασκευή αυτός, ο οποίος περιέχει κείμενα που προσομοιάζουν πολύ ... τον Τραμπ...



"We are the best. No one has ever seen such a hacker group as we are".

Νέος Scarab - zzzzzzzz

Όχι κάτι καινούργιο. Είχαμε πάντως αρκετά θύματα και στην Ελλάδα.



Τρίτη, 25 Σεπτεμβρίου 2018

Τα νέα των Ransomware, 24/9/2018

Ήταν μία δραστήρια εβδομάδα. 
Είχαμε χτύπημα σε ζυθοποιία, είχαμε χτύπημα σε αεροδρόμιο της Αγγλίας, και πολλούς νέους Dharma. 

Όσο βγαίνουν νέοι Dharma εμείς θα συνεχίσουμε να κρατάμε ανέπαφο το Disclaimer που είχαμε γράψει και αφορά τους απατεώνες που προσπαθούν να γίνουν μεσάζοντες.

Ας τα δούμε αναλυτικά:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA -- ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ

Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 1 μήνα ο Dharma (2 μήνες, πλέον), ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena (έχουν προστεθεί κι άλλα)

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.
Μας έχουν προσεγγίσει από τουλάχιστον 4 διαφορετικές μεριές την τελευταία εβδομάδα μόνο. Φυσικά τους καταγγείλαμε στις αρχές.

Ένα παράδειγμα:





Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY.

Για την ιστορία, οι παραπάνω "experts" μας κοστολόγησαν τη "δουλειά" τους 2800-3400 ευρώ, όσο περίπου δηλαδή κοστίζει και η παροχή του κλειδιού από τους δημιουργούς.

Επίθεση με Ransomware σε ζυθοποιία

H ζυθοποιία Arran στη Σκωτία έπεσε θύμα επίθεσης με Ransomware το Σαββατοκύριακο που μας πέρασε. 
Η επίθεση ήταν στοχευμένη και πολύ καλά μελετημένη.
Οι επιτιθέμενοι, τοποθέτησαν αγγελίες σε διάφορα site ανεύρεσης εργασίας παγκοσμίως, ότι δήθεν η επιχείρηση ζητούσε να προσλάβει οικονομικό διευθυντή με πολύ καλούς όρους.
Αυτό είχε ως αποτέλεσμα να πλημμυρίσει το mailbox της εταιρίας από εισερχόμενα email με επισυναπτόμενα (βιογραφικά κλπ).
Ένα από αυτά τα email ήταν και το παγιδευμένο, το οποίο και άνοιξε κάποιος απρόσεκτος (και μπουχτισμένος) υπάλληλος με αποτέλεσμα να αναλάβει δράση ο Ransomware. Σύμφωνα με ενημέρωση της ίδιας της Arran Brewery, ο Ransomware που τους χτύπησε ήταν -τι άλλο- Dharma.
Στην ίδια ανακοίνωση δήλωσαν πως δεν πλήρωσαν τα λύτρα και απεκατέστησαν τη ζημιά με ό,τι backup είχαν.
Εμείς το μόνο που έχουμε να πούμε είναι, κάτω τα χέρια από τις μπύρες!



Επίθεση με Ransomware στο αεροδρόμιο του Bristol

To περασμένο Σαββατοκύριακο επικράτησε χάος στο αεροδρόμιο του Bristol στην Αγγλία. Ο λόγος ήταν η επίθεση που δέχτηκε το αεροδρόμιο από Ransomware, και συγκεκριμένα το σύστημα ενημέρωσης αναχωρήσεων/αφίξεων του αεροδρομίου.

Το αποτέλεσμα ήταν οι φωτεινοί πίνακες να μην λειτουργούν


και  οι ενημερώσεις να γίνονται με τον παλιό, καλό, παραδοσιακό τρόπο.



Nέος Dharma- Brr

Tην προηγούμενη Δευτέρα εμφανίστηκε νέο στέλεχος του Dharma που τοποθετεί την επέκταση .brr. Κατά τ' άλλα δεν έχει αλλάξει τίποτα. 


Νέος Ransomware - IT.Books

Aυτός είναι HiddenTear στον κώδικα και Jigsaw στο GUI. Κάποιος παίζει και με τα δύο. Τοποθετεί την επέκταση .fucked.



To όνειρό τους, πραγματικότητα?

Αυτό  θα μπορούσε να θεωρηθεί κάλλιστα το όνειρο κάθε κυβερνο-εγκληματία. Ένα κακόβουλο εργαλείο που στοχεύει τόσο σε Windows όσο και σε Linux servers, με ικανότητες αυτόματης διασποράς και που συνδυάζει λειτουργίες Ransomware και CryptoMining.
Κυρίες και κύριοι, ο Xbash.




Απίστευτο κι όμως αληθινό, βάση δεδομένων αγνώστου πατρός, εκτεθειμένη στο Ιντερνετ, με 11.000.000 προσωπικά στοιχεία εκτεθειμένα.

Ο ανεξάρτητος ερευνητής Bob Diachenko εντόπισε μια βάση δεδομένων, τύπου MongoDB, εκτεθειμένη στο ιντερνετ. Το πρώτο αστείο είναι ότι την εντόπισε χρησιμοποιώντας εργαλεία που είναι ευρέως διαθέσιμα. Το δεύτερο αστείο είναι ότι η εν λόγω βάση δεδομένων δεν έχει διαπιστωθεί σε ποιον ανήκει, καθώς ήταν ανεβασμένη κάπου, απροστάτευτη και εύκολα προσβάσιμη στον οποιονδήποτε.
Το τρίτο και πιο σοβαρό αστείο είναι ότι η βάση περιείχε 10,999,535 διευθύνσεις email (όλες Yahoo) και είχε μέγεθος 43.5GB. Φυσικά, μαζί με τις διευθύνσεις email περιείχε και πολλά προσωπικά δεδομένα, όπως διευθύνσεις και τηλέφωνα.
 Oι spammers και οι scammers τρίβουν τα χέρια τους...




Nέος Dcrtr - parrot

Εμφανίστηκε μία νέα παραλλαγή του Dcrtr με την κατάληξη .parrot. 
Λίγο αργότερα, εμφανίστηκε και άλλη μία, με κατάληξη .java (προφανώς για να μπερδέψουν κι άλλο την κατάσταση). 



Nέος Scarab - skype

Toποθετεί την επέκταση .skype. Όπως πάντα, ελάτε σε επικοινωνία μαζί μας για να δούμε αν μπορούμε να βοηθήσουμε.


Nέοι Dharma :(

O Dharma συνεχίζει την επέλασή του και αυτήν την εβδομάδα εμφανίστηκαν άλλα 3 νέα στελέχη.
Τοποθετούν τις επεκτάσεις .Gamma, .Bkp και .Monro αντίστοιχα.

Μάλλιασε η γλώσσα μας, ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΓΙΑ ΤΟΝ DHARMA, ΜΗΝ ΠΙΣΤΕΥΕΤΕ ΤΟΥΣ ΕΠΙΤΗΔΕΙΟΥΣ.




Αυτά για τώρα! Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.

Δευτέρα, 16 Απριλίου 2018

Τα νέα των Ransomware, 16/4/2018

Για αυτήν την εβδομάδα είχαμε έξαρση του Matrix με δύο νέα στελέχη τα οποία θερίζουν. Είχαμε ήδη αρκετές αναφορές για θύματα και στην Ελλάδα. ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!

Ta μεγάλα νέα αφορούν την προσθήκη προστασίας κατά των Ransomware στα Windows 10 από τη Microsoft.

Κατά τ' άλλα, κυριώς νέα στελέχη από ήδη υπάρχοντα Ransomware για αυτήν την εβδομάδα. Εϊχαμε και το αστείο PUBG Ransomware, το οποίο αναγκάζει τα θύματά του να παίξουν ένα παιχνίδι για να τους δώσει κλειδί αποκρυπτογράφησης... 


Ας τα δούμε αναλυτικά:

Δύο νέα στελέχη του Matrix θερίζουν -- ΘΥΜΑΤΑ ΚΑΙ ΣΤΗΝ ΕΛΛΑΔΑ

Δύο νέα στελέχη έκαναν την εμφάνισή τους την προηγούμενη εβδομάδα. Παρατηρούμε αυξημένη δραστηριότητά τους και είχαμε ήδη και πολλές αναφορές για θύματα και στη χώρα μας.

Το πρώτο στέλεχος χρησιμοποιεί την επέκταση [Files4463@tuta.io] και random χαρακτήρες στο όνομα αρχείου. Τα κρυπτογραφημένα αρχεία γίνονται κάπως έτσι:
DCIM5209.jpg --> otrN4jg830vgC-JUDKjghe.[FILES4463@tuta.io].


To δεύτερο στέλεχος λειτουργεί με παρόμοιο τρόπο, όμως είναι πιο advanced. Toποθετεί την επέκταση [RestorFile@tutanota.com] και μόλις ολοκληρώσει την κρυπτογράφηση, κρυπτογραφεί ΚΑΙ τον κενό χώρο του δίσκου, γεμίζοντάς τον και δημιουργώντας περισσότερα προβλήματα αφού ουσιαστικά αποκλείει τη χρήση λογισμικών ανάκτησης για διαγραμμένα αρχεία.  

Η επιμόλυνση γίνεται μέσω Remote Desktop και μέχρι αυτή τη στιγμή η αποκρυπτογράφηση είναι δυστυχώς αδύνατη.




Nέος Ransomware - Horros

Πρόκειται για νέο εύρημα. Τον αναλύουμε προς το παρόν.

Update: ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!


Νέος Ransomware - Dcrtr

Mία κακογραμμένη σαβούρα, ο dcrtr εμφανίστηκε αυτήν την εβδομάδα. Είναι τόσο κακογραμμένος, που κατά τη διάρκεια της κρυπτογράφησης, το σύστημα κρεμάει. Το ποσό των λύτρων εξαρτάται από την ταχύτητα με την οποία τα θύματα θα επικοινωνήσουν με τον εισβολέα (!). 


Ο PUBG θέλει παιχνιδάκια...

Ο PUBG, που είναι τα αρχικά του Player's Unknown BattleGround, ζητάει από τα θύματά του