Εμφάνιση αναρτήσεων με ετικέτα junglesec. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα junglesec. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 7 Ιανουαρίου 2019

Τα νέα των Ransomware, 7/1/2019

Καλή χρονιά σε όλους!

Στο προηγούμενο διάστημα, είχαμε πολλά και διάφορα στον τομέα των Ransomware.

Θα μας επιτρέψετε, όμως, να ξεχωρίσουμε και να βάλουμε ως σημαντικότερη είδηση τη συμφωνία συνεργασίας της εταιρίας μας με το NoMoreRansom project (www.nomoreransom.org).

Αποτελεί επιβράβευση των προσπαθειών μας τόσων ετών στην καταπολέμηση των Ransomware και είμαστε ιδιαίτερα περήφανοι για αυτή μας τη συμφωνία.

Πέρα από αυτό, είχαμε πολλά και διάφορα νέα, καινούργια στελέχη, αποκρυπτογραφήσεις...

Ας τα δούμε αναλυτικά:


Χάος με τον Ryuk

Eπιτέθηκε σε δύο εκδοτικές εταιρίες εφημερίδων των ΗΠΑ, οι οποίες αναγκάστηκαν να αναστείλουν την κυκλοφορία των εκδόσεών τους.
Πρόκειται για τις εκδοτικές LA Times και την Tribune Publishing και οι εφημερίδες που επηρεάστηκαν είναι οι Wall Street Journal, New York Times, Los Angeles Times, Chicago Tribune, Baltimore Sun, Lake County News-Sun, Post-Tribune, Hartford Courant, Capital Gazette και Carroll County Times.


Το θέμα πήρε μεγάλες διαστάσεις.

Πάντως, απ' ότι φαίνεται η επιχείρηση ήταν κερδοφόρα, αφού σε ένα τρίμηνο μόνο, οι δημιουργοί του Ryuk κέρδισαν περίπου 400 Bitcoin...



Θυμίζουμε ότι ο Ryuk επιτίθεται μέσω phising σε συγκεκριμένους στόχους, ενώ έχουν αναφερθεί επιθέσεις του και μέσω εκτεθειμένων RDP.

Στοχευμένες επιθέσεις με τον Target777

To πρωτότυπο με αυτόν είναι ότι εκτός από το γεγονός ότι οι επιθέσεις είναι απολύτως στοχευμένες προς συγκεκριμένους στόχους, μοιάζει να σχεδιάζονται κάθε φορά για τους στόχους αυτούς, αφού χρησιμοποιούν το όνομα του στόχου στα Ransom Notes, στις επεκτάσεις των αρχείων κλπ!

Νέος Ransomware - BooM / hack Facebook 2019

Αυτός είναι Xorist.
Μόλις τρέξει δεν κάνει τίποτα αρχικά και μετά από λίγο εμφανίζει αυτό:

και αυτό


το Pin είναι: 47848486454474431000546876341354
και το Password είναι: M95r2jRwkP87rnWt1p281X1u

Πείτε μας και ένα ευχαριστώ!!

Νέος LockCrypt

Tοποθετεί την επέκταση id-.LyaS και έχει ένα άθλιο χρωματικό που δυσκολεύεσαι να διαβάσεις τι γράφουν.


Ο Junglesec μολύνει αδιακρίτως Servers μέσω IPMI

Aπό τα μέσα Νοεμβρίου, έχει ξεκινήσει μία εκστρατεία επιμόλυνσης Servers με τον Junglesec Ransomware, ο οποίος εκμεταλλεύεται κενά ασφαλείας του IPMI (Intelligent Platform Management Interface - https://en.wikipedia.org/wiki/Intelligent_Platform_Management_Interface).
Έχουν αναφερθεί θύματα Linux, Windows, μέχρι και MacOS.


Δευτέρα, 25 Ιουνίου 2018

Τα νέα των Ransomware 25/6/18

Μία εξαιρετικά καλή εβδομάδα ήταν αυτή που πέρασε στον τομέα των Ransomware.
Είχαμε πολλές αποκρυπτογραφήσεις. 

Πέρα από αυτό, αυτή ήταν η εβδομάδα των Scarab. Scarab παντού. Ευτυχώς, στη συντριπτική πλειοψηφία των περιπτώσεων έχουμε βρει λύση, μη πληρώσετε τα λύτρα και ελάτε σε επικοινωνία μαζί μας. 

Στα άλλα καλά νέα, αποκρυπτογραφήσαμε και 2-3 ακόμα μικρότερα στελέχη όπως ο Sepsis και ο νέος Everbe.


Ας τα δούμε αναλυτικά:

NEOI SCARAB -- MH ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!

Την εβδομάδα που μας πέρασε είχαμε τεράστια έξαρση του Scarab με πολλά νέα στελέχη. ΕΧΟΥΜΕ ΚΑΤΑΦΕΡΕΙ ΚΑΙ ΕΧΟΥΜΕ ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΕΙ ΤΗ ΣΥΝΤΡΙΠΤΙΚΗ ΠΛΕΙΟΨΗΦΙΑ ΤΩΝ ΣΤΕΛΕΧΩΝ ΑΥΤΩΝ, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ ΚΑΙ ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ.

Το πρώτο που εμφανίστηκε ήταν το στέλεχος .good.


To δεύτερο ήταν το στέλεχος Danger το οποίο τοποθετεί την επέκταση .fastrecovery@xmpp.jp στα κρυπτογραφημένα αρχεία.

Μετά, εμφανίστηκε ο Oneway, o πρώτος που εμφανίστηκε που ήταν στα Ρώσικα. Αφήνει ένα Ransom Note με τίτλο Расшифровать файлы oneway.TXT

Ο επόμενος ήταν ο Bomber με μεγάλη καμπάνια σε εξέλιξη στη Ρωσία. Τοποθετεί την επέκταση .bomber
Πέμπτη στη σειρά ήταν η έκδοση RECME που τοποθετεί την επέκταση .recme και αφήνει Ransom Note HOW_TO_RECOVER_ENCRYPTED_FILES.TXT .

Έκτο στέλεχος, το DAN. Τοποθετεί την επέκταση .dan@cock.email.

Για άλλη μια φορά, για όλα τα παραπάνω, αν έχετε μολυνθεί, ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!

Αποκρυπτογραφήσαμε και τον Sepsis!

Eίχαμε γράψει για αυτόν πριν ένα μήνα. Βρήκαμε λύση, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!




Υπάρχει ένα μικρό θεματάκι με την αποκρυπτογραφήση, η οποία σχετίζεται με κάποιο bug στο ίδιο το Ransomware, και συγκεκριμένα σε κάποιο padding bug, το οποίο προκαλεί πρόβλημα στην αποκρυπτογράφηση των τελευταίων 16 bytes των αρχείων, στην περίπτωση που το μέγεθός τους δεν είναι πολλαπλάσιο του 16. Κατά τ' άλλα όμως, ό,τι έχουμε δοκιμάσει λειτουργεί μια χαρά.

Νέος Ransomware - BadMonkey

Είναι υπό κατασκευή με πολλά προβλήματα προς το παρόν.



Nέα έκδοση του FileIce, ζητάει να συμπληρώσετε δημοσκοπήσεις!

Είχαμε γράψει το 2016 για αυτόν, τώρα εμφανίστηκε και νέα έκδοση!
Ζητάει από τα θύματά του να συμπληρώσουν ερωτηματολόγια, προκειμένου να τους δώσει το κλειδί αποκρυπτογράφησης...






Νέος Ransomware - Pulpy

Τίποτα απολύτως το αξιόλογο. Τοποθετεί την επέκταση AES στα κρυπτογραφημένα αρχεία.

Δύο νέα στελέχη του CyberSCCP

To πρώτο τοποθετεί την επέκταση .cybersccp στα κρυπτογραφημένα αρχεία


και το δεύτερο με πιο εντυπωσιακό background