Τα νέα των Ransomware, 7/1/2019

Καλή χρονιά σε όλους!

Στο προηγούμενο διάστημα, είχαμε πολλά και διάφορα στον τομέα των Ransomware.
Θα μας επιτρέψετε, όμως, να ξεχωρίσουμε και να βάλουμε ως σημαντικότερη είδηση τη συμφωνία συνεργασίας της εταιρίας μας με το NoMoreRansom project (www.nomoreransom.org).

Αποτελεί επιβράβευση των προσπαθειών μας τόσων ετών στην καταπολέμηση των Ransomware και είμαστε ιδιαίτερα περήφανοι για αυτή μας τη συμφωνία.

Πέρα από αυτό, είχαμε πολλά και διάφορα νέα, καινούργια στελέχη, αποκρυπτογραφήσεις...

Ας τα δούμε αναλυτικά:

Χάος με τον Ryuk

Eπιτέθηκε σε δύο εκδοτικές εταιρίες εφημερίδων των ΗΠΑ, οι οποίες αναγκάστηκαν να αναστείλουν την κυκλοφορία των εκδόσεών τους.
Πρόκειται για τις εκδοτικές LA Times και την Tribune Publishing και οι εφημερίδες που επηρεάστηκαν είναι οι Wall Street Journal, New York Times, Los Angeles Times, Chicago Tribune, Baltimore Sun, Lake County News-Sun, Post-Tribune, Hartford Courant, Capital Gazette και Carroll County Times.

Το θέμα πήρε μεγάλες διαστάσεις.

Πάντως, απ' ότι φαίνεται η επιχείρηση ήταν κερδοφόρα, αφού σε ένα τρίμηνο μόνο, οι δημιουργοί του Ryuk κέρδισαν περίπου 400 Bitcoin...

Θυμίζουμε ότι ο Ryuk επιτίθεται μέσω phising σε συγκεκριμένους στόχους, ενώ έχουν αναφερθεί επιθέσεις του και μέσω εκτεθειμένων RDP.

Στοχευμένες επιθέσεις με τον Target777

To πρωτότυπο με αυτόν είναι ότι εκτός από το γεγονός ότι οι επιθέσεις είναι απολύτως στοχευμένες προς συγκεκριμένους στόχους, μοιάζει να σχεδιάζονται κάθε φορά για τους στόχους αυτούς, αφού χρησιμοποιούν το όνομα του στόχου στα Ransom Notes, στις επεκτάσεις των αρχείων κλπ!

Νέος Ransomware - BooM / hack Facebook 2019

Αυτός είναι Xorist.
Μόλις τρέξει δεν κάνει τίποτα αρχικά και μετά από λίγο εμφανίζει αυτό:

και αυτό

το Pin είναι: 47848486454474431000546876341354
και το Password είναι: M95r2jRwkP87rnWt1p281X1u

Πείτε μας και ένα ευχαριστώ!!

Νέος LockCrypt

Tοποθετεί την επέκταση id-.LyaS και έχει ένα άθλιο χρωματικό που δυσκολεύεσαι να διαβάσεις τι γράφουν.

Ο Junglesec μολύνει αδιακρίτως Servers μέσω IPMI

Aπό τα μέσα Νοεμβρίου, έχει ξεκινήσει μία εκστρατεία επιμόλυνσης Servers με τον Junglesec Ransomware, ο οποίος εκμεταλλεύεται κενά ασφαλείας του IPMI (Intelligent Platform Management Interface - https://en.wikipedia.org/wiki/Intelligent_Platform_Management_Interface).
Έχουν αναφερθεί θύματα Linux, Windows, μέχρι και MacOS.

Τα νέα των Ransomware, 1/10/18

Ήταν μία εβδομάδα με λίγα νέα στελέχη σε σχέση με τις προηγούμενες. Οι επιτήδειοι πλέον μοιάζουν να στοχεύουν σε συγκεκριμένους στόχους, μέσω εκτεθιμένων υπηρεσιών απομακρυσμένης πρόσβασης (Remote Desktop).

Είχαμε νέο GandCrab ο οποίος εκμεταλλεύεται γνωστή ευπάθεια των Windows. ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ.

To πιο ενδιαφέρον νέο της εβδομάδας ήταν η ανακοίνωση του IC3 (Internet Crime Complaint Center - Κέντρο Αναφοράς Διαδικτυακού Εγκλήματος) του FBI σχετικά με τις εκτεθειμένες υπηρεσίες απομακρυσμένης πρόσβασης.

Ας τα δούμε αναλυτικά:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA -- ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ

Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 1 μήνα ο Dharma (2 μήνες, πλέον), ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena (έχουν προστεθεί κι άλλα)

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 
Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.
Μας έχουν προσεγγίσει από τουλάχιστον 4 διαφορετικές μεριές την τελευταία εβδομάδα μόνο. Φυσικά τους καταγγείλαμε στις αρχές.
Ένα παράδειγμα:

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY.

Για την ιστορία, οι παραπάνω "experts" μας κοστολόγησαν τη "δουλειά" τους 2800-3400 ευρώ, όσο περίπου δηλαδή κοστίζει και η παροχή του κλειδιού από τους δημιουργούς.

Νέος GandCrab, v5

Δυστυχώς, είχαμε επανεμφάνιση του GandCrab. Η ρουτίνα κρυπτογράφησης έχει τη διαφορά ότι τώρα πλέον τοποθετεί τυχαία επέκταση στα αρχεία (μήκους 5 χαρακτήρων), ενώ και το ransom note είναι πλέον σε μορφή HTML.

ΣΗΜΑΝΤΙΚΟ UPDATE 29/9::: Ο GandCrab v5 μοιάζει τελικά να εκμεταλλεύεται τη γνωστή ευπάθεια Task Scheduler ALPC (η οποία στοχεύει στο GoogleUpdate). Η ευπάθεια

Τα νέα των Ransomware, 10/09/18

Σας λείψαμε?
Εμάς, πάντως, δεν μας έλειψε καθόλου η καθημερινή μάχη με τους Ransomware.

Γενικά, τις προηγούμενες εβδομάδες είχαμε μεγάλη έξαρση του Dharma, με πολλά χτυπήματα και στην Ελλάδα. ΠΡΟΣΟΧΗ στους απατεώνες/καλοθελητές που υπόσχονται διάφορα.

Ας τα δούμε αναλυτικά:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA -- ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ

Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 1 μήνα ο Dharma, ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 
Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.
Μας έχουν προσεγγίσει από τουλάχιστον 4 διαφορετικές μεριές την τελευταία εβδομάδα μόνο. Φυσικά τους καταγγείλαμε στις αρχές.
Ένα παράδειγμα:

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY.

Για την ιστορία, οι παραπάνω "experts" μας κοστολόγησαν τη "δουλειά" τους 2800-3400 ευρώ, όσο περίπου δηλαδή κοστίζει και η παροχή του κλειδιού από τους δημιουργούς.

Nέος Ransomware - BarackObama

Ένα πολύ περίεργο malware εμφανίστηκε πρόσφατα, το οποίο κρυπτογραφεί μόνο τα .exe εκτελέσιμα αρχεία. Πιθανώς να είναι σε δοκιμαστικό στάδιο. Εμφανίζει μια εικόνα με τον πρώην πρόεδρο των ΗΠΑ και ζητάει "φιλοδώρημα" για την αποκρυπτογράφηση. 

Νέος Ransomware - Locdoor

Άλλη μία σαβούρα που δεν δουλεύει σωστά,

Τα νέα των Ransomware, 30/7/2018

Του ... Scarab το κάγκελο για αυτήν την εβδομάδα, με περισσότερα από 6 νέα στελέχη να κάνουν την εμφάνισή τους και να είναι ιδιαίτερα δραστήρια.
Όπως έχουμε πει πολλές φορές, η Northwind έχει βρει κάποια αδυναμία στα περισσότερα από αυτά τα στελέχη, και αν έχετε μολυνθεί, ελάτε σε επικοινωνία μαζί μας.

Κατά τ' άλλα, ενδιαφέρον είχε το χτύπημα με Ransomware στον κολοσσό Cosco, απάντηση σε όσους λένε ότι το Ransomware πέθανε.

Ας τα δούμε αναλυτικά:

NEOΣ GandCrab

Χωρίς καμία ιδιαίτερη αλλαγή σε σχέση με την προηγούμενη έκδοση, 4.2 απλώς προσθέτει μηνύματα ειρωνίας σε διάφορους security researchers.

Nέος Ransomware - Armage

Αυτός καταστρέφει τα εικονίδια του Windows Explorer και τοποθετεί την επέκταση .armage. Τίποτα το περισσότερο ενδιαφέρον.

Νέος Dharma

Toποθετεί την επέκταση .id.combo. Τίποτα το καινούργιο.

Νέος Jigsaw

Toποθετεί την επέκταση .black007. Κατά τα γνωστά, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ. 

Νέοι Scarab ....

Πρώτα εμφανίστηκε η παραλλαγή ΒΙΝ. Τοποθετεί την επέκταση .bin2 στα αρχεία και αφήνει πίσω του ένα Ransom Note με την ονομασία HOW TO RECOVER ENCRYPTED FILES.TXT.

Στη συνέχεια

Τα νέα των Ransomware, 05/06/2018

Αρκετά busy η εβδομάδα που πέρασε, με πολλά νέα στελέχη να κάνουν την εμφάνισή τους.

Είχαμε επανεμφάνιση του CryptoMix, είχαμε νέο LockCrypt που υπό συνθήκες γίνεται wiper, είχαμε και νέο Jigsaw με C2 server.

Μας προξένησε εντύπωση ότι ο Sigrun προσφέρει δωρεάν αποκρυπτογράφηση στα θύματά του από τη Ρωσία και σας έχουμε και ένα απίστευτα αστείο facepalm στο τέλος του άρθρου.

Ας τα δούμε αναλυτικά:

Nέος Jigsaw - fun

Κάποιος "παίζει" με τον Jigsaw. Μάλιστα, είναι η πρώτη έκδοση που συναντάμε η οποία χρησιμοποιεί C2 Server (Command & Control) για τα κλειδιά.

Νέος LockCrypt 2.0

Στα κακά νέα της εβδομάδας, εμφανίστηκε ένας νέος LockCrypt, ο οποίος διορθώνει τα σφάλματα της προηγούμενης έκδοσης, τα οποία είχαμε εκμεταλλευτεί και μπορούσαμε να αποκρυπτογραφήσουμε. Πλέον μοιάζει να μην έχει αδυναμίες :(

Το "αστείο" της υπόθεσης (που δεν είναι καθόλου αστείο) είναι ότι η αποκρυπτογράφηση βασίζεται στο αρχείο Decode.key που αφήνει στο C:\Windows, συν το private κλειδί. Όμως, δεν τρέχει τη ρουτίνα ως διαχειριστής και δεν τσεκάρει αν η εγγραφή στο C:\Windows ήταν επιτυχής, με αποτέλεσμα αν αυτό αποτύχει, η αποκρυπτογράφηση να είναι 100% αδύνατη από οποιονδήποτε.

Διασπείρεται μέσω Remote Desktop, οπότε τα γνωστά...

Νέος Dharma Arrow

Mία νέα έκδοση του Dharma εμφανίστηκε, με επέκταση java2018@tuta.io.arrow.
Παρακάτω έχουμε ένα βίντεο της Cybersecurity που δείχνει τον τρόπο επίθεσης.

Και ο Aurora με C2 server

H MalwarehunterTeam ανακάλυψε αυτόν τον νέο Aurora ο οποίος χρησιμοποιεί κι αυτός πλέον C2 Server.

Νέος CryptConsole - helps

Aυτός πλέον χρησιμοποιεί άλλο email για την επικοινωνία, κατά τ' άλλα δεν έχουν αλλάξει και πολλά πράγματα. Εξακολουθούμε να μπορούμε να τον σπάσουμε!
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ -- ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Τα νέα των Ransomware, 30/4/2018

Δραστήρια η εβδομάδα που πέρασε, με αρκετό ενδιαφέρον. Είχαμε μεγάλη επίθεση σε σέρβερ κυβερνητικών οργανισμών των εξωτερικού με τον VevoLocker, μεγάλης έκτασης επιμόλυνση διάφορων ιστοσελίδων στο Πακιστάν και πολλά μικρά νέα αλλά δραστήρια στελέχη.

Ας τα δούμε αναλυτικά:

Νέος Ransomware - BlackHeart

Tοποθετεί την επέκταση .pay2me ή .BlackRouter στα κρυπτογραφημένα αρχεία. Μοιάζει να βασίζεται στον Spartacus, ενώ ο δημιουργός του είναι μεγάλος φαν του Star Wars.

Επίθεση στην ιστοσελίδα της διοίκησης της επαρχίας P.E.I.

Δεν είναι αστείο, σύμφωνα με τον Guardian, η ιστοσελίδα της διοίκησης της επαρχίας του Prince Edward Island χτυπήθηκε από Ransomware.
Τώρα αναρωτιέστε πού στο καλό είναι αυτό, πρόκειται για ένα

Τα νέα των Ransomware, 9/4/2018

Εξαιρετικά καλή θα χαρακτηρίζαμε την εβδομάδα που μας πέρασε, αφού βρήκαμε λύσεις για πολλούς Ransomware :-)

Στα άλλα ενδιαφέροντα νέα, η Microsoft πρόσθεσε λειτουργία ανίχνευσης και αποτροπής Ransomware στο Office 365.

Κατά τ' άλλα, είχαμε κυρίως μικρά νέα στελέχη. 

Ας τα δούμε αναλυτικά:

Η Μicrosoft παίρνει anti-ransomware μέτρα

Ένα πολύ ενδιαφέρον feature φαίνεται πως ενσωματώνει η Microsoft στη σουίτα Office365. Ονομάζεται File Restore και με τη βοήθεια του OneDrive, θα επιτρέπει στους χρήστες να πηγαίνουν πίσω μέχρι και 30 μέρες και να αποκαθιστούν μολυσμένα/κρυπτογραφημένα αρχεία με παλιότερες εκδόσεις τους.



Το Office365 ειδοποιεί τους χρήστες επίσης για τον εντοπισμό δραστηριότητας Ransomware, όπως φαίνεται από την παρακάτω εικόνα.

Η ανακοίνωση της Μicrosoft εδώ.

Nέος νόμος στο Michigan απαγορεύει την κατοχή Ransomware

O Kυβερνήτης του Michigan, Rick Snyder υπέγραψε δύο νέους νόμους που ποινοκοποιούν την κατοχή και διασπορά Ransomware, με ποινή φυλάκισης 3 ετών για τους παραβάτες. Όλος ο νόμος εδώ.

Λύση για τον WhiteRose!

Είχαμε γράψει για αυτόν την προηγούμενη εβδομάδα.
Εμφανίστηκε πριν δύο εβδομάδες, τροποποιεί τα ονόματα αρχείων σε αυτό το μοτίβο [random-random-random]_encrypted_by.whiterose και είναι βασισμένος στον InfiniteTear.

Toποθετεί την επέκταση .WHITEROSE και αλλάζει τα ονόματα αρχείων με τυχαίους χαρακτήρες. Εν τω μεταξύ γράφει και κάτι περίεργα στο Ransom Note (τα ψυχοφαρμακάκια, εντάξει?)

ΒΡΗΚΑΜΕ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ! 

Λύση για τον Magniber!

O Magniber, που θεωρήθηκε ο διάδοχος του Cerber και είχε ως μέθοδο διασποράς τον Magnitude (εξ ου και το όνομα), μοιάζει να αποτελεί παρελθόν.
Εκμεταλλευόμενοι ένα κενό στη ρουτίνα κρυπτογράφησης,

Τα νέα των Ransomware, 5/3/2018

Μιας και την προηγούμενη εβδομάδα τεμπελιάσαμε, σήμερα θα έχουμε τα νέα των Ransomware για δύο εβδομάδες συμπτυγμένα.

Τα μεγαλύτερα νέα αφορούν την εξεύρεση λύσης για συγκεκριμένα στελέχη του Gandcrab, ο οποίος είχε εμφανιστεί πριν από περίπου 1 μήνα και έκτοτε ήταν από τους πλέον δραστήριους Ransomware, με πολλά θύματα και στην Ελλάδα.

Ας τα δούμε αναλυτικά:

Νέος Ransomware - Thanatos

Παρά το ελληνικό του όνομα, μάλλον προέρχεται από τη Ρωσία. Το πρόβλημα είναι ότι ο Thanatos αποτελεί άλλο ένα παράδειγμα όπου οι δημιουργοί Ransomware βγάζουν στη φόρα επιμολύνσεις που δεν είναι επαρκώς δοκιμασμένες και έχουν τόσα bugs που είναι εξαιρετικά απίθανο έως αδύνατον να αποκρυπτογραφηθούν τα δεδομένα, ακόμα και αν το θύμα πληρώσει τα λύτρα.

Στην προκειμένη περίπτωση, ο Thanatos δημιουργεί ένα κλειδί για κάθε αρχείο ξεχωριστά (!). Το πρόβλημα είναι ότι αυτό το κλειδί δεν αποθηκεύεται κάπου. Επομένως, αν το θύμα πληρώσει τα λύτρα, ο επιτιθέμενος δεν έχει τρόπο να του αποκρυπτογραφήσει τα αρχεία...

Τα καλά νέα είναι ότι για συγκεκριμένους τύπους αρχείου και με δεδομένο ότι υπάρχει επάρκεια χρόνου, ίσως μπορούμε να σπάσουμε τον κωδικό για κάθε αρχείο με τη μέθοδο Brute Force.

Το άλλο ενδιαφέρον με τον συγκεκριμένο είναι ότι είναι ο πρώτος που δέχεται Bitcoin Cash ως πληρωμή.

Όπως και να έχει, όπως είπαμε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ καθώς δεν θα σας δώσουν κλειδί αποκρυπτογράφησης, πολύ απλά γιατί κλειδί αποκρυπτογράφησης δεν υπάρχει.

Τεράστια επίθεση του SamSam στο Υπουργείο Μεταφορών στο Colorado των ΗΠΑ

Στις 21/2/2018, το Υπουργείο Μεταφορών του Κολοράντο των ΗΠΑ δέχτηκε μια μαζική επίθεση από τον SamSam, ο οποίος μόλυνε περισσότερους από 2.000 Η/Υ.

Μπορείτε να διαβάσετε περισσότερα για την επίθεση εδώ και εδώ.

Θυμίζουμε ότι ο SamSam θεωρείται από τους πιο δραστήριους Ransomware αυτήν την εποχή και διασπείρεται χειροκίνητα μέσω Remote Desktop, όπου υπάρχει αδύναμος οδηγός.

Για το λόγο αυτό γράψαμε έναν οδηγό ο οποίος μπορεί να σας βοηθήσει να δημιουργήσετε αδιαπέραστους κωδικούς, τους οποίους θα θυμάστε απ' έξω.

Λύση για τον GandCrab!!

Είχαμε αναφερθεί εκτενώς σε αυτόν [1, 2].
Τα καλά νέα είναι ότι έχουμε βρει λύση για τις περισσότερες από τις ως τώρα επιμολύνσεις.
Τα κακά νέα είναι

Τα νέα των Ransomware, 13/11/2017

Κυρίως μικρά ανόητα variants για αυτήν την εβδομάδα, όμως είχαμε μερικές ενδιαφέρουσες ιστορίες.
Η μεγαλύτερη ήταν ένα νέο στέλεχος του Crysis/Dharma. Είχαμε επίσης ένα wiper που παριστάνει το Ransomware και επιτίθεται σε επιχειρήσεις στη Γερμανία, ενώ είχαμε και την είδηση ότι hackers χρησιμοποιήσαν απομακρυσμένη πρόσβαση για να εγκαταστήσουν τον LockCrypt σε εταιρικούς Η/Υ.

Ας τα δούμε αναλυτικά:

Νέος Ransomware: Curumim

Mε HiddenTear ξεκινάμε και αυτήν την εβδομάδα, την περασμένη Δευτέρα εμφανίστηκε αυτός ο οποίος ονομάζεται Curumim και αυτή είναι και η επέκταση που τοποθετεί στα κρυπτογραφημένα αρχεία. Μας έρχεται από την Πορτογαλία.

Νέa εκδοση του Xiaoba

Την Τρίτη, ο Karsten Hahn ανακάλυψε μία καινούργια έκδοση του Xiaoba, η οποία ζητάει $37.696 σε Bitcoin και κλειδώνει την οθόνη. 

Νέος Ransomware: Zika

...και με HiddenTear θα συνεχίσουμε.