Εμφάνιση αναρτήσεων με ετικέτα qwerty. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα qwerty. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 12 Μαρτίου 2018

Τα νέα των Ransomware, 12/3/2018

Για αυτήν την εβδομάδα, είχαμε την επανεμφάνιση του GandCrab με νέο στέλεχος που προς το παρόν δεν έχουμε καταφέρει να σπάσουμε :(

Είχαμε επίσης την έρευνα της CyberEdge για τους Ransomware, με απίστευτα αποτελέσματα: Οι μισοί από όσους πλήρωσαν τα λύτρα, δεν πήραν ποτέ τα δεδομένα τους :(


Ας τα δούμε αναλυτικά:

Μεγάλη καμπάνια διασπείρει GlobeImposter και GandCrab -- ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!

Υπάρχει σε εξέλιξη μεγάλη καμπάνια με malspam, εξαιρετικά επικίνδυνη, που διασπείρει τους GandCrab και GlobeImposter.
Και οι δύο Ransomware είναι εξαιρετικά δραστήριοι και δεν μπορούν να αποκρυπτογραφηθούν.

Τα email που έρχονται είναι κάπως έτσι:



Tα email που έχουν εντοπιστεί να χρησιμοποιούνται ως αποστολείς είναι:



ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!!!!
Ακολουθήστε πιστά τον οδηγό επιβίωσης που έχουμε γράψει εδώ και καιρό.
ΜΗΝ ΑΝΟΙΓΕΤΕ ΕΠΙΣΥΝΑΠΤΟΜΕΝΑ ΑΠΟ ΜΗ ΕΜΠΙΣΤΕΣ ΠΗΓΕΣ.


Νέος Gandcrab - Δυστυχώς δεν επαληθευτήκαμε

Γράψαμε την προηγούμενη εβδομάδα για τον GandCrab για τον οποίο βρέθηκε λύση, ότι οι δημιουργοί του είχαν γράψει στο DarkWeb ότι ήδη ετοιμάζουν νέα έκδοση η οποία θα είναι αδιαπέραστη.
Είχαμε πει ότι πιθανώς και να μη προλάβουν να την κυκλοφορήσουν, μιας και επίκεινται συλλήψεις.
Τελικά πρόλαβαν. 
Η νέα έκδοση είναι δυστυχώς ασφαλής, τοποθετεί την επέκταση .CRAB και έχει επανασχεδιαστεί.

Έρευνα - σοκ της CyberEdge για τους Ransomware - Μόνο το ~50% όσων πλήρωσαν τα λύτρα πήραν πίσω δεδομένα!

Σε μία πολύ ενδιαφέρουσα έρευνα της CyberEdge, γίνεται φανερό ότι οι μισοί

Δευτέρα, 29 Ιανουαρίου 2018

Τα νέα των Ransomware, 29/1/2018


Πολλά νέα σε ένα εκτενές update έχουμε ετοιμάσει για αυτήν την εβδομάδα.

Τα σημαντικότερα νέα είχαν να κάνουν με μεγάλη έξαρση στον SamSam. Υπενθυμίζουμε ότι ο SamSam διασπείρεται μέσω Remote Desktop και ακόμα και τώρα υπάρχουν πολλοί Η/Υ που έχουν την απομακρυσμένη πρόσβαση σχεδόν ελεύθερη για όλους....

Ενδιαφέρον έχουν οι δηλώσεις του προέδρου της Maersk για τον NotPetya, η επανεμφάνιση του KillDisk, και η νέα λαίλαπα που έκανε την εμφάνισή της, το BlackmailWare το οποίο μοιάζει να είναι πιο αποδοτικό από το Ransomware. 


Ας τα δούμε αναλυτικά:



Επανεμφάνιση του KillDisk

Tην Δευτέρα η TrendMicro ανακοίνωσε ότι παρατηρείται έξαρση του KillDisk σε εταιρίες της Λατινικής Αμερικής.
Να θυμήσουμε ότι ο KillDisk είναι ένας Ransomware με πολλές ιδιαιτερότητες, που κατασκευάστηκε από την ίδια ομάδα Ρώσων κυβερνο-εγκληματιών οι οποίοι ευθύνονται για την επίθεση στο δίκτυο Ενέργειας της Ουκρανίας με το BlackEnergy malware, για την επίθεση σε βιομηχανίες των ΗΠΑ με τον Sandworm malware και φυσικά για τον NotPetya που χτύπησε πολλές εταιρίες τον Ιούνιο του 2017.


Ο KillDisk έχει την ιδιαιτερότητα ότι αφού μπει στον Η/Υ, εγκαθίσταται στη μνήμη του, διαγράφει τον εαυτό του από το δίσκο και μετονομάζει τον εαυτό του.

Στη συνέχεια κάνει overwrite τα πρώτα 20 sectors από το MBR όλων των δίσκων του συστήματος και γράφει από πάνω τους μηδενικά.
Μετά, γράφει μηδενικά και στα πρώτα 2800 bytes από κάθε αρχείο των δίσκων αυτών (εξαιρεί τα αρχεία συστήματος) και αφήνει το Ransom Note.

Τέλος, μετράει 15 λεπτά (άγνωστο γιατί) και ξεκινάει να τερματίζει processes των Windows με σκοπό να προκαλέσει είτε πάγωμα του Η/Υ είτε μπλέ οθόνη (BSOD) με σκοπό να επανεκκινηθεί ο Η/Υ.

Μόλις ο Η/Υ επανεκκινηθεί φυσικά δεν μπορεί να μπει σε Windows αφού τα MBR έχουν μηδενιστεί. Το θύμα θα επισκεφθεί κάποιον τεχνικό ο οποίος προφανώς ψάχνοντας για αρχεία θα δει τα Ransom Notes.  






Νοσοκομείο πληρώνει $55.000 για λύτρα -- είχε backup!

Tην Τρίτη ενημερωθήκαμε ότι νοσοκομείο στην Indiana των ΗΠΑ πλήρωσε $55.000 σε λύτρα προκειμένου να απαλλαγεί από Ransomware που τους χτύπησε. Πρόκειται για το Hancock Health Hospital στο GreenField της Indiana.

Το νοσοκομείο χτυπήθηκε από τον SamSam ο οποίος μετονόμασε όλα τα αρχεία τοποθετώντας τη φράση "I'm sorry" στο όνομα αρχείου.
Η επίθεση έλαβε χώρα την προηγούμενη εβδομάδα (11/1) όμως ανακοινώθηκε επίσημα αργότερα. Την επόμενη μέρα, Παρασκευή, το νοσοκομείο ήταν γεμάτο με ανακοινώσεις που καλούσε όλους τους εργαζόμενους να τερματίσουν τους Η/Υ τους.




Όλες οι μηχανογραφικές εργασίες του νοσοκομείου σταμάτησαν. Οι γιατροί και το νοσηλευτικό προσωπικό συνέχισε να εργάζεται με χαρτί και μολύβι και όποια άλλα μέσα υπήρχαν διαθέσιμα. 

Σε ανακοίνωση του νοσοκομείου, παραδέχονται το γεγονός με πολύ λίγες, πάντως, λεπτομέρειες.
Το νοσοκομείο λειτούργησε ξανά 100% την επόμενη Δευτέρα, αφού πλήρωσε $55.000 για λύτρα. Εκπρόσωπος του νοσοκομείου δήλωσε ότι υπήρχαν αντίγραφα ασφαλείας αλλά θα τους έπαιρνε πολλές μέρες ή ακόμα και εβδομάδες για πλήρη αποκατάσταση, και αποφάσισαν ότι η πληρωμή των λύτρων ήταν γρηγορότερη διαδικασία...

ΝΕΟΣ Ransomware - MoneroPay - μεταμφιέζεται σε πορτοφόλι κρυπτονομισμάτων!

Είναι εντελώς καινούργιος, εμφανίστηκε την προηγούμενη Τετάρτη. Προσπαθεί να εκμεταλλευτεί την τρέλα που επικρατεί με τα κρυπτονομίσματα, προωθώντας τον εαυτό του ως πορτοφόλι ενός κρυπτονομίσματος -του SpriteCoin- το οποίο