Μετά τον πρώτο Ransomware που είχε κυκλοφορήσει, την Kerkoporta, στα τέλη Σεπτέμβρη εμφανίστηκε νέος, αρκετά δραστήριος Ransomware με την ονομασία AepCrypt.
Πότε κυκλοφόρησε στην Ελλάδα ο AEPCrypt ;
Στην αρχή και συγκεκριμένα μεταξύ 22/9-27/9 κυκλοφόρησε μία δοκιμαστική του έκδοση, η οποία ζητούσε 200€ σε λύτρα και δεν κρυπτογραφούσε, παρά μόνο μετέφερε τα αρχεία της επιφάνειας εργασίας σε κάποιον άσχετο φάκελο ο οποίος ήταν κρυφός.
Πως δείχνει η επιφάνεια εργασίας με τον AEPCrypt ;
Στη συνέχεια, άλλαζε την ταπετσαρία στην επιφάνεια εργασίας σε αυτό:
13 ερωτήσεις - Απαντήσεις για να μπορείτε να τους αποφύγετε και να μην κρυπτογραφηθούν τα δεδομένα σας.
Ας ξεκινήσουμε από τα βασικά, στο παρακάτω άρθρο σας δίνουμε 13 απαντήσεις για το τι είναι Ransomware.
Οι Ransomware είναι κακόβουλα λογισμικά τα οποία επιτίθενται και κρυπτογραφούν τα δεδομένα του θύματός τους, ενώ στη συνέχεια ζητούν την πληρωμή λύτρων με μορφή Bitcoin για την αποκρυπτογράφηση.
Με την έξαρση που παρουσιάζουν οι επιμολύνσεις από τους Ransomware τα τελευταία χρόνια, ακόμα και οι πιο έμπειροι χρήστες μπορεί να την πατήσουν, πόσο μάλλον οι λιγότερο εξοικειωμένοι.
ΣτηNorthwind Data Recovery, χρησιμοποιούμε όλες τις διαθέσιμες τεχνικές για να μπορέσουμε να αποκρυπτογραφήσουμε τα δεδομένα που έχουν επιμολυνθεί, όμως κάποιες φορές ερχόμαστε στη δυσάρεστη θέση να ενημερώσουμε τους πελάτες μας ότι ούτε κι εμείς πλέον μπορούμε να κάνουμε κάτι για να τους βοηθήσουμε.
Τι κάνουν οι ιοί Ransomware ;
Για να μην βρισκόμαστε συχνά σε αυτή τη δυσάρεστη θέση, ετοιμάσαμε έναν οδηγό για να βοηθήσουμε – ενημερώσουμε όλους τους ενδιαφερόμενους για τον τρόπο με τον οποίο μπορούν να αποφύγουν τις επιθέσεις των Ransomware στο καλύτερο τoυλάχιστον δυνατό ποσοστό.
Ακολουθώντας αυτά τα βήματα, θα μπορείτε να θωρακίσετε τον Η/Υ σας και κατ'επέκταση τον εαυτό σας, τα δεδομένα σας, τη δουλειά σας και τους αγαπημένους σας από δυσάρεστα γεγονότα.
Σας προτείνουμε να ακολουθήσετε πιστά αυτόν τον οδηγό. Αν σας φαίνεται μεγάλος ή πολύπλοκος, ζητήστε από κάποιον με περισσότερη εμπειρία να σας βοηθήσει σε αυτά τα πρώτα βήματα.
Πως λειτουργούν οι Ransomware ; Βίντεο !
Στο παρακάτω βίντεο μπορείτε να δείτε αναλυτικά πως λειτουργεί ο Ransomware Petya και να καταλάβετε τι δεν πρέπει να κάνετε ή τι να αναγνωρίσετε αν κάτι τέτοιο συμβεί στον υπολογιστή σας.
Παρακάτω σας αναφέρουμε όλα όσα πρέπει να κάνετε για να μην κινδυνεύετε...
Μία καμπάνια spam που χρησιμοποιεί (αρκετά πειστικά) το λογότυπο και τα στοιχεία επικοινωνίας του Α.Π.Θ. εντοπίστηκε σήμερα, 04/09/19 και μας έκανε ιδιαίτερη εντύπωση. Μάλιστα, ήρθε και σε εμάς το επίμαχο email και έτσι είχαμε την ευκαιρία να το αναλύσουμε.
Ας πάρουμε τα πράγματα με τη χρονολογική σειρά.
Πως είναι το email που προωθεί την καμπάνια spam του ΑΠΘ ;
Έρχεται με τίτλο ΑΙΤΗΣΗ ΠΡΟΣΦΟΡΑΣ (Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης) EUI894/BU4633
Tι στοιχεία έχουμε για την επιτυχή Αποκρυπτογράφηση Ransomware το 2019 ;
Από το 2016-2019 πάνω από 200.000 άτομα πήραν τα δεδομένα τους πίσω χωρίς να πληρώσουν χρήματα για το Ransomware που κόλλησαν. Μόνο μέσα στο 2019, 14 δωρεάν διαφορετικά εργαλεία αποκρυπτογράφησης εκδόθηκαν και πάνω από 100 στελέχη Ransomware καταπολεμήθηκαν/αποκρυπτογραφήθηκαν.
Μας έκανε την εμφάνισή του στις 24/8/2019. Στις 25/8 είχαμε ήδη το πρώτο request για το εν λόγω στέλεχος. Έκτοτε ακολούθησαν άλλα 4, εκ των οποίων τα δύο από την Ελλάδα. Μοιάζει να είναι σε έξαρση και να χτυπά αδιακρίτως. Παρουσιάζει πολλά περίεργα μηνύματα στον κώδικα...
Οι επιτήδειοι γίνονται εξυπνότεροι, πιο ευέλικτοι και πιο πονηροί. Μέχρι πρότινος, οι καμπάνιες malspam (καμπάνιες διασποράς κακόβουλων λογισμικών μέσω επισυναπτόμενων μολυσμένων αρχείων σε email) είχαν βασική γλώσσα τα αγγλικά. Μάλιστα, επειδή συνήθως οι χώρες προέλευσής τους δεν έχουν την αγγλική γλώσσα ως κύρια, ακόμα και σε αυτές τις περιπτώσεις υπήρχαν ασύντακτα και κακογραμμένα κείμενα. Στη συνέχεια, προσπάθησαν να γίνουν πιο δημιουργικοί, χρησιμοποιώντας τη γλώσσα των χωρών που στόχευαν μέσω αυτόματων μεταφράσεων (πχ. Google Translate). Ευτυχώς όμως, τα ελληνικά είναι δύσκολη γλώσσα και πολλές φορές ακόμα και η Google αποτυγχάνει επικά να μεταφράσει σωστά. Έτσι, όταν κάποιος λάβει ένα email σαν αυτό,
Xάρη στην ομάδα του #nomoreransom μπορούμε να αποκρυπτογραφήσουμε τα δεδομένα σας από τον τελευταίο #GandCrab#ransomware. Επικοινωνήστε μαζί μας στο tech@northwind.gr για #ανάκτησηδεδομένων και ολική λύση
είναι η πρώτη και μοναδική εταιρία ανάκτησης δεδομένων στην Ελλάδα, με ιδιόκτητο CleanRoom διαστάσεων 15 τ.μ., κάτι που εξασφαλίζει τον έλεγχο των συνθηκών που είναι απαραίτητες για το άνοιγμα των σκληρών δίσκων και την επέμβαση στα εσωτερικά μηχανικά τους μέρη.
This helps us have a better control over our spare parts inventory for an urgent job, it minimizes costs and speeds up the procedures for Data Recovery.
Παραδοσιακά, οι μέρες πριν από τα Χριστούγεννα είναι πάντα πιο ήσυχες στον τομέα των Ransomware, πιθανώς λόγω του γεγονότος ότι πολύς κόσμος μετακινείται για τις γιορτές και πολλές εταιρίες υπολειτουργούν. Είχαμε νέα στελέχη Dharma και Scarab κλασικά, ενώ είχαμε και ανησυχητική εξέλιξη στον τομέα του Sextortion. Ας τα δούμε αναλυτικά:
Sextortion tactics
Ανησυχητικές διαστάσεις παίρνει η τακτική του sextortion, μέσω τις οποίας οι κυβερνο-εκβιαστές αποκομίζουν μεγάλα χρηματικά ποσά.
Τι είναι το sextortion? Το υποψήφιο θύμα λαμβάνει ένα email στο οποίο αναφέρεται ότι έχει πιαστεί επαυτοφόρω να παρακολουθεί ιστοσελίδες με πορνογραφικό περιεχόμενο (μερικές φορές αναφέρουν και παιδική πορνογραφία). Γίνεται λόγος για χρήση της κάμερας του Η/Υ του θύματος, μέσω της οποίας έχουν αποδεικτικά της ... "δράσης" του θύματος και απειλούν να δημοσιεύσουν φωτογραφίες του σε προσωπικές στιγμές την ώρα που παρακολουθούν το πορνογραφικό περιεχόμενο. Φυσικά, τίποτα από αυτά δεν υφίσταται. Τον τελευταίο καιρό έχει εξελιχθεί η τακτική τους και έχει γίνει εξυπνότερη. Στοχεύουν σε θύματα των οποίων το email και ο κωδικός του έχουν διαρρεύσει και αποστέλλουν το παρακάτω email.
To κείμενο είναι το εξής:
Hello!
I have very bad news for you.
09/08/2018 - On this day, I got access to your OS and gained complete control over your system. **@gmail.com
On this day your account **@gmail.com has password: XXXX
How I made it:
In the software of the router, through which you went online, was avulnerability.
I just got into the router and got root rights and put my malicious code on it.
When you went online, my trojan was installed on the OS of your device.
After that, I made a full dump of your (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).
A month ago, I wanted to your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I'm talk you about sites for adults.
I want to say - you are a BIG pervert. Your fantasy is shifted far away from the nromal course!
And i got an idea....
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!
As proof of my words, I made a video presentation in Power Point.
And laid out in a private cloud, look You can copy the link below and paste it into the browser.
https://google.com/url?Q=[url here]
I'm know that you would like to show these screenshots to your friends, relatives or colleagues.
I think #381 is a very, very small amount for my silence.
Besides, I have been spying on your for so long, having spect a lot of time!
Πολλά, λοιπόν, από τα θύματα θα προσπαθήσουν να κατεβάσουν το βίντεο που αποτελεί "απόδειξη" των πράξεών τους, με αποτέλεσμα να επιμολυνθούν με δύο διαφορετικά κακόβουλα λογισμικά: Αρχικά με τον Azorult, μέσω του οποίου -πραγματικά αυτή τη φορά- αποσπούν προσωπικά στοιχεία όπως συνθηματικά πρόσβασης, ιστορικά συνομιλιών κλπ, και στη συνέχεια επιμολύνονται με GandCrab και κρυπτογραφούνται τα δεδομένα τους. Άλλη μία απόδειξη ότι πρέπει να δείχνουμε μεγάλη προσοχή σε ποια λινκ πατάμε!
Νέος GlobeImposter - EQ
Toποθετεί την επέκταση .fuck. Όχι κάτι παραπάνω καινούργιο.
Νέος Gerber
Mετά τους Gerber1, 3 & 5 που αναφέραμε την προηγούμενη εβδομάδα, είχαμε άλλον έναν αυτήν την εβδομάδα με τον .FJ7QvaR9VUmi
Νέος Dharma - Santa
Στο κλίμα των ημερών, νέος Dharma με επέκταση .santa. Τίποτα απολύτως το καινούργιο.
Κυρίως μικρά στελέχη για αυτήν την εβδομάδα. Είχαμε ένα νέο Cryptomix, ένα wiper που ονομάζεται UselessDisk και μεταμφιέζεται σε Ransomware και μία εντελώς περίεργη είδηση (?) ότι η Boeing μολύνθηκε από τον WannaCry.
Ας τα δούμε αναλυτικά:
Ο UselessDisk (ή αλλιώς Diskwriter) είναι wiper?
Ένας νέος bootlocker που ονομάζεται Diskwriter ή Uselessdisk, εμφανίστηκε στην αρχή της προηγούμενης εβδομάδας. Αυτός τροποποιεί το MBR (Master Boot Record), ώστε να εμφανίζει το παρακάτω Ransom Note όταν κάνει επανεκκίνηση ο Η/Υ, και δεν μπαίνει στα Windows. Ζητάει $300 σε Bitcoins. Επειδή δεν βλέπουμε κανέναν απολύτως τρόπο να μπορεί να επανέρθει ο Η/Υ στην προηγούμενη κατάσταση, ακόμα και αν κάποιος πληρώσει τα λύτρα, τον θεωρούμε wiper.
Αναστάτωση με την Boeing - μολύνθηκε από WannaCry?
Στα "τρελά" νέα της εβδομάδας, βγήκε η είδηση ότι η Boeing μολύνθηκε από τον WannaCry. Και λέμε "τρελή" γιατί ο WannaCry θεωρείται πλέον παλιά ιστορία και από το καλοκαίρι που μας πέρασε δεν έχει εμφανιστεί κανένα κρούσμα.
Όλα ξεκίνησαν από ένα memo που έστειλε ο Mike VanderWel, επικεφαλής μηχανικός των αεροσκαφών Boeing, το οποίοσύμφωνα με την Seattle Times : “It is metastasizing rapidly out of North Charleston and I just heard 777 (automated spar assembly tools) may have gone down,” VanderWel wrote, adding that he’s concerned the virus will hit equipment used in functional tests of airplanes ready to roll out and potentially “spread to airplane software.”
To πιο πιθανό πάντως είναι να πρόκειται για κάποιο από τα χιλιάδες Ransomware που εμφανίστηκαν και μιμούνται τον WannaCry. Αργότερα, στο twitter της Boeing εμφανίστηκε αυτό το Tweet:
Nέος Ransomware - EggLocker
Είναι υπό κατασκευή, δεν επηρεάζει τα ονόματα αρχείων -προς το παρόν μάλλον-
Θυμάστε την προηγούμενη εβδομάδα που αναφέραμε ότι χτυπήθηκε η πόλη του Farmington στο New Mexico των ΗΠΑ? Well, that escalated quickly, αφού είχαμε και άλλες επιθέσεις... Είχαμε επίσης μια ενδιαφέρουσα εβδομάδα σε γενικές γραμμές, με τον GandCrab να διανέμεται μέσω exploit kits και κάποια TOR Gateways τα οποία έκλεψαν χρήματα από ransomware developers! Ας τα δούμε αναλυτικά:
Νέος Ransomware - GandCrab
To προηγούμενο Σαββατοκύριακο εμφανίστηκε αυτός, οριακά δεν προλάβαμε να τον αναφέρουμε στα νέα της προηγούμενης εβδομάδας. Η καινοτομία του είναι ότι δέχεται πληρωμή μόνο σε DASH, πιθανώς λόγω του ότι το DASH είναι φτιαγμένο με απόλυτο σκοπό την πλήρη ανωνυμία. Τοποθετεί την επέκταση .GDCB.
Tor-to-Web Proxy κλέβει Ransomware Developers, όπως λέμε ο κλέψας του κλέψαντος...
Μία απίστευτη ιστορία έλαβε χώρα τη Δευτέρα που μας πέρασε, αφού εντοπίστηκε τουλάχιστον ένα Tor Proxy service να αντικαθιστά τις διευθύνσεις Bitcoin από πληρωμές Ransomware, μεταφέροντας ουσιαστικά τις πληρωμές των λύτρων, σε άλλο wallet!
To Tor Proxy Service είναι μία υπηρεσία που επιτρέπει στους χρήστες να επισκεφτούν τις .onion σελίδες του Tor, χωρίς την εγκατάσταση του αντίστοιχου Tor browser.
Πιο συγκεριμένα, σε κάποιες περιπτώσεις τα Ransomware εμφανίζουν τόσο τη διεύθυνση Tor για την πληρωμή των λύτρων, όσο και εναλλακτικές Tor-to-web διευθύνσεις, για την περίπτωση που το θύμα δεν έχει τις τεχνικές λεπτομέρειες για να εγκαταστήσει Tor κλπ.
Μία τέτοια υπηρεσία είναι το onion.top, το οποίο στο παρασκήνιο σκάναρε το Dark Web για σελίδες που περιέχουν διευθύνσεις που μοιάζουν με Bitcoin wallets, και τις αντικαθιστούσαν με δικές τους, με αποτέλεσμα τα θύματα να πληρώνουν λύτρα και τα χρήματα να πηγαίνουν στο onion.top! Ήδη ο LockeR Ransomware, ο Sigma και ο GlobeImposter έχουν πέσει θύματα, με τον LockeR να εμφανίζει και προειδοποιητικό μήνυμα..
Υπολογίζεται ότι τα μέχρι στιγμής κέρδη τους είναι περίπου $44.000.
Σχολείο στην Νότια Καρολίνα, θύμα Ransomware
Ενα σχολείο στην Νότια Καρολίνα, στο Chester County, έπεσε θύμα Ransomware την προηγούμενη Δευτέρα. Όπως αναφέρθηκε,
Chester County School District posted on its Facebook page Monday that ransomware hit the district’s servers over the weekend. The post went on to say that no data has been taken or breached, and it has a specialist on site to assist the district.
Άλλη μία εβδομάδα με λίγα πράγματα στον τομέα των Ransomware -κάτι που είναι πάντα καλό νέο- με μόνο μικρές παραλλαγές και ανούσια νέα στελέχη.
Τα κυριότερα νέα αφορούν τον HC7, ο οποίος είναι ο πρώτος Ransomware που δέχεται ως πληρωμή το κρυπτονόμισμα Ethereum. Ας τα δούμε αναλυτικά:
Nέος Jigsaw, NSFW
Δευτέρα πρωί-πρωί εμφανίστηκε ένας νέος Jigsaw ο οποίος είναι NSFW (Not Safe For Work) καθώς περιέχει γυμνές φωτογραφίες (εμείς "λογοκρίναμε" την παρακάτω φώτο). Είναι σε δοκιμαστικό στάδιο με hardcoded κωδικό (είναι χαρακτηριστικό ότι ζητάει 100 εκατομμύρια δολάρια σε λύτρα...).
Νεος HC7 - Planetary
Tην Τρίτη εμφανίστηκε ένας νέος HC7 ο οποίος τοποθετεί την επέκταση .PLANETARY στα κρυπτογραφημένα αρχεία. Αυτό που τον κάνει μοναδικό είναι ότι είναι ο πρώτος που δέχεται ως τρόπο πληρωμής το κρυπτονόμισμα Ethereum. Φυσικά κάνουν δεκτά και Bitcoin και Monero, μην αφήσουν κανέναν παραπονεμένο.
ALL FILES ARE ENCRYPTED.
TO RESTORE, YOU MUST SEND $700 EQUIVALENT FOR ONE COMPUTER
OR $5,000 FOR ALL NETWORK
PAYMENTS ACCEPTED VIA BITCOIN, MONERO AND ETHEREUM
BTC ADDRESS: [bitcoin_address]
MONERO (XMR) ADDRESS: [monero_address]
CONTACT US WHEN ETHEREUM PAYMENT INFORMATION
BEFORE PAYMENT SENT EMAIL m4rk0v@tutanota.de
ALONG WITH YOUR IDENTITY: [base64_encoded_computer_name]
INCLUDE SAMPLE ENCRYPTED FILE FOR PROOF OF DECRYPT
NOT TO SHUT OFF YOUR COMPUTER, UNLESS IT WILL BREAK
Ποιος είναι πάλι αυτός?
Ο d.koporushkin είναι κάποιος που θα έπρεπε να ξέρουμε? Γιατί σε αυτόν τον "Ransomware", εμφανίζεται το όνομα αυτό σε ένα αρχείο. Και βάζουμε το Ransomware σε εισαγωγικά γιατί ο εν λόγω δεν κρυπτογραφεί (προς το παρόν), αν και είναι φτιαγμένος για κάτι τέτοιο. Πάντως, υποκλέπτει δεδομένα, τα κρυπτογραφεί με hardcoded κωδικό και random αλάτι και τα ανεβάζει σε ένα ftp. Είναι βασισμένος στον HiddenTear.
Καλά Χριστούγεννα και καλές γιορτές σε όλους! Οι γιορτινές ημέρες είναι εδώ και ακόμα και οι δημιουργοί των Ransomware κάνουν διάλειμμα... Αυτήν την εβδομάδα που πέρασε, είχαμε πολύ λίγα στελέχη να διασπείρονται και ελάχιστες επιμολύνσεις, κάτι που πάντα είναι καλό νέο. Τα κυριότερα νέα αφορούν την επίσημη τοποθέτηση της κυβέρνησης των ΗΠΑ μέσω της οποίας κατονομάζει την Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry, ο οποίος είχε σπείρει το χάος σε όλο τον κόσμο το Μάιο που μας πέρασε. Επίσης, είχαμε συλλήψεις ατόμων που σχετίζονται με την διασπορά του Cerber και του CTB-Locker. Ας τα δούμε αναλυτικά:
Έχετε Bitcoin? Διαβάζετε "κάπου" για ένα λογισμικό που θα πολλαπλασιάσει τα Bitcoin σας και το κατεβάζετε. Προφανώς δεν είστε και πολύ μέσα στα πράγματα, γιατί αλλιώς θα γνωρίζατε ότι τα Bitcoin δεν πολλαπλασιάζονται έτσι απλά... Κατεβάζετε, λοιπόν το Bitcoin-x2 κολλάτε έναν περιποιημένο Ransomware και μετά ξοδεύετε τα Bitcoin σας σε λύτρα..
Συλλήψεις για τον CTB-Locker και τον Cerber (vid)
Οι αρχές της Ρουμανίας συνέλαβαν πέντε άτομα με τις κατηγορίες της διασποράς email με παγιδευμένα επισυναπτόμενα, προσπαθώντας να μολύνουν χρήστες με τον CTB-Locker και τον Cerber.
Οι αρχές ανακοίνωσαν ότι πρόκειται για διανομείς των Ransomware και όχι για τους δημιουργούς. Οι συλληφθέντες χρησιμοποιούσαν RaaS (Ransomware As A Service) και έστελναν αρχεία που έμοιαζαν με τιμολόγια προκειμένουν να μολύνουν χρήστες και να απαιτήσουν λύτρα. Από τα χρήματα που εισέπρατταν, το 30% πήγαινε στο RaaS.
Παρακάτω είναι ένα βίντεο από την εισβολή της αστυνομίες σε διάφορες τοποθεσίες και από τις αντίστοιχες συλλήψεις.
Ο Λευκός Οίκος κατηγορεί επίσημα την Βόρεια Κορέα για τη διασπορά του WannaCry.
Ο υπεύθυνος ασφαλείας των ΗΠΑ Thomas Bossert σε δήλωσή του στη Wall Street Journal, κατονόμασε τη Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry που προκάλεσε παγκόσμιο χάος τον Μάιο που μας πέρασε. Μπορείτε να διαβάσετε στο παραπάνω λινκ αναλυτικά τη δήλωση.
ΝΕA ΣΤΕΛΕΧΗ του RSAUtil Ransomware
Δύο νέα στελέχη του RSAUtil είχαμε αυτήν την εβδομάδα, το ένα από αυτά
Πολλά μικρά στελέχη εμφανίστηκαν την προηγούμενη εβδομάδα και ήταν αυτά που μας κίνησαν το ενδιαφέρον. Είχαμε όμως και μερικές μεγάλες ιστορίες, με τον HC7 o οποίος στοχεύει και χτυπάει ολόκληρα δίκτυα μέσω Remote Desktop, είχαμε τον StorageCrypt στον οποίο είχαμε αναφερθεί και την προηγούμενη εβδομάδα που χτυπάει κουτιά NAS μέσω SambaCry και είχαμε και τους Η/Υ της κομητείας του Mecklenburg στην Βόρεια Καρολίνα των ΗΠΑ να μολύνονται με τον LockCrypt. Ας τα δούμε αναλυτικά:
ΝΕΟΣ Ransomware: Napoleon
Αυτός βασίζεται στον Blind και τοποθετεί την επέκταση .napoleon στα κρυπτογραφημένα αρχεία. ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!
ΝΕΟΣ Ransomware: Eternity
O Karsten Hahn ανακάλυψε έναν υπό κατασκευή Ransomware, βασισμένο στον Stupid Ransomware, ο οποίος κρασάρει λόγω ενός αρχείου ήχου που λείπει. Τοποθετεί την επέκταση .eTeRnItY στα κρυπτογραφημένα αρχεία. ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!
Είχαμε αυξημένη δραστηριότητα την προηγούμενη εβδομάδα στον τομέα των Ransomware. Είχαμε πολλά μικρά και μεγαλύτερα στελέχη να κάνουν την εμφάνισή τους. Είχαμε έναν ακόμα νέο CryptoMix, έναν νέο BTCWare και καμπάνιες διασποράς του GlobeImposter και του Sigma. Είχαμε όμως και μερικές επιτυχίες με εξέυρεση λύσεων για κάποια στελέχη :-) Ας τα δούμε αναλυτικά:
ΝΕΟΣ CryptON διασπείρεται μέσω KeyGen
Για εσάς που ζείτε τη ζωή στα άκρα και ψάχνετε να βρείτε σπαστήρια για εφαρμογές με σκοπό να μη πληρώσετε τις άδειες των εφαρμογών αυτών και κατεβάζετε τα λεγόμενα KeyGenerators, τώρα έχετε πρόβλημα (άλλο ένα). Κυκλοφόρησε ένας CryptOn ο οποίος παριστάνει ότι πρόκειται για KeyGen του γνωστού λογισμικού ανάκτησης δεδομένων EaseUS Data Recovery. Έτσι, θέλετε να πειραματιστείτε μόνοι σας προσπαθώντας να ανακτήσετε μόνοι σας τα αρχεία που διαγράψατε. Κατεβάζετε το EaseUS αλλά δεν θέλετε να το πληρώσετε κιόλας. Ψάχνετε να βρείτε σπαστήρι. Βρίσκετε και κατεβάζετε αυτό:
Πατάτε Generate και γίνεται αυτό:
Ευτυχώς για εσάς, έχουμε βρει λύση ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!
Βρήκαμε λύση για τον HC6/Fucku
Και ο HC6 μας απασχόλησε αυτήν την εβδομάδα, και βρήκαμε λύση! ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!
Τι συμβαίνει με τον Halloware, ποιος είναι ο Luc1f3r? Τεχνική ανάλυση!
Αυτήν την εβδομάδα είχαμε κυρίως μικρά στελέχη Ransomware να κάνουν την εμφάνισή τους. Μας κίνησαν το ενδιαφέρον δύο παραλλαγές του CryptoMix και ένα υπό κατασκευή Ransomware που δημιουργήθηκε για να επιτεθεί σε συγκεκριμένο σχολείο της Αμερικής. Ας τα δούμε αναλυτικά:
Νέος Jigsaw Ransomware: Pabluklocker
O Michael Gillespie ανακάλυψε ένα strain του φίλου μας του Jigsaw που τοποθετεί την επέκταση .##ENCRYPTED_BY_pabluklocker## στα κρυπτογραφημένα αρχεία, και χρησιμοποιεί ένα σωρό εικόνες...
Νέος Ransomware: CyberPolice
Tην Τρίτη εμφανίστηκε ο πρώτος HiddenTear αυτής της εβομάδας. Τοποθετεί την επέκταση .locked. Απο πρωτοτυπία σκίζουμε, ε?
Κυρίως μικρά ανόητα variants για αυτήν την εβδομάδα, όμως είχαμε μερικές ενδιαφέρουσες ιστορίες. Η μεγαλύτερη ήταν ένα νέο στέλεχος του Crysis/Dharma. Είχαμε επίσης ένα wiper που παριστάνει το Ransomware και επιτίθεται σε επιχειρήσεις στη Γερμανία, ενώ είχαμε και την είδηση ότι hackers χρησιμοποιήσαν απομακρυσμένη πρόσβαση για να εγκαταστήσουν τον LockCrypt σε εταιρικούς Η/Υ. Ας τα δούμε αναλυτικά:
Νέος Ransomware: Curumim
Mε HiddenTear ξεκινάμε και αυτήν την εβδομάδα, την περασμένη Δευτέρα εμφανίστηκε αυτός ο οποίος ονομάζεται Curumim και αυτή είναι και η επέκταση που τοποθετεί στα κρυπτογραφημένα αρχεία. Μας έρχεται από την Πορτογαλία.
Νέa εκδοση του Xiaoba
Την Τρίτη, ο Karsten Hahn ανακάλυψε μία καινούργια έκδοση του Xiaoba, η οποία ζητάει $37.696 σε Bitcoin και κλειδώνει την οθόνη.
