Εμφάνιση αναρτήσεων με ετικέτα ransomware. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα ransomware. Εμφάνιση όλων των αναρτήσεων

Τετάρτη, 22 Μαΐου 2019

New HDD stock arrived in Athen's and Thessaloniki's laboratories


We now have more than 20.000 HDDs in stock.

This helps us have a better control over our spare parts inventory for an urgent job, it minimizes costs and speeds up the procedures for Data Recovery.










Δευτέρα, 17 Δεκεμβρίου 2018

Τα νέα των Ransomware, 17/12/2018

Παραδοσιακά, οι μέρες πριν από τα Χριστούγεννα είναι πάντα πιο ήσυχες στον τομέα των Ransomware, πιθανώς λόγω του γεγονότος ότι πολύς κόσμος μετακινείται για τις γιορτές και πολλές εταιρίες υπολειτουργούν.

Είχαμε νέα στελέχη Dharma και Scarab κλασικά, ενώ είχαμε και ανησυχητική εξέλιξη στον τομέα του Sextortion.

Ας τα δούμε αναλυτικά:

Sextortion tactics

Ανησυχητικές διαστάσεις παίρνει η τακτική του sextortion, μέσω τις οποίας οι κυβερνο-εκβιαστές αποκομίζουν μεγάλα χρηματικά ποσά.


Τι είναι το sextortion?


Το υποψήφιο θύμα λαμβάνει ένα email στο οποίο αναφέρεται ότι έχει πιαστεί επαυτοφόρω να παρακολουθεί ιστοσελίδες με πορνογραφικό περιεχόμενο (μερικές φορές αναφέρουν και παιδική πορνογραφία). Γίνεται λόγος για χρήση της κάμερας του Η/Υ του θύματος, μέσω της οποίας έχουν αποδεικτικά της ... "δράσης" του θύματος και απειλούν να δημοσιεύσουν φωτογραφίες του σε προσωπικές στιγμές την ώρα που παρακολουθούν το πορνογραφικό περιεχόμενο.
Φυσικά, τίποτα από αυτά δεν υφίσταται.


Τον τελευταίο καιρό έχει εξελιχθεί η τακτική τους και έχει γίνει εξυπνότερη. 
Στοχεύουν σε θύματα των οποίων το email και ο κωδικός του έχουν διαρρεύσει και αποστέλλουν το παρακάτω email.



To κείμενο είναι το εξής:

Hello!

I have very bad news for you.
09/08/2018 - On this day, I got access to your OS and gained complete control over your system. **@gmail.com
On this day your account **@gmail.com has password: XXXX

How I made it:

In the software of the router, through which you went online, was avulnerability.
I just got into the router and got root rights and put my malicious code on it. 
When you went online, my trojan was installed on the OS of your device.

After that, I made a full dump of your (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I'm talk you about sites for adults.

I want to say - you are a BIG pervert. Your fantasy is shifted far away from the nromal course!

And i got an idea....
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!

As proof of my words, I made a video presentation in Power Point.
And laid out in a private cloud, look You can copy the link below and paste it into the browser.

https://google.com/url?Q=[url here]

I'm know that you would like to show these screenshots to your friends, relatives or colleagues.
I think #381 is a very, very small amount for my silence.
Besides, I have been spying on your for so long, having spect a lot of time!

Πολλά, λοιπόν, από τα θύματα θα προσπαθήσουν να κατεβάσουν το βίντεο που αποτελεί "απόδειξη" των πράξεών τους, με αποτέλεσμα να επιμολυνθούν με δύο διαφορετικά κακόβουλα λογισμικά:

Αρχικά με τον Azorult, μέσω του οποίου -πραγματικά αυτή τη φορά- αποσπούν προσωπικά στοιχεία όπως συνθηματικά πρόσβασης, ιστορικά συνομιλιών κλπ,
και στη συνέχεια επιμολύνονται με GandCrab και κρυπτογραφούνται τα δεδομένα τους.


Άλλη μία απόδειξη ότι πρέπει να δείχνουμε μεγάλη προσοχή σε ποια λινκ πατάμε!

Νέος GlobeImposter - EQ

Toποθετεί την επέκταση .fuck. Όχι κάτι παραπάνω καινούργιο.


Νέος Gerber 

Mετά τους Gerber1, 3 & 5 που αναφέραμε την προηγούμενη εβδομάδα, είχαμε άλλον έναν αυτήν την εβδομάδα με τον .FJ7QvaR9VUmi


Νέος Dharma - Santa

Στο κλίμα των ημερών, νέος Dharma με επέκταση .santa. Τίποτα απολύτως το καινούργιο.




Δευτέρα, 2 Απριλίου 2018

Τα νέα των Ransomware, 2/4/2018

Κυρίως μικρά στελέχη για αυτήν την εβδομάδα. Είχαμε ένα νέο Cryptomix, ένα wiper που ονομάζεται UselessDisk και μεταμφιέζεται σε Ransomware και μία εντελώς περίεργη είδηση (?) ότι η Boeing μολύνθηκε από τον WannaCry. 

Ας τα δούμε αναλυτικά:

Ο UselessDisk (ή αλλιώς Diskwriter) είναι wiper?

Ένας νέος bootlocker που ονομάζεται Diskwriter ή Uselessdisk, εμφανίστηκε στην αρχή της προηγούμενης εβδομάδας. Αυτός τροποποιεί το MBR (Master Boot Record), ώστε να εμφανίζει το παρακάτω Ransom Note όταν κάνει επανεκκίνηση  ο Η/Υ, και δεν μπαίνει στα Windows. Ζητάει $300 σε Bitcoins. Επειδή δεν βλέπουμε κανέναν απολύτως τρόπο να μπορεί να επανέρθει ο Η/Υ στην προηγούμενη κατάσταση, ακόμα και αν κάποιος πληρώσει τα λύτρα, τον θεωρούμε wiper. 



Αναστάτωση με την Boeing - μολύνθηκε από WannaCry?

Στα "τρελά" νέα της εβδομάδας, βγήκε η είδηση ότι η Boeing μολύνθηκε από τον WannaCry. Και λέμε "τρελή" γιατί ο WannaCry θεωρείται πλέον παλιά ιστορία και από το καλοκαίρι που μας πέρασε δεν έχει εμφανιστεί κανένα κρούσμα. 



Όλα ξεκίνησαν από ένα memo που έστειλε ο Mike VanderWel, επικεφαλής μηχανικός των αεροσκαφών Boeing, το οποίο
 σύμφωνα με την Seattle Times :

“It is metastasizing rapidly out of North Charleston and I just heard 777 (automated spar assembly tools) may have gone down,” VanderWel wrote, adding that he’s concerned the virus will hit equipment used in functional tests of airplanes ready to roll out and potentially “spread to airplane software.”


To πιο πιθανό πάντως είναι να πρόκειται για κάποιο από τα χιλιάδες Ransomware που εμφανίστηκαν και μιμούνται τον WannaCry. 

Αργότερα, στο twitter της Boeing εμφανίστηκε αυτό το Tweet:



Nέος Ransomware - EggLocker

Είναι υπό κατασκευή, δεν επηρεάζει τα ονόματα αρχείων -προς το παρόν μάλλον-

Δευτέρα, 5 Φεβρουαρίου 2018

Τα νέα των Ransomware, 5/2/2018

Θυμάστε την προηγούμενη εβδομάδα που αναφέραμε ότι χτυπήθηκε η πόλη του Farmington στο New Mexico των ΗΠΑ? Well, that escalated quickly, αφού είχαμε και άλλες επιθέσεις...
Είχαμε επίσης μια ενδιαφέρουσα εβδομάδα σε γενικές γραμμές, με τον GandCrab να διανέμεται μέσω exploit kits και κάποια TOR Gateways τα οποία έκλεψαν χρήματα από ransomware developers!


Ας τα δούμε αναλυτικά:



Νέος Ransomware - GandCrab

To προηγούμενο Σαββατοκύριακο εμφανίστηκε αυτός, οριακά δεν προλάβαμε να τον αναφέρουμε στα νέα της προηγούμενης εβδομάδας.
Η καινοτομία του είναι ότι δέχεται πληρωμή μόνο σε DASH, πιθανώς λόγω του ότι το DASH είναι φτιαγμένο με απόλυτο σκοπό την πλήρη ανωνυμία.
Τοποθετεί την επέκταση .GDCB.







Tor-to-Web Proxy κλέβει Ransomware Developers, όπως λέμε ο κλέψας του κλέψαντος...

Μία απίστευτη ιστορία έλαβε χώρα τη Δευτέρα που μας πέρασε, αφού εντοπίστηκε τουλάχιστον ένα Tor Proxy service να αντικαθιστά τις διευθύνσεις Bitcoin από πληρωμές Ransomware, μεταφέροντας ουσιαστικά τις πληρωμές των λύτρων, σε άλλο wallet!


To Tor Proxy Service είναι μία υπηρεσία που επιτρέπει στους χρήστες να επισκεφτούν τις .onion σελίδες του Tor, χωρίς την εγκατάσταση του αντίστοιχου Tor browser.

Πιο συγκεριμένα, σε κάποιες περιπτώσεις τα Ransomware εμφανίζουν τόσο τη διεύθυνση Tor για την πληρωμή των λύτρων, όσο και εναλλακτικές Tor-to-web διευθύνσεις, για την περίπτωση που το θύμα δεν έχει τις τεχνικές λεπτομέρειες για να εγκαταστήσει Tor κλπ.

Μία τέτοια υπηρεσία είναι το onion.top, το οποίο στο παρασκήνιο σκάναρε το Dark Web για σελίδες που περιέχουν διευθύνσεις που μοιάζουν με Bitcoin wallets, και τις αντικαθιστούσαν με δικές τους, με αποτέλεσμα τα θύματα να πληρώνουν λύτρα και τα χρήματα να πηγαίνουν στο onion.top!


Ήδη ο LockeR Ransomware, ο Sigma και ο GlobeImposter έχουν πέσει θύματα, με τον LockeR να εμφανίζει και προειδοποιητικό μήνυμα..


Υπολογίζεται ότι τα μέχρι στιγμής κέρδη τους είναι περίπου $44.000.

Σχολείο στην Νότια Καρολίνα, θύμα Ransomware

Ενα σχολείο στην Νότια Καρολίνα, στο Chester County, έπεσε θύμα Ransomware την προηγούμενη Δευτέρα. Όπως αναφέρθηκε,

Chester County School District posted on its Facebook page Monday that ransomware hit the district’s servers over the weekend. The post went on to say that no data has been taken or breached, and it has a specialist on site to assist the district.

Δευτέρα, 15 Ιανουαρίου 2018

Τα νέα των Ransomware, 15/1/2018


Άλλη μία εβδομάδα με λίγα πράγματα στον τομέα των Ransomware -κάτι που είναι πάντα καλό νέο- με μόνο μικρές παραλλαγές και ανούσια νέα στελέχη.

Τα κυριότερα νέα αφορούν τον HC7, ο οποίος είναι ο πρώτος Ransomware που δέχεται ως πληρωμή το κρυπτονόμισμα Ethereum. 


Ας τα δούμε αναλυτικά:


Nέος Jigsaw, NSFW

Δευτέρα πρωί-πρωί εμφανίστηκε ένας νέος Jigsaw ο οποίος είναι NSFW (Not Safe For Work) καθώς περιέχει γυμνές φωτογραφίες (εμείς "λογοκρίναμε" την παρακάτω φώτο). Είναι σε δοκιμαστικό στάδιο με hardcoded κωδικό (είναι χαρακτηριστικό ότι ζητάει 100 εκατομμύρια δολάρια σε λύτρα...). 




Νεος HC7 - Planetary

Tην Τρίτη εμφανίστηκε ένας νέος HC7 ο οποίος τοποθετεί την επέκταση .PLANETARY στα κρυπτογραφημένα αρχεία.
Αυτό που τον κάνει μοναδικό είναι ότι είναι ο πρώτος που δέχεται ως τρόπο πληρωμής το κρυπτονόμισμα Ethereum.
Φυσικά κάνουν δεκτά και Bitcoin και Monero, μην αφήσουν κανέναν παραπονεμένο.



ALL FILES ARE ENCRYPTED. 
TO RESTORE, YOU MUST SEND $700 EQUIVALENT FOR ONE COMPUTER
OR $5,000 FOR ALL NETWORK
PAYMENTS ACCEPTED VIA BITCOIN, MONERO AND ETHEREUM
BTC ADDRESS: [bitcoin_address]
MONERO (XMR) ADDRESS: [monero_address]
CONTACT US WHEN ETHEREUM PAYMENT INFORMATION
BEFORE PAYMENT SENT EMAIL m4rk0v@tutanota.de
ALONG WITH YOUR IDENTITY: [base64_encoded_computer_name]
INCLUDE SAMPLE ENCRYPTED FILE FOR PROOF OF DECRYPT


NOT TO SHUT OFF YOUR COMPUTER, UNLESS IT WILL BREAK


Ποιος είναι πάλι αυτός?

Ο d.koporushkin είναι κάποιος που θα έπρεπε να ξέρουμε?
Γιατί σε αυτόν τον "Ransomware", εμφανίζεται το όνομα αυτό σε ένα αρχείο. Και βάζουμε το Ransomware σε εισαγωγικά γιατί ο εν λόγω δεν κρυπτογραφεί (προς το παρόν), αν και είναι φτιαγμένος για κάτι τέτοιο. Πάντως, υποκλέπτει δεδομένα, τα κρυπτογραφεί με hardcoded κωδικό και random αλάτι και τα ανεβάζει σε ένα ftp. Είναι βασισμένος στον HiddenTear.





Τρίτη, 26 Δεκεμβρίου 2017

Τα Χριστουγεννιάτικα νέα των Ransomware, 25/12/2017

Καλά Χριστούγεννα και καλές γιορτές σε όλους!

Οι γιορτινές ημέρες είναι εδώ και ακόμα και οι δημιουργοί των Ransomware κάνουν διάλειμμα...
Αυτήν την εβδομάδα που πέρασε, είχαμε πολύ λίγα στελέχη να διασπείρονται και ελάχιστες επιμολύνσεις, κάτι που πάντα είναι καλό νέο.

Τα κυριότερα νέα αφορούν την επίσημη τοποθέτηση της κυβέρνησης των ΗΠΑ μέσω της οποίας κατονομάζει την Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry, ο οποίος είχε σπείρει το χάος σε όλο τον κόσμο το Μάιο που μας πέρασε.
Επίσης, είχαμε συλλήψεις ατόμων που σχετίζονται με την διασπορά του Cerber και του CTB-Locker.

Ας τα δούμε αναλυτικά:


Ψεύτικος πολλαπλασιαστής Bitcoin εγκαθιστά Ransomware

Έχετε Bitcoin? Διαβάζετε "κάπου" για ένα λογισμικό που θα πολλαπλασιάσει τα Bitcoin σας και το κατεβάζετε. Προφανώς δεν είστε και πολύ μέσα στα πράγματα, γιατί αλλιώς θα γνωρίζατε ότι τα Bitcoin δεν πολλαπλασιάζονται έτσι απλά...
Κατεβάζετε, λοιπόν το Bitcoin-x2 κολλάτε έναν περιποιημένο Ransomware και μετά ξοδεύετε τα Bitcoin σας σε λύτρα..





Συλλήψεις για τον CTB-Locker και τον Cerber (vid)

Οι αρχές της Ρουμανίας συνέλαβαν πέντε άτομα με τις κατηγορίες της διασποράς email με παγιδευμένα επισυναπτόμενα, προσπαθώντας να μολύνουν χρήστες με τον CTB-Locker και τον Cerber.

Οι αρχές ανακοίνωσαν ότι πρόκειται για διανομείς των Ransomware και όχι για τους δημιουργούς. Οι συλληφθέντες χρησιμοποιούσαν RaaS (Ransomware As A Service) και έστελναν αρχεία που έμοιαζαν με τιμολόγια προκειμένουν να μολύνουν χρήστες και να απαιτήσουν λύτρα.
Από τα χρήματα που εισέπρατταν, το 30% πήγαινε στο RaaS.


Παρακάτω είναι ένα βίντεο από την εισβολή της αστυνομίες σε διάφορες τοποθεσίες και από τις αντίστοιχες συλλήψεις.



Ο Λευκός Οίκος κατηγορεί επίσημα την Βόρεια Κορέα για τη διασπορά του WannaCry.

Ο υπεύθυνος ασφαλείας των ΗΠΑ Thomas Bossert σε δήλωσή του στη Wall Street Journal, κατονόμασε τη Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry που προκάλεσε παγκόσμιο χάος τον Μάιο που μας πέρασε. Μπορείτε να διαβάσετε στο παραπάνω λινκ αναλυτικά τη δήλωση.


ΝΕA ΣΤΕΛΕΧΗ του RSAUtil Ransomware

Δύο νέα στελέχη του RSAUtil είχαμε αυτήν την εβδομάδα, το ένα από αυτά

Σάββατο, 9 Δεκεμβρίου 2017

Τα νέα των Ransomware, 11/12/2017

Πολλά μικρά στελέχη εμφανίστηκαν την προηγούμενη εβδομάδα και ήταν αυτά που μας κίνησαν το ενδιαφέρον.
Είχαμε όμως και μερικές μεγάλες ιστορίες, με τον HC7 o οποίος στοχεύει και χτυπάει ολόκληρα δίκτυα μέσω Remote Desktop, είχαμε τον StorageCrypt στον οποίο είχαμε αναφερθεί και την προηγούμενη εβδομάδα που χτυπάει κουτιά NAS μέσω SambaCry και είχαμε και τους Η/Υ της κομητείας του Mecklenburg στην Βόρεια Καρολίνα των ΗΠΑ να μολύνονται με τον LockCrypt.

Ας τα δούμε αναλυτικά:



ΝΕΟΣ Ransomware: Napoleon

Αυτός βασίζεται στον Blind και τοποθετεί την επέκταση .napoleon στα κρυπτογραφημένα αρχεία.
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!








ΝΕΟΣ Ransomware: Eternity

O Karsten Hahn ανακάλυψε έναν υπό κατασκευή Ransomware, βασισμένο στον Stupid Ransomware, ο οποίος κρασάρει λόγω ενός αρχείου ήχου που λείπει.
Τοποθετεί την επέκταση .eTeRnItY στα κρυπτογραφημένα αρχεία.

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!





ΝΕΟΣ Ransomware: Jcoder (variant)

Σάββατο, 2 Δεκεμβρίου 2017

Τα νέα των Ransomware, 2/12/2017

Είχαμε αυξημένη δραστηριότητα την προηγούμενη εβδομάδα στον τομέα των Ransomware. Είχαμε πολλά μικρά και μεγαλύτερα στελέχη να κάνουν την εμφάνισή τους. Είχαμε έναν ακόμα νέο CryptoMix, έναν νέο BTCWare και καμπάνιες διασποράς του GlobeImposter και του Sigma.
Είχαμε όμως και μερικές επιτυχίες με εξέυρεση λύσεων για κάποια στελέχη :-)


Ας τα δούμε αναλυτικά:



ΝΕΟΣ CryptON διασπείρεται μέσω KeyGen

Για εσάς που ζείτε τη ζωή στα άκρα και ψάχνετε να βρείτε σπαστήρια για εφαρμογές με σκοπό να μη πληρώσετε τις άδειες των εφαρμογών αυτών και κατεβάζετε τα λεγόμενα KeyGenerators, τώρα έχετε πρόβλημα (άλλο ένα).
Κυκλοφόρησε ένας CryptOn ο οποίος παριστάνει ότι πρόκειται για KeyGen του γνωστού λογισμικού ανάκτησης δεδομένων EaseUS Data Recovery. 

Έτσι, θέλετε να πειραματιστείτε μόνοι σας προσπαθώντας να ανακτήσετε μόνοι σας τα αρχεία που διαγράψατε. 
Κατεβάζετε το EaseUS αλλά δεν θέλετε να το πληρώσετε κιόλας.
Ψάχνετε να βρείτε σπαστήρι.
Βρίσκετε και κατεβάζετε αυτό:



Πατάτε Generate και γίνεται αυτό:








Ευτυχώς για εσάς, έχουμε βρει λύση ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!





Βρήκαμε λύση για τον HC6/Fucku

Και ο HC6 μας απασχόλησε αυτήν την εβδομάδα, και βρήκαμε λύση!
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!



Τι συμβαίνει με τον Halloware, ποιος είναι ο Luc1f3r? Τεχνική ανάλυση!

Σάββατο, 18 Νοεμβρίου 2017

Τα νέα των Ransomware, 19/11/2017

Αυτήν την εβδομάδα είχαμε κυρίως μικρά στελέχη Ransomware να κάνουν την εμφάνισή τους.
Μας κίνησαν το ενδιαφέρον δύο παραλλαγές του CryptoMix και ένα υπό κατασκευή Ransomware που δημιουργήθηκε για να επιτεθεί σε συγκεκριμένο σχολείο της Αμερικής.


Ας τα δούμε αναλυτικά:



Νέος Jigsaw Ransomware: Pabluklocker 

O Michael Gillespie ανακάλυψε ένα strain του φίλου μας του Jigsaw που τοποθετεί την επέκταση .##ENCRYPTED_BY_pabluklocker## στα κρυπτογραφημένα αρχεία, και χρησιμοποιεί ένα σωρό εικόνες...


Νέος Ransomware: CyberPolice

Tην Τρίτη εμφανίστηκε ο πρώτος HiddenTear αυτής της εβομάδας. Τοποθετεί την επέκταση .locked. Απο πρωτοτυπία σκίζουμε, ε? 

Νέος Ransomware: Stroman

Aυτός τοποθετεί την ενδιαφέρουσα επέκταση

Σάββατο, 11 Νοεμβρίου 2017

Τα νέα των Ransomware, 13/11/2017

Κυρίως μικρά ανόητα variants για αυτήν την εβδομάδα, όμως είχαμε μερικές ενδιαφέρουσες ιστορίες.
Η μεγαλύτερη ήταν ένα νέο στέλεχος του Crysis/Dharma. Είχαμε επίσης ένα wiper που παριστάνει το Ransomware και επιτίθεται σε επιχειρήσεις στη Γερμανία, ενώ είχαμε και την είδηση ότι hackers χρησιμοποιήσαν απομακρυσμένη πρόσβαση για να εγκαταστήσουν τον LockCrypt σε εταιρικούς Η/Υ.


Ας τα δούμε αναλυτικά:



Νέος Ransomware: Curumim

Mε HiddenTear ξεκινάμε και αυτήν την εβδομάδα, την περασμένη Δευτέρα εμφανίστηκε αυτός ο οποίος ονομάζεται Curumim και αυτή είναι και η επέκταση που τοποθετεί στα κρυπτογραφημένα αρχεία. Μας έρχεται από την Πορτογαλία.


Νέa εκδοση του Xiaoba

Την Τρίτη, ο Karsten Hahn ανακάλυψε μία καινούργια έκδοση του Xiaoba, η οποία ζητάει $37.696 σε Bitcoin και κλειδώνει την οθόνη. 

Νέος Ransomware: Zika

...και με HiddenTear θα συνεχίσουμε.

Δευτέρα, 30 Οκτωβρίου 2017

Τα νέα των Ransomware 29/10/2017

Είχαμε πολλή δραστηριότητα στους Ransomware την εβδομάδα που μας πέρασε, ξεχωρίζουν ο πρώτος Ελληνικός Ransomware, το ξέσπασμα του Bad Rabbit (που χτύπησε και την Ελλάδα) και τον Tyrant που σάρωσε εταιρίες και οργανισμούς στο Ιραν.

Κατά τ' άλλα, είχαμε πολλά μικρά στελέχη που έκαναν την εμφάνισή τους.

Ας τα δούμε αναλυτικά:


Kerkoporta - Το πρώτο ελληνικό Ransomware

Να τα μας... Αυτό προς το παρόν έχει περισσότερο το χαρακτήρα RAT (Remote Access Trojan) και Screenlocker. Μοιάζει να είναι σε δοκιμαστική έκδοση. Προς το παρόν μόνο μετονομάζει αρχεία.


Νέος Ransomware: Ordinal

Φυσικά είναι HiddenTear. Τοποθετεί την επέκταση .Ordinal.

Τετάρτη, 25 Οκτωβρίου 2017

ΝΕΟ ΞΕΣΠΑΣΜΑ RANSOMWARE



O Bad Rabbit χτυπάει την Ανατολική Ευρώπη!

Θύματα και στην Ελλάδα!



Ένα νέο στέλεχος ονόματι Bad Rabbit σπέρνει πανικό στην Ανατολική Ευρώπη, επηρεάζοντας τόσο κυβερνητικές υπηρεσίες, όσο και διάφορες εταιρίες και οργανισμούς.

Τη στιγμή που γράφονται αυτές οι γραμμές, το Ransomware αυτό έχει χτυπήσει χώρες όπως η Ελλάδα, η Ρωσία, η Ουκρανία, η Βουλγαρία και η Τουρκία, κυρίως όμως έχει επηρεαστεί η Ρωσία και η Ουκρανία.

Ήδη έχει επαληθευτεί από διάφορες πηγές ότι το Υπουργείο Υποδομών της Ουκρανίας, το Μετρό του Κιέβου, το αεροδρόμιο της Odessa στην Ουκρανία καθώς και τρείς δημοσιογραφικοί οργανισμοί στη Ρωσία (μεταξύ αυτών η Interfax και η Fontanka) έχουν χτυπηθεί από τον Bad Rabbit.
Οι υπηρεσίες ασφαλείας της Ουκρανίας έχουν εκδόσει προειδοποιητικό μήνυμα προς τις εταιρίες και τους οργανισμούς του ιδιωτικού τομέα να είναι ιδιαίτερα προσεκτικοί.


Η ταχύτητα με την οποία εξαπλώνεται ο Bad Rabbit είναι παραπλήσια με την αντίστοιχη των WannaCry και NotPetya που είχαν χτυπήσει το Μάιο και τον Ιούνιο αντίστοιχα.


O Bad Rabbit διανέμεται μέσω ψεύτικου Flash update

H ESET και η Proofpoint λένε ότι ο Bad Rabbit αρχικά διανέμονταν μέσω ψεύτικης ενημέρωσης του λογισμικού Flash. Όμως, το Ransomware φαίνεται πως είχε ενσωματωμένα εργαλεία τα οποία τα βοήθησαν να εξαπλωθεί τόσο γρήγορα.

Σε αναφορά της Kaspersky, η εταιρία ισχυρίζεται πως "το Ransomware (είχε) διανεμηθεί με τυχαίο τρόπο" και "τα θύματα κατευθύνθηκαν προς την ιστοσελίδα που κατείχε την ψεύτικη ενημέρωση του Flash από νόμιμες ειδησεογραφικές ιστοσελίδες".

Βάσει των αναλύσεων των ESET, Emsisoft και Fox-IT, ο Bad Rabbit χρησιμοποεί το

Σάββατο, 21 Οκτωβρίου 2017

Τα νέα των Ransomware, 21/10/2017


Και αυτήν την εβδομάδα είχαμε αρκετά μικρά στελέχη να εμφανίζονται ή να επανεμφανίζονται, τα μεγάλα νέα όμως ήταν η εμφάνιση του Magniber και η χρήση του Hermes Ransomware σαν βιτρίνα για τη ληστεία σε μία τράπεζα στην Ταϊβάν. 

Ας τα δούμε αναλυτικά:

ΒορειοΚορεάτες πίσω από τη ληστεία τράπεζας στην Ταϊβάν

Μην φανταστείτε ότι μπήκαν με όπλα και ζήτησαν από τους υπαλλήλους να αδειάσουν τα ταμεία.
Η ιστορία έχει ως εξής, και είναι ιδιαίτερα ενδιαφέρουσα:

Πίσω από τη ληστεία, σύμφωνα με όλες τις ενδείξεις, κρύβεται η σπείρα Lazarous Group, μία ομάδα hackers από τη Βόρεια Κορέα.

Στις αρχές του μήνα, υπεύθυνοι της τράπεζες FEIB (Far Eastern International Bank) στην Ταϊβάν, ανακάλυψαν ότι έχει γίνει παραβίαση στα συστήματα της τράπεζας. Η παραβίαση είχε ως στόχο τη μεταφορά 60 εκατομμυρίων δολλαρίων (!) σε τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.


Οι επιτιθέμενοι έστειλαν email με παγιδευμένα αρχεία Word και Excel σε εργαζόμενους της τράπεζας. Τα αρχεία αυτά, με το άνοιγμά τους, εγκαθιστούσαν το ζητούμενο Malware. Στη συνέχεια, χρησιμοποιώντας SMB μπήκαν πρακτικά στο δίκτυο της τράπεζας.

Αφού χαρτογράφησαν το δίκτυο της τράπεζας και στόχευσαν Η/Υ που κατείχαν ευαίσθητο υλικό, τους έστειλαν άλλο malware το οποίο είχαν φτιάξει οι ίδιοι. Αυτή η επίθεση συνέβη την 1/10/17.


Στις 3/10, οι Lazarus χρησιμοποίησαν το συνθηματικό πρόσβασης ενός υπαλλήλου της τράπεζας και απέκτησαν πρόσβαση στον λογαριασμό SWIFT. Έτσι, έστειλαν χρήματα σε διαφορετικές τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.
Εκεί έγινε και το λάθος των Lazarus, που οδήγησε στην αποκάλυψη της παραβίασης από την τράπεζα: Χρησιμοποίησαν τους κωδικούς συναλλαγής MT103 και MT202COV, όμως τους τελευταίους τους τοποθέτησαν λανθασμένα.


Μόλις η FEIB ανακάλυψε την παραβίαση, οι Lazarus εξαπέλησαν στο δίκτυο της τράπεζας τον Hermes Ransomware με σκοπό να κρυπτογραφήσουν και να καταστρέψουν τα αποδεικτικά στοιχεία της εισβολής τους.

Να πούμε ότι ο Hermes είναι ένας Ransomware που κυκλοφόρησε το Φεβρουάριο και λίγο αργότερα βρέθηκε λύση και μπόρεσε να αποκρυπτογραφηθεί. Όμως, οι δημιουργοί του έφτιαξαν λίγο αργότερα την έκδοση 2.0, για την οποία δεν υπάρχει λύση παγκοσμίως.


Οι Lazarus πάντως δεν εξαπέλησαν την έκδοση 2.0, αλλά μία τροποποιημένη έκδοσή της. Αντί να αφήνει αυτό, που είναι το κλασικό Ransom Note του Hermes,


άφηνε ένα popup που απλά έλεγε Finish Work και ένα αρχείο "Unique_id_do_not_remove" σε κάθε φάκελο του Η/Υ.

Οι αρχές της Σρι Λάνκα ανέφεραν για το περιστατικό, ότι συνέλαβαν ένα άτομο το οποίο έκανε ανάληψη Rs30.000.000 (~$195.000) και δύο μέρες αργότερα επιχείρησε να "σηκώσςει" άλλες $52.000 που προέρχονταν από την Ταϊβάν, σε 3 διαφορετικούς λογαριασμούς σε τράπεζα της Ceylon.


Δευτέρα, 16 Οκτωβρίου 2017

Τα νεα των Ransomware, 15/10/2017


Σε σχέση με την προηγούμενη εβδομάδα που ήταν πολύ ήσυχη, αυτή είχε και πάλι αυξημένη δραστηριότητα.
Είδαμε  πολλούς νέους Ransomware, οι περισσότεροι από αυτούς είναι δοκιμαστικοί και κατά πάσα πιθανότητα δεν θα κυκλοφορήσουν ποτέ, είδαμε όμως και μία νέα έκδοση του Locky, μία νέα έκδοση του CryptoMix....
Τα μεγάλα νέα έχουν να κάνουν με τον DoubleLocker, έναν Ransomware για Android, ο οποίος χρησιμοποιεί ενδιαφέρουσες παλιές και νέες τεχνικές.

Ας τα δούμε αναλυτικά:



Καμπάνια SPAM στέλνει "βιογραφικά", προωθεί τον GlobeImposter 


Η Myonlinesecurity.co.uk κυκλοφόρησε μια ενδιαφέρουσα ανάλυση σχετικά με τα δήθεν βιογραφικά που στέλνει κάποιος ενδιαφερόμενος για εξεύρεση εργασίας, τα οποία βιογραφικά είναι της μορφής .doc και διασπείρουν τον GlobeImposter Ransomware.

Όταν κάποιος ανοίξει το επισυναπτόμενο, συνδέεται και κατεβάζει το http://89.248.169.136/bigmac.jpg, το οποίο φυσικά δεν είναι αρχείο εικόνας αλλά καμουφλαρισμένο εκτελέσιμο και συγκεκριμένα το ASdsadASd.exe. 

Μπορείτε να διαβάσετε όλη την ανάλυση εδώ.


Νέος Ransomware: LockOn

Είναι μάλλον υπό κατασκευή αλλά δουλεύει σωστά, τοποθετεί την επέκταση .lockon στα κρυπτογραφημένα αρχεία.


Δευτέρα, 9 Οκτωβρίου 2017

Τα νέα των Ransomware, 9/10/17


Ξεκινήσαμε το Μάιο του 2016 να αναλύουμε και να γράφουμε για τους Ransomware. Να τους πολεμάμε και να ψάχνουμε για αδυναμίες στον κώδικά τους με σκοπό να βρούμε λύσεις και να βοηθήσουμε όσους έχουν πέσει θύματα επιτηδείων.

Είναι η πρώτη εβδομάδα που έχουμε όλο κι όλο 6 (έξι) νέα να αναφέρουμε!


Ελπίζουμε αυτό να σημαίνει ότι οι κατασκευαστές των Ransomware να βαρέθηκαν και να σταματήσουν την δημιουργία και διασπορά τους, όμως μάλλον είναι απλά η νηνεμία πριν την καταιγίδα, δυστυχώς.


Έχουμε μία επίθεση Ransomware σε Κέντρο Υγείας και μία σε ένα δημοτικό δίκτυο του Colorado.

Ας τα δούμε αναλυτικά..


Απάτη: "Ransomware Detected"

Εμφανίστηκε αυτή η απάτη, η οποία εμφανίζει στο browser μήνυμα ότι ο υπολογιστής έχει μολυνθεί από Ransomware. Είναι η κλασική απάτη που ζητούν να καλέσει το θύμα ένα νούμερο, όπου είτε χρεώνουν τεράστια ποσά στο λογαριασμό, είτε γίνεται απευθείας συνομιλία με τους απατεώνες, οι οποίοι παριστάνουν τους ειδικούς σε θέματα ασφάλειας Η/Υ και ζητούν χρήματα για να μπουν στον Η/Υ με απομακρυσμένη σύνδεση για να "λύσουν το πρόβλημα". Φυσικά κάτι τέτοιο είναι πολύ επικίνδυνο, ΜΗ ΔΙΝΕΤΕ ΑΠΟΜΑΚΡΥΣΜΕΝΗ ΠΡΟΣΒΑΣΗ ΣΕ ΑΤΟΜΑ ΠΟΥ ΔΕΝ ΓΝΩΡΙΖΕΤΕ!



Δευτέρα, 2 Οκτωβρίου 2017

Ransomware Updates 02/10/2017


Καλημέρα, καλή εβδομάδα και καλό μήνα :)

Δεν είχαμε και πολλά πράγματα σχετικά με τους Ransomware για την εβδομάδα που μας πέρασε.

Τα κυριότερα νέα ήταν η εμφάνιση του RedBoot BootLocker και η συνεχιζόμενη επέλαση του Locky με μαζικές καμπάνιες spam.


Ας τα δούμε αναλυτικά.



Ο Redboot κρυπτογραφεί και αλλάζει το Partition Table!


Εμφανίστηκε ο RedBoot BootLocker, ο οποίος κρυπτογραφεί τα αρχεία, αντικαθιστά το MBR (Master Boot Record) και τροποποιεί το Partition Table. Τα νεα δεν είναι καλά για όποιον έχει μολυνθεί από αυτό το Ransomware, καθώς, αν και βρήκαμε τρόπο να αποκρυπτογραφήσουμε τα αρχεία, δεν είναι δυνατόν να βρούμε δομή, καθώς τόσο το MBR όσο και το Partition Table, αν και μπορούμε να τα δημιουργήσουμε ή να τα αποκαταστήσουμε, κρυπτογραφούνται εκ νέου. Δουλεύουμε στην εξεύρεση λύσης για αυτό.





Νέος Ransomware: SuperB

Αυτός έχει την πρωτοτυπία ότι μετά την κρυπτογράφηση (με την οποία τοποθετεί στα αρχεία την κατάληξη .enc), αντικαθιστά όλα τα αρχικά αρχεία του χρήστη με το Ransom Note. Να πούμε επίσης ότι είναι γραμμένο σε Python. 





Νέος ScreenLocker: John's Locker

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Ανακαλύφθηκε από τον Lawrence Abrams αυτός ο ScreenLocker ο οποίος είναι μάλλον κάποια φάρσα ή αστείο κάποιου. Πατήστε Alt+F4 για να τον κλείσετε (και προσέχετε στο εξης πού κάνετε κλικ!)




Νέος Ransomware: CryptoClone

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Εμφανίστηκε αυτός ο κακογραμμένος Ransomware ο οποίος μιμείται τον WannaCry και ονομάζεται CryptoClone. Τοποθετεί την επέκταση .crypted στα αρχεία. Έχουμε βρει λύση για αυτόν.





Νέος ScreenLocker: Anon

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Σε αυτόν δεν δώσαμε καν όνομα, γιατί δεν άξιζε τον κόπο να ασχοληθούμε μαζί του.
Βάλτε τον κωδικό qwerty και ξεκλειδώστε τον Η/Υ σας (και, ξανά, προσέχετε πού κάνετε κλικ!).





Νέος Ransomware: Onion Crypt v3

Kαι λέγαμε, πότε θα δούμε HiddenTear για αυτήν την εβδομάδα? Νάτος! Τοποθετεί την επέκταση .onion3cry-open-DECRYPTMYFILE. 





Νέος ScreenLocker: Anon

Ονομάζεται THTLocker. Δεν έχουμε πολλά ακόμα να πούμε... Ψάχνουμε λύση για αυτό.





Ο Locky τώρα (ξανά, μετά από καιρό..) μέσω Necurs :(

O Locky διανέμεται ξανά μέσω του Necurs, ενός από τους ισχυρότερους Botnet του πλανήτη. Μάλιστα, χρησιμοποιώντας τεχνικές εντοπισμού θέσης, ο Necurs επιλέγει αν θα στείλει Locky ή Trickbot.
Διαβάζουμε στο My Online Security:


The next in the never ending series of malware downloaders coming from the necurs botnet  is an email with the subject of  Emailing: Scan0253 ( random numbers)  pretending to come from sales@  your own email address or company domain. Today they have changed delivery method and will give either Locky Ransomware or Trickbot banking Trojan depending on your IP address and country of origin.



Επανεμφάνιση του Paradise Ransomware (!)

Mετά από πολύ καιρό, ο Paradise ξαναεμφανίζεται, αυτή τη φορά χρησιμοποιώντας αρχείο html για Ransom Note (σε αντίθεση με το .txt που χρησιμοποιούσε παλιότερα). Κατά τ' άλλα, δεν έχει αλλάξει τίποτα απολύτως.



Ο τεμπέλης ο άνθρωπος...

Ο Karsten Hahn ανακάλυψε ένα υπό κατασκευή Ransomware από τη Σλοβενία, ο οποίος παριστάνει τον DMA Locker. Δεν είναι μόνο αυτό. Ο ηγέτης που τον προγραμμάτισε, αντί να φτιάξει δικό του Layout, εμφανίζει μία εικόνα την οποία κατεβάζει (με hardlink!) από το site της Malwarebytes... Προς το παρόν δεν κλειδώνει και δεν κρυπτογραφεί τίποτα. Ενδιαφέρον έχει επίσης ότι χρησιμοποιεί Ransom Note από την εποχή που το Bitcoin ισοδυναμούσε με €400, δηλαδή το 1/10 της σημερινής του αξίας...




Να και ένας Jigsaw!

Καιρό είχαμε να ασχοληθούμε με αυτόν. Θυμίζουμε ότι έχουμε βρεί λύση για όλες τις προηγούμενες εκδόσεις του Jigsaw.
Σε αυτήν την περίπτωση, δεν θα χρειαστεί να βρούμε λύση γιατί λόγω λάθους στον κώδικα, δεν κρυπτογραφεί τίποτα.
Ενδιαφέρον έχει το γεγονός ότι χρησιμοποιούν ταπετσαρία από εικόνα των Anonymous...





Αυτά είναι όλα για αυτήν την εβδομάδα! :)

Κυριακή, 24 Σεπτεμβρίου 2017

Ransomware Updates 24/9/2017


Τα μεγάλα νέα της εβδομάδας που πέρασε ήταν οι νέες παραλλαγές του Locky που εμφανίστηκαν καθώς και το γεγονός ότι οι δημιουργοί του συνεχίζουν να χρησιμοποιούν μαζικές καμπάνιες από Spam emails για τη διανομή του.
Κατά τ΄ άλλα, πολλά μικρά νεα Ransomware τα οποία κατά πάσα πιθανότητα δεν θα κυκλοφορήσουν ποτε ή πρόκειται για προσπάθειες κάποιων που προφανώς αστειεύονται.

Ας τα δούμε αναλυτικά.



Νέος Ransomware: Hackers Invasion
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Πρόκειται για έναν εντελώς ανόητο Ransomware με Ransom Note που θυμίζει κωμωδία. Τοποθετεί την επέκταση .Doxes όταν κρυπτογραφεί.


Σάββατο, 9 Σεπτεμβρίου 2017

Ransomware Updates 9/9/17

RANSOMWARE UPDATES 9/9/2017


Σε σχέση με την προηγούμενή μας ανάρτηση, παρατηρούμε έξαρση του Locky μέσω της καμπάνιας που είχαμε περιγράψει την προηγούμενη εβδομάδα και πολλά μικρά strains από νέους Ransomware...


Νεος Ransomware: Nulltica

Βασίζεται στον HiddenTear αλλά έχει κάτι διαφορετικό σε σχέση με τους υπόλοιπους που βασίζονται στον HiddenTear: Περιέχει κώδικα που διασπείρει μέσω μηνυμάτων στις επαφές του Facebook. Τοποθετεί την επέκταση .locked.

Νεος Windows Has Been Blocked

Ξαφνικά, βρήκαμε αυτό