Εμφάνιση αναρτήσεων με ετικέτα rotorcrypt. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα rotorcrypt. Εμφάνιση όλων των αναρτήσεων

Δευτέρα, 18 Μαρτίου 2019

Τα νέα των Ransomware, 18/3/19

Εκεί που είχε ηρεμήσει για λίγο, ο STOP επανεμφανίστηκε με 5 6 7 8 διαφορετικά στελέχη, μέσα σε μία εβδομάδα και μάλιστα χρησιμοποιώντας ακόμα πιο επιθετικές τακτικές.

Είχαμε επίσης λύση για τον BigBobRoss (δεν έχουμε δει, πάντως,θύματα στην Ελλάδα ακόμα) και πολλές νέες παραλλαγές από γνωστά στελέχη.
Κάθε φορά που κάποιος μας λέει ότι το Ransomware πέθανε ένα Blockchain κάπου στην Κορέα γελάει ηχηρά. 


Ας τα δούμε αναλυτικά:

O Hermes χτυπάει το Jackson County της Georgia, παίρνει $400.000!

Στις 6/3/2019, ο Hermes με ... ολίγη από Ryuk (επρόκειτο για στέλεχος που ήταν μείγμα των δύο) χτύπησε το Jackson County στην Georgia των ΗΠΑ, γονατίζοντας στην κυριολεξία όλες τις υπηρεσίες της πόλης.
Από σχετική ανακοίνωση, φαίνεται ότι οι υπεύθυνοι αποφάσισαν και πλήρωσαν τα λύτρα, τα οποία ανέρχονται σε $400.000. 





O STOP εγκαθιστά και Trojan με σκοπό την υποκλοπή προσωπικών στοιχείων

Πέρα από τα 10 νέα στελέχη STOP που είχαμε αυτήν την εβδομάδα (βλ. παρακάτω), διαπιστώσαμε ανησυχία ότι ο STOP πλέον εγκαθιστά και τον Azorult, ο οποίος είναι ένα Trojan το οποίο υποκλέπτει από το θύμα προσωπικά στοιχεία, όπως κωδικούς πρόσβασης, ιστορικό περιήγησης, συνομιλίες στο Skype, πορτοφόλια κρυπτονομισμάτων, αρχεία xls και άλλα πολλά.  


Μιας και είναι αδύνατον να γνωρίζουμε από πότε συμβαίνει αυτό, παρακαλούμε όλα τα θύματα του STOP (οποιαδήποτε έκδοση, οποιοδήποτε στέλεχος/οικογένεια) να πάρουν ΑΜΕΣΑ τα παρακάτω μέτρα:

  • Αλλαγή ΟΛΩΝ των κωδικών πρόσβασης για όλους τους online λογαριασμούς καθώς και τους κωδικούς του Η/Υ αν υπάρχουν. ΟΛΟΙ οι κωδικοί που αποθηκεύονται από το πρόγραμμα περιήγησης, θα πρέπει να θεωρούνται εκτεθειμένοι.
  • Αλλαγή όλων των κωδικών πρόσβασης για λογισμικά όπως το Skype, το Telegram το Steam κλπ.
  • Αλλαγή όλων των κωδικών πρόσβασης για τυχόν λογισμικά FTP (Filezilla κλπ).
  • Αρχεία με ευαίσθητα προσωπικά δεδομένα που βρίσκονται στην επιφάνεια εργασίας ή αλλού, θα πρέπει να θεωρούνται εκτεθειμένα. Αν υπήρχαν αρχεία που περιλαμβάνουν κωδικούς πρόσβασης, θα πρέπει να αλλαχτούν άμεσα.


Λύση για τον BigBobRoss

Αν και δεν είχαμε αναφορά θυμάτων στην Ελλάδα από τον συγκεκριμένο Ransomware, πλέον υπάρχει λύση. Η Emsisoft ανακοίνωσε την εξεύρεση λύσης και λίγο αργότερα ακολούθησε και η Avast. Το Ransom Note του εν λόγω Ransomware είναι αυτό:


Αν κάποιος έχει μολυνθεί, ας επικοινωνήσει με την Emsisoft ή μαζί μας.

Νέοι STOP

O STOP, που θεωρείται ίσως ο πιο δραστήριος Ransomware των τελευταίων μηνών, με πολλά θύματα και στην Ελλάδα, μας είχε συνηθίσει να εμφανίζει ένα τουλάχιστον νέο στέλεχος ανά εβδομάδα.
Τις προηγούμενες 20 μέρες υπήρχε μια ησυχία, αλλά μάλλον ήταν η ησυχία πριν την καταιγίδα. Την εβδομάδα που μας πέρασε, πλησίασε τα 10 νέα στελέχη.

Με τη σειρά:
Επέκταση .promorad2 με προέλευση / στοχεύει: Βραζιλία.
Επέκταση .kroput ομοίως με από πάνω.
Πρόκειται για την οικογένεια DJVU.


Επέκταση .kroput1, .pulsar1 και .charck, επίσης της οικογένειας DJVU.

Επέκταση .kropun και .klope της οικογένειας ZzZzZ.

Επέκταση .lastrop της οικογένειας Gilette.

Να και ένας Dharma

Toποθετεί την επέκταση .NWA.


Καπάκι και ένας ακόμα, το κακόβουλο έχει  την ομομασία payload.exe και τοποθετεί την επέκταση .azero.

Kαι τρικάπακο, και ένας τρίτος που τοποθετεί την επέκταση .com.

Ο Yatron προμοτάρεται ως RaaS

Ένας νέος RaaS (Ransomware-As-A-Service) προμοτάρεται μέχρι και μέσω Twitter (!) ότι χρησιμοποιεί το EternalBlue της NSA για να διασπείρει τον εαυτό του μέσω δικτύου. Ισχυρίζεται ότι διαγράφει επιτυχώς αρχεία μετά από x χρόνο αν δεν καταβληθούν τα  λύτρα.
Είναι ανησυχητικό, καθώς από ότι είδαμε, κάνει αυτά που υπόσχεται.




Σάββατο, 9 Φεβρουαρίου 2019

Τα νέα των Ransomware, 9/2/19

Eνδιαφέρουσα εβδομάδα!

Πρώτον, είχαμε αποκάλυψη στην πράξη για τον τρόπο που επιτήδειοι που παριστάνουν τους ειδήμονες "διαμεσολαβητές", εισπράττουν μερίδιο από τα λύτρα.

Δεύτερον, είχαμε ανησυχητικό κρούσμα στεγανογραφίας, η οποία είναι μέθοδος διασποράς κακόβουλου λογισμικού που είναι σχεδόν αδύνατον να ανιχνευθούν από οποιοδήποτε λογισμικό.


Τέλος, είχαμε κλασικά νέα στελέχη Dharma, Jigsaw και φυσικά STOP, ο οποίος θερίζει για 5η συνεχόμενη εβδομάδα.

Ας τα δούμε αναλυτικά:


Νέοι Dharma

2 νέα στελέχη, τοποθετούν τις επεκτάσεις .amber και .friend.
Τίποτα καινούργιο.


Νέος Jigsaw - LOLSEC

O Michael Gillespie εντόπισε ένα νέο στέλεχος του Jigsaw που τοποθετεί την επέκταση .paycoin. 



Νέος STOP - Blower

Χωρίς πολλές διαφορές με τους προηγούμενους, έχει πολλά θύματα και στην Ελλάδα...




Κι άλλος Jigsaw

Toποθετεί την επέκταση .PENNYWISE. Προσπαθεί να μας πει ότι δεν είναι Jigsaw, ενώ φυσικά και είναι.

Το κλειδί για την αποκρυπτογράφηση είναι PsTqQNhR77oKJXvBWE3YZc. 
Αν έχετε μολυνθεί, χρησιμοποιήστε τον παραπάνω κωδικό για να πάρετε πίσω τα αρχεία σας, και πείτε μας και ένα ευχαριστώ :)




Νέος Ransomware - Crypted Pony

Είναι υπό κατασκευή, τοποθετεί την επέκταση .crypted_pony_test_build_xxx_xxx_xxx_xxx_xxx

Δευτέρα, 2 Ιουλίου 2018

Τα νέα των Ransomware, 2/7/2018

Μετά την εξαιρετικά καλή προηγούμενη εβδομάδα, όπου είχαμε επιτυχία αποκρυπτογραφώντας μία σειρά από εξαιρετικά ενεργούς Ransomware, συνεχίζουμε με τα καλά νέα, αυτή τη φορά με λύση για τον Thanatos Ransomware αλλά και γενικά γιατί ήταν μία πολύ πολύ ήσυχη εβδομάδα, κάτι που πάντα είναι καλό νέο.

Ας τα δούμε αναλυτικά:

NEOΣ RotorCrypt

O Michael Gillespie εντόπισε ένα καινούργιο στέλεχος του RotorCrypt, το οποίο δεν τοποθετεί επέκταση στα κρυπτογραφημένα αρχεία και αφήνει ένα Ransom Note με τίτλο HELP.



Αποκρυπτογραφήσαμε τον Thanatos!

Για τον Thanatos, είχαμε γράψει:
Παρά το ελληνικό του όνομα, μάλλον προέρχεται από τη Ρωσία. Το πρόβλημα είναι ότι ο Thanatos αποτελεί άλλο ένα παράδειγμα όπου οι δημιουργοί Ransomware βγάζουν στη φόρα επιμολύνσεις που δεν είναι επαρκώς δοκιμασμένες και έχουν τόσα bugs που είναι εξαιρετικά απίθανο έως αδύνατον να αποκρυπτογραφηθούν τα δεδομένα, ακόμα και αν το θύμα πληρώσει τα λύτρα.

Στην προκειμένη περίπτωση, ο Thanatos δημιουργεί ένα κλειδί για κάθε αρχείο ξεχωριστά (!). Το πρόβλημα είναι ότι αυτό το κλειδί δεν αποθηκεύεται κάπου. Επομένως, αν το θύμα πληρώσει τα λύτρα, ο επιτιθέμενος δεν έχει τρόπο να του αποκρυπτογραφήσει τα αρχεία...


Τα καλά νέα είναι ότι για συγκεκριμένους τύπους αρχείου και με δεδομένο ότι υπάρχει επάρκεια χρόνου, ίσως μπορούμε να σπάσουμε τον κωδικό για κάθε αρχείο με τη μέθοδο Brute Force.

Το άλλο ενδιαφέρον με τον συγκεκριμένο είναι ότι είναι ο πρώτος που δέχεται Bitcoin Cash ως πληρωμή.

Όπως και να έχει, όπως είπαμε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ καθώς δεν θα σας δώσουν κλειδί αποκρυπτογράφησης, πολύ απλά γιατί κλειδί αποκρυπτογράφησης δεν υπάρχει.


Ευτυχώς καταφέραμε και εκμεταλλευτήκαμε κάποια προβλήματα στην υλοποίηση του συγκεκριμένου Ransomware, και μπορούμε να τον αποκρυπτογραφήσουμε. 


Νέος Ransomware - BloodJaws

Τίποτα το ιδιαίτερο.



Νέος Ransomware - AnimusLocker

O Karsten Hahn εντόπισε αυτό, το οποίο σύμφωνα με τον ίδιο, επίσης δεν παρουσιάζει καμία απολύτως πρωτοτυπία.







Είτε το πιστεύετε είτε όχι, αυτά ήταν όλα τα νέα των Ransomware για την εβδομάδα που πέρασε!
Καλή εβδομάδα και καλό μήνα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.

Δευτέρα, 18 Ιουνίου 2018

Τα νέα των Ransomware, 18/6/2018

Πολύ καλά νέα, αποκρυπτογραφήσαμε τον Scarab Ransomware! Αν έχετε πέσει θύμα του, ελάτε σε επικοινωνία μαζί μας!
Αποκρυπτογραφήσαμε και τον Everbe! ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Κατά τ' άλλα, κυρίως μικρά νέα στελέχη είχαμε αυτήν την εβδομάδα, με κάποια να παρουσιάζουν ενδιαφέρον σχετικά με τον τρόπο διασποράς τους.


Ας τα δούμε αναλυτικά:

Νέος Ransomware - Donut -- MH ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!

Αυτός τοποθετεί την επέκταση .donut στα κρυπτογραφημένα αρχεία και εμφανίζει το ακόλουθο Ransom Note. ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ - ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!


Νέα έκδοση του Paradise Ransomware

Η MalwareHunterTeam εντόπισε μία νέα έκδοση του Paradise Ransomware, που τοποθετεί την επέκταση _V.0.0.0.1{paradise@all-ransomware.info}.prt.




Νέος RotorCrypt

Ο RotorCrypt είναι εκεί έξω και συνεχίζει να διασπείρεται (αρκετά θύματα και στην Ελλάδα). Αυτή η νέα έκδοση δεν έχει κάτι το συνταρακτικό, εκτός από αυτήν την εξαιρετικά ενοχλητικά κατάληξη που χρησιμοποιεί για τα κρυπτογραφημένα αρχεία: !@#$%______<email>_____%$#@.mail



ΠΟΛΥ ΚΑΛΑ ΝΕΑ, ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΑΜΕ ΤΟΝ SCARAB!

Στα καλά νέα, καταφέραμε και αποκρυπτογραφήσαμε έναν μεγάλο αριθμό παραλλαγών του Scarab Ransomware :-)
Μέσα σε αυτές είναι οι επεκτάσεις .scarab, .scorpio αλλά και πολλές άλλες.
ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!!





Νέος Xorist με εύκολη επέκταση

Εντοπίστηκε ένας νέος Xorist που χρησιμοποιεί αυτήν εύκολη επέκταση στα κρυπτογραφημένα αρχεία .......PAY_IN_MAXIM_24_HOURS_OR_ALL_YOUR_FILES_WILL_BE_PERMANENTLY_DELETED_PLEASE_BE_REZONABLE_you_have_only_1_single_chance_YOU_NEED_TO_PURCHASE_THE_DECRYPTOR_FROM_US_FAST_AND_URGENT.

Πάλι Scarab!

Λίγες ώρες μετά την επιτυχία της αποκρυπτογράφησης  του Scarab, εμφανίστηκαν τρία νέα στελέχη, που χρησιμοποιούν τις επεκτάσεις .fastrecovery@airmail.cc και .leen και αφήνει Ransom note που λέγεται Recover-files-xmail@cock.li.txt, How to recover encrypted files-fastrecovery@airmail.cc.txt και INSTRUCTIONS FOR RESTORING FILES.TXT αντίστοιχα.

Ψάχνουμε για δείγματα από αυτά τα νέα στελέχη για να δούμε αν η μέθοδος μας λειτουργεί και σε αυτά.
Αν κάποιος έχει μολυνθεί από αυτά,
παρακαλούμε να έρθει σε επικοινωνία μαζί μας.

Τρίτη, 29 Μαΐου 2018

Τα νέα των Ransomware, 29/5/2018

Πολύ ήσυχη η εβδομάδα που μας πέρασε στον τομέα των Ransomware, και αυτό είναι πάντα καλό νέο.

Τα κυριότερα νέα αφορούν μία μεγάλη καμπάνια διασποράς του CryptON που έχει μολύνει πολύ κόσμο (και στην Ελλάδα).

Μιας και ο CryptON διασπείρεται μέσα από Remote Desktop που έχουν παραβιαστεί, είναι σημαντικό να αναφέρουμε για ΑΛΛΗ μία φορά, ότι το RDP θα πρέπει να ΜΗΝ είναι απευθείας συνδεδεμένο στο ίντερνετ, αλλά πίσω από VPN.


Ας τα δούμε αναλυτικά:

Nέος Unlock92 - cdrpt

Γνωστός και ως Unlckr, εμφανίστηκε με νέα επέκταση.
Παρακάτω, βίντεο της CyberSecurity με επίδειξη του τρόπου επιμόλυνσης.

Θερίζει ο CryptON


Mία τεράστια καμπάνια διασποράς του CryptON είχαμε αυτήν την εβδομάδα, και συνεχίζεται καθώς γράφονται αυτές οι γραμμές.
Στο γράφημα φαίνονται οι καταγραφές των δηλωμένων επιμολύνσεων ως τις 25/5.

Ο CryptON διασπείρεται μέσω χακαρισμένων Remote Desktop.
Όταν οι επιτιθέμενοι αποκτήσουν πρόσβαση στο θύμα μέσω του RDP, εγκαθιστούν χειροκίνητα τον CryptON, ο οποίος κρυπτογραφεί τα δεδομένα και τοποθετεί την επέκταση .ransomed@india.com 
Σε κάθε φάκελο αφήνει Ransom Note με τίτλο HOWTODECRYPTFILES.html το οποίο είναι αυτό:

Για αυτήν την έκδοση του CryptON δεν έχουμε βρει λύση ακόμα. Υπήρχε λύση για τις παλιότερες εκδόσεις του, όχι όμως και για αυτήν.

Μιας και ο CryptON διασπείρεται χειροκίνητα μέσω ευάλωτων Remote Desktop, είναι σημαντικό να τονίσουμε πως πρέπει να είναι κλειστές οι υπηρεσίες Remote Desktop για όσους δεν τις  χρησιμοποιούν, ή να είναι πίσω από VPN για όσους τις χρησιμοποιούν.

Nέος RotorCrypt

Eίχαμε καιρό να τον δούμε αυτόν, εμφανίστηκε με νέα επέκταση όπως φαίνεται στην εικόνα παρακάτω. Κατά τ' άλλα, δεν είδαμε σημαντικές αλλαγές. 


Νέος Ransomware - PGPSnippet

Αυτός είναι καινούργιος, τοποθετεί την επέκταση .decodeme666@tutanota.com και είναι εντελώς κακογραμμένος.
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ -- ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Δευτέρα, 12 Μαρτίου 2018

Τα νέα των Ransomware, 12/3/2018

Για αυτήν την εβδομάδα, είχαμε την επανεμφάνιση του GandCrab με νέο στέλεχος που προς το παρόν δεν έχουμε καταφέρει να σπάσουμε :(

Είχαμε επίσης την έρευνα της CyberEdge για τους Ransomware, με απίστευτα αποτελέσματα: Οι μισοί από όσους πλήρωσαν τα λύτρα, δεν πήραν ποτέ τα δεδομένα τους :(


Ας τα δούμε αναλυτικά:

Μεγάλη καμπάνια διασπείρει GlobeImposter και GandCrab -- ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!

Υπάρχει σε εξέλιξη μεγάλη καμπάνια με malspam, εξαιρετικά επικίνδυνη, που διασπείρει τους GandCrab και GlobeImposter.
Και οι δύο Ransomware είναι εξαιρετικά δραστήριοι και δεν μπορούν να αποκρυπτογραφηθούν.

Τα email που έρχονται είναι κάπως έτσι:



Tα email που έχουν εντοπιστεί να χρησιμοποιούνται ως αποστολείς είναι:



ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!!!!
Ακολουθήστε πιστά τον οδηγό επιβίωσης που έχουμε γράψει εδώ και καιρό.
ΜΗΝ ΑΝΟΙΓΕΤΕ ΕΠΙΣΥΝΑΠΤΟΜΕΝΑ ΑΠΟ ΜΗ ΕΜΠΙΣΤΕΣ ΠΗΓΕΣ.


Νέος Gandcrab - Δυστυχώς δεν επαληθευτήκαμε

Γράψαμε την προηγούμενη εβδομάδα για τον GandCrab για τον οποίο βρέθηκε λύση, ότι οι δημιουργοί του είχαν γράψει στο DarkWeb ότι ήδη ετοιμάζουν νέα έκδοση η οποία θα είναι αδιαπέραστη.
Είχαμε πει ότι πιθανώς και να μη προλάβουν να την κυκλοφορήσουν, μιας και επίκεινται συλλήψεις.
Τελικά πρόλαβαν. 
Η νέα έκδοση είναι δυστυχώς ασφαλής, τοποθετεί την επέκταση .CRAB και έχει επανασχεδιαστεί.

Έρευνα - σοκ της CyberEdge για τους Ransomware - Μόνο το ~50% όσων πλήρωσαν τα λύτρα πήραν πίσω δεδομένα!

Σε μία πολύ ενδιαφέρουσα έρευνα της CyberEdge, γίνεται φανερό ότι οι μισοί