Εμφάνιση αναρτήσεων με ετικέτα unlock92. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα unlock92. Εμφάνιση όλων των αναρτήσεων

Σάββατο, 21 Ιουλίου 2018

Τα νέα των Ransomware, 23/7/2018

Eνδιαφέροντα νέα στον τομέα των Ransomware είχαμε για την προηγούμενη εβδομάδα, με σημαντικότερο τον NSB Screenlocker που αυτή τη στιγμή δεν ανιχνεύεται από κανένα antivirus.

Επίσης, μας κάνει εντύπωση καταρχήν ο νέος Scarab ο οποίος χρησιμοποιεί το email που χρησιμοποιεί και ο Dharma, όπως επίσης και το θράσος των δημιουργών του King Ouroboros Ransomware που επιτέθηκαν φραστικά στον Michael Gillespie στο Twitter.

Ας τα δούμε αναλυτικά:

NEOΣ Xorist

O Michael Gillespie εντόπισε ένα καινούργιο στέλεχος του Xorist που τοποθετεί την επέκταση .TaRoNiS.




Nέος Scarab - Deep

Εδώ έχουμε το εξής ενδιαφέρον: Το email που χρησιμοποιεί ο συγκεκριμένος Ransomware για την επικοινωνία με τα θύματά του, επίσης το είδαμε και σε ένα στέλεχος του Dharma. Φαίνεται ότι ο συγκεκριμένος κύριος το παίζει σε διπλό ταμπλό.


Δεν έχει όρια το θράσος

Oι δημιουργοί του King Ouroboros Ransomware επιτέθηκαν φραστικά στον Michael Gillespie και στην MalwareHunter επειδή κάποιο site χαρακτήρισε τον συγκεκριμένο Ransomware απάτη. Στο ίδιο σαιτ

Τρίτη, 29 Μαΐου 2018

Τα νέα των Ransomware, 29/5/2018

Πολύ ήσυχη η εβδομάδα που μας πέρασε στον τομέα των Ransomware, και αυτό είναι πάντα καλό νέο.

Τα κυριότερα νέα αφορούν μία μεγάλη καμπάνια διασποράς του CryptON που έχει μολύνει πολύ κόσμο (και στην Ελλάδα).

Μιας και ο CryptON διασπείρεται μέσα από Remote Desktop που έχουν παραβιαστεί, είναι σημαντικό να αναφέρουμε για ΑΛΛΗ μία φορά, ότι το RDP θα πρέπει να ΜΗΝ είναι απευθείας συνδεδεμένο στο ίντερνετ, αλλά πίσω από VPN.


Ας τα δούμε αναλυτικά:

Nέος Unlock92 - cdrpt

Γνωστός και ως Unlckr, εμφανίστηκε με νέα επέκταση.
Παρακάτω, βίντεο της CyberSecurity με επίδειξη του τρόπου επιμόλυνσης.

Θερίζει ο CryptON


Mία τεράστια καμπάνια διασποράς του CryptON είχαμε αυτήν την εβδομάδα, και συνεχίζεται καθώς γράφονται αυτές οι γραμμές.
Στο γράφημα φαίνονται οι καταγραφές των δηλωμένων επιμολύνσεων ως τις 25/5.

Ο CryptON διασπείρεται μέσω χακαρισμένων Remote Desktop.
Όταν οι επιτιθέμενοι αποκτήσουν πρόσβαση στο θύμα μέσω του RDP, εγκαθιστούν χειροκίνητα τον CryptON, ο οποίος κρυπτογραφεί τα δεδομένα και τοποθετεί την επέκταση .ransomed@india.com 
Σε κάθε φάκελο αφήνει Ransom Note με τίτλο HOWTODECRYPTFILES.html το οποίο είναι αυτό:

Για αυτήν την έκδοση του CryptON δεν έχουμε βρει λύση ακόμα. Υπήρχε λύση για τις παλιότερες εκδόσεις του, όχι όμως και για αυτήν.

Μιας και ο CryptON διασπείρεται χειροκίνητα μέσω ευάλωτων Remote Desktop, είναι σημαντικό να τονίσουμε πως πρέπει να είναι κλειστές οι υπηρεσίες Remote Desktop για όσους δεν τις  χρησιμοποιούν, ή να είναι πίσω από VPN για όσους τις χρησιμοποιούν.

Nέος RotorCrypt

Eίχαμε καιρό να τον δούμε αυτόν, εμφανίστηκε με νέα επέκταση όπως φαίνεται στην εικόνα παρακάτω. Κατά τ' άλλα, δεν είδαμε σημαντικές αλλαγές. 


Νέος Ransomware - PGPSnippet

Αυτός είναι καινούργιος, τοποθετεί την επέκταση .decodeme666@tutanota.com και είναι εντελώς κακογραμμένος.
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ -- ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!