23/5/17

Προσοχή οι νέοι RANSOMWARE που θερίζουν ...

15/5/2017 – 22/5/2017 (Update !)

        Παρακάτω δίνονται όλα τα νέα ransomware που κυκλοφόρησαν. Πολλά από αυτά έχουν λύση και σας την δίνουμε οπότε μην πληρώσετε τα λύτρα ! Για τα υπόλοιπα που δεν υπάρχει ακόμη λύση οι μηχανικοί μας δουλεύουν για την αποκρυπτογράφηση.

ΛΥΣΕΙΣ ΓΙΑ .WALLET, .ONION, BTCWare

Τα μεγάλα νεα της εβδομάδας που μας πέρασε ήταν η εύρεση λύσης για τον Dharma καθώς και για τον BTCWare.

Συγκεκριμένα, ο Dharma .wallet που έχει προσβάλλει περισσότερους από 15.000.000 χρήστες παγκοσμίως, πλέον αποτελεί παρελθόν. Αυτό αποτελεί σπουδαίο νέο για όλους και ακόμα περισσότερο, από τη στιγμή που καταφέραμε και αποκρυπτογραφήσαμε και την τελευταία γνωστή έκδοσή του, τον .onion.






" Αν ιός σας ζητάει λύτρα - bitcoin ή έχετε κολλήσει ransomware και τα δεδομένα σας έχουν κρυπτογραφηθεί, τότε η Northwind είναι ο μοναδικός WD Trusted Partner για Ανάκτηση Δεδομένων και Ransomware σε Ελλάδα και Κύπρο. "

Πολλές φορές αναρωτιέστε :

 - "πως κόλλησα ransomware?" 

ή 

- "πως κόλλησα ιο κρυπτογράφησης?". 

Η αλήθεια είναι πως αυτή την ερώτηση την ακούμε καθημερινά πολλές φορές! 
        Το πρώτο στάδιο που παρατηρεί ένας απλός χρήστης που δεν κατάλαβε ότι κόλλησε Cerber ή κάποιον άλλο Ransomware (ιο κρυπτογράφησης) είναι πως τα αρχεία του άλλαξαν κατάληξη ενώ αυτός δούλευε κανονικά στον υπολογιστή του. Αυτή η ενέργεια συμβαίνει προφανώς λόγο της κρυπτογράφησης του ιού. 
        Το αμέσως επόμενο πράγμα που σκέφτεται ένας χρήστης προφανώς και είναι 

- " υπάρχει λύση για ransomware?". 

Δυστυχώς αν κολλήσατε ιo "Locky" ή κολλήσατε "Cerber" virus δεν υπάρχει ακόμη λύση παγκοσμίως για την από- κρυπτογράφηση και να γλυτώσετε τα λύτρα που ζητάει ο ιός σε bitcoin. 
Άλλωστε αυτή είναι η μορφή και ο τρόπος λειτουργίας των ιών κρυπτογράφησης (Ransomware). 
Να κρυπτογραφούν με τέτοιο τρόπο τα αρχεία και να τους αλλάζουν την κατάληξη που η απο-κρυπτογράφηση τους για ένα μεγάλο σύνολο από αυτούς (μεταξύ αυτών οι Locky και Cerber) να είναι αδύνατη ΑΚΟΜΗ! 
         

         Παρακάτω σας αναφέρουμε όλους τους ιούς που μπορέσαμε να αποκρυπτογραφήσουμε τον Ιανουάριο καθώς και σας αναλύουμε τους νέους ιούς που ανακαλύψαμε τον Ιανουάριο για να είσαστε προσεκτικοί και μέχρι να τους απο- κρυπτογραφήσουμε να μην χρειαστεί να πληρώσετε τα λύτρα που ζητάει ο ιός σε bitcoin.


Ας δούμε αναλυτικά τα νεα της εβδομάδας:

ΝΕΟΣ RANSOMWARE: SecretSystem
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!! ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!
Την προηγούμενη Δευτέρα έπεσε στην αντίληψή μας αυτή η ανοησία που κυκλοφόρησε κάποιος.
Καταφέραμε και τον σπάσαμε.

ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!! ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!



ΝΕΟΣ RANSOMWARE: ZELTA

Αυτός είναι παραλλαγή του Stampado. Όχι κάτι καινούργιο, ο δημιουργός του αντιγραφέας του το προσφέρει δωρεάν.


ΣΑΣ ΕΛΕΙΨΕ? FAKE-JIGSAW.

ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!! ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!

ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!! ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!

ΠΕΡΙ WANNACRY O ΛΟΓΟΣ

Μετά την επιτυχία που είχε ο WannaCry/WannaCrypt/Wcry/WannaDecrypt0r βγήκαν στη φόρα πολλοί μιμητές του.
Για παράδειγμα, αυτός:

ή αυτός



ή αυτός

ή αυτός


Κυκλοφορεί μάλιστα στο DarkWeb ολόκληρος Generator μέσω του οποίου μπορεί κάποιος να τροποποιήσει το κείμενο/χρώμα κλπ και να δημιουργήσει το δικό του WannaCry.

Την Τρίτη (16/5), εμφανίστηκε μάλιστα και δεύτερος κύμα επιθέσεων από δεύτερη έκδοση του αυθεντικού WannaCry, αυτή τη φορά με διαφορετικό kill switch, το οποίο εντοπίστηκε και ενεργοποιήθηκε για να σταματήσει η εξάπλωση.

Στη συνέχεια, εμφανίστηκε μία έκδοση η οποία δεν είχε kill switch (...). Ευτυχώς η έκδοση αυτή δεν κυκλοφόρησε καθώς ήταν απλά μία δοκιμή (...).

Μας άρεσε πολύ και η τοποθέτηση του Διευθ. Συμβούλου της Microsoft Brad Smith, ο οποίος κατηγόρησε ανοιχτά την NSA ότι “μάζεψε Exploit Kits και τα άφησε απροστάτευτα, με αποτέλεσμα να ξεσπάσουν Ransomware όπως ο WannaCry”.

Η λαίλαπα WannaCry ήταν αφορμή για μερικά ενδιαφέροντα συμπεράσματα:
α) Ο κυβερνοχώρος λειτουργεί πάνω-κάτω με την ίδια λογική και του “εξω” κόσμου. Το ξέσπασμα του WannaCry προκάλεσε πανικό, ο πανικός κινητοποίησε μια αλυσιδωτή αντίδραση η οποία είχε ως αποτέλεσμα η ισοτιμία του Bitcoin να εκτοξευθεί από τα $1100 στα $2300 μέσα σε 36 ώρες.
β) Η συντριπτική πλειοψηφία των χρηστών δεν έχουν την παραμικρή ιδέα για τις βασικές αρχές προστασίας του εαυτού τους ενάντια σε οποιασδήποτε μορφής κυβερνο-απειλή.
γ) Η διάδοση ανακριβών / ψευδών ειδήσεων αποτελεί πλέον κανόνα και είναι επιτακτική ανάγκη το φιλτράρισμα τέτοιων ειδήσεων.

Τέλος, κυκλοφόρησε μία φήμη για την εξεύρεση λύσης για τον WannaCry. Ελέγξαμε την εν λόγω λύση και όντως, μπορεί να βοηθήσει σε μία πολύ μικρή μερίδα των επιμολύνσεων.
Συγκεκριμένα, η λύση βασίζεται στην εκμετάλλευση των πρώτων αριθμών που δημιουργεί το το
Ransomware για τη δημιουργία του κλειδιού στη μνήμη RAM (btw, εξαιρετική ιδέα, hats off στον δημιουργό). Επομένως, μετά την επιμόλυνση και αν ο υπολογιστής δεν έχει γίνει Reboot, το Wannacry process δεν έχει τερματιστεί και η μνήμη του υπολογιστή δεν έχει γίνει overwritten, τότε και αν τα άστρα ευθυγραμμιστούν, μπορεί να βοηθήσει.

ΒΡΗΚΑΜΕ ΛΥΣΗ ΓΙΑ ΤΟΝ BTCWare!!

Ο ΒTCWare, ένας από τους πιο δραστήριους Ransomware που κυκλοφορούν, νικήθηκε σε μεγάλο ποσοστό.

Πιο συγκεκριμένα, οι παραλλαγές του που ως τώρα ήταν γνωστές ήταν οι εξής:
.[< email address >].btcware
.[< email address >].cryptobyte
.[< email address >].cryptowin
.[< email address >].theva

Για τις δύο πρώτες εκδόσεις, είχαμε βρει λύσεις προ πολλού.

Για την τρίτη έκδοση βρήκαμε λύση τώρα και για την τέταρτη μπορούμε να αποκρυπτογραφήσουμε μέρος των αρχείων και δουλεύουμε σε πιο συνολική λύση.

ΣΕ ΚΑΘΕ ΠΕΡΙΠΤΩΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!

ΝΕΟΣ RANSOMWARE: Lockout

Toποθετεί την επέκταση .Lockout στα αρχεία και αφήνει ένα ransom note που ονομάζεται Payment-Instructions.txt .



ΕΞΑΡΣΗ ΤΟΥ SPORA

Υπάρχει μεγάλη καμπάνια σε εξέλιξη – ΠΡΟΣΟΧΗ


ΝΕΟΣ RANSOMWARE: Haters-WanaCry-ish

Μια παραλλαγή του Haters εμφανίστηκε, που θέλει να μοιάσει λίγο στον WannaCry. Οι ηλίθιοι έχουν και επιλογή πληρωμής με Paypal. Χμμμ....


ΑΝΗΣΥΧΙΑ ΓΙΑ ΤΟΝ xData Ransomware...

Ένα νεο στέλεχος υπό το όνομα xData έσπειρε πανικό στην Ουκρανία στις 19/5, κλειδώνοντας και μολύνοντας δεκάδες χιλιάδες Η/Υ μέσα σε μόλις 24 ώρες.
Μάλιστα, από τα στατιστικά που συλλέγουμε ο
Xdata ήταν ο δεύτερος πιο δραστήριος Ransomware για εκείνη την ημέρα... (οι αριθμοί είναι *100)

Το χειρότερο απ' όλα είναι ότι δεν ξέρουμε το παραμικρό για τον τρόπο με τον οποίο διασπείρεται, το μοναδικό στοιχείο που έχουμε αυτή τη στιγμή είναι τα ονόματα των αρχείων που κάνει hijack στο μολυσμένο υπολογιστή (mssql.exe, msdns.exe, msdcom.exe, mscomrpc.exe), κάτι που πιθανώς να μας οδηγήσει σε συσχετισμούς για τον δημιουργό του.
Χρησιμοποιεί AES κρυπτογράφηση και τοποθετεί την επέκταση .~xdata~ στο τέλος των αρχείων.

ΝΕΟΣ RANSOMWARE: Yuriz
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!! ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!

Αυτό είναι ένα μικρό σκουπιδάκι που σπάσαμε. Στην πραγματικότητα δεν κρυπτογραφεί τίποτα, πατήστε Alt+F4 για να κλείσετε την οθόνη και προσέχετε την επόμενη φορά που πατάτε κλικ.

ΠΛΑΚΑ ΚΑΝΕΙΣ!!!
Για το τέλος σας κρατήσαμε ένα διασκεδαστικό νεο.
Χρησιμοποιείτε Outlook για τα email σας? Αν ναι, θα ξέρετε σίγουρα το “J Bug”, το οποίο πήρε το όνομα του από τον τρόπο με τον οποίο το Outlook χειριζόταν το smiley :) στο κείμενο των email, αφού το άλλαζε σε J.
Θα το έχετε δει σίγουρα.

Μετά από 7 (ολογράφως, επτά) συναπτά έτη, η Microsoft ανακοίνωσε ότι διόρθωσε το bug.
Ποτε δεν είναι αργά...