Τα νέα των Ransomware 29/10/2017

Είχαμε πολλή δραστηριότητα στους Ransomware την εβδομάδα που μας πέρασε, ξεχωρίζουν ο πρώτος Ελληνικός Ransomware, το ξέσπασμα του Bad Rabbit (που χτύπησε και την Ελλάδα) και τον Tyrant που σάρωσε εταιρίες και οργανισμούς στο Ιραν.

Κατά τ' άλλα, είχαμε πολλά μικρά στελέχη που έκαναν την εμφάνισή τους.

Ας τα δούμε αναλυτικά:

Kerkoporta - Το πρώτο ελληνικό Ransomware

Να τα μας... Αυτό προς το παρόν έχει περισσότερο το χαρακτήρα RAT (Remote Access Trojan) και Screenlocker. Μοιάζει να είναι σε δοκιμαστική έκδοση. Προς το παρόν μόνο μετονομάζει αρχεία.

Νέος Ransomware: Ordinal

Φυσικά είναι HiddenTear. Τοποθετεί την επέκταση .Ordinal.

ΝΕΟ ΞΕΣΠΑΣΜΑ RANSOMWARE

O Bad Rabbit χτυπάει την Ανατολική Ευρώπη!

Θύματα και στην Ελλάδα!

Ένα νέο στέλεχος ονόματι Bad Rabbit σπέρνει πανικό στην Ανατολική Ευρώπη, επηρεάζοντας τόσο κυβερνητικές υπηρεσίες, όσο και διάφορες εταιρίες και οργανισμούς.

Τη στιγμή που γράφονται αυτές οι γραμμές, το Ransomware αυτό έχει χτυπήσει χώρες όπως η Ελλάδα, η Ρωσία, η Ουκρανία, η Βουλγαρία και η Τουρκία, κυρίως όμως έχει επηρεαστεί η Ρωσία και η Ουκρανία.

Ήδη έχει επαληθευτεί από διάφορες πηγές ότι το Υπουργείο Υποδομών της Ουκρανίας, το Μετρό του Κιέβου, το αεροδρόμιο της Odessa στην Ουκρανία καθώς και τρείς δημοσιογραφικοί οργανισμοί στη Ρωσία (μεταξύ αυτών η Interfax και η Fontanka) έχουν χτυπηθεί από τον Bad Rabbit.

Οι υπηρεσίες ασφαλείας της Ουκρανίας έχουν εκδόσει προειδοποιητικό μήνυμα προς τις εταιρίες και τους οργανισμούς του ιδιωτικού τομέα να είναι ιδιαίτερα προσεκτικοί.

Η ταχύτητα με την οποία εξαπλώνεται ο Bad Rabbit είναι παραπλήσια με την αντίστοιχη των WannaCry και NotPetya που είχαν χτυπήσει το Μάιο και τον Ιούνιο αντίστοιχα.

O Bad Rabbit διανέμεται μέσω ψεύτικου Flash update

H ESET και η Proofpoint λένε ότι ο Bad Rabbit αρχικά διανέμονταν μέσω ψεύτικης ενημέρωσης του λογισμικού Flash. Όμως, το Ransomware φαίνεται πως είχε ενσωματωμένα εργαλεία τα οποία τα βοήθησαν να εξαπλωθεί τόσο γρήγορα.

Σε αναφορά της Kaspersky, η εταιρία ισχυρίζεται πως "το Ransomware (είχε) διανεμηθεί με τυχαίο τρόπο" και "τα θύματα κατευθύνθηκαν προς την ιστοσελίδα που κατείχε την ψεύτικη ενημέρωση του Flash από νόμιμες ειδησεογραφικές ιστοσελίδες".

Βάσει των αναλύσεων των ESET, Emsisoft και Fox-IT, ο Bad Rabbit χρησιμοποεί το

Τα νέα των Ransomware, 21/10/2017

Και αυτήν την εβδομάδα είχαμε αρκετά μικρά στελέχη να εμφανίζονται ή να επανεμφανίζονται, τα μεγάλα νέα όμως ήταν η εμφάνιση του Magniber και η χρήση του Hermes Ransomware σαν βιτρίνα για τη ληστεία σε μία τράπεζα στην Ταϊβάν. 

Ας τα δούμε αναλυτικά:

ΒορειοΚορεάτες πίσω από τη ληστεία τράπεζας στην Ταϊβάν

Μην φανταστείτε ότι μπήκαν με όπλα και ζήτησαν από τους υπαλλήλους να αδειάσουν τα ταμεία.
Η ιστορία έχει ως εξής, και είναι ιδιαίτερα ενδιαφέρουσα:

Πίσω από τη ληστεία, σύμφωνα με όλες τις ενδείξεις, κρύβεται η σπείρα Lazarous Group, μία ομάδα hackers από τη Βόρεια Κορέα.

Στις αρχές του μήνα, υπεύθυνοι της τράπεζες FEIB (Far Eastern International Bank) στην Ταϊβάν, ανακάλυψαν ότι έχει γίνει παραβίαση στα συστήματα της τράπεζας. Η παραβίαση είχε ως στόχο τη μεταφορά 60 εκατομμυρίων δολλαρίων (!) σε τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.

Οι επιτιθέμενοι έστειλαν email με παγιδευμένα αρχεία Word και Excel σε εργαζόμενους της τράπεζας. Τα αρχεία αυτά, με το άνοιγμά τους, εγκαθιστούσαν το ζητούμενο Malware. Στη συνέχεια, χρησιμοποιώντας SMB μπήκαν πρακτικά στο δίκτυο της τράπεζας.

Αφού χαρτογράφησαν το δίκτυο της τράπεζας και στόχευσαν Η/Υ που κατείχαν ευαίσθητο υλικό, τους έστειλαν άλλο malware το οποίο είχαν φτιάξει οι ίδιοι. Αυτή η επίθεση συνέβη την 1/10/17.

Στις 3/10, οι Lazarus χρησιμοποίησαν το συνθηματικό πρόσβασης ενός υπαλλήλου της τράπεζας και απέκτησαν πρόσβαση στον λογαριασμό SWIFT. Έτσι, έστειλαν χρήματα σε διαφορετικές τράπεζες της Σρι Λάνκα, της Καμπότζης και των ΗΠΑ.
Εκεί έγινε και το λάθος των Lazarus, που οδήγησε στην αποκάλυψη της παραβίασης από την τράπεζα: Χρησιμοποίησαν τους κωδικούς συναλλαγής MT103 και MT202COV, όμως τους τελευταίους τους τοποθέτησαν λανθασμένα.

Μόλις η FEIB ανακάλυψε την παραβίαση, οι Lazarus εξαπέλησαν στο δίκτυο της τράπεζας τον Hermes Ransomware με σκοπό να κρυπτογραφήσουν και να καταστρέψουν τα αποδεικτικά στοιχεία της εισβολής τους.

Να πούμε ότι ο Hermes είναι ένας Ransomware που κυκλοφόρησε το Φεβρουάριο και λίγο αργότερα βρέθηκε λύση και μπόρεσε να αποκρυπτογραφηθεί. Όμως, οι δημιουργοί του έφτιαξαν λίγο αργότερα την έκδοση 2.0, για την οποία δεν υπάρχει λύση παγκοσμίως.

Οι Lazarus πάντως δεν εξαπέλησαν την έκδοση 2.0, αλλά μία τροποποιημένη έκδοσή της. Αντί να αφήνει αυτό, που είναι το κλασικό Ransom Note του Hermes,

άφηνε ένα popup που απλά έλεγε Finish Work και ένα αρχείο "Unique_id_do_not_remove" σε κάθε φάκελο του Η/Υ.

Οι αρχές της Σρι Λάνκα ανέφεραν για το περιστατικό, ότι συνέλαβαν ένα άτομο το οποίο έκανε ανάληψη Rs30.000.000 (~$195.000) και δύο μέρες αργότερα επιχείρησε να "σηκώσςει" άλλες $52.000 που προέρχονταν από την Ταϊβάν, σε 3 διαφορετικούς λογαριασμούς σε τράπεζα της Ceylon.

Ανάκτηση δεδομένων από SandForce SSDs!!

Η Northwind Data Recovery είναι στην ευχάριστη θέση να ανακοινώσει ότι είναι η μοναδική εταιρία ανάκτησης δεδομένων στην Ελλάδα και από τις ελάχιστες στον κόσμο που είναι σε θέση να ανακτήσει δεδομένα από δίσκους SSD που βασίζονται στον περιβόητο Controller της SandForce!

O SandForce είναι ο Controller που χρησιμοποιούν οι μεγαλύτεροι κατασκευαστές SSD στον κόσμο (Intel, Adata, Corsair, Kingston, OCZ, PNY, Silicon Power κλπ) και μέχρι πρότινως θεωρούνταν μη-ανακτήσιμοι λόγω της πολυπλοκότητας του αλγόριθμου που χρησιμοποιούν και της AES-256 κρυπτογράφησης που εφαρμόζουν.

Στη Northwind Data Recovery είμαστε περήφανοι που ανακοινώνουμε την εξεύρεση λύσης σε αυτό το ζήτημα που ταλαιπωρούσε την κοινότητα της ανάκτησης δεδομένων για πολλά χρόνια.

Έχουμε αναπτύξει τεχνική με την οποία η ανάκτηση δεδομένων από τέτοιους δίσκους είναι πλέον δυνατή, με εξαιρετικά αποτελέσματα, που ξεπερνούν το 90%!

Η διαδικασία είναι, πάντως, εξαιρετικά χρονοβόρα, μπορεί να χρειαστούν 7-8 εβδομάδες για την επίλυση ή και παραπάνω για πιο πολύπλοκες βλάβες.

Η τεχνική εφαρμόζεται με επιτυχία σε όλους τους SSD δίσκους με Sandforce controller, όλων των κατασκευαστών.

Για περισσότερες πληροφορίες, ελάτε σε επικοινωνία μαζί μας!

Ενδεικτικά, μερικά από τα μοντέλα SSD που χρησιμοποιούν τον εν λόγω Controller είναι:

Τα νεα των Ransomware, 15/10/2017

Σε σχέση με την προηγούμενη εβδομάδα που ήταν πολύ ήσυχη, αυτή είχε και πάλι αυξημένη δραστηριότητα.
Είδαμε  πολλούς νέους Ransomware, οι περισσότεροι από αυτούς είναι δοκιμαστικοί και κατά πάσα πιθανότητα δεν θα κυκλοφορήσουν ποτέ, είδαμε όμως και μία νέα έκδοση του Locky, μία νέα έκδοση του CryptoMix....
Τα μεγάλα νέα έχουν να κάνουν με τον DoubleLocker, έναν Ransomware για Android, ο οποίος χρησιμοποιεί ενδιαφέρουσες παλιές και νέες τεχνικές.

Ας τα δούμε αναλυτικά:

Καμπάνια SPAM στέλνει "βιογραφικά", προωθεί τον GlobeImposter 

Η Myonlinesecurity.co.uk κυκλοφόρησε μια ενδιαφέρουσα ανάλυση σχετικά με τα δήθεν βιογραφικά που στέλνει κάποιος ενδιαφερόμενος για εξεύρεση εργασίας, τα οποία βιογραφικά είναι της μορφής .doc και διασπείρουν τον GlobeImposter Ransomware.

Όταν κάποιος ανοίξει το επισυναπτόμενο, συνδέεται και κατεβάζει το http://89.248.169.136/bigmac.jpg, το οποίο φυσικά δεν είναι αρχείο εικόνας αλλά καμουφλαρισμένο εκτελέσιμο και συγκεκριμένα το ASdsadASd.exe. 

Μπορείτε να διαβάσετε όλη την ανάλυση εδώ.

Νέος Ransomware: LockOn

Είναι μάλλον υπό κατασκευή αλλά δουλεύει σωστά, τοποθετεί την επέκταση .lockon στα κρυπτογραφημένα αρχεία.

Τα νέα των Ransomware, 9/10/17

Ξεκινήσαμε το Μάιο του 2016 να αναλύουμε και να γράφουμε για τους Ransomware. Να τους πολεμάμε και να ψάχνουμε για αδυναμίες στον κώδικά τους με σκοπό να βρούμε λύσεις και να βοηθήσουμε όσους έχουν πέσει θύματα επιτηδείων.

Είναι η πρώτη εβδομάδα που έχουμε όλο κι όλο 6 (έξι) νέα να αναφέρουμε!

Ελπίζουμε αυτό να σημαίνει ότι οι κατασκευαστές των Ransomware να βαρέθηκαν και να σταματήσουν την δημιουργία και διασπορά τους, όμως μάλλον είναι απλά η νηνεμία πριν την καταιγίδα, δυστυχώς.

Έχουμε μία επίθεση Ransomware σε Κέντρο Υγείας και μία σε ένα δημοτικό δίκτυο του Colorado.

Ας τα δούμε αναλυτικά..

Απάτη: "Ransomware Detected"

Εμφανίστηκε αυτή η απάτη, η οποία εμφανίζει στο browser μήνυμα ότι ο υπολογιστής έχει μολυνθεί από Ransomware. Είναι η κλασική απάτη που ζητούν να καλέσει το θύμα ένα νούμερο, όπου είτε χρεώνουν τεράστια ποσά στο λογαριασμό, είτε γίνεται απευθείας συνομιλία με τους απατεώνες, οι οποίοι παριστάνουν τους ειδικούς σε θέματα ασφάλειας Η/Υ και ζητούν χρήματα για να μπουν στον Η/Υ με απομακρυσμένη σύνδεση για να "λύσουν το πρόβλημα". Φυσικά κάτι τέτοιο είναι πολύ επικίνδυνο, ΜΗ ΔΙΝΕΤΕ ΑΠΟΜΑΚΡΥΣΜΕΝΗ ΠΡΟΣΒΑΣΗ ΣΕ ΑΤΟΜΑ ΠΟΥ ΔΕΝ ΓΝΩΡΙΖΕΤΕ!

Ανάκτηση δεδομένων μετά από πλημμύρα!

Στα εργαστήρια της Northwind Data Recovery κατέφθασε σκληρός δίσκος ο οποίος προερχόταν από τη Σαμοθράκη, μετά τις πρόσφατες καταστροφικές πλημμύρες που είχε υποστεί το νησί πριν από λίγες μέρες.

Ο δίσκος ήταν μέλος συστοιχίας RAID με δύο δίσκους και η εικόνα τους πριν τους παραλάβουμε ήταν αυτή...

Οι Η/Υ ήταν βουλιαγμένοι στη λάσπη, ως εκ τούτου και οι σκληροί δίσκοι είχαν επηρεαστεί αντίστοιχα.

Παραλάβαμε τους δίσκους και αφού τους καθαρίσαμε τόσο εξωτερικά, όσο και στα ηλεκτρονικά τους μέρη (τα οποία ήταν σε τραγική κατάσταση)

Ransomware Updates 02/10/2017

Καλημέρα, καλή εβδομάδα και καλό μήνα :)

Δεν είχαμε και πολλά πράγματα σχετικά με τους Ransomware για την εβδομάδα που μας πέρασε.

Τα κυριότερα νέα ήταν η εμφάνιση του RedBoot BootLocker και η συνεχιζόμενη επέλαση του Locky με μαζικές καμπάνιες spam.

Ας τα δούμε αναλυτικά.

Ο Redboot κρυπτογραφεί και αλλάζει το Partition Table!

Εμφανίστηκε ο RedBoot BootLocker, ο οποίος κρυπτογραφεί τα αρχεία, αντικαθιστά το MBR (Master Boot Record) και τροποποιεί το Partition Table. Τα νεα δεν είναι καλά για όποιον έχει μολυνθεί από αυτό το Ransomware, καθώς, αν και βρήκαμε τρόπο να αποκρυπτογραφήσουμε τα αρχεία, δεν είναι δυνατόν να βρούμε δομή, καθώς τόσο το MBR όσο και το Partition Table, αν και μπορούμε να τα δημιουργήσουμε ή να τα αποκαταστήσουμε, κρυπτογραφούνται εκ νέου. Δουλεύουμε στην εξεύρεση λύσης για αυτό.

Νέος Ransomware: SuperB

Αυτός έχει την πρωτοτυπία ότι μετά την κρυπτογράφηση (με την οποία τοποθετεί στα αρχεία την κατάληξη .enc), αντικαθιστά όλα τα αρχικά αρχεία του χρήστη με το Ransom Note. Να πούμε επίσης ότι είναι γραμμένο σε Python. 

Νέος ScreenLocker: John's Locker

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Ανακαλύφθηκε από τον Lawrence Abrams αυτός ο ScreenLocker ο οποίος είναι μάλλον κάποια φάρσα ή αστείο κάποιου. Πατήστε Alt+F4 για να τον κλείσετε (και προσέχετε στο εξης πού κάνετε κλικ!)

Νέος Ransomware: CryptoClone

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Εμφανίστηκε αυτός ο κακογραμμένος Ransomware ο οποίος μιμείται τον WannaCry και ονομάζεται CryptoClone. Τοποθετεί την επέκταση .crypted στα αρχεία. Έχουμε βρει λύση για αυτόν.

Νέος ScreenLocker: Anon

ΈΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Σε αυτόν δεν δώσαμε καν όνομα, γιατί δεν άξιζε τον κόπο να ασχοληθούμε μαζί του.
Βάλτε τον κωδικό qwerty και ξεκλειδώστε τον Η/Υ σας (και, ξανά, προσέχετε πού κάνετε κλικ!).

Νέος Ransomware: Onion Crypt v3

Kαι λέγαμε, πότε θα δούμε HiddenTear για αυτήν την εβδομάδα? Νάτος! Τοποθετεί την επέκταση .onion3cry-open-DECRYPTMYFILE. 

Νέος ScreenLocker: Anon

Ονομάζεται THTLocker. Δεν έχουμε πολλά ακόμα να πούμε... Ψάχνουμε λύση για αυτό.

Ο Locky τώρα (ξανά, μετά από καιρό..) μέσω Necurs :(

O Locky διανέμεται ξανά μέσω του Necurs, ενός από τους ισχυρότερους Botnet του πλανήτη. Μάλιστα, χρησιμοποιώντας τεχνικές εντοπισμού θέσης, ο Necurs επιλέγει αν θα στείλει Locky ή Trickbot.
Διαβάζουμε στο My Online Security:

The next in the never ending series of malware downloaders coming from the necurs botnet  is an email with the subject of  Emailing: Scan0253 ( random numbers)  pretending to come from sales@  your own email address or company domain. Today they have changed delivery method and will give either Locky Ransomware or Trickbot banking Trojan depending on your IP address and country of origin.

Επανεμφάνιση του Paradise Ransomware (!)

Mετά από πολύ καιρό, ο Paradise ξαναεμφανίζεται, αυτή τη φορά χρησιμοποιώντας αρχείο html για Ransom Note (σε αντίθεση με το .txt που χρησιμοποιούσε παλιότερα). Κατά τ' άλλα, δεν έχει αλλάξει τίποτα απολύτως.

Ο τεμπέλης ο άνθρωπος...

Ο Karsten Hahn ανακάλυψε ένα υπό κατασκευή Ransomware από τη Σλοβενία, ο οποίος παριστάνει τον DMA Locker. Δεν είναι μόνο αυτό. Ο ηγέτης που τον προγραμμάτισε, αντί να φτιάξει δικό του Layout, εμφανίζει μία εικόνα την οποία κατεβάζει (με hardlink!) από το site της Malwarebytes... Προς το παρόν δεν κλειδώνει και δεν κρυπτογραφεί τίποτα. Ενδιαφέρον έχει επίσης ότι χρησιμοποιεί Ransom Note από την εποχή που το Bitcoin ισοδυναμούσε με €400, δηλαδή το 1/10 της σημερινής του αξίας...

Να και ένας Jigsaw!

Καιρό είχαμε να ασχοληθούμε με αυτόν. Θυμίζουμε ότι έχουμε βρεί λύση για όλες τις προηγούμενες εκδόσεις του Jigsaw.
Σε αυτήν την περίπτωση, δεν θα χρειαστεί να βρούμε λύση γιατί λόγω λάθους στον κώδικα, δεν κρυπτογραφεί τίποτα.
Ενδιαφέρον έχει το γεγονός ότι χρησιμοποιούν ταπετσαρία από εικόνα των Anonymous...

Αυτά είναι όλα για αυτήν την εβδομάδα! :)