Παρασκευή, 19 Ιανουαρίου 2018

Κάνουμε Reverse Engineer τον File Spider Ransomware




O File Spider είναι ένας καινούργιος Ransomware, ο οποίος στοχεύει χρήστες Βαλκανικών χωρών.

Ο τρόπος διασποράς του είναι μέσω spam email με επισυναπτόμενο τύπου Microsoft Word (.doc) το οποίο είναι παγιδευμένο.

Το αρχείο που αναλύουμε έχει τίτλο 
BAYER_CORPSCIENCE_OFFICE_ZAGREB_29858.doc
MD5: de7b31517d5963aefe70860d83ce83b9


Το αρχείο έχει ενσωματωμένες μακροεντολές.

Κοιτώντας τον κώδικα των macro, έχουμε:
Private Function decodeBase64(ByVal strData As String) As Byte()
    Dim objXML As MSXML2.DOMDocument
    Dim objNode As MSXML2.IXMLDOMElement
    
    Set objXML = New MSXML2.DOMDocument
    Set objNode = objXML.createElement("b64")
    objNode.dataType = "bin.base64"
    objNode.Text = strData
    decodeBase64 = objNode.nodeTypedValue
    
    Set objNode = Nothing
    Set objXML = Nothing
End Function

Δευτέρα, 15 Ιανουαρίου 2018

Τα νέα των Ransomware, 15/1/2018


Άλλη μία εβδομάδα με λίγα πράγματα στον τομέα των Ransomware -κάτι που είναι πάντα καλό νέο- με μόνο μικρές παραλλαγές και ανούσια νέα στελέχη.

Τα κυριότερα νέα αφορούν τον HC7, ο οποίος είναι ο πρώτος Ransomware που δέχεται ως πληρωμή το κρυπτονόμισμα Ethereum. 


Ας τα δούμε αναλυτικά:


Nέος Jigsaw, NSFW

Δευτέρα πρωί-πρωί εμφανίστηκε ένας νέος Jigsaw ο οποίος είναι NSFW (Not Safe For Work) καθώς περιέχει γυμνές φωτογραφίες (εμείς "λογοκρίναμε" την παρακάτω φώτο). Είναι σε δοκιμαστικό στάδιο με hardcoded κωδικό (είναι χαρακτηριστικό ότι ζητάει 100 εκατομμύρια δολάρια σε λύτρα...). 




Νεος HC7 - Planetary

Tην Τρίτη εμφανίστηκε ένας νέος HC7 ο οποίος τοποθετεί την επέκταση .PLANETARY στα κρυπτογραφημένα αρχεία.
Αυτό που τον κάνει μοναδικό είναι ότι είναι ο πρώτος που δέχεται ως τρόπο πληρωμής το κρυπτονόμισμα Ethereum.
Φυσικά κάνουν δεκτά και Bitcoin και Monero, μην αφήσουν κανέναν παραπονεμένο.



ALL FILES ARE ENCRYPTED. 
TO RESTORE, YOU MUST SEND $700 EQUIVALENT FOR ONE COMPUTER
OR $5,000 FOR ALL NETWORK
PAYMENTS ACCEPTED VIA BITCOIN, MONERO AND ETHEREUM
BTC ADDRESS: [bitcoin_address]
MONERO (XMR) ADDRESS: [monero_address]
CONTACT US WHEN ETHEREUM PAYMENT INFORMATION
BEFORE PAYMENT SENT EMAIL m4rk0v@tutanota.de
ALONG WITH YOUR IDENTITY: [base64_encoded_computer_name]
INCLUDE SAMPLE ENCRYPTED FILE FOR PROOF OF DECRYPT


NOT TO SHUT OFF YOUR COMPUTER, UNLESS IT WILL BREAK


Ποιος είναι πάλι αυτός?

Ο d.koporushkin είναι κάποιος που θα έπρεπε να ξέρουμε?
Γιατί σε αυτόν τον "Ransomware", εμφανίζεται το όνομα αυτό σε ένα αρχείο. Και βάζουμε το Ransomware σε εισαγωγικά γιατί ο εν λόγω δεν κρυπτογραφεί (προς το παρόν), αν και είναι φτιαγμένος για κάτι τέτοιο. Πάντως, υποκλέπτει δεδομένα, τα κρυπτογραφεί με hardcoded κωδικό και random αλάτι και τα ανεβάζει σε ένα ftp. Είναι βασισμένος στον HiddenTear.





Δευτέρα, 8 Ιανουαρίου 2018

Τα νέα των Ransomware, 6/1/18

Καλή χρονιά με υγεία και ευημερία σε όλους!

Πέρα από το Case Study που δημοσιεύσαμε το οποίο δείχνει στην πράξη πώς καταφέρνουμε μερικές φορές και "σπάμε" τους Ransomware, oι γιορτινές ημέρες πέρασαν ήρεμα στον τομέα αυτόν. Όπως και πέρσι έτσι και φέτος οι δημιουργοί τους πήραν μερικές μέρες ρεπό. Είδαμε κυρίως νέες παραλλαγές γνωστών στελεχών, κυρίως του CryptoMix.

Πέραν τούτων, μερικά υπό κατασκευή στελέχη και αυτό είναι όλο. Αν πάντως θα τολμούσαμε μία πρόβλεψη, θα ήταν ότι προς το τέλος του μήνα θα δούμε μεγάλη έξαρση δυστυχώς.


Ας τα δούμε αναλυτικά:


Nέος Damage/Dangerous

Αυτός εμφανίστηκε στην πιάτσα ανήμερα των Χριστουγέννων. Τοποθετεί την επέκταση .wtf και αφήνει αυτό το Ransom Note:





Νέος Ransomware - Pulpy

Εντελώς αδιάφορος..





Νεος Ransomware - MadBit

Ditto με από πάνω - εντελώς αδιάφορος. Τοποθετεί την επέκταση .enc. Πρωτοτυπία υπό του μηδενός...



Νέος Ransomware - Heropoint

Ο Lawrence Abrams εντόπισε αυτόν τον Ransomware στις 2/1/18. Είναι υπό κατασκευή και δεν κρυπτογραφεί ακόμα, αλλά θεωρείται σχεδόν σίγουρο ότι θα 

Πέμπτη, 4 Ιανουαρίου 2018



CASE STUDY: Αποκρυπτογραφώντας τον  HC7

Background

Πρόσφατα ένας πελάτης μας, έδωσε πρόσβαση μέσω Remote Desktop σε έναν σερβερ ο οποίος όπως αποδείχτηκε ήταν ήδη "προσβεβλημένος" λόγω του συνθηματικού που χρησιμοποιούσε, το οποίο ήταν ασθενές.

Οι επιτιθέμενοι έριξαν μέσα ένα Ransomware το οποίο μέχρι τώρα δεν είχαμε ξαναδεί, και προσπάθησαν να διασπείρουν το εκτελέσιμο αρχείο του Ransomware μέσω PsExec

Το εκτελέσιμο ήταν το hc7.exe το οποίο κατάφερε να κρυπτογραφήσει τεράστιο αριθμό δεδομένων μέσα σε μικρό χρονικό διάστημα, σε πολλαπλά μηχανήματα.

Καταφέραμε και αποκρυπτογραφήσαμε τα δεδομένα :-)

Δείτε αναλυτικά παρακάτω τον τρόπο που λειτουργήσαμε.

Τρίτη, 26 Δεκεμβρίου 2017

Τα Χριστουγεννιάτικα νέα των Ransomware, 25/12/2017

Καλά Χριστούγεννα και καλές γιορτές σε όλους!

Οι γιορτινές ημέρες είναι εδώ και ακόμα και οι δημιουργοί των Ransomware κάνουν διάλειμμα...
Αυτήν την εβδομάδα που πέρασε, είχαμε πολύ λίγα στελέχη να διασπείρονται και ελάχιστες επιμολύνσεις, κάτι που πάντα είναι καλό νέο.

Τα κυριότερα νέα αφορούν την επίσημη τοποθέτηση της κυβέρνησης των ΗΠΑ μέσω της οποίας κατονομάζει την Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry, ο οποίος είχε σπείρει το χάος σε όλο τον κόσμο το Μάιο που μας πέρασε.
Επίσης, είχαμε συλλήψεις ατόμων που σχετίζονται με την διασπορά του Cerber και του CTB-Locker.

Ας τα δούμε αναλυτικά:


Ψεύτικος πολλαπλασιαστής Bitcoin εγκαθιστά Ransomware

Έχετε Bitcoin? Διαβάζετε "κάπου" για ένα λογισμικό που θα πολλαπλασιάσει τα Bitcoin σας και το κατεβάζετε. Προφανώς δεν είστε και πολύ μέσα στα πράγματα, γιατί αλλιώς θα γνωρίζατε ότι τα Bitcoin δεν πολλαπλασιάζονται έτσι απλά...
Κατεβάζετε, λοιπόν το Bitcoin-x2 κολλάτε έναν περιποιημένο Ransomware και μετά ξοδεύετε τα Bitcoin σας σε λύτρα..





Συλλήψεις για τον CTB-Locker και τον Cerber (vid)

Οι αρχές της Ρουμανίας συνέλαβαν πέντε άτομα με τις κατηγορίες της διασποράς email με παγιδευμένα επισυναπτόμενα, προσπαθώντας να μολύνουν χρήστες με τον CTB-Locker και τον Cerber.

Οι αρχές ανακοίνωσαν ότι πρόκειται για διανομείς των Ransomware και όχι για τους δημιουργούς. Οι συλληφθέντες χρησιμοποιούσαν RaaS (Ransomware As A Service) και έστελναν αρχεία που έμοιαζαν με τιμολόγια προκειμένουν να μολύνουν χρήστες και να απαιτήσουν λύτρα.
Από τα χρήματα που εισέπρατταν, το 30% πήγαινε στο RaaS.


Παρακάτω είναι ένα βίντεο από την εισβολή της αστυνομίες σε διάφορες τοποθεσίες και από τις αντίστοιχες συλλήψεις.



Ο Λευκός Οίκος κατηγορεί επίσημα την Βόρεια Κορέα για τη διασπορά του WannaCry.

Ο υπεύθυνος ασφαλείας των ΗΠΑ Thomas Bossert σε δήλωσή του στη Wall Street Journal, κατονόμασε τη Βόρεια Κορέα ως υπεύθυνη για τη διασπορά του WannaCry που προκάλεσε παγκόσμιο χάος τον Μάιο που μας πέρασε. Μπορείτε να διαβάσετε στο παραπάνω λινκ αναλυτικά τη δήλωση.


ΝΕA ΣΤΕΛΕΧΗ του RSAUtil Ransomware

Δύο νέα στελέχη του RSAUtil είχαμε αυτήν την εβδομάδα, το ένα από αυτά