Δευτέρα, 21 Μαΐου 2018

Τα νέα των Ransomware, 21/5/2018

Για την εβδομάδα που πέρασε είχαμε συνέχεια της έξαρσης του GandCrab και του Samas, ενώ ενδιαφέρον παρουσίασαν ειδήσεις για χτυπήματα Ransomware σε διάφορες κυβερνητικές υπηρεσίες των ΗΠΑ.

Κατά τ' άλλα, παρατηρούμε αρκετά χτυπήματα CryptON/Sigrun στην Ελλάδα (προσοχή σε όλους!). 


Ας τα δούμε αναλυτικά:

Η αστυνομία του Riverside πέφτει θύμα Ransomware για δεύτερη φορά.


Επίθεση Ransomware δέχτηκε η αστυνομία του Riverside στο Ohio των ΗΠΑ, για δεύτερη φορά μέσα σε ένα μήνα.
Η επίθεση πραγματοποιήθηκε στις 4 Μαΐου αλλά έγινε γνωστή τώρα, καθώς έφτασαν στην πόλη στελέχη των μυστικών υπηρεσιών των ΗΠΑ για να διερευνήσουν την υπόθεση.
Αν και στην πρώτη επίθεση που έγινε στις 23/4/18, ανακοινώθηκε ότι χάθηκαν αρχεία που πήγαιναν μέχρι και 10 μήνες πίσω, αυτή τη φορά αναφέρθηκε ότι η απώλεια ήταν μερικών ωρών, καθώς υπήρχαν αντίγραφα.
Περισσότερα εδώ

Nέος Ransomware - CryptON

Βασίζεται στον Nemesis. Το ενδιαφέρον είναι ότι μπορεί να αναγνωρίσει Virtual Machines, στα οποία επιτίθεται επίσης. Τοποθετεί την επέκταση xxx.ransomed@india.com, όπου χχχ είναι το ID του θύματος. 


Nέος Ransomware/Wiper - Stalin

Αυτός είναι υπό κατασκευή, αλλά δουλεύει πολύ καλά και θα μπορούσε εύκολα να βγει στην κυκλοφορία.
Δίνει 10 λεπτά για να τοποθετηθεί ο σωστός κωδικός, ειδάλλως ξεκινάει να κάνει wipe τα δεδομένα του δίσκου.
Όσο "περιμένει" παίζει στο παρασκήνιο τον εθνικό ύμνο της Ρωσίας και εμφανίζει εικόνες του Στάλιν.
Προς το παρόν, ο κωδικός για να ξεκλειδώσει, προκύπτει αφαιρώντας την ημερομηνία επιμόλυνσης, από την ημερομηνία δημιουργίας και σχηματισμού της ΕΣΣΔ, δηλαδή 30/12/1922.
Το ενδιαφέρον είναι τις ημερομηνίες τις δέχεται γραμμένες με τον αμερικάνικο τρόπο, δηλαδή 1922.12.30.

Νέος Rapid - version 3 ΣΕ ΜΕΓΑΛΗ ΕΞΑΡΣΗ

Μία νέα έκδοση του Rapid είναι εκεί έξω και είναι σε έξαρση. Ήδη υπάρχουν πολλές αναφορές για επιμολύνσεις από πολλές χώρες.
Δυστυχώς ο συγκεκριμένος Ransomware δεν παρουσιάζει αδυναμίες, οπότε η αποκρυπτογράφησή του είναι αδύνατη. :(

Νέος Ransomware - Σήψη


Ονομάζεται Sepsis και εμφανίστηκε την Τετάρτη που μας πέρασε. Τοποθετεί την επέκταση .[Sepsis@protonmail.com].sepsis στα κρυπτογραφημένα αρχεία. Και όχι, δεν είναι ελληνικός.

Νέος Jigsaw - Booknish

Toποθετεί την επέκταση .booknish. Αφήνει κάτι εκφοβιστικά μηνύματα του τύπου "πλήρωσέ με τώρα ειδάλλως θα διαγράψω 1000 αρχεία αν κλείσεις τον Η/Υ".
Φυσικά, έχουμε βρεί λύση, μη πληρώσετε τα λύτρα.




Nέος Dharma - Bip

Δυστυχώς κυκλοφορεί ακόμα.
Εμφανίστηκε την

Δευτέρα, 14 Μαΐου 2018

Τα νέα των Ransomware, 14/5/2018

Είναι σαφές ότι οι Ransomware έχουν κατεβάσει ταχύτητα και οι επιμολύνσεις είναι λιγότερες. Οι περισσότερες επιθέσεις πραγματοποιούνται πλέον μέσω RDP (Remote Desktop) και είναι στοχευμένες.

Έχουμε φυσικά και πολλά μικρά στελέχη που δημιουργούνται κάθε εβδομάδα, αν και τις περισσότερες φορές δεν έχουν καμία ελπίδα να κάνουν κάτι σημαντικό.


Τις προηγούμενες δύο εβδομάδες, τα κυριότερα νέα είχαν να κάνουν με αλλεπάλληλες εκδόσεις του GandCrab, ο οποίος μοιάζει να είναι ο πιο δραστήριος Ransomware των τελευταίων μηνών. Είχαμε επίσης μία αναφορά του FBI που μοιάζει με ανέκδοτο και τον Facebook Ransomware που περισσότερο είναι wiper.

Ας τα δούμε αναλυτικά:

Το Υπουργείο Υγείας της Αγγλίας αναβαθμίζει σε Win10 φοβούμενο νέο ξέσπασμα τύπου WannaCry

Tο Υπουργείο Υγείας και Κοινωνικής Πρόνοιας του Ηνωμένου Βασιλείου ανακοίνωσε ότι θα αναβαθμίσει όλα τα συστήματα της σε Windows 10, καθώς φοβάται ξέσπασμα τύπου WannaCry. Οι υπεύθυνοι αναφέρθηκαν στην "προηγμένη" ασφάλεια των W10.

The UK Department of Health and Social Care has announced that it will transition all National Health Service (NHS) computer systems to Windows 10.
Officials cited the operating system's more advanced security features as the primary reason for upgrading current systems, such as the SmartScreen technology included with Microsoft Edge (a Google Safe Browsing-like system) and Windows Defender, Microsoft's sneakily good antivirus product.

Nέος Ransomware - Facebook // FBLocker

Πρόκειται μάλλον για wiper παρά για Ransomware. Δημιουργεί ένα κλειδί για κάθε αρχείο που κρυπτογραφεί, το οποίο κλειδί όμως δεν το αποθηκεύει πουθενά. Δεν υπάρχει τρόπος να ανακτηθούν δεδομένα. Επίσης παριστάνει ότι είναι από τη Ρωσία, αλλά τα ρώσικα τους είναι επιπέδου Μπαγκλαντες (no offense για τη συμπαθή χώρα). 


FBI: Oι αναφορές για επιμολύνσεις Ransomware παρουσίασαν μείωση το 2017 #not


Σε ένα report του FBI το οποίο θεωρούμε ότι δεν αντικατοπτρίζει σε καμία περίπτωση την πραγματικότητα, αναφέρεται ότι οι επιμολύνσεις από Ransomware παρουσίασαν μείωση το 2017 (!), φτάνοντας σχεδόν σε επίπεδα 2014 (!!!). Κάτι που μας έκανε να γελάσουμε.

2014201520162017
1,4022,4532,6731,783


Φυσικά, τα νουμερά αυτά αντιστοιχούν στις αναφορές που γίνονται στην πλατφόρμα IC3 του FBI και δεν έχουν καμία σχέση με το τι συμβαίνει πραγματικά, αφού όπως ξέρουμε, ένας τεράστιος αριθμός από θύματα δεν κάνει αναφορά του συμβάντος, είτε γιατί παραμελεί, είτε γιατί η επιμόλυνση δεν έχει αντίκτυπο μιας και υπήρχαν αντίγραφα, είτε γιατί αποφασίζει να πληρώσει τα λύτρα, είτε γιατί απευθύνεται σε εμας (ή αντίστοιχες εταιρίες σαν τη δική μας) για την αποκρυπτογράφηση, είτε τέλος γιατί τα κρυπτογραφημένα δεδομένα δεν έχουν καμία αξία.

Μπορείτε να δείτε την αναφορά του FBI για το 2017 σε μορφή PDF εδώ.

Το BlackHeart χρησιμοποιεί το AnyDesk?

Διαβάζουμε:
We recently discovered a new ransomware (Detected as RANSOM_BLACKHEART.THDBCAH), which drops and executes the legitimate tool known as AnyDesk alongside its malicious payload.  This isn’t the first time that a malware abused a similar tool. TeamViewer, a tool with more than 200 million users, was abused as by a previous ransomware that used the victim’s connections as a distribution method.
In this instance, however, RANSOM_BLACKHEART bundles both the legitimate program and the malware together instead of using AnyDesk for propagation.

Περισσότερα εδώ

Νέος Ransomware - Useless


Useless όνομα και πράμα, μάλλον...

Δευτέρα, 30 Απριλίου 2018

Τα νέα των Ransomware, 30/4/2018

Δραστήρια η εβδομάδα που πέρασε, με αρκετό ενδιαφέρον. Είχαμε μεγάλη επίθεση σε σέρβερ κυβερνητικών οργανισμών των εξωτερικού με τον VevoLocker, μεγάλης έκτασης επιμόλυνση διάφορων ιστοσελίδων στο Πακιστάν και πολλά μικρά νέα αλλά δραστήρια στελέχη.

Ας τα δούμε αναλυτικά:

Νέος Ransomware - BlackHeart

Tοποθετεί την επέκταση .pay2me ή .BlackRouter στα κρυπτογραφημένα αρχεία. Μοιάζει να βασίζεται στον Spartacus, ενώ ο δημιουργός του είναι μεγάλος φαν του Star Wars.



Επίθεση στην ιστοσελίδα της διοίκησης της επαρχίας P.E.I.

Δεν είναι αστείο, σύμφωνα με τον Guardian, η ιστοσελίδα της διοίκησης της επαρχίας του Prince Edward Island χτυπήθηκε από Ransomware.
Τώρα αναρωτιέστε πού στο καλό είναι αυτό, πρόκειται για ένα

Δευτέρα, 23 Απριλίου 2018

Τα νέα των Ransomware, 23/4/2018

Για αυτήν την εβδομάδα είχαμε μερικά μικρά στελέχη και αρκετά ενδιαφέροντα νέα. Εϊχαμε εργαζόμενο της Microsoft να κατηγορείται ότι εμπλέκεται με το Reveton Ransomware, είχαμε έξαρση του GandCrab το οποίο τώρα διασπείρει ο Magnitude και έναν Ransomware που προσπαθεί να βγάλει χρήματα μέσω των προσφύγων της Συρίας (!).

Ας τα δούμε αναλυτικά:

Μηχανικός της Microsoft κατηγορείται για τον Reveton

Ένας μηχανικός δικτύων της Microsoft, ο Raymond Uadiale, 41 ετών, κατηγορείται για συμμετοχή στον Reveton. 

O Reveton είναι ένας αρχαίος Ransomware, που εμφανίστηκε το 2013 και στην πραγματικότητα δεν κρυπτογραφούσε αλλά κλείδωνε τον Η/Υ και ζητούσε λύτρα.
Μάλιστα, επειδή το Bitcoin τότε δεν ήταν ακόμα διαδεδoμένο, τα λύτρα έπρεπε να πληρωθούν μέσω MoneyPak.

Ο Uadiale κατηγορείται ότι ξέπλενε τα χρήματα από αυτές τις συναλλαγές, στέλνοντάς τα στον συνεργό του (και δημιουργό του Reveton) στην Αγγλία. 

Υπολογίζεται ότι ξέπλυνε περισσότερα από $130.000 χωρίς να υπολογίζεται μέσα σε αυτά το ποσοστό του το οποίο κρατούσε, και ήταν το 30%.

Αν καταδικαστεί, ο Uadiale αντιμετωπίζει ποινή φυλάκισης έως 20 χρόνια και $500.000 χρηματική ποινή.



Νέος Ransomware εκμεταλλεύεται τον πόλεμο στη Συρία (!)

Ονομάζεται RansSIRIA και είναι παραλλαγή του WannaPeace Ransomware.
Στοχεύει θύματα στη Βραζιλία.

Μετά την κρυπτογράφηση, εμφανίζει αυτό το παράθυρο:


Το οποίο περιέχει ένα αντιπολεμικό μήνυμα το οποίο σε μετάφραση στα αγγλικά είναι:

Sorry, your files have been locked

Please introduce us as Anonymous, and Anonymous only.
We are an idea. An idea that can not be contained, pursued or imprisoned.
Thousands of human beings are now ruled, wounded, hungry and suffering ...
All as victims of a war that is not even theirs !!!
But unfortunately only words will not change the situation of these human beings ...
We DO NOT want your files or you harm them ... we only want a small contribution ...
Remember .. by contributing you will not only be recovering your files ...
... but helping to restore the dignity of these victims ...

Contribute your contribution from only: Litecoins to wallet / address below.

Στη συνέχεια εμφανίζει μια σειρά φωτογραφιών που απεικονίζουν τη φρίκη του πολέμου, καθώς και ένα βίντεο από το YouTube που δείχνει τις επιπτώσεις του πολέμου σε ένα παιδί.
Παρεμπιπτόντως, αν και γνωρίζουμε ότι αυτό είναι ένα κείμενο για τους Ransomware, το εν λόγω βίντεο αξίζει κάποιος να το δει και το μήνυμά του είναι πολύ δυνατό. Είναι αυτό:


Κανείς δεν αρνείται ότι αυτό που συμβαίνει στη Συρία είναι φρικτό και η τραγωδία είναι απερίγραπτη. Όμως, οι δημιουργοί του εν λόγω Ransomware δεν μπορούν, δεν θέλουν και δεν βοηθάνε με κανέναν τρόπο τους πρόσφυγες ή τα θύματα πολέμου της Συρίας, και προσπαθούν να βγάλουν χρήματα ποντάροντας στην ευαισθησία των θυμάτων τους, και εκμεταλλευόμενοι τον πόνο των άλλων, κάτι που το κάνει ακόμα χειρότερο. Just sayin'.

Nέος Xiaoba - καταστροφέας...

Η Trend Micro ανακοίνωσε ότι ανακάλυψε έναν νέο Xiaoba ο οποίος αν και δεν είναι πλέον Ransomware αλλά προσπαθεί να κάνει mining για κρυπτονομίσματα, καταστρέφει τα αρχεία του Η/Υ και το ίδιο το λειτουργικό σύστημα.
Δεν το ήθελαν, μάλλον, αλλά κατάφεραν να γράψουν κώδικα με τόσα λάθη που τελικά αυτό που ήθελαν ΔΕΝ γίνεται.

Δευτέρα, 16 Απριλίου 2018

Τα νέα των Ransomware, 16/4/2018

Για αυτήν την εβδομάδα είχαμε έξαρση του Matrix με δύο νέα στελέχη τα οποία θερίζουν. Είχαμε ήδη αρκετές αναφορές για θύματα και στην Ελλάδα. ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!

Ta μεγάλα νέα αφορούν την προσθήκη προστασίας κατά των Ransomware στα Windows 10 από τη Microsoft.

Κατά τ' άλλα, κυριώς νέα στελέχη από ήδη υπάρχοντα Ransomware για αυτήν την εβδομάδα. Εϊχαμε και το αστείο PUBG Ransomware, το οποίο αναγκάζει τα θύματά του να παίξουν ένα παιχνίδι για να τους δώσει κλειδί αποκρυπτογράφησης... 


Ας τα δούμε αναλυτικά:

Δύο νέα στελέχη του Matrix θερίζουν -- ΘΥΜΑΤΑ ΚΑΙ ΣΤΗΝ ΕΛΛΑΔΑ

Δύο νέα στελέχη έκαναν την εμφάνισή τους την προηγούμενη εβδομάδα. Παρατηρούμε αυξημένη δραστηριότητά τους και είχαμε ήδη και πολλές αναφορές για θύματα και στη χώρα μας.

Το πρώτο στέλεχος χρησιμοποιεί την επέκταση [Files4463@tuta.io] και random χαρακτήρες στο όνομα αρχείου. Τα κρυπτογραφημένα αρχεία γίνονται κάπως έτσι:
DCIM5209.jpg --> otrN4jg830vgC-JUDKjghe.[FILES4463@tuta.io].


To δεύτερο στέλεχος λειτουργεί με παρόμοιο τρόπο, όμως είναι πιο advanced. Toποθετεί την επέκταση [RestorFile@tutanota.com] και μόλις ολοκληρώσει την κρυπτογράφηση, κρυπτογραφεί ΚΑΙ τον κενό χώρο του δίσκου, γεμίζοντάς τον και δημιουργώντας περισσότερα προβλήματα αφού ουσιαστικά αποκλείει τη χρήση λογισμικών ανάκτησης για διαγραμμένα αρχεία.  

Η επιμόλυνση γίνεται μέσω Remote Desktop και μέχρι αυτή τη στιγμή η αποκρυπτογράφηση είναι δυστυχώς αδύνατη.




Nέος Ransomware - Horros

Πρόκειται για νέο εύρημα. Τον αναλύουμε προς το παρόν.

Update: ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!


Νέος Ransomware - Dcrtr

Mία κακογραμμένη σαβούρα, ο dcrtr εμφανίστηκε αυτήν την εβδομάδα. Είναι τόσο κακογραμμένος, που κατά τη διάρκεια της κρυπτογράφησης, το σύστημα κρεμάει. Το ποσό των λύτρων εξαρτάται από την ταχύτητα με την οποία τα θύματα θα επικοινωνήσουν με τον εισβολέα (!). 


Ο PUBG θέλει παιχνιδάκια...

Ο PUBG, που είναι τα αρχικά του Player's Unknown BattleGround, ζητάει από τα θύματά του