3/4/17

Ransomware απειλές κρυπτογράφησης για τον Απρίλιο 2017

RANSOMWARE UPDATES 20/3/2017 – 3/4/2017

.wallet αλλά όχι Dharma...

Εμφανίστηκε ένας Ransomware με πολλές ιδιαιτερότητες τις προηγούμενες μέρες.
Καταρχήν, τοποθετεί την επέκταση .wallet στα κρυπτογραφημένα αρχεία, όπως ο περιβόητος Dharma. Από ανάλυση που κάναμε όμως, δεν είναι παραλλαγή του Dharma αλλά κάτι εντελώς καινούργιο.

Ο Ransomware αυτός, που τον ονομάσαμε Sanctions, δεν είναι ευρέως διαδεδομένος (φανταστείτε ότι δεν έχουμε καν κάποιο source code για να το αναλύσουμε εκτενώς) και ζητάει 6 Bitcoin ως λύτρα.

Το μεγάλο αυτό ποσό μας κάνει να πιστεύουμε ότι οι επιθέσεις γίνονται στοχευμένα.
Ένα άλλο ενδιαφέρον στοιχείο είναι η εικόνα που εμφανίζει, η οποία κάνει σαφείς τις απόψεις των δημιουργών για τις πρόσφατες κυρώσεις (sanctions) της Αμερικής προς τη Ρωσία.



" Αν ιός σας ζητάει λύτρα - bitcoin ή έχετε κολλήσει ransomware και τα δεδομένα σας έχουν κρυπτογραφηθεί, τότε η Northwind είναι ο μοναδικός WD Trusted Partner για Ανάκτηση Δεδομένων και Ransomware σε Ελλάδα και Κύπρο. "

Πολλές φορές αναρωτιέστε :

 - "πως κόλλησα ransomware?" 

ή 

- "πως κόλλησα ιο κρυπτογράφησης?". 

Η αλήθεια είναι πως αυτή την ερώτηση την ακούμε καθημερινά πολλές φορές! 
        Το πρώτο στάδιο που παρατηρεί ένας απλός χρήστης που δεν κατάλαβε ότι κόλλησε Cerber ή κάποιον άλλο Ransomware (ιο κρυπτογράφησης) είναι πως τα αρχεία του άλλαξαν κατάληξη ενώ αυτός δούλευε κανονικά στον υπολογιστή του. Αυτή η ενέργεια συμβαίνει προφανώς λόγο της κρυπτογράφησης του ιού. 
        Το αμέσως επόμενο πράγμα που σκέφτεται ένας χρήστης προφανώς και είναι 

- " υπάρχει λύση για ransomware?". 

Δυστυχώς αν κολλήσατε ιo "Locky" ή κολλήσατε "Cerber" virus δεν υπάρχει ακόμη λύση παγκοσμίως για την από- κρυπτογράφηση και να γλυτώσετε τα λύτρα που ζητάει ο ιός σε bitcoin. 
Άλλωστε αυτή είναι η μορφή και ο τρόπος λειτουργίας των ιών κρυπτογράφησης (Ransomware). 
Να κρυπτογραφούν με τέτοιο τρόπο τα αρχεία και να τους αλλάζουν την κατάληξη που η απο-κρυπτογράφηση τους για ένα μεγάλο σύνολο από αυτούς (μεταξύ αυτών οι Locky και Cerber) να είναι αδύνατη ΑΚΟΜΗ! 
         

         Παρακάτω σας αναφέρουμε όλους τους ιούς που μπορέσαμε να αποκρυπτογραφήσουμε τον Ιανουάριο καθώς και σας αναλύουμε τους νέους ιούς που ανακαλύψαμε τον Ιανουάριο για να είσαστε προσεκτικοί και μέχρι να τους απο- κρυπτογραφήσουμε να μην χρειαστεί να πληρώσετε τα λύτρα που ζητάει ο ιός σε bitcoin.

ΝΟΜΟΣ ANTI-RANSOMWARE
Στην Indiana των ΗΠΑ πήγε προς ψήφιση νόμος ο οποίος θα καταδικάζει όσους εμπλέκονται στην κατασκευή και διανομή κακόβουλων Ransomware λογισμικών, σε ποινή φυλάκισης 1-6 χρόνων χωρίς αναστολή και χρηματικό πρόστιμο ύψους $10,000-$100,000. O νόμος, που ονομάστηκε House Bill 1444 και αναμένεται να εγκριθεί από το Κονγκρέσο την επόμενη εβδομάδα.

NEOΣ RANSOMWARE: WannaCry
Αυτός εμφανίστηκε την εβδομάδα που μας πέρασε. Προτρέπει τα θύματά του να κατεβάσουν τον “δωρεάν” decryptor ο οποίος αποδεικνύεται ότι δεν είναι και τόσο δωρεάν.


NEOΣ RANSOMWARE: MemeLocker
Αυτός πάλι είναι υπό κατασκευή. Εμφανίζει αυτό το πολύ πληροφοριακό μήνυμα:



Οι “Mafia Malware Indonesia” πίσω από αρκετές παραλλαγές τραγικά γραμμένων Ransomware
Mια ομάδα “ατόμων” που αυτοαποκαλούνται “Mafia Malware Indonesia” βρίσκεται πίσω από μια σειρά σκουπιδιών ransomware όπως οι Kimcilware, MireWare, MafiaWare, CryPy, SADStory και Lock3R74H4T.
Κρίνοντας, πάντως, από την ποιότητα του κώδικά τους, καλύτερα να ασχοληθούν με τίποτα άλλο...


Τέλος στο Safari Ransomware
Η αναβάθμιση στην έκδοση 10,3 λύνει το πρόβλημα με τον Safari σε συσκευές της Apple. Ένα bug στον browser, κλείδωνε τους χρήστες και ζητούσε λύτρα πληρωμένα σε ... δωροκάρτες iTunes(!!).


NEOΣ RANSOMWARE: PyCL
Για να λέμε την αλήθεια αυτός ο Ransomware δεν θα μπορούσε να θεωρηθεί στην πραγματικότητα Ransomware, καθώς κυκλοφόρησε μόλις για μία μέρα και δεν κρυπτογραφούσε κάτι. Περισσότερο μοιάζει με δοκιμαστική κυκλοφορία από κάτι άλλο, χειρότερο.


NEOΣ RANSOMWARE: R
R is for Ransomware δηλώνει ο δημιουργός αυτού του εκτρώματος. Έχει και ένα μεγάλο S στο τέλος που δεν μας αποκαλύπτει τι σημαίνει, αλλά έχουμε μια ιδέα. Shit.



NEOΣ RANSOMWARE: AnDROid
Τοποθετεί την ονομασία .android στα κρυπτογραφημένα αρχεία. Η νεκροκεφαλή που εμφανίζει είναι animated. Μα τι ταλέντο! Τι ικανότητες!


Βάλαμε στο μάτι τον pr0tect Ransomware
Θα σας ενημερώσουμε την επόμενη βδομάδα πως πήγε.

NEOΣ RANSOMWARE: HappyDayzz
To ενδιαφέρον με αυτόν είναι ότι χρησιμοποιεί διαφορετικό αλγόριθμο κρυπτογράφησης ανάλογα με την απάντηση που θα πάρει από τον C&C server! Έτσι, χρησιμοποιεί ισχυρότερο αλγόριθμο αν διαπιστώσει ότι έχει χτυπήσει κάποια εταιρία ή οργανισμό...


NEOΣ RANSOMWARE: DoNotChange
Είναι υπό κατασκευή ακόμα, αλλά θεωρούμε πως θα τεθεί σε κυκλοφορία μέσα στις επόμενες ημέρες


UPDATE 2/4/2017: O Ransomware αυτός όντως κυκλοφόρησε και βρήκαμε λύση! ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Η Google ισχυρίζεται ότι τα Ransomware για Android συσκευές δεν είναι και τόσο διαδεδομένα
Μέσω του επικεφαλής προγραμματιστή της για θέματα ασφάλειας, Jason Woloz, η Google μας είπε ότι οι επιμολύνσεις με Ransomware για συσκευές Android δεν είναι και τόσο διαδεδομένες και ότι φτάνουν τις 1 ανά 10,000,000 συσκευές.
Παρόλα αυτά...



NEOΣ Android RANSOMWARE: Παρακάμπτει όλα τα γνωστά Antivirus!
Εμφανίστηκε μία παραλλαγή ενός Android Ransomware, ο οποίος τη στιγμή που γράφονται αυτές οι γραμμές, μπορεί να παρακάμψει όλα τα γνωστά Antivirus της αγοράς. Στοχεύει σε Ρωσόφωνους χρήστες, όμως δεν περιλαμβάνει καμία ρουτίνα αποκρυπτογράφησης. Αυτό σημαίνει ότι η αποκρυπτογράφηση είναι αδύνατη, ακόμα και αν ο χρήστης πληρώσει τα λύτρα....

NEOΣ RANSOMWARE: Fantom
Δεν είναι ακριβώς νέος, είναι όμως μια νέα έκδοσή του, φτιαγμένη από την αρχή. Η αλλαγή στο όνομα αρχείου βασίζεται σε base64 κωδικοποίηση του αρχικού filename ενώ η επέκταση βασίζεται στην ώρα στην οποία ενεργοποιήθηκε ο Ransomware.
Αν ο Ransomware εντοπίσει ότι το θύμα είναι από τη Ρωσία, σταματάει τη διαδικασία και διαγράφει την επιμόλυνση.



NEOΣ RANSOMWARE: CrypVault
Δεν έχουν τελειωμό αυτήν την εβδομάδα...


Βάλαμε στο μάτι και τον Cradle
Aναμείνατε νεότερα.