Τετάρτη, 31 Μαΐου 2017

Αυτοί θα είναι οι Ransomware #trend αυτό το καλοκαίρι 2017

RANSOMWARE UPDATES 23/5/2017 – 29/5/2017

Οι μιμητές του WannaCry καλά κρατούν...

Μερικοί μόνο από αυτούς που κυκλοφόρησαν...




Δηλαδή, ούτε καν ένα εικονίδιο δεν μπαίνουν στον κόπο να αλλάξουν.
Να σημειώσουμε ότι οι περισσότεροι από αυτούς δεν κάνουν απολύτως τίποτα, και σκοπό έχουν απλά να τρομάξουν τους χρήστες και να τους κάνουν να πληρώσουν.

Δευτέρα, 29 Μαΐου 2017

Μην πληρώσετε τα λύτρα για τους Ransomware ΒTCWare, D2+D, HiddenTear κ.α.


H εβδομάδα που μας πέρασε περιείχε άπειρες μικρές παραλλαγές του WannaCry, του HiddenTear και δεκάδες υπό κατασκευή Ransomware τα οποία μάλλον -ελπίζουμε- ότι δεν θα κυκλοφορήσουν ποτε.
Στα καλά νεα, ο δημιουργός του
AES-NI (ο οποίος ήταν ο πρώτος που χρησιμοποίησε τα εργαλεία της NSA), αποφάσισε να σταματήσει όλα του τα project και να μοιράσει τα κλειδιά.
Ας δούμε αναλυτικά...

ΒΡΗΚΑΜΕ ΛΥΣΗ ΚΑΙ ΓΙΑ ΤΙΣ ΛΟΙΠΕΣ ΠΑΡΑΛΛΑΓΕΣ ΤΟΥ BTCWare !!!

Nα περάσει ο επόμενος...
Λέγαμε τ
ην προηγούμενη εβδομάδα ότι βρήκαμε λύση για τις δύο πρώτες εκδόσεις του BTCWare (.btcware και .cryptobyte) και πως δουλεύαμε επάνω στην εξεύρεση ολοκληρωμένης λύσης για τις άλλες δύο (.cryptowin και .theva).
Λύση βρήκαμε, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Update 27/5/2017: Όπως γίνεται συνήθως, οι δημιουργοί του BTCWare έκλεισαν κάποια κενά στον κώδικά τους και κυκλοφόρησαν καινούργια έκδοση, την οποία ονομάζουν OnyonWare με επέκταση .onyon. Καταφέραμε και σπάσαμε μερικώς τον αλγόριθμό τους, οπότε μπορούμε να υποστηρίξουμε partially και αυτήν την έκδοση!!

Update 29/5/2017: Και νέα παραλλαγή! Τοποθετεί την επέκταση .xfile στα αρχεία. ΜΗΝ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΒΡΗΚΑΜΕ ΛΥΣΗ ΚΑΙ ΓΙΑ ΑΥΤΗΝ ΤΗΝ ΕΚΔΟΣΗ!!! :)

Τρίτη, 23 Μαΐου 2017

Προσοχή οι νέοι RANSOMWARE που θερίζουν ...

15/5/2017 – 22/5/2017 (Update !)

        Παρακάτω δίνονται όλα τα νέα ransomware που κυκλοφόρησαν. Πολλά από αυτά έχουν λύση και σας την δίνουμε οπότε μην πληρώσετε τα λύτρα ! Για τα υπόλοιπα που δεν υπάρχει ακόμη λύση οι μηχανικοί μας δουλεύουν για την αποκρυπτογράφηση.

ΛΥΣΕΙΣ ΓΙΑ .WALLET, .ONION, BTCWare

Τα μεγάλα νεα της εβδομάδας που μας πέρασε ήταν η εύρεση λύσης για τον Dharma καθώς και για τον BTCWare.

Συγκεκριμένα, ο Dharma .wallet που έχει προσβάλλει περισσότερους από 15.000.000 χρήστες παγκοσμίως, πλέον αποτελεί παρελθόν. Αυτό αποτελεί σπουδαίο νέο για όλους και ακόμα περισσότερο, από τη στιγμή που καταφέραμε και αποκρυπτογραφήσαμε και την τελευταία γνωστή έκδοσή του, τον .onion.



Παρασκευή, 19 Μαΐου 2017


BREAKING NEWS #2

ΒΡΗΚΑΜΕ ΛΥΣΗ ΚΑΙ ΓΙΑ ΤΟΝ .ONION DHARMA RANSOMWARE!!!!!!!!!!!


ΠΡΟΣΟΧΗ! ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!


Ακολουθώντας τη λογική της εξεύρεσης λύσης για τον πιο επιθετικό Ransomware όλων των εποχών, τον .wallet, βρήκαμε λύση ΚΑΙ για την επόμενη έκδοσή του, τον .onion !!! :)

Αν και η λύση μας αυτή είναι προς το παρόν μερική (μπορούν να αποκρυπτογραφηθούν άνετα μικρά σε μέγεθος αρχεία, έχουμε μικρά προβλήματα με μεγαλύτερου μεγέθους), εργαζόμαστε ακατάπαυστα για να βελτιστοποιήσουμε το αποτέλεσμα.

Να πούμε ότι η Northwind είναι η μοναδική εταιρία στην Ελλάδα που έχει βρει λύση για αυτήν την έκδοση του Dharma.


Nέοι RANSOMWARE προσοχή ! 7/5/2017 – 14/5/2017

BREAKING NEWS!
Βρήκαμε λύση για τον .wallet Dharma!!!

O φοβερότερος Ransomware όλων των εποχών, αποτελεί πλέον παρελθόν!

MH ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!!

NEΑ ΠΑΡΑΛΛΑΓΗ ΤΟΥ ENJEY

Κατά τ' άλλα, εμφανίστηκε μία παραλλαγή του Enjey στην οποία δουλεύουμε για να βρούμε λύση. Τοποθετεί την επέκταση .encrypted.decrypter_here.


ΝΕΟΣ RANSOMWARE: GruxEr
Εμφανίστηκε ένας νέος Ransomware ονόματι GruxEr ο οποίος είναι αρκετά περίεργος: Εϊναι παραλλαγή του HiddenTear. Είναι ταυτόχρονα ScreenLocker και μολύνει τα JPG αρχεία, εισάγωντας μέσα τους ένα άλλο άσχετο .PNG αρχείο.



UPDATE 14/5/2017: Εμφανίστηκε και μία παραλλαγή του ακόμα που χρησιμοποιεί background από το Matrix
Παρόλα αυτά, δεν είδαμε να κρυπτογραφεί κάτι η συγκεκριμένη παραλλαγή...


ΝΕΟΣ LOCKY: LOPTR
Όπως αναμενόταν και όπως είχαμε προειδοποιήσει, ο Locky ξαναεμφανίστηκε με νέα επέκταση στα κρυπτογραφημένα αρχεία ενώ το Ransom Note είναι loptr-*4χαρακτηρες*.htm

MIAΣ ΚΑΙ ΜΙΛΑΜΕ ΓΙΑ LOCKY...
Πολλοί θεωρούν ότι ο Jaff είναι ο νέος LOCKY. Παρόλο που δεν έχει κάτι το ιδιαίτερο, μεταδίδεται χρησιμοποιώντας τον Necurs (όπως και ο Locky), χρησιμοποιεί το ίδιο payment gateway (όπως και ο Locky) και χρησιμοποιεί τις ίδιες μεθόδους διασποράς (όπως και ο Locky).


Ο SLOCKER ΞΑΝΑΧΤΥΠΑ ΜΕ 400 (!!!) ΠΑΡΑΛΛΑΓΕΣ!


Παρόλο που είχαμε να τον ακούσουμε από το καλοκαίρι του 2016, ο Slocker ξαφνικά ξύπνησε και χτυπάει με μεγάλο κύμα μολύνσεων όπως φαίνεται και στο γράφημα.

Τετάρτη, 17 Μαΐου 2017

Ransomware που αποκρυπτογραφήσαμε τον Μάιο (Part II)


ΝΙΚΗΣΑΜΕ ΤΟΝ AMNESIA
MH ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!

Ανακαλύψαμε μία τρύπα ασφαλείας στον κώδικα αποκρυπτογράφησης του Amnesia και τον εκμεταλλευτήκαμε, βρίσκοντας λύση για τον Ransomware αυτόν!
MH ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!!

Δευτέρα, 15 Μαΐου 2017

Παγκόσμιο χάος με τον WANNACRYPT


Χαος επικράτησε σε ολόκληρο τον πλανήτη το βράδυ της Παρασκευής με τις επιθέσεις του Wannacrypt (γνωστός επίσης και ως WannaCry, Wcry, WannaCrypt0r, Wcrypt0r, Wana Decrypt0r...

Στην Αγγλία περισσότερα από 40 νοσοκομεία έκλεισαν μετά τις επιθέσεις, ενώ στόχοι έγιναν εταιρίες και οργανισμοί σε ολόκληρο τον κόσμο. Στην Ελλάδα, θύμα έπεσε το ΑΠΘ.


Οι επιθέσεις έγιναν χρησιμοποιώντας το exploit kit της NSA ονόματι EternalBlue SMBv1 στο οποίο έχουμε αναφερθεί εκτενώς στο παρελθόν.

Τρίτη, 9 Μαΐου 2017

Προσοχή στους ransomware Μαΐου 2017

RANSOMWARE UPDATES Mάιος 2017 (part II)

Μόνο ως εφιαλτική θα μπορούσε να χαρακτηριστεί η εβδομάδα που μας πέρασε. Μετρήσαμε 38 νέα στελέχη Ransomware, εκ των οποίων τα 10 εμφανίστηκαν την Πρωτομαγιά!
Τα περισσότερα από αυτά είναι σκουπίδια, αλλά έρχονται να προστεθούν στο τεράστιο κύμα επιμολύνσεων που παρατηρείται.
Στα καλά νέα, καταφέραμε να αποκρυπτογραφήσουμε αρκετούς νέους
Ransomware.
Για να τα δούμε αναλυτικά:


ΝΕΟΣ RANSOMWARE: RSAUtil
Εμφανίστηκε (άλλος ένας) νέος HiddenTear Ransomware που ονομάζεται RSAUtil και αφήνει αυτό το Ransom Note με την ονομασία How_return_files.txt και τραγικά Αγγλικά.




Δευτέρα, 8 Μαΐου 2017

Λύσεις για τους νέους ransomware - Μην πληρώσετε τα λύτρα σε Bitcoin !


Μόνο ως εφιαλτική θα μπορούσε να χαρακτηριστεί η εβδομάδα που μας πέρασε. Μετρήσαμε 38 νέα στελέχη Ransomware, εκ των οποίων τα 10 εμφανίστηκαν την Πρωτομαγιά!
Τα περισσότερα από αυτά είναι σκουπίδια, αλλά έρχονται να προστεθούν στο τεράστιο κύμα επιμολύνσεων που παρατηρείται.
Στα καλά νέα, καταφέραμε να αποκρυπτογραφήσουμε αρκετούς νέους
Ransomware.

Για να τα δούμε αναλυτικά ποιοι είναι αυτοί :

Αυτή τη βδομάδα εμφανίστηκε ο Mikoyan :
Ένας από τους πιο ηλίθια γραμμένους Ransomware που έχουμε δει

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

ΝΙΚΗΣΑΜΕ ΤΟΝ Cry128

Αυτός είναι μία παραλλαγή του CryptON, τον οποίο (και όλες τις υπόλοιπες παραλλαγές του, Cry9, Cry123, Crypppp κλπ) έχουμε αποκρυπτογραφήσει εδώ και καιρό.
Τηρώντας την παράδοση, αποκρυπτογραφήσαμε και τον
Cry128.

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ


ΝΕΟΣ RANSOMWARE: FuckTheSystem
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Αυτός τοποθετεί την επέκταση .anon στα κρυπτογραφημένα αρχεία.

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

ΝΕΟΣ RANSOMWARE: Haters


ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ
Κι αυτός καινούργιος. Τοποθετεί την επέκταση .haters στα κρυπτογραφημένα αρχεία. Δεν έζησε όμως και πολύ.

ΝΕΟΣ RANSOMWARE: XnCrypt
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Ούτε κι αυτός έζησε πολύ.. Τοποθετεί την επέκταση .xncrypt στα κρυπτογραφημένα αρχεία.
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

ΝΕΟΣ RANSOMWARE: Klara
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ


ΝΕΟΣ RANSOMWARE: BTCWare
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ
Ούτε κι αυτός είχε μεγάλη τύχη...


ΝΕΟΣ RANSOMWARE: AntiDDOS

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Ούτε ο κύριος αυτός τα κατάφερε...
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

ΝΕΟΣ RANSOMWARE: ZipLocker
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Αυτός ζιπάρει τα αρχεία και τοποθετεί κωδικό στο zip αρχείο που δημιουργεί. Η μετονομασία που κάνει στα αρχεία είναι για παράδειγμα 01.jpg ---> 01locked.zip

Τετάρτη, 3 Μαΐου 2017

RANSOMWARE UPDATES
24/4/2017 – 30/4/2017



ΜΑΛΛΟΝ Ο AES-NI ΤΟ ΕΝΝΟΟΥΣΕ

Την προηγούμενη εβδομάδα είχαμε αναφερθεί στον Aes-Ni Ransomware για τον οποίο ο δημιουργός του καυχιόταν ότι χρησιμοποίησε ένα από τα exploit kits της NSA που είχαν διαρρεύσει στο Wikileaks.
Υπήρξε έντονος σκεπτικισμός για το κατά πόσο λέει μπούρδες ή όντως μπόρεσε να κάνει κάτι τέτοιο. 

Την Τρίτη εμφανίστηκε μία παραλλαγή του
Ransomware η οποία εισχωρεί στο svchost.exe αρχείο των Windows κάνοντας την αποκρυπτογράφηση αδύνατη. Ο δημιουργός του ονόμασε την παραλλαγή αυτή NSA_0DAy.



Δευτέρα, 1 Μαΐου 2017

RANSOMWARE ΛΥΣΕΙΣ
 24/4/2017 – 30/4/2017
ΜΗΝ ΠΛΗΡΩΣΕΤΕ !!

Πολύ καλή ήταν η εβδομάδα που μας πέρασε, με πολλές λύσεις αποκρυπτογράφησης σε διάφορα μικρά ή μεγαλύτερα Ransomware. Για να τα δούμε...

ΝΕΟΣ RANSOMWARE: JeepersCrypt
Αυτός είναι από τη Βραζιλία και τοποθετεί την επέκταση .jeepers.

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!