Η Northwind Data Recovery επίσημo μέλος της Europol στο project NoMoreRansom

Η Northwind Data Recovery είναι και επίσημα μέλος πλέον της Europol στη μάχη κατα των hashtag#ransomware στο project hashtag#NoMoreRansom. 

Ευχαριστούμε θερμά και θα προσπαθήσουμε να κάνουμε όσα περισσότερα μπορούμε ωστε το 2019 να είναι ασφαλέστερο . 

hashtag#NeverPay, hashtag#λυτρα

Τα νέα των Ransomware, 17/12/2018

Παραδοσιακά, οι μέρες πριν από τα Χριστούγεννα είναι πάντα πιο ήσυχες στον τομέα των Ransomware, πιθανώς λόγω του γεγονότος ότι πολύς κόσμος μετακινείται για τις γιορτές και πολλές εταιρίες υπολειτουργούν.

Είχαμε νέα στελέχη Dharma και Scarab κλασικά, ενώ είχαμε και ανησυχητική εξέλιξη στον τομέα του Sextortion.

Ας τα δούμε αναλυτικά:

Sextortion tactics

Ανησυχητικές διαστάσεις παίρνει η τακτική του sextortion, μέσω τις οποίας οι κυβερνο-εκβιαστές αποκομίζουν μεγάλα χρηματικά ποσά.

Τι είναι το sextortion?

Το υποψήφιο θύμα λαμβάνει ένα email στο οποίο αναφέρεται ότι έχει πιαστεί επαυτοφόρω να παρακολουθεί ιστοσελίδες με πορνογραφικό περιεχόμενο (μερικές φορές αναφέρουν και παιδική πορνογραφία). Γίνεται λόγος για χρήση της κάμερας του Η/Υ του θύματος, μέσω της οποίας έχουν αποδεικτικά της ... "δράσης" του θύματος και απειλούν να δημοσιεύσουν φωτογραφίες του σε προσωπικές στιγμές την ώρα που παρακολουθούν το πορνογραφικό περιεχόμενο.
Φυσικά, τίποτα από αυτά δεν υφίσταται.

Τον τελευταίο καιρό έχει εξελιχθεί η τακτική τους και έχει γίνει εξυπνότερη. 
Στοχεύουν σε θύματα των οποίων το email και ο κωδικός του έχουν διαρρεύσει και αποστέλλουν το παρακάτω email.

To κείμενο είναι το εξής:

Hello!

I have very bad news for you.
09/08/2018 - On this day, I got access to your OS and gained complete control over your system. **@gmail.com
On this day your account **@gmail.com has password: XXXX

How I made it:

In the software of the router, through which you went online, was avulnerability.
I just got into the router and got root rights and put my malicious code on it. 
When you went online, my trojan was installed on the OS of your device.

After that, I made a full dump of your (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I'm talk you about sites for adults.

I want to say - you are a BIG pervert. Your fantasy is shifted far away from the nromal course!

And i got an idea....
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!

As proof of my words, I made a video presentation in Power Point.
And laid out in a private cloud, look You can copy the link below and paste it into the browser.

https://google.com/url?Q=[url here]

I'm know that you would like to show these screenshots to your friends, relatives or colleagues.
I think #381 is a very, very small amount for my silence.
Besides, I have been spying on your for so long, having spect a lot of time!

Πολλά, λοιπόν, από τα θύματα θα προσπαθήσουν να κατεβάσουν το βίντεο που αποτελεί "απόδειξη" των πράξεών τους, με αποτέλεσμα να επιμολυνθούν με δύο διαφορετικά κακόβουλα λογισμικά:

Αρχικά με τον Azorult, μέσω του οποίου -πραγματικά αυτή τη φορά- αποσπούν προσωπικά στοιχεία όπως συνθηματικά πρόσβασης, ιστορικά συνομιλιών κλπ,
και στη συνέχεια επιμολύνονται με GandCrab και κρυπτογραφούνται τα δεδομένα τους.

Άλλη μία απόδειξη ότι πρέπει να δείχνουμε μεγάλη προσοχή σε ποια λινκ πατάμε!

Νέος GlobeImposter - EQ

Toποθετεί την επέκταση .fuck. Όχι κάτι παραπάνω καινούργιο.

Νέος Gerber 

Mετά τους Gerber1, 3 & 5 που αναφέραμε την προηγούμενη εβδομάδα, είχαμε άλλον έναν αυτήν την εβδομάδα με τον .FJ7QvaR9VUmi

Νέος Dharma - Santa

Στο κλίμα των ημερών, νέος Dharma με επέκταση .santa. Τίποτα απολύτως το καινούργιο.

Τα νέα των Ransomware, 10/12/2018

Με μεγάλο ενδιαφέρον παρακολουθούμε τις εξελίξεις γύρω από το θόρυβο που έχει ξεσπάσει σχετικά με τους απατεώνες που ισχυρίζονται ότι μπορούν να λύσουν διάφορα στελέχη Ransomware όπως ο Dharma και απλώς έρχονται σε επικοινωνία με τους κακοποιούς/δημιουργούς του κακόβουλου λογισμικού και εισπράττουν την μεσιτεία.
Μόνο που, μετά και από επικοινωνία που είχαμε με τη Δίωξη Ηλεκτρονικού Εγκλήματος, κάτι τέτοιο είναι παράνομο και διώκεται ποινικά.
Φαίνεται, μάλιστα, ότι κάποιο πουλάκι κάνει tweet, αφού τα εντόπια πουλιά αλλάξαν τα κείμενά τους και τώρα παρουσιάζονται ως ειδήμονες. 

Κατά τ' άλλα, ένας κακογραμμένος Ransomware προκάλεσε χάος στην Κίνα, μολύνοντας περισσότερους από 100.000 Η/Υ. Ο δημιουργός του συνελήφθη μετά από λίγες ημέρες και ο Ransomware αποκρυπτογραφήθηκε επιτυχώς. 

Ας τα δούμε αναλυτικά:

Νέοι Dharma

Το πρώτο στέλεχος εμφανίστηκε πριν από μία εβδομάδα ακριβώς και τοποθετεί την επέκταση .RISK.

Το δεύτερο, την Πέμπτη και τοποθετεί την επέκταση .bkpx.

Δεν υπάρχει κάτι καινούργιο, πρόκειται απλά για άλλα δύο μέλη της (τεράστιας, πλέον) οικογένειας των Dharma.

YΠΕΝΘΥΜΙΖΟΥΜΕ,

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Εταιρία παριστάνει ότι κάνει πολλά, κάνει λίγα, βρίσκει μπελά

Ούτε και θα πρέπει να πέσετε στην παγίδα και να εμπιστευτείτε εταιρίες που παριστάνουν ότι μπορούν να αποκρυπτογραφήσουν ό,τι κινείται στην αγορά, καθώς θα πέσετε θύμα και δεύτερης απάτης και θα πλουτίσετε τους επιτήδειους.

Μια τέτοια "εταιρία" στη Ρωσία σύμφωνα με την Check Point, η οποία ονομάζεται Dr. Shifro παριστάνει πως έχει λύσεις για τον Dharma (και άλλους, άλυτους Ransomware), ενώ στην πραγματικότητα έκανε τον μεσολαβητή και εισέπραττε την διαφορά.

Το θέμα πήρε μεγάλες διαστάσεις, κάτι που μας κάνει εντύπωση, αφού ήταν/είναι πάγια τακτική ακόμα και δικών μας εγχώριων "ειδημόνων" που δεν έχουν κάνει Reverse Engineering στη ζωή τους.

Διώξεις και για τον SamSam

Eίχαμε αναφερθεί στο παρελθόν για το χτύπημα στην Ατλάντα των ΗΠΑ τον Μάρτιο του 2018 με Ransomware, επίθεση που είχε προκαλέσει χάος.

Είχαμε αναφερθεί και την προηγούμενη εβδομάδα για τον SamSam και τις ποινικές διώξεις που ασκήθηκαν εναντίον δύο Ιρανών με κατηγορία εμπλοκής τους στην δημιουργία και διασπορά του εν λόγω Ransomware.

Τώρα, διαβάζουμε:
A federal grand jury in Atlanta has returned an indictment charging Faramarz Shahi Savandi and Mohammed Mehdi Shah Mansouri with committing a sophisticated ransomware attack on the City of Atlanta in March 2018 in violation of the Computer Fraud and Abuse Act.

Πηγή.

Χάος στην Κίνα με τον UNNAMED1989

Περισσότεροι από 100.000 Η/Υ μολύνθηκαν από έναν κυριολεκτικά αστείο Ransomware, ο οποίος ονομάζεται UNNAMED1989.

Είναι αστείο, γιατί παρά τον τόσο αγώνα που δίνεται καθημερινά από εταιρίες CyberSecurity προκειμένου να μπει τέλος στους Ransomware, τελικά ακόμα και ένας κακογραμμένος Ransomware μπορεί να προκαλέσει χάος.
Ο εν λόγω, ζητούσε πληρωμή μέσω WeChat (!). Εικάζεται ότι ο δημιουργός του χρησιμοποιούσε ένα μέσο κοινωνικής δικτύωσης της Κίνας με την επωνυμία Douban προκειμένου να δελεάσει τα θύματά του προκειμένου να χρησιμοποιήσουν μία δημοφιλή εφαρμογή μέσω της οποίας μπορεί κάποιος να χρησιμοποιεί περισσότερους από έναν λογαριασμούς κοινωνικής δικτύωσης ταυτόχρονα. Μόνο που, η εφαρμογή ήταν παγιδευμένη.
Σε έρευνα που έγινε, βρέθηκαν περισσότεροι από 20.000 κωδικοί λογαριασμών από εφαρμογές δημοφιλείς στην Κίνα όπως το Baidu, το QQ, το Alipay κλπ.

Λίγες μόνο ώρες μετά την κυκλοφορία του, κυκλοφόρησε εφαρμογή αποκρυπτογράφησης από την Tencent και την Velvet, ενώ ο δημιουργός του εντοπίστηκε αφού είχε δηλώσει στην καταχώρηση της εφαρμογής το όνομά του, το τηλέφωνό του και τη διεύθυνσή του (...). Εδώ που τα λέμε δεν άφησε και τίποτα στη φαντασία...

Φυσικά, συνελήφθη από τις αρχές.

Νέος Ransomware - Israbye

Τίποτα το ιδιαίτερο.
Δείτε τον εδώ σε δράση σε ένα βίντεο της Cyber Security.

Τα νέα των Ransomware, 3/12/2018

Eίχαμε ιστορίες με τον SamSam την προηγούμενη εβδομάδα. Μία ομάδα Ιρανών χάκερ κατηγορούνται ότι βρίσκονται πίσω του και στην Αμερική τους ψάχνουν να τους βρουν. Διαβάστε αναλυτικά παρακάτω.

Είχαμε χαμό με Dharma και Scarab, είχαμε και πολλά μικρότερα στελέχη.

Ας τα δούμε αναλυτικά:

Νέοι Dharma

Κι άλλα νέα στελέχη εμφανίστηκαν την προηγούμενη εβδομάδα.

Την Δευτέρα εμφανίστηκε ο .myjob. Δεν αλλάζει απολύτως τίποτα στον τρόπο λειτουργίας. 

Δύο μέρες αργότερα, ανακαλύφθηκε και ο WAR ο οποίος τοποθετεί την επέκταση .[cyberwars@qq.com].war στα κρυπτογραφημένα αρχεία.

Και την Παρασκευή, είχαμε και τον .risk.

Και για τους 3, δεν αλλάζει απολύτως τίποτα στο κομμάτι της κρυπτογράφησης.

ΠΡΟΣΟΧΗ ΟΜΩΣ.

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

Με μεγάλη μας λύπη διαπιστώνουμε ότι η λαίλαπα εξαπλώθηκε και στη χώρα μας με "κάποιους" να ισχυρίζονται ότι μπορούν να λύσουν τον Dharma και μάλιστα με ... εξπρες διαδικασίες και προνομιακό κόστος, 3000-6000 ευρώ (...) (!!!!).

Γελάμε και κλαίμε ταυτόχρονα.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Nέοι Scarab

O πρώτος μας έκανε την εμφάνισή του το βράδυ της Τετάρτης. Τοποθετεί την επέκταση .lolita.
Ο δεύτερος εντοπίστηκε τα ξημερώματα της επόμενης, τοποθετεί την επέκταση .stevenseagal@airmail.cc.

Το βράδυ της 28/11 εντοπίστηκε και τρίτος, τοποθετεί την επέκταση .online24files@airmail.cc.

Nέος Ransomware - Enybeny Nuclear

Μάλλον είναι υπό κατασκευή. Υποτίθεται ότι θα έπρεπε να τοποθετεί επεκτάση (την .PERSONAL_ID:.Nuclear) στα κρυπτογραφημένα αρχεία, αλλά στον κώδικα έχουν βάλει Invalid characters (συγκεκριμένα, τον ':') και δεν λειτουργεί.
Από αυτό που είδαμε, ακόμα και να λειτουργούσε θα μπορούσαμε να τον σπάσουμε.

Δείτε το σε δράση εδώ από βίντεο της CyberSecurity:

Νέος Ransomware - GarrantyDecrypt

Πέρα από τα άπειρα ορθογραφικά στον κώδικα, τίποτα απολύτως το καινούργιο...

Νέος Εverbe

Mία νέα έκδοση του Everbe 2.0 εντόπισε ο Michael Gillespie, τοποθετεί την επέκταση .lightning.

Τα νέα των Ransomware, 26/11/2018

Αρκετά ενδιαφέροντα έγιναν την προηγούμενη εβδομάδα, με κύριους πρωταγωνιστές σταθερά τον Dharma, έναν Ransomware που λέει ταυτόχρονα αλήθειες και ψέματα και έναν ακόμα που τρολάρει τους malware hunters. 

Na υπενθυμίσουμε, συνοπτικά, ότι το Ransomware δεν έχει καθόλου εξαλείψει. Είναι εκεί έξω με πολλές τυφλές και στοχευμένες επιθέσεις.
Μείνετε προστατευμένοι. Βεβαιωθείτε ότι τα αντίγραφα ασφαλείας σας είναι έγκυρα, ότι οι υπηρεσίες RDP που χρησιμοποιείτε είναι ασφαλείς, ότι δεν ανοίγετε επισυναπτόμενα από αυτούς που δεν γνωρίζετε και εγκαταστείτε τα updates από τα λογισμικά που χρησιμοποιείτε.

Ας τα δούμε αναλυτικά:

Νέοι Dharma

Δύο νέα στελέχη εμφανίστηκαν την προηγούμενη εβδομάδα, τοποθετεί τις καταλήξεις .fire και .shhh

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

Με μεγάλη μας λύπη διαπιστώνουμε ότι η λαίλαπα εξαπλώθηκε και στη χώρα μας με "κάποιους" να ισχυρίζονται ότι μπορούν να λύσουν τον Dharma και μάλιστα με ... εξπρες διαδικασίες και προνομιακό κόστος, 3000-6000 ευρώ (...) (!!!!).

Γελάμε και κλαίμε ταυτόχρονα.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Nέος STOP Ransomware - INFOWAIT

Toποθετεί την επέκταση .INFOWAIT. 
Δείτε το εδώ σε δράση:
https://app.any.run/tasks/5256ec09-df0c-4949-8888-13df86199219

Ο Aurora λέει αλήθειες και ψέματα...

Μεγάλη δραστηριότητα παρουσίασε ο Aurora τις τελευταίες μέρες.
Παραθέτουμε το Ransom Note:

H αλήθεια είναι αυτή για περιπτώσεις όπως ο Dharma, όπου "συνάδελφοι" κάνουν ακριβώς αυτό που περιγράφουν. Οπότε προσέξτε με ποιους συνεργάζεστε.
Το ψέμα που λένε οι κύριοι παραπάνω στο Ransom Note είναι ότι μόνο αυτοί μπορούν να αποκρυπτογραφήσουν τον συγκεκριμένο Ransomware, καθώς ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ για τον Aurora/Zorro και μπορούμε να τον αποκρυπτογραφήσουμε.

Αυτό που δεν μπορούμε να διανοηθούμε είναι ότι ενώ υπάρχει διαθέσιμη λύση, ρίχνοντας μια ματιά στο bitcoin wallet των κακοποιών, διαπιστώνουμε ότι από τις αρχές του Οκτώβρη μέχρι σήμερα έχει δεχθεί 109 πληρωμές.

Δείτε εδώ

https://www.blockchain.com/btc/address/18sj1xr86c3YHK44Mj2AXAycEsT2QLUFac

Νέος Ransomware - Vapor

Xρησιμοποιούν gmail ως μέσο επικοινωνίας με τα θύματα (!!!). Ισχυρίζονται ότι διαγράφουν δεδομένα όταν λήξει ο χρόνος, όμως το δείγμα που εξετάσαμε δεν έκανε κάτι τέτοιο. Τοποθετεί την επέκταση .VAPOR. 
Έχει θεματάκια με τον κώδικα, το κοιτάμε.

Νέος Ransomware - EnybenyHorsuke

Aυτός τοποθετεί την επέκταση .Horsuke και μόλις ολοκληρώσει την κρυπτογράφηση, εμφανίζει Ransom Note με τίτλο Hack.txt και έχει και φωνητικό μήνυμα με τα κακά μαντάτα.
Για να μη λέτε ότι δε σας προσέχουν.

Τα νέα των Ransomware, 19/11/2018

Με τον Dharma ασχολούμαστε και πάλι, αυτή τη φορά μας κίνησε το ενδιαφέρον άρθρο γνωστής ιστοσελίδας στο οποίο γίνεται σύνδεση του Dharma με την Τουρκία. Διαβάστε λεπτομέρειες παρακάτω.

Κατά τ' άλλα, κυρίως στελέχη γνωστών Ransomware όπως ο Dharma και ο Matrix μονοπώλησαν το ενδιαφέρον για την εβδομάδα που πέρασε.

Ας τα δούμε αναλυτικά.

Ο DHARMA ΕΙΝΑΙ ΤΟΥΡΚΙΚΗΣ ΠΡΟΕΛΕΥΣΗΣ?

Σύμφωνα με την ιστοσελίδα FortiGuard, 

Our telemetry also shows that for the past 6 months more than 25% of detection is originating from Turkey.

The cyberwar is not at rest. Turkish sources have reported that Dharma has attacked more than 100 Greek websites. Details of these attacks seems to confirm news reports about the political tensions between Turkey and Greece regarding islands ownership in the Aegean sea, showing that ransomware attacks can be used for activism as well as for financial gain.

o Dharma έχει χρησιμοποιηθεί για επίθεση σε 100 ελληνικές ιστοσελίδες, λόγω της κλιμακούμενης έντασης στο Αιγαίο.

Κρίνοντας από το γεγονός ότι οι απατεώνες που μας προσέγγισαν προσφέροντάς μας τη "λύση" τους για τον Dharma είχαν τουρκικά ονόματα, έχει λογική.

Μιας και μιλήσαμε για απατεώνες,

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Νέος Ransomware - XUY

Τίποτα το ενδιαφέρον. Βασίζεται στον Tron μάλλον.

Νέος Ransomware - Argus

Toποθετεί την επέκταση .ARGUS και αφήνει Ransom Note με την ονομασία ARGUS-DECRYPT.html.

Ο GlobeImposter διασπείρεται και μέσω HookAds

H καμπάνια malware HookAds εμφάνισε έντονη δραστηριότητα τις προηγούμενες ημέρες και στέλνει χρήστες στο Fallout Exploit Kit. Αυτό με τη σειρά του διασπείρει το DanaBot (το οποίο είναι Banking Trojan), τον Nocturnal και τον GlobeImposter. 

Ένα από τα sites που διασπείρουν τον HookAds είναι αυτό:

Ακόμα και ένας αδαής θα καταλάβαινε ότι ιστοσελίδες με την παραπάνω μορφή μυρίζουν μπαρούτι...
Η συγκεκριμένη ευαισθησία που εκμεταλλεύεται ο Fallout για να φορτώσει το payload είναι γνωστή.

Νέος SaveFiles - DataWait

Παραλλαγή του SaveFiles με την ονομασία DataWait. Τοποθετεί την επέκταση .DATAWAIT. Κατά τ' άλλα τίποτα το καινούργιο.

Τα νέα των Ransomware, 10/11/2018

Έχουμε γράψει εδώ κι εδώ κι εδώ κι εδώ κι εδώ για τους απατεώνες που ισχυρίζονται ότι μπορούν να επιλύσουν τον Dharma. Μάλλιασε η γλώσσα μας να λέμε ότι είναι απατεώνες και μην τους εμπιστεύεστε.

Ως τώρα επρόκειτο για τυχοδιώκτες οι οποίοι κρύβονταν πίσω από ένα email, ή στην χειρότερη περίπτωση εταιρίες - "φωτοβολίδες" όπως τις ονομάζουμε (αφού εμφανίζονται και εξαφανίζονται μέσα σε μία νύχτα) του εξωτερικού.

Με μεγάλη μας λύπη διαπιστώνουμε ότι η λαίλαπα εξαπλώθηκε και στη χώρα μας με "κάποιους" να ισχυρίζονται ότι μπορούν να λύσουν τον Dharma και μάλιστα με ... εξπρες διαδικασίες και προνομιακό κόστος, 3000-6000 ευρώ (...) (!!!!).

Γελάμε και κλαίμε ταυτόχρονα.

Για πάμε όλοι μαζί:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA -- ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ

Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 3 μήνες, ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena/.cezar/.brr (έχουν προστεθεί δεκάδες άλλα)

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 
Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Ελπίδες για GandCrab

Η λύση για τον GandCrab v1, v4 & v5 (έως και 5.0.3) λειτουργεί άψογα, όχι όμως και για τις λοιπές εκδόσεις (v2, v3, v5.0.4 & v5.0.5).
Παρόλα αυτά σε επικοινωνία που είχαμε με τον επικεφαλής των μηχανικών της BitDefender, μας ενημέρωσε ότι είναι πολύ κοντά στην ανακοίνωση λύσης τόσο για τον 5.0.4 όσο και για τον v.3.
Σε αναμονή.

Νέοι Dharma

Η λαίλαπα συνεχίζεται ακάθεκτη.
Την Δευτέρα εμφανίστηκε ο .tron.
Την Τρίτη δεν είχαμε κάποιον, όμως
την Τετάρτη έκαναν ρελανς με τον .AUDIT και τον .ADOBE.
Την Πέμπτη εμφανίστηκε ο .cccmn
Την Παρασκευή γράφαμε αυτές τις γραμμές.

Νέος Ransomware - M@r1a

Tοποθετεί την επέκταση .mariacbc. Είναι βασισμένος στον BlackHeart και δυστυχώς είναι πολύ καλογραμμένος.
Το κλειδί είναι προστατετυμένο με RSA-2048 και αποθηκεύεται στο Ransom Note.

Νέος Kraken Cryptor 2.2

Είχαμε αλλαγές επιχειρηματικού χαρακτήρα στον Kraken με αυτήν την έκδοση. Εννοούμε ότι το αφεντικό τρελάθηκε και έριξε τα λύτρα από 0.1BTC (~550 ευρώ) στα $80, και αλλάξανε τη διανομή η οποία τώρα γίνεται μέσω του Fallout Exploit Kit. Αλλάξανε και την ταπετσαρία η οποία τώρα θυμίζει αρκετά Cerber. 

Τα νέα των Ransomware, 3/11/2018

Είχαμε αρκετά νέα στον τομέα των Ransomware στο προηγούμενο χρονικό διάστημα.
Είχαμε συνεχιζόμενη επέλαση του Dharma, με περισσότερα από 15 νέα στελέχη. Οι απατεώνες συνεχίζουν και προκαλούν, ισχυριζόμενοι ότι έχουν λύση για τον Dharma και απλώς καρπώνονται τη διαφορά, πληρώνοντας τους εγκληματίες για να πάρουν το κλειδί. ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΓΙΑ ΤΟΝ DHARMA. 
Είχαμε λύση για τον GandCrab (v1, v4 & v5 - έως τον 5.0.3).
Εϊχαμε πολλές επιθέσεις σε οργανισμούς και δημόσιες υπηρεσίες.

Ας τα δούμε αναλυτικά:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA -- ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ

Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 1 μήνα ο Dharma (2 μήνες, πλέον) (φτάσαμε τους 3), ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena (έχουν προστεθεί κι άλλα)

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 
Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.
Μας έχουν προσεγγίσει από τουλάχιστον 4 διαφορετικές μεριές την τελευταία εβδομάδα μόνο. Φυσικά τους καταγγείλαμε στις αρχές.
Ένα παράδειγμα:

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY.

Για την ιστορία, οι παραπάνω "experts" μας κοστολόγησαν τη "δουλειά" τους 2800-3400 ευρώ, όσο περίπου δηλαδή κοστίζει και η παροχή του κλειδιού από τους δημιουργούς.

Λύση για τον GandCrab

H ιστορία είναι περίεργη. Σύμφωνα με τα όσα γνωρίζουμε, ένας εκ των δημιουργών του GandCrab συγκινήθηκε όταν διάβασε στο Twitter την απεγνωσμένη έκκληση για βοήθεια κάποιου ο οποίος είχε σε ένα δίσκο τις φωτογραφίες των παιδιών του, τα οποία πρόσφατα είχαν σκοτωθεί στον πόλεμο στη Συρία. Ο δίσκος αυτός είχε προσβληθεί από τον GandCrab και ο άνθρωπος έγραφε ότι θα δώσει όλα του τα υπάρχοντα, δεν τον νοιάζει τίποτα πλέον και απλώς θέλει κάποιος να τον βοηθήσει να επαναφέρει τις φωτογραφίες των παιδιών του.
Το αποτέλεσμα ήταν ένας εκ των δημιουργών του GandCrab να δημοσιοποιήσει το κλειδί για τις εκδόσεις 4 και 5 (έως την 5.0.3).
Φυσικά την αμέσως επόμενη ημέρα κυκλοφόρησε νέος GandCrab με άλλο κλειδί...

Δύο τρείς τέσσερεις 5 νέοι Dharma

Toποθετούν επέκταση .like και .gdb. Και τρίτος με επέκταση .XXXXX. Και τέταρτος, .betta. Και πέμπτος, .Vanss.

Νέος Ransomware - CommonRansomware

Aυτός είναι λίγο αστείος. Ζητάει 0.1Btc και μετά την πληρωμή, απαιτεί από το θύμα του να του δώσει όνομα χρήστη και κωδικό πρόσβαση σε Remote Desktop έτσι ώστε να μπει το "team" τους και να κάνει την αποκρυπτογράφηση...

Νέος Jigsaw - spaß

Kάποιος ηλίθιος έφτιαξε αυτόν τον Jigsaw που τοποθετεί την επέκταση .spaß
Και είναι ηλίθιος, αφού εκτός από το γεγονός ότι δημιουργεί ένα κλειδί για κάθε αρχείο που κρυπτογραφεί, δεν το αποθηκεύει πουθενά. Επίσης, το κλειδί το κρυπτογραφεί σε base64, όμως έχει συμπεριλάβει χαρακτήρες όπως !#$^ που είναι invalid για το base64.