Δευτέρα, 23 Απριλίου 2018

Τα νέα των Ransomware, 23/4/2018

Για αυτήν την εβδομάδα είχαμε μερικά μικρά στελέχη και αρκετά ενδιαφέροντα νέα. Εϊχαμε εργαζόμενο της Microsoft να κατηγορείται ότι εμπλέκεται με το Reveton Ransomware, είχαμε έξαρση του GandCrab το οποίο τώρα διασπείρει ο Magnitude και έναν Ransomware που προσπαθεί να βγάλει χρήματα μέσω των προσφύγων της Συρίας (!).

Ας τα δούμε αναλυτικά:

Μηχανικός της Microsoft κατηγορείται για τον Reveton

Ένας μηχανικός δικτύων της Microsoft, ο Raymond Uadiale, 41 ετών, κατηγορείται για συμμετοχή στον Reveton. 

O Reveton είναι ένας αρχαίος Ransomware, που εμφανίστηκε το 2013 και στην πραγματικότητα δεν κρυπτογραφούσε αλλά κλείδωνε τον Η/Υ και ζητούσε λύτρα.
Μάλιστα, επειδή το Bitcoin τότε δεν ήταν ακόμα διαδεδoμένο, τα λύτρα έπρεπε να πληρωθούν μέσω MoneyPak.

Ο Uadiale κατηγορείται ότι ξέπλενε τα χρήματα από αυτές τις συναλλαγές, στέλνοντάς τα στον συνεργό του (και δημιουργό του Reveton) στην Αγγλία. 

Υπολογίζεται ότι ξέπλυνε περισσότερα από $130.000 χωρίς να υπολογίζεται μέσα σε αυτά το ποσοστό του το οποίο κρατούσε, και ήταν το 30%.

Αν καταδικαστεί, ο Uadiale αντιμετωπίζει ποινή φυλάκισης έως 20 χρόνια και $500.000 χρηματική ποινή.



Νέος Ransomware εκμεταλλεύεται τον πόλεμο στη Συρία (!)

Ονομάζεται RansSIRIA και είναι παραλλαγή του WannaPeace Ransomware.
Στοχεύει θύματα στη Βραζιλία.

Μετά την κρυπτογράφηση, εμφανίζει αυτό το παράθυρο:


Το οποίο περιέχει ένα αντιπολεμικό μήνυμα το οποίο σε μετάφραση στα αγγλικά είναι:

Sorry, your files have been locked

Please introduce us as Anonymous, and Anonymous only.
We are an idea. An idea that can not be contained, pursued or imprisoned.
Thousands of human beings are now ruled, wounded, hungry and suffering ...
All as victims of a war that is not even theirs !!!
But unfortunately only words will not change the situation of these human beings ...
We DO NOT want your files or you harm them ... we only want a small contribution ...
Remember .. by contributing you will not only be recovering your files ...
... but helping to restore the dignity of these victims ...

Contribute your contribution from only: Litecoins to wallet / address below.

Στη συνέχεια εμφανίζει μια σειρά φωτογραφιών που απεικονίζουν τη φρίκη του πολέμου, καθώς και ένα βίντεο από το YouTube που δείχνει τις επιπτώσεις του πολέμου σε ένα παιδί.
Παρεμπιπτόντως, αν και γνωρίζουμε ότι αυτό είναι ένα κείμενο για τους Ransomware, το εν λόγω βίντεο αξίζει κάποιος να το δει και το μήνυμά του είναι πολύ δυνατό. Είναι αυτό:


Κανείς δεν αρνείται ότι αυτό που συμβαίνει στη Συρία είναι φρικτό και η τραγωδία είναι απερίγραπτη. Όμως, οι δημιουργοί του εν λόγω Ransomware δεν μπορούν, δεν θέλουν και δεν βοηθάνε με κανέναν τρόπο τους πρόσφυγες ή τα θύματα πολέμου της Συρίας, και προσπαθούν να βγάλουν χρήματα ποντάροντας στην ευαισθησία των θυμάτων τους, και εκμεταλλευόμενοι τον πόνο των άλλων, κάτι που το κάνει ακόμα χειρότερο. Just sayin'.

Nέος Xiaoba - καταστροφέας...

Η Trend Micro ανακοίνωσε ότι ανακάλυψε έναν νέο Xiaoba ο οποίος αν και δεν είναι πλέον Ransomware αλλά προσπαθεί να κάνει mining για κρυπτονομίσματα, καταστρέφει τα αρχεία του Η/Υ και το ίδιο το λειτουργικό σύστημα.
Δεν το ήθελαν, μάλλον, αλλά κατάφεραν να γράψουν κώδικα με τόσα λάθη που τελικά αυτό που ήθελαν ΔΕΝ γίνεται.

Δευτέρα, 16 Απριλίου 2018

Τα νέα των Ransomware, 16/4/2018

Για αυτήν την εβδομάδα είχαμε έξαρση του Matrix με δύο νέα στελέχη τα οποία θερίζουν. Είχαμε ήδη αρκετές αναφορές για θύματα και στην Ελλάδα. ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!

Ta μεγάλα νέα αφορούν την προσθήκη προστασίας κατά των Ransomware στα Windows 10 από τη Microsoft.

Κατά τ' άλλα, κυριώς νέα στελέχη από ήδη υπάρχοντα Ransomware για αυτήν την εβδομάδα. Εϊχαμε και το αστείο PUBG Ransomware, το οποίο αναγκάζει τα θύματά του να παίξουν ένα παιχνίδι για να τους δώσει κλειδί αποκρυπτογράφησης... 


Ας τα δούμε αναλυτικά:

Δύο νέα στελέχη του Matrix θερίζουν -- ΘΥΜΑΤΑ ΚΑΙ ΣΤΗΝ ΕΛΛΑΔΑ

Δύο νέα στελέχη έκαναν την εμφάνισή τους την προηγούμενη εβδομάδα. Παρατηρούμε αυξημένη δραστηριότητά τους και είχαμε ήδη και πολλές αναφορές για θύματα και στη χώρα μας.

Το πρώτο στέλεχος χρησιμοποιεί την επέκταση [Files4463@tuta.io] και random χαρακτήρες στο όνομα αρχείου. Τα κρυπτογραφημένα αρχεία γίνονται κάπως έτσι:
DCIM5209.jpg --> otrN4jg830vgC-JUDKjghe.[FILES4463@tuta.io].


To δεύτερο στέλεχος λειτουργεί με παρόμοιο τρόπο, όμως είναι πιο advanced. Toποθετεί την επέκταση [RestorFile@tutanota.com] και μόλις ολοκληρώσει την κρυπτογράφηση, κρυπτογραφεί ΚΑΙ τον κενό χώρο του δίσκου, γεμίζοντάς τον και δημιουργώντας περισσότερα προβλήματα αφού ουσιαστικά αποκλείει τη χρήση λογισμικών ανάκτησης για διαγραμμένα αρχεία.  

Η επιμόλυνση γίνεται μέσω Remote Desktop και μέχρι αυτή τη στιγμή η αποκρυπτογράφηση είναι δυστυχώς αδύνατη.




Nέος Ransomware - Horros

Πρόκειται για νέο εύρημα. Τον αναλύουμε προς το παρόν.

Update: ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!


Νέος Ransomware - Dcrtr

Mία κακογραμμένη σαβούρα, ο dcrtr εμφανίστηκε αυτήν την εβδομάδα. Είναι τόσο κακογραμμένος, που κατά τη διάρκεια της κρυπτογράφησης, το σύστημα κρεμάει. Το ποσό των λύτρων εξαρτάται από την ταχύτητα με την οποία τα θύματα θα επικοινωνήσουν με τον εισβολέα (!). 


Ο PUBG θέλει παιχνιδάκια...

Ο PUBG, που είναι τα αρχικά του Player's Unknown BattleGround, ζητάει από τα θύματά του

Δευτέρα, 9 Απριλίου 2018

Τα νέα των Ransomware, 9/4/2018

Εξαιρετικά καλή θα χαρακτηρίζαμε την εβδομάδα που μας πέρασε, αφού βρήκαμε λύσεις για πολλούς Ransomware :-)

Στα άλλα ενδιαφέροντα νέα, η Microsoft πρόσθεσε λειτουργία ανίχνευσης και αποτροπής Ransomware στο Office 365.

Κατά τ' άλλα, είχαμε κυρίως μικρά νέα στελέχη. 


Ας τα δούμε αναλυτικά:

Η Μicrosoft παίρνει anti-ransomware μέτρα

Ένα πολύ ενδιαφέρον feature φαίνεται πως ενσωματώνει η Microsoft στη σουίτα Office365. Ονομάζεται File Restore και με τη βοήθεια του OneDrive, θα επιτρέπει στους χρήστες να πηγαίνουν πίσω μέχρι και 30 μέρες και να αποκαθιστούν μολυσμένα/κρυπτογραφημένα αρχεία με παλιότερες εκδόσεις τους.



Το Office365 ειδοποιεί τους χρήστες επίσης για τον εντοπισμό δραστηριότητας Ransomware, όπως φαίνεται από την παρακάτω εικόνα.

Η ανακοίνωση της Μicrosoft εδώ.

Nέος νόμος στο Michigan απαγορεύει την κατοχή Ransomware

O Kυβερνήτης του Michigan, Rick Snyder υπέγραψε δύο νέους νόμους που ποινοκοποιούν την κατοχή και διασπορά Ransomware, με ποινή φυλάκισης 3 ετών για τους παραβάτες. Όλος ο νόμος εδώ.



Λύση για τον WhiteRose!


Είχαμε γράψει για αυτόν την προηγούμενη εβδομάδα.
Εμφανίστηκε πριν δύο εβδομάδες, τροποποιεί τα ονόματα αρχείων σε αυτό το μοτίβο [random-random-random]_encrypted_by.whiterose και είναι βασισμένος στον InfiniteTear.

Toποθετεί την επέκταση .WHITEROSE και αλλάζει τα ονόματα αρχείων με τυχαίους χαρακτήρες. Εν τω μεταξύ γράφει και κάτι περίεργα στο Ransom Note (τα ψυχοφαρμακάκια, εντάξει?)


ΒΡΗΚΑΜΕ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ! 




Λύση για τον Magniber!

O Magniber, που θεωρήθηκε ο διάδοχος του Cerber και είχε ως μέθοδο διασποράς τον Magnitude (εξ ου και το όνομα), μοιάζει να αποτελεί παρελθόν.
Εκμεταλλευόμενοι ένα κενό στη ρουτίνα κρυπτογράφησης,

Δευτέρα, 2 Απριλίου 2018

Τα νέα των Ransomware, 2/4/2018

Κυρίως μικρά στελέχη για αυτήν την εβδομάδα. Είχαμε ένα νέο Cryptomix, ένα wiper που ονομάζεται UselessDisk και μεταμφιέζεται σε Ransomware και μία εντελώς περίεργη είδηση (?) ότι η Boeing μολύνθηκε από τον WannaCry. 

Ας τα δούμε αναλυτικά:

Ο UselessDisk (ή αλλιώς Diskwriter) είναι wiper?

Ένας νέος bootlocker που ονομάζεται Diskwriter ή Uselessdisk, εμφανίστηκε στην αρχή της προηγούμενης εβδομάδας. Αυτός τροποποιεί το MBR (Master Boot Record), ώστε να εμφανίζει το παρακάτω Ransom Note όταν κάνει επανεκκίνηση  ο Η/Υ, και δεν μπαίνει στα Windows. Ζητάει $300 σε Bitcoins. Επειδή δεν βλέπουμε κανέναν απολύτως τρόπο να μπορεί να επανέρθει ο Η/Υ στην προηγούμενη κατάσταση, ακόμα και αν κάποιος πληρώσει τα λύτρα, τον θεωρούμε wiper. 



Αναστάτωση με την Boeing - μολύνθηκε από WannaCry?

Στα "τρελά" νέα της εβδομάδας, βγήκε η είδηση ότι η Boeing μολύνθηκε από τον WannaCry. Και λέμε "τρελή" γιατί ο WannaCry θεωρείται πλέον παλιά ιστορία και από το καλοκαίρι που μας πέρασε δεν έχει εμφανιστεί κανένα κρούσμα. 



Όλα ξεκίνησαν από ένα memo που έστειλε ο Mike VanderWel, επικεφαλής μηχανικός των αεροσκαφών Boeing, το οποίο
 σύμφωνα με την Seattle Times :

“It is metastasizing rapidly out of North Charleston and I just heard 777 (automated spar assembly tools) may have gone down,” VanderWel wrote, adding that he’s concerned the virus will hit equipment used in functional tests of airplanes ready to roll out and potentially “spread to airplane software.”


To πιο πιθανό πάντως είναι να πρόκειται για κάποιο από τα χιλιάδες Ransomware που εμφανίστηκαν και μιμούνται τον WannaCry. 

Αργότερα, στο twitter της Boeing εμφανίστηκε αυτό το Tweet:



Nέος Ransomware - EggLocker

Είναι υπό κατασκευή, δεν επηρεάζει τα ονόματα αρχείων -προς το παρόν μάλλον-

Δευτέρα, 26 Μαρτίου 2018

Τα νέα των Ransomware, 26/3/2018

Ο λόγος για τον οποίο δεν είχαμε νέα των Ransomware την προηγούμενη εβδομάδα, ήταν απλώς επειδή δεν υπήρχαν νέα (με εξαίρεση 1-2 καινούργια στελέχη).

Και αν αυτό αρχικά φαινόταν καλό νέο, και διαβάζουμε δεξιά κι αριστερά ότι το Ransomware πέθανε, ήρθε αυτή η εβδομάδα που μας πέρασε, να διαψεύσει τους πάντες:

Μεγάλοι οργανισμοί θύματα επίθεσης, η πόλη της Atlanta στην Georgia των ΗΠΑ να δέχεται ΤΕΡΑΣΤΙΑ επίθεση από τον SamSam, συλλήψεις στην Πολωνία, νέα στελέχη με καινούργιες μεθόδους επίθεσης και πάει λέγοντας... Δεν θα το λέγαμε ακριβώς αδράνεια...


Ας τα δούμε αναλυτικά:

Ο Νecurs και ο Gamut κρύβονται πίσω από το 97% (!!!) των spam emails που κυκλοφορούν στο διαδίκτυο!

Λαμβάνετε πολλά spam email? Σας εκνευρίζουν? Προφανώς ναι και ναι.
Πίσω από τη διακίνηση των email αυτών κρύβονται δύο (όλα κι όλα) botnets, ο Necurs και ο Gamut. 



Πηγή: McAfee

Mιας και μιλάμε για spam...

Μία μεγάλη καμπάνια διασποράς του Sigma Ransomware είναι σε εξέλιξη, με τη χρήση Malspam. Παριστάνει ότι αποστέλλεται από τη δημοφιλή αμερικάνικη πλατφόρμα αγγελιών Craigslist και περιέχει είτε αρχείο word κλειδωμένο με κωδικό (..?) είτε .rtf αρχείο, τα οποία κατεβάζουν και εκτελούν τον Sigma στον Η/Υ του θύματος.


Επίθεση του SamSam στην Atlanta






O δήμαρχος της Atlanta στην Georgia των ΗΠΑ επιβεβαίωσε ότι στις 22/3/2018 η πόλη δέχτηκε μεγάλη επίθεση από τον SamSam και ότι διάφορα συστήματα των υποδομών και της διαχείρισης της πόλης κατέρρευσαν. 

Το περιστατικό θεωρείται ιδιαίτερα σοβαρό και υπήρξε ανησυχία μέχρι και για τη λειτουργία του αεροδρομίου, ενώ υπήρξαν διακοπές ρεύματος,


διακοπές στη λειτουργία του MARTA (τα ΜΜΜ της πόλης)



Το περιστατικό έχει αναλάβει  το FBI ενώ οι πληροφορίες λένε ότι το ποσό που ζητήθηκε σαν λύτρα ήταν $51.000.

Περισσότερα εδώ.

To R2D2 η λύση για τους Ransomware?




Επιστήμονες από το πανεπιστήμιο του Purdue έχουν εξελίξει ένα σύστημα ασφάλειας δεδομένων που το ονομάζουν R2D2 (Reactive Redundancy for Data Destruction). Μπορεί να προστατεύσει σε ποσοστό 100% τα δεδομένα που βρίσκονται μέσα σε έναν εικονικό δίσκο διαγραφή και τροποποίηση.
Συνοπτικά, το σύστημα δημιουργεί checkpoints για τον έλεγχο αν η διαδικασία είναι κακόβουλη και αν δεν πάρει τα απαραίτητα εχέγγυα, δημιουργεί snapshot των δεδομένων, μην επιτρέποντας την τροποποίησή τους.





Συλλήψεις στην Πολωνία!




Καλά νέα με τη σύλληψη του δημιουργού των Polski Ransomware, Vortex Ransomware (τον είχαμε ήδη λύσει) και του Flotera Ransomware στην Πολωνία.
Ο συλληφθείς ονομάζεται

Δευτέρα, 12 Μαρτίου 2018

Τα νέα των Ransomware, 12/3/2018

Για αυτήν την εβδομάδα, είχαμε την επανεμφάνιση του GandCrab με νέο στέλεχος που προς το παρόν δεν έχουμε καταφέρει να σπάσουμε :(

Είχαμε επίσης την έρευνα της CyberEdge για τους Ransomware, με απίστευτα αποτελέσματα: Οι μισοί από όσους πλήρωσαν τα λύτρα, δεν πήραν ποτέ τα δεδομένα τους :(


Ας τα δούμε αναλυτικά:

Μεγάλη καμπάνια διασπείρει GlobeImposter και GandCrab -- ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!

Υπάρχει σε εξέλιξη μεγάλη καμπάνια με malspam, εξαιρετικά επικίνδυνη, που διασπείρει τους GandCrab και GlobeImposter.
Και οι δύο Ransomware είναι εξαιρετικά δραστήριοι και δεν μπορούν να αποκρυπτογραφηθούν.

Τα email που έρχονται είναι κάπως έτσι:



Tα email που έχουν εντοπιστεί να χρησιμοποιούνται ως αποστολείς είναι:



ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!!!!
Ακολουθήστε πιστά τον οδηγό επιβίωσης που έχουμε γράψει εδώ και καιρό.
ΜΗΝ ΑΝΟΙΓΕΤΕ ΕΠΙΣΥΝΑΠΤΟΜΕΝΑ ΑΠΟ ΜΗ ΕΜΠΙΣΤΕΣ ΠΗΓΕΣ.


Νέος Gandcrab - Δυστυχώς δεν επαληθευτήκαμε

Γράψαμε την προηγούμενη εβδομάδα για τον GandCrab για τον οποίο βρέθηκε λύση, ότι οι δημιουργοί του είχαν γράψει στο DarkWeb ότι ήδη ετοιμάζουν νέα έκδοση η οποία θα είναι αδιαπέραστη.
Είχαμε πει ότι πιθανώς και να μη προλάβουν να την κυκλοφορήσουν, μιας και επίκεινται συλλήψεις.
Τελικά πρόλαβαν. 
Η νέα έκδοση είναι δυστυχώς ασφαλής, τοποθετεί την επέκταση .CRAB και έχει επανασχεδιαστεί.

Έρευνα - σοκ της CyberEdge για τους Ransomware - Μόνο το ~50% όσων πλήρωσαν τα λύτρα πήραν πίσω δεδομένα!

Σε μία πολύ ενδιαφέρουσα έρευνα της CyberEdge, γίνεται φανερό ότι οι μισοί

Δευτέρα, 5 Μαρτίου 2018

Τα νέα των Ransomware, 5/3/2018

Μιας και την προηγούμενη εβδομάδα τεμπελιάσαμε, σήμερα θα έχουμε τα νέα των Ransomware για δύο εβδομάδες συμπτυγμένα.

Τα μεγαλύτερα νέα αφορούν την εξεύρεση λύσης για συγκεκριμένα στελέχη του Gandcrab, ο οποίος είχε εμφανιστεί πριν από περίπου 1 μήνα και έκτοτε ήταν από τους πλέον δραστήριους Ransomware, με πολλά θύματα και στην Ελλάδα.


Ας τα δούμε αναλυτικά:

Νέος Ransomware - Thanatos

Παρά το ελληνικό του όνομα, μάλλον προέρχεται από τη Ρωσία. Το πρόβλημα είναι ότι ο Thanatos αποτελεί άλλο ένα παράδειγμα όπου οι δημιουργοί Ransomware βγάζουν στη φόρα επιμολύνσεις που δεν είναι επαρκώς δοκιμασμένες και έχουν τόσα bugs που είναι εξαιρετικά απίθανο έως αδύνατον να αποκρυπτογραφηθούν τα δεδομένα, ακόμα και αν το θύμα πληρώσει τα λύτρα.

Στην προκειμένη περίπτωση, ο Thanatos δημιουργεί ένα κλειδί για κάθε αρχείο ξεχωριστά (!). Το πρόβλημα είναι ότι αυτό το κλειδί δεν αποθηκεύεται κάπου. Επομένως, αν το θύμα πληρώσει τα λύτρα, ο επιτιθέμενος δεν έχει τρόπο να του αποκρυπτογραφήσει τα αρχεία...


Τα καλά νέα είναι ότι για συγκεκριμένους τύπους αρχείου και με δεδομένο ότι υπάρχει επάρκεια χρόνου, ίσως μπορούμε να σπάσουμε τον κωδικό για κάθε αρχείο με τη μέθοδο Brute Force.

Το άλλο ενδιαφέρον με τον συγκεκριμένο είναι ότι είναι ο πρώτος που δέχεται Bitcoin Cash ως πληρωμή.

Όπως και να έχει, όπως είπαμε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ καθώς δεν θα σας δώσουν κλειδί αποκρυπτογράφησης, πολύ απλά γιατί κλειδί αποκρυπτογράφησης δεν υπάρχει.

Τεράστια επίθεση του SamSam στο Υπουργείο Μεταφορών στο Colorado των ΗΠΑ



Στις 21/2/2018, το Υπουργείο Μεταφορών του Κολοράντο των ΗΠΑ δέχτηκε μια μαζική επίθεση από τον SamSam, ο οποίος μόλυνε περισσότερους από 2.000 Η/Υ.

Μπορείτε να διαβάσετε περισσότερα για την επίθεση εδώ και εδώ.

Θυμίζουμε ότι ο SamSam θεωρείται από τους πιο δραστήριους Ransomware αυτήν την εποχή και διασπείρεται χειροκίνητα μέσω Remote Desktop, όπου υπάρχει αδύναμος οδηγός.

Για το λόγο αυτό γράψαμε έναν οδηγό ο οποίος μπορεί να σας βοηθήσει να δημιουργήσετε αδιαπέραστους κωδικούς, τους οποίους θα θυμάστε απ' έξω.

Λύση για τον GandCrab!!


Είχαμε αναφερθεί εκτενώς σε αυτόν [12].
Τα καλά νέα είναι ότι έχουμε βρει λύση για τις περισσότερες από τις ως τώρα επιμολύνσεις.
Τα κακά νέα είναι

Παρασκευή, 2 Μαρτίου 2018

FakeApp ονομάζεται η εφαρμογή για Android που κλέβει τους κωδικούς του Facebook



Ένα νέο στέλεχος malware για Android συσκευές έκανε την εμφάνισή του την προηγούμενη εβδομάδα και εφιστούμε την ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ.

Με τη μέθοδο του Phising, η εφαρμογή συλλέγει το όνομα χρήστη και τον κωδικό ασφαλείας του θύματός του, και άμεσα συνδέεται στον λογαριασμό του Facebook που υπέκλεψε από την ίδια συσκευή, αυτήν του θύματος, ενώ εντύπωση προκαλεί το γεγονός ότι μπορεί να χρησιμοποιήσει, αυτοματοποιημένα, ακόμα και τη λειτουργία αναζήτησης της πραγματικής εφαρμογής του Facebook!

Ονομάζεται FakeApp και εντοπίστηκε από ομάδα ερευνητών της Symantec. Η Symantec λέει ότι η εφαρμογή διανέμεται μέσα από κακόβουλες εφαρμογές που διανέμονται από αντίστοιχες ιστοσελίδες ή μέσα από άλλες εφαρμογές, παρουσιάζοντάς το FakeApp ως την legit εφαρμογή του Facebook.

Παρόλο που η εφαρμογή είναι στα αγγλικά, η Symantec αναφέρει ότι τα περισσότερα θύματα είναι στην περιοχή της Ασίας.


Χρησιμοποιεί ψεύτικη οθόνη login για να "ψαρέψει" τα συνθηματικά του χρήστη

Οι εφαρμογές που είναι μολυσμένες με το FakeApp δεν εμφανίζονται στην αρχική οθόνη του κινητού, αλλά ξεκινούν στο παρασκήνιο διεργασία η οποία ευθύνεται για την εκκίνηση της ψεύτικης οθόνης εισόδου στο Facebook. Η οθόνη αυτή εμφανίζεται σε τακτά χρονικά διαστήματα, μόνη της, μέχρι ο χρήστης να εισάγει το όνομα χρήστη και τον κωδικό πρόσβασης για τη δημοφιλή πλατφόρμα κοινωνικής δικτύωσης.

Στο σημείο αυτό είναι που η εφαρμογή κάνει τη διαφορά.

Μόλις το θύμα πληκτρολογήσει το όνομα χρήστη και τον κωδικό πρόσβασης, η εφαρμογή αφενός στέλνει τα στοιχεία αυτά στο server του επιτιθέμενου, αφετέρου τα χρησιμοποιεί για να κάνει άμεσα σύνδεση στο λογαριασμό facebook του θύματος. Η διαδικασία αυτή γίνεται αυτοματοποιημένα. 



Πώς λειτουργεί

Η εφαρμογή ξεκινάει ένα παράθυρο WebView το οποίο και το κάνει εντελώς διαφανές, τοποθετώντας alpha transparency = 0.01f - σχεδόν μηδέν.

Στη συνέχεια φορτώνει την οθόνη εισόδου στο Facebook και τοποθετεί τα στοιχεία εισόδου που πριν λίγο είχε υποκλέψει.

Αν και η Symantec δεν εξήγησε γιατί να γίνεται αυτό, πιστεύουμε ότι ο λόγος που οι επιτιθέμενοι κάνουν είσοδο στο Facebook από την ίδια συσκευή και όχι από κάποια άλλη, είναι για να αποφύγουν τα μέτρα ασφαλείας του Facebook που ενημερώνουν με μήνυμα αν εντοπιστεί είσοδος στην εφαρμογή από κάποια ξένη IP ή άγνωστο μέχρι στιγμής Η/Υ.

Χρησιμοποιώντας την ίδια συσκευή, ο επιτιθέμενος παρακάμπτει αυτό το πρόβλημα.

Σε αυτό το σημείο το FakeApp συλλέγει πληροφορίες από το προφιλ του θύματος, όπως τα στοιχεία εκπαίδευσης, εργασίας, τις επαφές, το βιογραφικό, στοιχεία οικογένειας, γεγονότα, "Μου αρέσει", γκρουπς, ποσταρίσματα, σελίδες κλπ. Με άλλα λόγια, συλλέγει ολόκληρη τη δραστηριότητα του θύματος.


Symantec: Είναι υψηλής ευφυΐας

"Η λειτουργία μέσω της οποίας σκανάρει όλο το Facebook προφιλ και συλλέγει πληροφορίες μας έχει εκπλήξει με την ιδιαιτερότητα και την ευφυΐα της", δήλωσαν ο Martin Zhang και ο Shaun Aimoto, οι δύο ερευνητές της Symantec που ανέλυσαν το FakeApp. 

"Η λειτουργία της χρήσης της αναζήτησης του Facebook με αυτοματοποιημένο τρόπο μας προκάλεσε επίσης έκπληξη", δήλωσαν

"Επιπροσθέτως, χρησιμοποιεί εντολές Ajax προκειμένου να συλλέξει πληροφορίες που υπό άλλες συνθήκες δεν θα ήταν δυνατόν, γιατί τα αποτελέσματα αυτά είναι δυναμικά" συμπλήρωσαν οι ερευνητές της Symantec. 

Να πούμε, τέλος, ότι τέτοιου είδους τεχνική και συμπεριφορά δεν έχουμε συναντήσει σε άλλα malware για Android συσκευές. Είναι πολύ περίεργο που το FakeApp δεν επιδιώκει σε κάποιο σημείο του το κέρδος, αφού δεν χρησιμοποιεί ransom ή extort τεχνικές.
Πιθανώς, ο σκοπός να είναι η δημιουργία βάσης δεδομένων χρηστών, αναλύοντας την οποία να μπορέσουν να εντοπίσουν κάποιο άτομο που θα τους κινήσει το ενδιαφέρον...

Σε κάθε περίπτωση εφιστούμε την προσοχή σε όλους. 
Κατεβάζετε εφαρμογές μόνο από έμπιστες πηγές (πχ. Play Store) και όχι από τρίτες σελίδες. 




Ευχαριστούμε την BleepingComputer για την παροχή υλικού.

Δευτέρα, 26 Φεβρουαρίου 2018

How to create extremely safe password (which you can remember)



After SamSam's Ransomware huge attack yesterday in USA, we take the opportunity to remind you folks:
Please do not take security of your infosec lightly.
Use strong passwords, especially when your business/life depends on them.
We see cases everyday where people should have been more careful when they chose their password, but haven't. And now it's too late.
Ask your self this question:
"How much would it hurt if someone would break in my computer and delete/encrypt/steal everything?"
If the answer is anything else rather than "Not at all", please take this advice seriously.

SamSam took advantage of poor password choices and wreak havoc to an entire State. And SamSam is just an example...
Are you using strong enough passwords?
Check here:
https://passwordsecurity.info
/

If not, here are some tips for you to follow, so you can create extremely safe passwords which are easy to remember.

Surely, 
J7*kL0))&fTw#4 is safe enough, but can you remember it?
And even if you do, are you going to use the same password for all your applications?
Or are you going to remember

J7*kL0))&fTw#4 for Facebook
(6^bNm<.?;LkIII7 for Twitter
1@eRRtGb^[}=_= for Gmail


and so on?

Well, now you can 
Here's how:


STEP 1: Take a phrase you like and you will remember.

This can be your favorite song, a movie, a line or anything that you can think of.

Let's take as an example the phrase
Northwind is awesome


STEP 2: Make it one word and capitalize the first letter of each word

In our example it will be 

NorthwindIsAwesome


STEP 3: Add symbols

Change the second letter of each word with a symbol. You can choose a symbol with the help of your keyboard.

The second letter of the word "Northwind" is O. Look at your keyboard and find O, then draw a line towards the symbols on the numeric part of your keyboard. Above "O" are 9 and 0 on the keyboard and the corresponding symbols are ( and ) respectively.
You can choose the LEFT (ie. the "(" ) or the RIGHT (ie. the ")" ), but always use the same rule.
In our example, we will use the LEFT rule, ergo we will use the "(" symbol.
The second letter of "Is" is s, so our symbol is @
The second letter of "Awesome" is w, so we choose @ again. 

The more words you use in your password, the more symbols it's going to have.

So, now our password is N(rthwindI@A@esome


STEP 4: Make it unique
You can't use your password for all your applications and logins.
Let's say you need to make different passwords for Facebook, Twitter, Linkedin and your WellsFargo online banking accounts.

We take the name of the application we want to log in and add the first and last letter of it to our password.
But we also change them using the symbol rule from above.
So, for our Facebook example, F corresponds to $ and k to * so we add $ and * to the start and end of our password:

$N(rthwindI@A@esome*

Now, if we add this to http://PasswordSecurity.info we get

"It would take 705 quintillion years to crack this password"
In case you don't know how much a quintillion is, it's got plenty of zeroes :)
That is 705.000.000.000.000.000.000 years. Now, that's a long time!

Our Twitter password will be
%N(rthwindI@A@esome$
(we have added % and $ which corresponds to the symbols of T and r following the LEFT rule)

Our Linkedin password will be
(N(rthwindI@A@esome&

and our WellsFargo password will be
@N(rthwindI@A@esome(

Of course, you can make your own rules, for example you can change the 4th letter to a symbol or whatever.

Good luck!

Τρίτη, 20 Φεβρουαρίου 2018

Τα νέα των Ransomware, 19/2/18

Στα ΚαθαροΔευτεριάτικα νέα των Ransomware, δεν έχουμε και πολλά πράγματα.

Η μεγαλύτερη είδηση είναι η επίσημη τοποθέτηση της Αγγλίας, η οποία χρεώνει τον NotPetya σε Ρώσους χάκερς.

Μεταξύ άλλων, μας κίνησε το ενδιαφέρον ο Saturn, ο οποίος μοιάζει να είναι πολύ οργανωμένος σε πολλούς τομείς σε σχέση με άλλα μικρά στελέχη που βλέπουμε κατά καιρούς και είναι ιδιαίτερα δραστήριος. 


Τέλος, άσχημα νέα με τον GandCrab ο οποίος ενώ ως τώρα στόχευε θύματα στην Κορέα, την προηγούμενη εβδομάδα είχαμε δύο κλήσεις για βοήθεια στην Ελλάδα. Δυστυχώς δεν υπάρχει (ακόμα) λύση για αυτόν.


Ας τα δούμε αναλυτικά:

Νέος Ransomware - TBlocker

Mε καλά νέα ξεκινάμε, την Δευτέρα που μας πέρασε εμφανίστηκε αυτός, για τον οποίο ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!


Έχουμε βρει λύση, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Παιδιά, έχετε μπερδευτεί λιγάκι...

Μια νέα παραλλαγή του Rapid εμφανίστηκε την προηγούμενη εβδομάδα, ο οποίος προσπαθεί να διασπαρεί μέσω malspam παριστάνοντας ότι πρόκειται για ηλεκτρονικό μήνυμα από το IRS (το ΣΔΟΕ της Αμερικής - ας πούμε).

Το θέμα είναι ότι το IRS είναι Αμερικάνικο, ο αποστολέας χρησιμοποιεί spoof email με κατάληξη Αγγλίας και το επισυναπτόμενο είναι στα γερμανικά...





Περί αλητείας ο λόγος

Μόνο σαν αλητεία μπορούμε να χαρακτηρίσουμε την τακτική του Defender Ransomware, ο οποίος δεν μπορεί να αποκρυπτογραφηθεί. Με κανέναν τρόπο.

Και ο λόγος είναι ότι

Δευτέρα, 12 Φεβρουαρίου 2018

Τα νέα των Ransomware, 12/2/2018

Για αυτήν την εβδομάδα είχαμε το εξής παράδοξο:

Εμφανίστηκαν αρκετοί νέοι Ransomware, μικρά στελέχη, τα οποία όμως μοιάζουν να είναι ενεργά και να δραστηριοποιούνται :-(

Είχαμε επίσης τους γνωστούς μας φίλους από τον Jigsaw (βρήκαμε, κλασικά, λύση για όλους) και έναν νέο Ransomware που ονομάζεται Black Ruby.


Ας τα δούμε αναλυτικά:



Νέος Ransomware - RaruCrypt

H εβδομάδα ξεκίνησε με τον απίστευτο Альберт Михайлович, ο οποίος είναι ο δημιουργός του RaruCrypt.
Πώς μπορείτε να τον βρείτε; Μέσω του προφίλ του στο vKontakte (το ρώσικο Facebook -ας πούμε) 



Έχουμε βρει λύση, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Καλά νέα, βρήκαμε λύση για τον MoneroPay





Περί Jigsaw ο λόγος

Εμφανίστηκε μία παραλλαγή του Jigsaw που βάζει την επέκταση .#.
Εμφανίστηκε μία παραλλαγή του Jigsaw που βάζει την επέκταση .justice.



























Εμφανίστηκε μία παραλλαγή του Jigsaw που τοποθετεί την επέκταση .science

EXOYME ΒΡΕΙ ΛΥΣΗ ΓΙΑ ΟΛΟΥΣ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Δευτέρα, 5 Φεβρουαρίου 2018

Τα νέα των Ransomware, 5/2/2018

Θυμάστε την προηγούμενη εβδομάδα που αναφέραμε ότι χτυπήθηκε η πόλη του Farmington στο New Mexico των ΗΠΑ? Well, that escalated quickly, αφού είχαμε και άλλες επιθέσεις...
Είχαμε επίσης μια ενδιαφέρουσα εβδομάδα σε γενικές γραμμές, με τον GandCrab να διανέμεται μέσω exploit kits και κάποια TOR Gateways τα οποία έκλεψαν χρήματα από ransomware developers!


Ας τα δούμε αναλυτικά:



Νέος Ransomware - GandCrab

To προηγούμενο Σαββατοκύριακο εμφανίστηκε αυτός, οριακά δεν προλάβαμε να τον αναφέρουμε στα νέα της προηγούμενης εβδομάδας.
Η καινοτομία του είναι ότι δέχεται πληρωμή μόνο σε DASH, πιθανώς λόγω του ότι το DASH είναι φτιαγμένο με απόλυτο σκοπό την πλήρη ανωνυμία.
Τοποθετεί την επέκταση .GDCB.







Tor-to-Web Proxy κλέβει Ransomware Developers, όπως λέμε ο κλέψας του κλέψαντος...

Μία απίστευτη ιστορία έλαβε χώρα τη Δευτέρα που μας πέρασε, αφού εντοπίστηκε τουλάχιστον ένα Tor Proxy service να αντικαθιστά τις διευθύνσεις Bitcoin από πληρωμές Ransomware, μεταφέροντας ουσιαστικά τις πληρωμές των λύτρων, σε άλλο wallet!


To Tor Proxy Service είναι μία υπηρεσία που επιτρέπει στους χρήστες να επισκεφτούν τις .onion σελίδες του Tor, χωρίς την εγκατάσταση του αντίστοιχου Tor browser.

Πιο συγκεριμένα, σε κάποιες περιπτώσεις τα Ransomware εμφανίζουν τόσο τη διεύθυνση Tor για την πληρωμή των λύτρων, όσο και εναλλακτικές Tor-to-web διευθύνσεις, για την περίπτωση που το θύμα δεν έχει τις τεχνικές λεπτομέρειες για να εγκαταστήσει Tor κλπ.

Μία τέτοια υπηρεσία είναι το onion.top, το οποίο στο παρασκήνιο σκάναρε το Dark Web για σελίδες που περιέχουν διευθύνσεις που μοιάζουν με Bitcoin wallets, και τις αντικαθιστούσαν με δικές τους, με αποτέλεσμα τα θύματα να πληρώνουν λύτρα και τα χρήματα να πηγαίνουν στο onion.top!


Ήδη ο LockeR Ransomware, ο Sigma και ο GlobeImposter έχουν πέσει θύματα, με τον LockeR να εμφανίζει και προειδοποιητικό μήνυμα..


Υπολογίζεται ότι τα μέχρι στιγμής κέρδη τους είναι περίπου $44.000.

Σχολείο στην Νότια Καρολίνα, θύμα Ransomware

Ενα σχολείο στην Νότια Καρολίνα, στο Chester County, έπεσε θύμα Ransomware την προηγούμενη Δευτέρα. Όπως αναφέρθηκε,

Chester County School District posted on its Facebook page Monday that ransomware hit the district’s servers over the weekend. The post went on to say that no data has been taken or breached, and it has a specialist on site to assist the district.

Δευτέρα, 29 Ιανουαρίου 2018

Τα νέα των Ransomware, 29/1/2018


Πολλά νέα σε ένα εκτενές update έχουμε ετοιμάσει για αυτήν την εβδομάδα.

Τα σημαντικότερα νέα είχαν να κάνουν με μεγάλη έξαρση στον SamSam. Υπενθυμίζουμε ότι ο SamSam διασπείρεται μέσω Remote Desktop και ακόμα και τώρα υπάρχουν πολλοί Η/Υ που έχουν την απομακρυσμένη πρόσβαση σχεδόν ελεύθερη για όλους....

Ενδιαφέρον έχουν οι δηλώσεις του προέδρου της Maersk για τον NotPetya, η επανεμφάνιση του KillDisk, και η νέα λαίλαπα που έκανε την εμφάνισή της, το BlackmailWare το οποίο μοιάζει να είναι πιο αποδοτικό από το Ransomware. 


Ας τα δούμε αναλυτικά:



Επανεμφάνιση του KillDisk

Tην Δευτέρα η TrendMicro ανακοίνωσε ότι παρατηρείται έξαρση του KillDisk σε εταιρίες της Λατινικής Αμερικής.
Να θυμήσουμε ότι ο KillDisk είναι ένας Ransomware με πολλές ιδιαιτερότητες, που κατασκευάστηκε από την ίδια ομάδα Ρώσων κυβερνο-εγκληματιών οι οποίοι ευθύνονται για την επίθεση στο δίκτυο Ενέργειας της Ουκρανίας με το BlackEnergy malware, για την επίθεση σε βιομηχανίες των ΗΠΑ με τον Sandworm malware και φυσικά για τον NotPetya που χτύπησε πολλές εταιρίες τον Ιούνιο του 2017.


Ο KillDisk έχει την ιδιαιτερότητα ότι αφού μπει στον Η/Υ, εγκαθίσταται στη μνήμη του, διαγράφει τον εαυτό του από το δίσκο και μετονομάζει τον εαυτό του.

Στη συνέχεια κάνει overwrite τα πρώτα 20 sectors από το MBR όλων των δίσκων του συστήματος και γράφει από πάνω τους μηδενικά.
Μετά, γράφει μηδενικά και στα πρώτα 2800 bytes από κάθε αρχείο των δίσκων αυτών (εξαιρεί τα αρχεία συστήματος) και αφήνει το Ransom Note.

Τέλος, μετράει 15 λεπτά (άγνωστο γιατί) και ξεκινάει να τερματίζει processes των Windows με σκοπό να προκαλέσει είτε πάγωμα του Η/Υ είτε μπλέ οθόνη (BSOD) με σκοπό να επανεκκινηθεί ο Η/Υ.

Μόλις ο Η/Υ επανεκκινηθεί φυσικά δεν μπορεί να μπει σε Windows αφού τα MBR έχουν μηδενιστεί. Το θύμα θα επισκεφθεί κάποιον τεχνικό ο οποίος προφανώς ψάχνοντας για αρχεία θα δει τα Ransom Notes.  






Νοσοκομείο πληρώνει $55.000 για λύτρα -- είχε backup!

Tην Τρίτη ενημερωθήκαμε ότι νοσοκομείο στην Indiana των ΗΠΑ πλήρωσε $55.000 σε λύτρα προκειμένου να απαλλαγεί από Ransomware που τους χτύπησε. Πρόκειται για το Hancock Health Hospital στο GreenField της Indiana.

Το νοσοκομείο χτυπήθηκε από τον SamSam ο οποίος μετονόμασε όλα τα αρχεία τοποθετώντας τη φράση "I'm sorry" στο όνομα αρχείου.
Η επίθεση έλαβε χώρα την προηγούμενη εβδομάδα (11/1) όμως ανακοινώθηκε επίσημα αργότερα. Την επόμενη μέρα, Παρασκευή, το νοσοκομείο ήταν γεμάτο με ανακοινώσεις που καλούσε όλους τους εργαζόμενους να τερματίσουν τους Η/Υ τους.




Όλες οι μηχανογραφικές εργασίες του νοσοκομείου σταμάτησαν. Οι γιατροί και το νοσηλευτικό προσωπικό συνέχισε να εργάζεται με χαρτί και μολύβι και όποια άλλα μέσα υπήρχαν διαθέσιμα. 

Σε ανακοίνωση του νοσοκομείου, παραδέχονται το γεγονός με πολύ λίγες, πάντως, λεπτομέρειες.
Το νοσοκομείο λειτούργησε ξανά 100% την επόμενη Δευτέρα, αφού πλήρωσε $55.000 για λύτρα. Εκπρόσωπος του νοσοκομείου δήλωσε ότι υπήρχαν αντίγραφα ασφαλείας αλλά θα τους έπαιρνε πολλές μέρες ή ακόμα και εβδομάδες για πλήρη αποκατάσταση, και αποφάσισαν ότι η πληρωμή των λύτρων ήταν γρηγορότερη διαδικασία...

ΝΕΟΣ Ransomware - MoneroPay - μεταμφιέζεται σε πορτοφόλι κρυπτονομισμάτων!

Είναι εντελώς καινούργιος, εμφανίστηκε την προηγούμενη Τετάρτη. Προσπαθεί να εκμεταλλευτεί την τρέλα που επικρατεί με τα κρυπτονομίσματα, προωθώντας τον εαυτό του ως πορτοφόλι ενός κρυπτονομίσματος -του SpriteCoin- το οποίο