Δευτέρα, 12 Φεβρουαρίου 2018

Τα νέα των Ransomware, 12/2/2018

Για αυτήν την εβδομάδα είχαμε το εξής παράδοξο:

Εμφανίστηκαν αρκετοί νέοι Ransomware, μικρά στελέχη, τα οποία όμως μοιάζουν να είναι ενεργά και να δραστηριοποιούνται :-(

Είχαμε επίσης τους γνωστούς μας φίλους από τον Jigsaw (βρήκαμε, κλασικά, λύση για όλους) και έναν νέο Ransomware που ονομάζεται Black Ruby.


Ας τα δούμε αναλυτικά:



Νέος Ransomware - RaruCrypt

H εβδομάδα ξεκίνησε με τον απίστευτο Альберт Михайлович, ο οποίος είναι ο δημιουργός του RaruCrypt.
Πώς μπορείτε να τον βρείτε; Μέσω του προφίλ του στο vKontakte (το ρώσικο Facebook -ας πούμε) 



Έχουμε βρει λύση, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Καλά νέα, βρήκαμε λύση για τον MoneroPay





Περί Jigsaw ο λόγος

Εμφανίστηκε μία παραλλαγή του Jigsaw που βάζει την επέκταση .#.
Εμφανίστηκε μία παραλλαγή του Jigsaw που βάζει την επέκταση .justice.



























Εμφανίστηκε μία παραλλαγή του Jigsaw που τοποθετεί την επέκταση .science

EXOYME ΒΡΕΙ ΛΥΣΗ ΓΙΑ ΟΛΟΥΣ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Δευτέρα, 5 Φεβρουαρίου 2018

Τα νέα των Ransomware, 5/2/2018

Θυμάστε την προηγούμενη εβδομάδα που αναφέραμε ότι χτυπήθηκε η πόλη του Farmington στο New Mexico των ΗΠΑ? Well, that escalated quickly, αφού είχαμε και άλλες επιθέσεις...
Είχαμε επίσης μια ενδιαφέρουσα εβδομάδα σε γενικές γραμμές, με τον GandCrab να διανέμεται μέσω exploit kits και κάποια TOR Gateways τα οποία έκλεψαν χρήματα από ransomware developers!


Ας τα δούμε αναλυτικά:



Νέος Ransomware - GandCrab

To προηγούμενο Σαββατοκύριακο εμφανίστηκε αυτός, οριακά δεν προλάβαμε να τον αναφέρουμε στα νέα της προηγούμενης εβδομάδας.
Η καινοτομία του είναι ότι δέχεται πληρωμή μόνο σε DASH, πιθανώς λόγω του ότι το DASH είναι φτιαγμένο με απόλυτο σκοπό την πλήρη ανωνυμία.
Τοποθετεί την επέκταση .GDCB.







Tor-to-Web Proxy κλέβει Ransomware Developers, όπως λέμε ο κλέψας του κλέψαντος...

Μία απίστευτη ιστορία έλαβε χώρα τη Δευτέρα που μας πέρασε, αφού εντοπίστηκε τουλάχιστον ένα Tor Proxy service να αντικαθιστά τις διευθύνσεις Bitcoin από πληρωμές Ransomware, μεταφέροντας ουσιαστικά τις πληρωμές των λύτρων, σε άλλο wallet!


To Tor Proxy Service είναι μία υπηρεσία που επιτρέπει στους χρήστες να επισκεφτούν τις .onion σελίδες του Tor, χωρίς την εγκατάσταση του αντίστοιχου Tor browser.

Πιο συγκεριμένα, σε κάποιες περιπτώσεις τα Ransomware εμφανίζουν τόσο τη διεύθυνση Tor για την πληρωμή των λύτρων, όσο και εναλλακτικές Tor-to-web διευθύνσεις, για την περίπτωση που το θύμα δεν έχει τις τεχνικές λεπτομέρειες για να εγκαταστήσει Tor κλπ.

Μία τέτοια υπηρεσία είναι το onion.top, το οποίο στο παρασκήνιο σκάναρε το Dark Web για σελίδες που περιέχουν διευθύνσεις που μοιάζουν με Bitcoin wallets, και τις αντικαθιστούσαν με δικές τους, με αποτέλεσμα τα θύματα να πληρώνουν λύτρα και τα χρήματα να πηγαίνουν στο onion.top!


Ήδη ο LockeR Ransomware, ο Sigma και ο GlobeImposter έχουν πέσει θύματα, με τον LockeR να εμφανίζει και προειδοποιητικό μήνυμα..


Υπολογίζεται ότι τα μέχρι στιγμής κέρδη τους είναι περίπου $44.000.

Σχολείο στην Νότια Καρολίνα, θύμα Ransomware

Ενα σχολείο στην Νότια Καρολίνα, στο Chester County, έπεσε θύμα Ransomware την προηγούμενη Δευτέρα. Όπως αναφέρθηκε,

Chester County School District posted on its Facebook page Monday that ransomware hit the district’s servers over the weekend. The post went on to say that no data has been taken or breached, and it has a specialist on site to assist the district.

Δευτέρα, 29 Ιανουαρίου 2018

Τα νέα των Ransomware, 29/1/2018


Πολλά νέα σε ένα εκτενές update έχουμε ετοιμάσει για αυτήν την εβδομάδα.

Τα σημαντικότερα νέα είχαν να κάνουν με μεγάλη έξαρση στον SamSam. Υπενθυμίζουμε ότι ο SamSam διασπείρεται μέσω Remote Desktop και ακόμα και τώρα υπάρχουν πολλοί Η/Υ που έχουν την απομακρυσμένη πρόσβαση σχεδόν ελεύθερη για όλους....

Ενδιαφέρον έχουν οι δηλώσεις του προέδρου της Maersk για τον NotPetya, η επανεμφάνιση του KillDisk, και η νέα λαίλαπα που έκανε την εμφάνισή της, το BlackmailWare το οποίο μοιάζει να είναι πιο αποδοτικό από το Ransomware. 


Ας τα δούμε αναλυτικά:



Επανεμφάνιση του KillDisk

Tην Δευτέρα η TrendMicro ανακοίνωσε ότι παρατηρείται έξαρση του KillDisk σε εταιρίες της Λατινικής Αμερικής.
Να θυμήσουμε ότι ο KillDisk είναι ένας Ransomware με πολλές ιδιαιτερότητες, που κατασκευάστηκε από την ίδια ομάδα Ρώσων κυβερνο-εγκληματιών οι οποίοι ευθύνονται για την επίθεση στο δίκτυο Ενέργειας της Ουκρανίας με το BlackEnergy malware, για την επίθεση σε βιομηχανίες των ΗΠΑ με τον Sandworm malware και φυσικά για τον NotPetya που χτύπησε πολλές εταιρίες τον Ιούνιο του 2017.


Ο KillDisk έχει την ιδιαιτερότητα ότι αφού μπει στον Η/Υ, εγκαθίσταται στη μνήμη του, διαγράφει τον εαυτό του από το δίσκο και μετονομάζει τον εαυτό του.

Στη συνέχεια κάνει overwrite τα πρώτα 20 sectors από το MBR όλων των δίσκων του συστήματος και γράφει από πάνω τους μηδενικά.
Μετά, γράφει μηδενικά και στα πρώτα 2800 bytes από κάθε αρχείο των δίσκων αυτών (εξαιρεί τα αρχεία συστήματος) και αφήνει το Ransom Note.

Τέλος, μετράει 15 λεπτά (άγνωστο γιατί) και ξεκινάει να τερματίζει processes των Windows με σκοπό να προκαλέσει είτε πάγωμα του Η/Υ είτε μπλέ οθόνη (BSOD) με σκοπό να επανεκκινηθεί ο Η/Υ.

Μόλις ο Η/Υ επανεκκινηθεί φυσικά δεν μπορεί να μπει σε Windows αφού τα MBR έχουν μηδενιστεί. Το θύμα θα επισκεφθεί κάποιον τεχνικό ο οποίος προφανώς ψάχνοντας για αρχεία θα δει τα Ransom Notes.  






Νοσοκομείο πληρώνει $55.000 για λύτρα -- είχε backup!

Tην Τρίτη ενημερωθήκαμε ότι νοσοκομείο στην Indiana των ΗΠΑ πλήρωσε $55.000 σε λύτρα προκειμένου να απαλλαγεί από Ransomware που τους χτύπησε. Πρόκειται για το Hancock Health Hospital στο GreenField της Indiana.

Το νοσοκομείο χτυπήθηκε από τον SamSam ο οποίος μετονόμασε όλα τα αρχεία τοποθετώντας τη φράση "I'm sorry" στο όνομα αρχείου.
Η επίθεση έλαβε χώρα την προηγούμενη εβδομάδα (11/1) όμως ανακοινώθηκε επίσημα αργότερα. Την επόμενη μέρα, Παρασκευή, το νοσοκομείο ήταν γεμάτο με ανακοινώσεις που καλούσε όλους τους εργαζόμενους να τερματίσουν τους Η/Υ τους.




Όλες οι μηχανογραφικές εργασίες του νοσοκομείου σταμάτησαν. Οι γιατροί και το νοσηλευτικό προσωπικό συνέχισε να εργάζεται με χαρτί και μολύβι και όποια άλλα μέσα υπήρχαν διαθέσιμα. 

Σε ανακοίνωση του νοσοκομείου, παραδέχονται το γεγονός με πολύ λίγες, πάντως, λεπτομέρειες.
Το νοσοκομείο λειτούργησε ξανά 100% την επόμενη Δευτέρα, αφού πλήρωσε $55.000 για λύτρα. Εκπρόσωπος του νοσοκομείου δήλωσε ότι υπήρχαν αντίγραφα ασφαλείας αλλά θα τους έπαιρνε πολλές μέρες ή ακόμα και εβδομάδες για πλήρη αποκατάσταση, και αποφάσισαν ότι η πληρωμή των λύτρων ήταν γρηγορότερη διαδικασία...

ΝΕΟΣ Ransomware - MoneroPay - μεταμφιέζεται σε πορτοφόλι κρυπτονομισμάτων!

Είναι εντελώς καινούργιος, εμφανίστηκε την προηγούμενη Τετάρτη. Προσπαθεί να εκμεταλλευτεί την τρέλα που επικρατεί με τα κρυπτονομίσματα, προωθώντας τον εαυτό του ως πορτοφόλι ενός κρυπτονομίσματος -του SpriteCoin- το οποίο

Παρασκευή, 19 Ιανουαρίου 2018

Κάνουμε Reverse Engineer τον File Spider Ransomware




O File Spider είναι ένας καινούργιος Ransomware, ο οποίος στοχεύει χρήστες Βαλκανικών χωρών.

Ο τρόπος διασποράς του είναι μέσω spam email με επισυναπτόμενο τύπου Microsoft Word (.doc) το οποίο είναι παγιδευμένο.

Το αρχείο που αναλύουμε έχει τίτλο 
BAYER_CORPSCIENCE_OFFICE_ZAGREB_29858.doc
MD5: de7b31517d5963aefe70860d83ce83b9


Το αρχείο έχει ενσωματωμένες μακροεντολές.

Κοιτώντας τον κώδικα των macro, έχουμε:
Private Function decodeBase64(ByVal strData As String) As Byte()
    Dim objXML As MSXML2.DOMDocument
    Dim objNode As MSXML2.IXMLDOMElement
    
    Set objXML = New MSXML2.DOMDocument
    Set objNode = objXML.createElement("b64")
    objNode.dataType = "bin.base64"
    objNode.Text = strData
    decodeBase64 = objNode.nodeTypedValue
    
    Set objNode = Nothing
    Set objXML = Nothing
End Function

Δευτέρα, 15 Ιανουαρίου 2018

Τα νέα των Ransomware, 15/1/2018


Άλλη μία εβδομάδα με λίγα πράγματα στον τομέα των Ransomware -κάτι που είναι πάντα καλό νέο- με μόνο μικρές παραλλαγές και ανούσια νέα στελέχη.

Τα κυριότερα νέα αφορούν τον HC7, ο οποίος είναι ο πρώτος Ransomware που δέχεται ως πληρωμή το κρυπτονόμισμα Ethereum. 


Ας τα δούμε αναλυτικά:


Nέος Jigsaw, NSFW

Δευτέρα πρωί-πρωί εμφανίστηκε ένας νέος Jigsaw ο οποίος είναι NSFW (Not Safe For Work) καθώς περιέχει γυμνές φωτογραφίες (εμείς "λογοκρίναμε" την παρακάτω φώτο). Είναι σε δοκιμαστικό στάδιο με hardcoded κωδικό (είναι χαρακτηριστικό ότι ζητάει 100 εκατομμύρια δολάρια σε λύτρα...). 




Νεος HC7 - Planetary

Tην Τρίτη εμφανίστηκε ένας νέος HC7 ο οποίος τοποθετεί την επέκταση .PLANETARY στα κρυπτογραφημένα αρχεία.
Αυτό που τον κάνει μοναδικό είναι ότι είναι ο πρώτος που δέχεται ως τρόπο πληρωμής το κρυπτονόμισμα Ethereum.
Φυσικά κάνουν δεκτά και Bitcoin και Monero, μην αφήσουν κανέναν παραπονεμένο.



ALL FILES ARE ENCRYPTED. 
TO RESTORE, YOU MUST SEND $700 EQUIVALENT FOR ONE COMPUTER
OR $5,000 FOR ALL NETWORK
PAYMENTS ACCEPTED VIA BITCOIN, MONERO AND ETHEREUM
BTC ADDRESS: [bitcoin_address]
MONERO (XMR) ADDRESS: [monero_address]
CONTACT US WHEN ETHEREUM PAYMENT INFORMATION
BEFORE PAYMENT SENT EMAIL m4rk0v@tutanota.de
ALONG WITH YOUR IDENTITY: [base64_encoded_computer_name]
INCLUDE SAMPLE ENCRYPTED FILE FOR PROOF OF DECRYPT


NOT TO SHUT OFF YOUR COMPUTER, UNLESS IT WILL BREAK


Ποιος είναι πάλι αυτός?

Ο d.koporushkin είναι κάποιος που θα έπρεπε να ξέρουμε?
Γιατί σε αυτόν τον "Ransomware", εμφανίζεται το όνομα αυτό σε ένα αρχείο. Και βάζουμε το Ransomware σε εισαγωγικά γιατί ο εν λόγω δεν κρυπτογραφεί (προς το παρόν), αν και είναι φτιαγμένος για κάτι τέτοιο. Πάντως, υποκλέπτει δεδομένα, τα κρυπτογραφεί με hardcoded κωδικό και random αλάτι και τα ανεβάζει σε ένα ftp. Είναι βασισμένος στον HiddenTear.





Δευτέρα, 8 Ιανουαρίου 2018

Τα νέα των Ransomware, 6/1/18

Καλή χρονιά με υγεία και ευημερία σε όλους!

Πέρα από το Case Study που δημοσιεύσαμε το οποίο δείχνει στην πράξη πώς καταφέρνουμε μερικές φορές και "σπάμε" τους Ransomware, oι γιορτινές ημέρες πέρασαν ήρεμα στον τομέα αυτόν. Όπως και πέρσι έτσι και φέτος οι δημιουργοί τους πήραν μερικές μέρες ρεπό. Είδαμε κυρίως νέες παραλλαγές γνωστών στελεχών, κυρίως του CryptoMix.

Πέραν τούτων, μερικά υπό κατασκευή στελέχη και αυτό είναι όλο. Αν πάντως θα τολμούσαμε μία πρόβλεψη, θα ήταν ότι προς το τέλος του μήνα θα δούμε μεγάλη έξαρση δυστυχώς.


Ας τα δούμε αναλυτικά:


Nέος Damage/Dangerous

Αυτός εμφανίστηκε στην πιάτσα ανήμερα των Χριστουγέννων. Τοποθετεί την επέκταση .wtf και αφήνει αυτό το Ransom Note:





Νέος Ransomware - Pulpy

Εντελώς αδιάφορος..





Νεος Ransomware - MadBit

Ditto με από πάνω - εντελώς αδιάφορος. Τοποθετεί την επέκταση .enc. Πρωτοτυπία υπό του μηδενός...



Νέος Ransomware - Heropoint

Ο Lawrence Abrams εντόπισε αυτόν τον Ransomware στις 2/1/18. Είναι υπό κατασκευή και δεν κρυπτογραφεί ακόμα, αλλά θεωρείται σχεδόν σίγουρο ότι θα 

Πέμπτη, 4 Ιανουαρίου 2018



CASE STUDY: Αποκρυπτογραφώντας τον  HC7

Background

Πρόσφατα ένας πελάτης μας, έδωσε πρόσβαση μέσω Remote Desktop σε έναν σερβερ ο οποίος όπως αποδείχτηκε ήταν ήδη "προσβεβλημένος" λόγω του συνθηματικού που χρησιμοποιούσε, το οποίο ήταν ασθενές.

Οι επιτιθέμενοι έριξαν μέσα ένα Ransomware το οποίο μέχρι τώρα δεν είχαμε ξαναδεί, και προσπάθησαν να διασπείρουν το εκτελέσιμο αρχείο του Ransomware μέσω PsExec

Το εκτελέσιμο ήταν το hc7.exe το οποίο κατάφερε να κρυπτογραφήσει τεράστιο αριθμό δεδομένων μέσα σε μικρό χρονικό διάστημα, σε πολλαπλά μηχανήματα.

Καταφέραμε και αποκρυπτογραφήσαμε τα δεδομένα :-)

Δείτε αναλυτικά παρακάτω τον τρόπο που λειτουργήσαμε.