12/3/18

Τα νέα των Ransomware, 12/3/2018

Για αυτήν την εβδομάδα, είχαμε την επανεμφάνιση του GandCrab με νέο στέλεχος που προς το παρόν δεν έχουμε καταφέρει να σπάσουμε :(

Είχαμε επίσης την έρευνα της CyberEdge για τους Ransomware, με απίστευτα αποτελέσματα: Οι μισοί από όσους πλήρωσαν τα λύτρα, δεν πήραν ποτέ τα δεδομένα τους :(


Ας τα δούμε αναλυτικά:

Μεγάλη καμπάνια διασπείρει GlobeImposter και GandCrab -- ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!

Υπάρχει σε εξέλιξη μεγάλη καμπάνια με malspam, εξαιρετικά επικίνδυνη, που διασπείρει τους GandCrab και GlobeImposter.
Και οι δύο Ransomware είναι εξαιρετικά δραστήριοι και δεν μπορούν να αποκρυπτογραφηθούν.

Τα email που έρχονται είναι κάπως έτσι:



Tα email που έχουν εντοπιστεί να χρησιμοποιούνται ως αποστολείς είναι:



ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!!!!
Ακολουθήστε πιστά τον οδηγό επιβίωσης που έχουμε γράψει εδώ και καιρό.
ΜΗΝ ΑΝΟΙΓΕΤΕ ΕΠΙΣΥΝΑΠΤΟΜΕΝΑ ΑΠΟ ΜΗ ΕΜΠΙΣΤΕΣ ΠΗΓΕΣ.


Νέος Gandcrab - Δυστυχώς δεν επαληθευτήκαμε

Γράψαμε την προηγούμενη εβδομάδα για τον GandCrab για τον οποίο βρέθηκε λύση, ότι οι δημιουργοί του είχαν γράψει στο DarkWeb ότι ήδη ετοιμάζουν νέα έκδοση η οποία θα είναι αδιαπέραστη.
Είχαμε πει ότι πιθανώς και να μη προλάβουν να την κυκλοφορήσουν, μιας και επίκεινται συλλήψεις.
Τελικά πρόλαβαν. 
Η νέα έκδοση είναι δυστυχώς ασφαλής, τοποθετεί την επέκταση .CRAB και έχει επανασχεδιαστεί.

Έρευνα - σοκ της CyberEdge για τους Ransomware - Μόνο το ~50% όσων πλήρωσαν τα λύτρα πήραν πίσω δεδομένα!

Σε μία πολύ ενδιαφέρουσα έρευνα της CyberEdge, γίνεται φανερό ότι οι μισοί
από όσους έπεσαν θύματα Ransomware και αποφάσισαν να πληρώσουν τα λύτρα, δεν πήραν ποτέ τα δεδομένα τους πίσω!



Το ενθαρρυντικό είναι ότι περίπου 53% των θυμάτων -πάνω από τους μισούς- δεν πλήρωσαν τα λύτρα είτε γιατί είχαν αντίγραφα ασφαλείας, είτε γιατί χρησιμοποίησαν υπηρεσία ανάκτησης δεδομένων.

Νέος GlobeImposter 2.0 - .encrypt

Εμφάνιση του GlobeImposter 2.0 με νέο στέλεχος που τοποθετεί την επέκταση .encrypt. Ο GlobeImposter είναι σταθερά ιδιαίτερα δραστήριος με πολλά θύματα και στην Ελλάδα. Δυστυχώς δεν υπάρχει ακόμα λύση για αυτόν.
Η CyberSecurity Team έβγαλε ένα πολύ ενδιαφέρον βίντεο στο οποίο γίνεται επίδειξη του τρόπου επιμόλυνσης με αυτό το στέλεχος.
Δείτε το:

Νέος Jigsaw με ενδιαφέρον μήνυμα εκβιασμού

Αυτός τοποθετεί την επέκταση .BitConnect και υπόσχεται ότι θα αποκρυπτογραφήσει τα αρχεία αν βγάλετε μια φωτογραφία του εαυτού σας κρατώντας ένα σημείωμα με τον κωδικό που σας δίνει, και το ποστάρετε στο instagram....


Nέος RotorCrypt

Eμφανίστηκε ένα νέο στέλεχος του Rotorcrypt το οποίο τοποθετεί την πολύ εύκολη επέκταση !,--,Revert Access,--,starbax@tutanote.com,--,.BlockBax_v3.2. 



Νέος Jigsaw - JES

O Michael Gillespie ανακάλυψε έναν νέο Ισπανικό Jigsaw που τοποθετεί την επέκταση .jes και χρησιμοποιεί μια ταπετσαρία με θεματολογία Κθούλου.
Τηρώντας την παράδοση, έχουμε βρει λύση, μη πληρώσετε τα λύτρα.




Νέος Ransomware - Qwerty

Αυτός ανακαλύφθηκε από τη BleepingComputer και είναι δραστήριος τις τελευταίες μέρες, τοποθετεί την επέκταση .qwerty, αφού πρώτα κρυπτογραφήσει τα αρχεία και κάνει overwrite τα αρχικά data.
Το ενδιαφέρον είναι ότι χρησιμοποιεί το νόμιμο GnuPG (γνωστό και ως GPG) για την κρυπτογράφηση.






Νέος Ransomware - FRS

Ο Karsten Hahn ανακάλυψε τον FRS ο οποίος τοποθετεί την επέκταση .frs στα κρυπτογραφημένα αρχεία.






Νέος Ransomware - Ultimo

Και πάλι ο Karsten Hahn ανακάλυψε αυτόν τον Ransomware που τοποθετεί την επέκταση .locked.
Έχει αρκετά προβλήματα στον κώδικα πάντως.








Αυτά για τώρα.
Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.