23/4/18

Τα νέα των Ransomware, 23/4/2018

Για αυτήν την εβδομάδα είχαμε μερικά μικρά στελέχη και αρκετά ενδιαφέροντα νέα. Εϊχαμε εργαζόμενο της Microsoft να κατηγορείται ότι εμπλέκεται με το Reveton Ransomware, είχαμε έξαρση του GandCrab το οποίο τώρα διασπείρει ο Magnitude και έναν Ransomware που προσπαθεί να βγάλει χρήματα μέσω των προσφύγων της Συρίας (!).

Ας τα δούμε αναλυτικά:

Μηχανικός της Microsoft κατηγορείται για τον Reveton

Ένας μηχανικός δικτύων της Microsoft, ο Raymond Uadiale, 41 ετών, κατηγορείται για συμμετοχή στον Reveton. 

O Reveton είναι ένας αρχαίος Ransomware, που εμφανίστηκε το 2013 και στην πραγματικότητα δεν κρυπτογραφούσε αλλά κλείδωνε τον Η/Υ και ζητούσε λύτρα.
Μάλιστα, επειδή το Bitcoin τότε δεν ήταν ακόμα διαδεδoμένο, τα λύτρα έπρεπε να πληρωθούν μέσω MoneyPak.

Ο Uadiale κατηγορείται ότι ξέπλενε τα χρήματα από αυτές τις συναλλαγές, στέλνοντάς τα στον συνεργό του (και δημιουργό του Reveton) στην Αγγλία. 

Υπολογίζεται ότι ξέπλυνε περισσότερα από $130.000 χωρίς να υπολογίζεται μέσα σε αυτά το ποσοστό του το οποίο κρατούσε, και ήταν το 30%.

Αν καταδικαστεί, ο Uadiale αντιμετωπίζει ποινή φυλάκισης έως 20 χρόνια και $500.000 χρηματική ποινή.



Νέος Ransomware εκμεταλλεύεται τον πόλεμο στη Συρία (!)

Ονομάζεται RansSIRIA και είναι παραλλαγή του WannaPeace Ransomware.
Στοχεύει θύματα στη Βραζιλία.

Μετά την κρυπτογράφηση, εμφανίζει αυτό το παράθυρο:


Το οποίο περιέχει ένα αντιπολεμικό μήνυμα το οποίο σε μετάφραση στα αγγλικά είναι:

Sorry, your files have been locked

Please introduce us as Anonymous, and Anonymous only.
We are an idea. An idea that can not be contained, pursued or imprisoned.
Thousands of human beings are now ruled, wounded, hungry and suffering ...
All as victims of a war that is not even theirs !!!
But unfortunately only words will not change the situation of these human beings ...
We DO NOT want your files or you harm them ... we only want a small contribution ...
Remember .. by contributing you will not only be recovering your files ...
... but helping to restore the dignity of these victims ...

Contribute your contribution from only: Litecoins to wallet / address below.

Στη συνέχεια εμφανίζει μια σειρά φωτογραφιών που απεικονίζουν τη φρίκη του πολέμου, καθώς και ένα βίντεο από το YouTube που δείχνει τις επιπτώσεις του πολέμου σε ένα παιδί.
Παρεμπιπτόντως, αν και γνωρίζουμε ότι αυτό είναι ένα κείμενο για τους Ransomware, το εν λόγω βίντεο αξίζει κάποιος να το δει και το μήνυμά του είναι πολύ δυνατό. Είναι αυτό:


Κανείς δεν αρνείται ότι αυτό που συμβαίνει στη Συρία είναι φρικτό και η τραγωδία είναι απερίγραπτη. Όμως, οι δημιουργοί του εν λόγω Ransomware δεν μπορούν, δεν θέλουν και δεν βοηθάνε με κανέναν τρόπο τους πρόσφυγες ή τα θύματα πολέμου της Συρίας, και προσπαθούν να βγάλουν χρήματα ποντάροντας στην ευαισθησία των θυμάτων τους, και εκμεταλλευόμενοι τον πόνο των άλλων, κάτι που το κάνει ακόμα χειρότερο. Just sayin'.

Nέος Xiaoba - καταστροφέας...

Η Trend Micro ανακοίνωσε ότι ανακάλυψε έναν νέο Xiaoba ο οποίος αν και δεν είναι πλέον Ransomware αλλά προσπαθεί να κάνει mining για κρυπτονομίσματα, καταστρέφει τα αρχεία του Η/Υ και το ίδιο το λειτουργικό σύστημα.
Δεν το ήθελαν, μάλλον, αλλά κατάφεραν να γράψουν κώδικα με τόσα λάθη που τελικά αυτό που ήθελαν ΔΕΝ γίνεται.



Σε γενικές γραμμές, ο νέος Xiaoba υποτίθεται ότι θα πήγαινε και θα "κολλούσε" σε κάθε εκτελέσιμο του Η/Υ έτσι ώστε όταν ο χρήστης κάνει οποιαδήποτε ενέργεια, από πίσω ο Xiaoba να κάνει εξόρυξη. Όμως, από λάθος στον κώδικα, ο Xiaoba πάει και κολλάει και στον εαυτό του, ξανά και ξανά, δημιουργώντας τεράστια αρχεία. Επίσης, ενώ κανονικά ο χρήστης δεν θα έπρεπε να καταλαβαίνει τίποτα (ούτως ώστε o coinminer να κάνει ανενόχλητος τη δουλειά του), από άλλο λάθος στον κώδικα, όταν ο χρήστης προσπαθήσει να ανοίξει μία εφαρμογή, η εφαρμογή δεν ανοίγει, αλλά μόνο ο miner. Αυτό έχει σαν αποτέλεσμα, ο Xiaoba να κολλάει και σε εκτελέσιμα του πυρήνα των Windows, με αποτέλεσμα το μηχάνημα να κρασάρει και να μην μπορεί να ξεκινήσει.

You had one job...

Nέος Ransomware - Iron = DMALocker / Maktub / Satan / ?

Aυτός έχει πολύ ενδιαφέρον. Πρόκειται για μια μίξη του Maktub, από τον οποίο έχουν πάρει το payment portal, του DMA Locker από τον οποίο έχουν πάρει το decryption tool, και του Satan από τον οποίο έχουν πάρει τη λίστα με τις εξαιρέσεις. ΠΙθανώς να πρόκειται για κάποιο νέο project από τους δημιουργούς των παραπάνω.

Κατά τ' άλλα, ο κώδικας είναι καινούργιος και πρόκειται για νέο στέλεχος. Η προέλευσή του είναι από την Κίνα, ενώ εντύπωση προκαλεί το γεγονός ότι δεν κάνει εξαίρεση ούτε για αρχεία παιχνιδιών, όπως για παράδειγμα το .vdf που είναι αρχεία του Steam, το .wotreplay που είναι αρχεία replay από το παιχνίδι World of Tanks, ακόμα και τα προφιλ του DayZ (.dayzprofile)!


Ζητάει $1200-$10.200 και τοποθετεί την επέκταση .encry. 

O κώδικας δεν έχει λάθη, όμως είμαστε πεπεισμένοι ότι έχουμε βρει τρόπο να ανακτήσουμε τα δεδομένα από ένα τέτοιο περιστατικό. Αν κάποιος έχει μολυνθεί, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ και ελάτε σε επικοινωνία μαζί μας.




ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!

Νέος Ransomware / ScreenLocker: Krakatowis

Χρησιμοποιήστε το εξής κλειδί: 1eb472049398e443d014d27c438ebff1

Ευχαριστήστε μας και προσέχετε που κάνετε κλικ.


Νέος Ransomware - Tron

Άλλη μία κακογραμμένη σαβούρα,
που κάποιος έχει κάνει copy paste ακόμα και το κείμενο των λύτρων από τον WannaCry. Τοποθετεί την επέκταση .tron.





ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Νέος Ransomware - Spartacus

Τοποθετεί την επέκταση [MastersRecovery@protonmail.com].Spartacus.. Δεν βλέπουμε κενά στον κώδικα, η αποκρυπτογράφηση ΙΣΩΣ είναι δυνατή με εξαγωγή του κλειδιού από τη μνήμη RAM, όπως περιγράφουμε εδώ. Εννοείται ότι απαραίτητη προϋπόθεση είναι να μην κλείσει ο Η/Υ και το Ransomware να συνεχίσει να εκτελείται.





Νέος NM4

Aυτός τοποθετεί την επέκταση .NMCRYPT! στα κρυπτογραφημένα αρχεία. Δουλεύει αρκετά καλά και δεν έχουμε βρει προς το παρόν ευπάθειες...



O Magnitude πουσάρει τώρα GandCrab.

H Malwarebytes σε τεχνική της ανάλυση, αναφέρει ότι ο Magnitude, ο δεύτερος μεγαλύτερος ίσως exploit kit του κόσμου, διασπείρει πλέον τον GandCrab, χρησιμοποιώντας, μάλιστα, καινούργιες τεχνικές που κάνουν ακόμα δυσκολότερη την ανίχνευση...


Και άλλοι δύο Ransomware που ψάχνουν gamers.

Μετά τον PUBG και τη δημοσιότητα που πήρε, προφανώς κάποιοι θεώρησαν καλή ιδέα να φτιάξουν κι άλλα αντίστοιχα Ransomware.
Αυτήν την εβδομάδα εμφανίστηκαν άλλα δύο, ένα που ζητάει από τα θύματά του να παίξουν Minecraft και ένα που ζητάει να παίξουν Counter Strike.
Προς το παρόν, όπως και με τον PUBG, δεν κρυπτογραφεί τίποτα και πιο πολύ μοιάζει για αστείο κάποιου.

Νέος Ransomware - Meine Ransomware

Με τον ευφάνταστο τίτλο "Meine_Ransomware_PGP_DANGEROUS" κυκλοφόρησε αυτός, τοποθετεί την επέκταση .enc στα κρυπτογραφημένα αρχεία.

Αυτά για τώρα.
Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.