9/4/18

Τα νέα των Ransomware, 9/4/2018

Εξαιρετικά καλή θα χαρακτηρίζαμε την εβδομάδα που μας πέρασε, αφού βρήκαμε λύσεις για πολλούς Ransomware :-)

Στα άλλα ενδιαφέροντα νέα, η Microsoft πρόσθεσε λειτουργία ανίχνευσης και αποτροπής Ransomware στο Office 365.

Κατά τ' άλλα, είχαμε κυρίως μικρά νέα στελέχη. 


Ας τα δούμε αναλυτικά:

Η Μicrosoft παίρνει anti-ransomware μέτρα

Ένα πολύ ενδιαφέρον feature φαίνεται πως ενσωματώνει η Microsoft στη σουίτα Office365. Ονομάζεται File Restore και με τη βοήθεια του OneDrive, θα επιτρέπει στους χρήστες να πηγαίνουν πίσω μέχρι και 30 μέρες και να αποκαθιστούν μολυσμένα/κρυπτογραφημένα αρχεία με παλιότερες εκδόσεις τους.



Το Office365 ειδοποιεί τους χρήστες επίσης για τον εντοπισμό δραστηριότητας Ransomware, όπως φαίνεται από την παρακάτω εικόνα.

Η ανακοίνωση της Μicrosoft εδώ.

Nέος νόμος στο Michigan απαγορεύει την κατοχή Ransomware

O Kυβερνήτης του Michigan, Rick Snyder υπέγραψε δύο νέους νόμους που ποινοκοποιούν την κατοχή και διασπορά Ransomware, με ποινή φυλάκισης 3 ετών για τους παραβάτες. Όλος ο νόμος εδώ.



Λύση για τον WhiteRose!


Είχαμε γράψει για αυτόν την προηγούμενη εβδομάδα.
Εμφανίστηκε πριν δύο εβδομάδες, τροποποιεί τα ονόματα αρχείων σε αυτό το μοτίβο [random-random-random]_encrypted_by.whiterose και είναι βασισμένος στον InfiniteTear.

Toποθετεί την επέκταση .WHITEROSE και αλλάζει τα ονόματα αρχείων με τυχαίους χαρακτήρες. Εν τω μεταξύ γράφει και κάτι περίεργα στο Ransom Note (τα ψυχοφαρμακάκια, εντάξει?)


ΒΡΗΚΑΜΕ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ! 




Λύση για τον Magniber!

O Magniber, που θεωρήθηκε ο διάδοχος του Cerber και είχε ως μέθοδο διασποράς τον Magnitude (εξ ου και το όνομα), μοιάζει να αποτελεί παρελθόν.
Εκμεταλλευόμενοι ένα κενό στη ρουτίνα κρυπτογράφησης,

ερευνητές από τη Νότια Κορέα κατάφεραν να σπάσουν τον αλγόριθμο για τις εκδόσεις με αυτές τις καταλήξεις αρχείων:

kympzmzw
 owxpzylj
 prueitfik
rwighmoz 
  bnxzoucsx
 tzdbkjry
 iuoqetgb
pgvuuryti 
 zpnjelt
 gnhnzhu
 hssjfbd
 ldolfoxwu
 zskgavp
 gwinpyizt


ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!


Λύση για τον Bansomqare

Είχαμε γράψει την προηγούμενη εβδομάδα για τον Bansomqare, ότι μοιάζει να μπορούμε να τον αποκρυπτογραφήσουμε. Ισχύει.
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!.




Λύση ΚΑΙ για τον καινούργιο Jigsaw

Στα κλασικά νέα της ημέρας, αποκρυπτογραφήσαμε ΚΑΙ τον νέο Jigsaw ο οποίος τοποθετεί την επέκταση .LolSec στα κρυπτογραφημένα αρχεία.
Αναρωτιόμαστε γιατί δεν βαρέθηκαν ακόμα..


Λύση ΚΑΙ για τον LockCrypt

Oι δημιουργοί του LockCrypt φαίνεται ότι αποφάσισαν να χρησιμοποιήσουν δικές τους τεχνικές κρυπτογράφησης και όχι κάτι ήδη δοκιμασμένο, με αποτέλεσμα να βρούμε λύση για τον συγκεκριμένο.
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!





Νέος Ransomware - Skyfile

Aυτός τοποθετεί την επέκταση .sky στα κρυπτογραφημένα αρχεία.
Είναι πολύ καινούργιος, αλλά νομίζουμε ότι μπορούμε να τον αποκρυπτογραφήσουμε.
Αν κάποιος έχει μολυνθεί, παρακαλούμε να έρθει σε επικοινωνία μαζί μας.


Nέος Ransomware - Vurten

Toποθετεί την επέκταση .improved και αφήνει Ransom Note με το όνομα Uncrypt.readme.
Ζητάει $10.000 σαν λύτρα.




Νέος Ransomware - Cypren

Άλλη μία σαβούρα, ο Cypren. Τοποθετεί την πρωτότυπη επέκταση .encrypted. 




Νέος Ransomware - Oxar

O Michael Gillespie ανακάλυψε τον Oxar, ο οποίος βασίζεται στον HiddenTear. Τοποθετεί την επέκταση .FUCK και είναι τόσο κακογραμμένος, που μας πήρε περίπου 10' να τον αποκρυπτογραφήσουμε.
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!





Τούρκικος Ransomware Builder στο προσκήνιο...

Προς το παρόν είναι υπό κατασκευή μάλλον, αφού δεν κάνει και πολλά πράγματα...






Αυτά για τώρα.
Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.