21/5/18

Τα νέα των Ransomware, 21/5/2018

Για την εβδομάδα που πέρασε είχαμε συνέχεια της έξαρσης του GandCrab και του Samas, ενώ ενδιαφέρον παρουσίασαν ειδήσεις για χτυπήματα Ransomware σε διάφορες κυβερνητικές υπηρεσίες των ΗΠΑ.

Κατά τ' άλλα, παρατηρούμε αρκετά χτυπήματα CryptON/Sigrun στην Ελλάδα (προσοχή σε όλους!). 


Ας τα δούμε αναλυτικά:

Η αστυνομία του Riverside πέφτει θύμα Ransomware για δεύτερη φορά.


Επίθεση Ransomware δέχτηκε η αστυνομία του Riverside στο Ohio των ΗΠΑ, για δεύτερη φορά μέσα σε ένα μήνα.
Η επίθεση πραγματοποιήθηκε στις 4 Μαΐου αλλά έγινε γνωστή τώρα, καθώς έφτασαν στην πόλη στελέχη των μυστικών υπηρεσιών των ΗΠΑ για να διερευνήσουν την υπόθεση.
Αν και στην πρώτη επίθεση που έγινε στις 23/4/18, ανακοινώθηκε ότι χάθηκαν αρχεία που πήγαιναν μέχρι και 10 μήνες πίσω, αυτή τη φορά αναφέρθηκε ότι η απώλεια ήταν μερικών ωρών, καθώς υπήρχαν αντίγραφα.
Περισσότερα εδώ

Nέος Ransomware - CryptON

Βασίζεται στον Nemesis. Το ενδιαφέρον είναι ότι μπορεί να αναγνωρίσει Virtual Machines, στα οποία επιτίθεται επίσης. Τοποθετεί την επέκταση xxx.ransomed@india.com, όπου χχχ είναι το ID του θύματος. 


Nέος Ransomware/Wiper - Stalin

Αυτός είναι υπό κατασκευή, αλλά δουλεύει πολύ καλά και θα μπορούσε εύκολα να βγει στην κυκλοφορία.
Δίνει 10 λεπτά για να τοποθετηθεί ο σωστός κωδικός, ειδάλλως ξεκινάει να κάνει wipe τα δεδομένα του δίσκου.
Όσο "περιμένει" παίζει στο παρασκήνιο τον εθνικό ύμνο της Ρωσίας και εμφανίζει εικόνες του Στάλιν.
Προς το παρόν, ο κωδικός για να ξεκλειδώσει, προκύπτει αφαιρώντας την ημερομηνία επιμόλυνσης, από την ημερομηνία δημιουργίας και σχηματισμού της ΕΣΣΔ, δηλαδή 30/12/1922.
Το ενδιαφέρον είναι τις ημερομηνίες τις δέχεται γραμμένες με τον αμερικάνικο τρόπο, δηλαδή 1922.12.30.

Νέος Rapid - version 3 ΣΕ ΜΕΓΑΛΗ ΕΞΑΡΣΗ

Μία νέα έκδοση του Rapid είναι εκεί έξω και είναι σε έξαρση. Ήδη υπάρχουν πολλές αναφορές για επιμολύνσεις από πολλές χώρες.
Δυστυχώς ο συγκεκριμένος Ransomware δεν παρουσιάζει αδυναμίες, οπότε η αποκρυπτογράφησή του είναι αδύνατη. :(

Νέος Ransomware - Σήψη


Ονομάζεται Sepsis και εμφανίστηκε την Τετάρτη που μας πέρασε. Τοποθετεί την επέκταση .[Sepsis@protonmail.com].sepsis στα κρυπτογραφημένα αρχεία. Και όχι, δεν είναι ελληνικός.

Νέος Jigsaw - Booknish

Toποθετεί την επέκταση .booknish. Αφήνει κάτι εκφοβιστικά μηνύματα του τύπου "πλήρωσέ με τώρα ειδάλλως θα διαγράψω 1000 αρχεία αν κλείσεις τον Η/Υ".
Φυσικά, έχουμε βρεί λύση, μη πληρώσετε τα λύτρα.




Nέος Dharma - Bip

Δυστυχώς κυκλοφορεί ακόμα.
Εμφανίστηκε την
Παρασκευή που μας πέρασε. Δεν είναι γνωστός ακόμα ο τρόπος διασποράς του, όμως τυπικά ο Dharma επιμολύνει μέσω Remote Desktop το οποίο παραβιάζουν και στη συνέχεια εγκαθιστούν χειροκίνητα τον Ransomware.
Toποθετεί την επέκταση .bip και δυστυχώς ούτε για αυτόν υπάρχει λύση.



Δύο νέοι Scarab - Walker & Horsuke

O πρώτος τοποθετεί την επέκταση .JohnnieWalker στα κρυπτογραφημένα αρχεία ενώ κρυπτογραφεί με base64 τα ονόματα των αρχείων. 


O δεύτερος είναι μία μίξη scarab και horsia και τοποθετεί την επέκταση .horsuke

Νέος RSAUtil

Δεν έχουμε και πολλά να πούμε για αυτόν, πρόκειται για μία νέα έκδοση του RSAUtil χωρίς κάτι το σπουδαίο.

Νέος Ransomware - Mr. Dec

Τοποθετεί την επέκταση [ID]<τυχαίο>[ID] στα κρυπτογραφημένα αρχεία και αφήνει Ransom Note με το όνομα Decoding help.hta.

Αυτά για τώρα.
Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.