Ransomware Ελλάδα: STOP Trumphead Jobcrypter BlackRouter
Ransomware Ελλάδα: STOP Trumphead Jobcrypter BlackRouter . Γύρισαν από τις διακοπές τους οι Ransomware Developers και προκάλεσαν χάος. Ήταν από τις πιο busy εβδομάδες των τελευταίων μηνών αυτή που μας πέρασε.
- Ξεχωρίζουμε την έξαρση με τον STOP
- Tο στέλεχος tfudet, για το οποίο είχαμε 6 κλήσεις για βοήθεια (στην Ελλάδα), μέσα σε 3 ημέρες.
- Είχαμε – φυσικά – νέους Dharma και Scarab και πολλά νέα και παλιά στελέχη.
Ας τα δούμε αναλυτικά:
Ransomware Ελλάδα: STOP
Χάος με τον STOP Ransomware
Ξαφνικά, στις αρχές της προηγούμενης εβδομάδας λαμβάνουμε κλήσεις για βοήθεια για ένα άγνωστο – μέχρι εκείνη την ώρα- στέλεχος.
Στην ανάλυση που κάναμε, συνειδητοποιούμε πώς πρόκειται για στέλεχος του STOP για τον οποίο είχαμε να ακούσουμε μήνες, από την εποχή του στελέχους Puma και INFOWAIT.
Έκτοτε, λάβαμε περισσότερες από 15 κλήσεις για βοήθεια για τον συγκεκριμένο Ransomware, κυρίως για τις εκδόσεις .tfudet και .rumba, μέσα στην προηγούμενη εβδομάδα και 6 μέσα στο σ/κ που μας πέρασε.
ΝΑ ΠΟΥΜΕ ΟΤΙ ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΓΙΑ ΤΑ ΣΤΕΛΕΧΗ ΑΥΤΑ, υπό προϋποθέσεις.
Συγκεκριμένα, αν ο μολυσμένος Η/Υ δεν έχει γίνει επανεκκίνηση, έχουμε καλές πιθανότητες να τα αποκρυπτογραφήσουμε.
Αν έχει γίνει επανεκκίνηση, τότε μπορούμε να αποκρυπτογραφήσουμε αρχεία τύπου .doc, .xls και .pdf. Όχι όμως άλλου τύπου αρχεία.
Θυμίζουμε ότι ο STOP διασπείρεται μέσω σπασμένων προγραμμάτων και torrent sites.
Ransomware Ελλάδα: Matrix
Νέος Matrix ransomware. O Michael Gillespie εντόπισε ένα νέο στέλεχος του Matrix που τοποθετεί την επέκταση .GRHAN. Δεν υπάρχει κάτι καινούργιο απ’ ότι είδαμε πάντως στον τρόπο κρυτπτογράφησης του.
Ransomware Ελλάδα: Jigsaw
Ένα γαλλικό αλλά εντελώς βαρετό στέλεχος του Jigsaw εμφανίστηκε, που τοποθετεί την επέκταση .data. Και είναι βαρετό, γιατί ενώ ο Jigsaw μας είχε συνηθίσει σε εντυπωσιακά background, αυτός έχει ένα μαύρο τετράγωνο.
Ransomware Ελλάδα: Trumphead
Νέος Ransomware – Trumphead. Μοιάζει να είναι υπό κατασκευή αυτός, ο οποίος περιέχει κείμενα που προσομοιάζουν πολύ … τον Τραμπ…
Ransomware Ελλάδα: Scarab
Νέος Scarab Ransomware – zzzzzzzz
Όχι κάτι καινούργιο. Είχαμε πάντως αρκετά θύματα και στην Ελλάδα.
Προσοχή: Ransomware προσπαθεί να κάνει phising το paypal
Ένας νέος, υπό κατασκευή Ransomware έκανε την εμφάνισή του, ο οποίος έχει την καινοτομία ότι στο Ransom Note προσπαθεί να κλέψει τα στοιχεία της πιστωτικής κάρτας του θύματος του μέσω Phising.
Συγκεκριμένα, ο εν λόγω Ransomware, ο οποίος ναι μεν λειτουργεί καλά αλλά δεν είναι κάτι φοβερό, έχει έξυπνο Ransom Note, στο οποίο εκτός από τον παραδοσιακό τρόπο πληρωμής με Bitcoin, προσφέρει και την επιλογή πληρωμής μέσω Paypal.
Αν κάποιος επιλέξει να πληρώσει μέσω Paypal, τότε τον πηγαίνει σε μία phising σελίδα (στην οποία έχουν κάνει ομολογουμένως πολύ καλή δουλειά) η οποία μοιάζει καταπληκτικά με την αντίστοιχη του κανονικού Paypal, όμως στην πραγματικότητα είναι η http://ppyc-ve0rf.890m.com/s2[.]php.
Όταν το θύμα συμπληρώσει τα στοιχεία του, τότε τον πηγαίνει στο κανονικό Paypal page για τα περαιτέρω, εντωμεταξύ όμως οι κακοποιοί έχουν υποκλέψει τα στοιχεία της πιστωτικής κάρτας και του Paypal του θύματος.
Ransomware Ελλάδα: Israbye
Το είδαμε κι αυτό.
Πρόκειται για τον Israbye Ransomware o οποίος, καταρχήν επαναλαμβάνει τον εαυτό του στην επέκταση των κρυπτογραφημένων δεδομένων:
Δεύτερον, αν το τρέξει κανείς δεύτερη φορά, θα αποκρυπτογραφηθούν τα αρχεία μόνα τους, αφού τα κάνει XOR με hardcoded κλειδί.
Ransomware Ελλάδα: Paradise
Nέος Paradise ransomware. Τοποθετεί την επέκταση _%ID%_{admin@prt-decrypt.xyz}.xyz.
Ransomware Ελλάδα: .obfuscated
Ψάχνουμε: .obfuscated ransomware. Aν κάποιος εκεί έξω έχει μολυνθεί με αυτό, να έρθει σε επικοινωνία με τα εργαστήρια της Northwind στην Αθήνα ή στη Θεσσαλονίκη. Θα βοηθήσει πάρα πολύ την εξεύρεση λύσης και την αποκρυπτογράφηση αρχέιων από τον ιό
Ransomware Ελλάδα: Jobcrypter
Kι όμως είναι ζωντανός ο jobcrypter ransomware αν και έχει πολύ πολύ καιρό να μας απασχολήσει. Χάκαραν μία γαλλική ιστοσελίδα και τον διένειμαν μέσω αυτής.
Έχουμε λύση για τον JobCrypter μην πληρώσετε τα λύτρα!
Ransomware Ελλάδα: BlackRouter
Ο BlackRouter Ransomware προς πώληση στο DarkWeb
Πρόκειται για τον BlackHeart με καλύτερο GUI.
Βρίσκεται προς πώληση με μόλις 20% προμήθεια στο Dark Web.
Μάλιστα, εντοπίστηκε να προωθείται σε ένα κανάλι του Telegram από κάποιον Ιρανό.
Ransomware Ελλάδα: 7Zip – AES
Νέος Ransomware – 7Zip – AES Ένα νέο στέλεχος του 7zip εμφανίστηκε την προηγούμενη παρασκευή. Αφήνει την επέκταση .aes. Μπορείτε να δείτε ακριβώς πως δείχνει το Ransom Note.
Ransomware Ελλάδα: Xcry
Nέος Ransomware – Xcry εμφανίστηκε την τρέχουσα εβδομάδα και στην Ελλάδα. Αυτός είναι γραμμένος σε Nim (!). Τοποθετεί την επέκταση .xcry7684.
Ransomware Ελλάδα: Oscar Venom
Nέος Ransomware – Oscar Venom που στην αρχή μας μπέρδεψε για την προέλευση του. Τελικά μετά από έρευνα καταλήξαμε ότι είναι ο γνωστός ransomware Jigsaw. Τοποθετεί την επέκταση .venom. Λειτουργεί με την ίδια ακριβώς τακτική με τον Jigsaw. ΠΡΟΣΟΧΗ!
Ransomware Ελλάδα: Dharma
O ένας τοποθετεί την επέκταση .gif και ο άλλος την επέκταση .phobos. Ως συνήθως δεν είναι decryptable.
Ransomware Ελλάδα: DCRTR-WDM
Αυτός ο νέος DCRTR-WDM αφήνει Ransom Note που σε αποκαλεί και φίλο! Όπως και να το δούμε βέβαια για να μάθουμε παραπάνω στοιχεία για την αποκρυπτογράφηση των αρχέιων και το κόστος πρέπει να ακολουθήσουμε τις οδηγίες που είναι οι εξής.
Ransomware Ελλάδα: James
Αυτός ο νέος ransomware James, τοποθετεί την επέκταση .James και το αστείο είναι ότι αν δημιουργήσεις έναν φάκελο /Windows/James και το τρέξεις, κρασάρει και μπαίνει σε λούπα.
Ransomware Ελλάδα: RickRoll Locker
Αυτός ο νέος ransomware με όνομα RickRoll Locker τoποθετεί την επέκταση .cryptoid. Μοιάζει να είναι ο γνωστός Aurora ransomware. Ακόμη όμως έιμαστα στην φάση της μελέτης και έρευνας για αυτόν. Θα σας έχουμε νέα σύντομα για την προέλευση του Ιού και του τρόπου που κρυπτογραφεί.
Ransomware Ελλάδα: Bitpaymer
Tελειωμό δεν έχουν τα νέα στελέχη αυτής της εβδομάδας. Αυτός είναι Bitpaymer που τοποθετεί την επέκταση .locked.
Αυτά για τώρα! Ransomware Ελλάδα: STOP Trumphead Jobcrypter BlackRouter
Καλή εβδομάδα και καλή χρονιά σε όλους!
Ευχαριστούμε την BleepingComputer για την παροχή υλικού. H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.
