Ransomware Ελλάδα: Dharma SamSam Gerber Scarab

Ransomware Ελλάδα: Dharma SamSam Gerber Scarab .

Με μεγάλο ενδιαφέρον παρακολουθούμε τις εξελίξεις γύρω από το θόρυβο που έχει ξεσπάσει σχετικά με τους απατεώνες που ισχυρίζονται ότι μπορούν να λύσουν διάφορα στελέχη Ransomware όπως ο Dharma και απλώς έρχονται σε επικοινωνία με τους κακοποιούς/δημιουργούς του κακόβουλου λογισμικού και εισπράττουν την μεσιτεία.

Μόνο που, μετά και από επικοινωνία που είχαμε με τη Δίωξη Ηλεκτρονικού Εγκλήματος, κάτι τέτοιο είναι παράνομο και διώκεται ποινικά.

Φαίνεται, μάλιστα, ότι κάποιο πουλάκι κάνει tweet, αφού τα εντόπια πουλιά αλλάξαν τα κείμενά τους και τώρα παρουσιάζονται ως ειδήμονες. 

Κατά τ’ άλλα, ένας κακογραμμένος Ransomware προκάλεσε χάος στην Κίνα, μολύνοντας περισσότερους από 100.000 Η/Υ. Ο δημιουργός του συνελήφθη μετά από λίγες ημέρες και ο Ransomware αποκρυπτογραφήθηκε επιτυχώς.  Ας τα δούμε αναλυτικά:

Ransomware Ελλάδα: Dharma

Το πρώτο στέλεχος εμφανίστηκε πριν από μία εβδομάδα ακριβώς και τοποθετεί την επέκταση .RISK.

Το δεύτερο, την Πέμπτη και τοποθετεί την επέκταση .bkpx.

Δεν υπάρχει κάτι καινούργιο, πρόκειται απλά για άλλα δύο μέλη της (τεράστιας, πλέον) οικογένειας των Dharma.

YΠΕΝΘΥΜΙΖΟΥΜΕ,

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Εταιρία παριστάνει ότι κάνει πολλά, κάνει λίγα, βρίσκει μπελά

Ούτε και θα πρέπει να πέσετε στην παγίδα και να εμπιστευτείτε εταιρίες που παριστάνουν ότι μπορούν να αποκρυπτογραφήσουν ό,τι κινείται στην αγορά, καθώς θα πέσετε θύμα και δεύτερης απάτης και θα πλουτίσετε τους επιτήδειους.

Μια τέτοια “εταιρία” στη Ρωσία σύμφωνα με την Check Point, η οποία ονομάζεται Dr. Shifro παριστάνει πως έχει λύσεις για τον Dharma (και άλλους, άλυτους Ransomware), ενώ στην πραγματικότητα έκανε τον μεσολαβητή και εισέπραττε την διαφορά.

Το θέμα πήρε μεγάλες διαστάσεις, κάτι που μας κάνει εντύπωση, αφού ήταν/είναι πάγια τακτική ακόμα και δικών μας εγχώριων “ειδημόνων” που δεν έχουν κάνει Reverse Engineering στη ζωή τους.

Ransomware Ελλάδα: SamSam

Διώξεις και για τον SamSam Ransomware

Eίχαμε αναφερθεί στο παρελθόν για το χτύπημα στην Ατλάντα των ΗΠΑ τον Μάρτιο του 2018 με Ransomware, επίθεση που είχε προκαλέσει χάος.

Είχαμε αναφερθεί και την προηγούμενη εβδομάδα για τον SamSam και τις ποινικές διώξεις που ασκήθηκαν εναντίον δύο Ιρανών με κατηγορία εμπλοκής τους στην δημιουργία και διασπορά του εν λόγω Ransomware.

Τώρα, διαβάζουμε:
A federal grand jury in Atlanta has returned an indictment charging Faramarz Shahi Savandi and Mohammed Mehdi Shah Mansouri with committing a sophisticated ransomware attack on the City of Atlanta in March 2018 in violation of the Computer Fraud and Abuse Act.
Πηγή.

Χάος στην Κίνα με τον UNNAMED1989 Ransomware

Περισσότεροι από 100.000 Η/Υ μολύνθηκαν από έναν κυριολεκτικά αστείο Ransomware, ο οποίος ονομάζεται UNNAMED1989.

UNNAMED1989 Ransomware
UNNAMED1989 Ransomware

Είναι αστείο, γιατί παρά τον τόσο αγώνα που δίνεται καθημερινά από εταιρίες CyberSecurity προκειμένου να μπει τέλος στους Ransomware, τελικά ακόμα και ένας κακογραμμένος Ransomware μπορεί να προκαλέσει χάος.
Ο εν λόγω, ζητούσε πληρωμή μέσω WeChat (!). Εικάζεται ότι ο δημιουργός του χρησιμοποιούσε ένα μέσο κοινωνικής δικτύωσης της Κίνας με την επωνυμία Douban προκειμένου να δελεάσει τα θύματά του προκειμένου να χρησιμοποιήσουν μία δημοφιλή εφαρμογή μέσω της οποίας μπορεί κάποιος να χρησιμοποιεί περισσότερους από έναν λογαριασμούς κοινωνικής δικτύωσης ταυτόχρονα. Μόνο που, η εφαρμογή ήταν παγιδευμένη.
Σε έρευνα που έγινε, βρέθηκαν περισσότεροι από 20.000 κωδικοί λογαριασμών από εφαρμογές δημοφιλείς στην Κίνα όπως το Baidu, το QQ, το Alipay κλπ.

Λίγες μόνο ώρες μετά την κυκλοφορία του, κυκλοφόρησε εφαρμογή αποκρυπτογράφησης από την Tencent και την Velvet, ενώ ο δημιουργός του εντοπίστηκε αφού είχε δηλώσει στην καταχώρηση της εφαρμογής το όνομά του, το τηλέφωνό του και τη διεύθυνσή του (…). Εδώ που τα λέμε δεν άφησε και τίποτα στη φαντασία…
Φυσικά, συνελήφθη από τις αρχές.

CyberSecurity Report Ransomware
CyberSecurity Report Ransomware

Ransomware Ελλάδα: Israbye

Τίποτα το ιδιαίτερο. Δείτε τον εδώ σε δράση σε ένα βίντεο της Cyber Security.

Ransomware Ελλάδα: GandCrab

Nέος GandCrab 5.0.9 Ransomware

Mε κάτι άθλια αγγλικά στο μήνυμα, τα οποία θα μπορούσαν να μεταφραστούν ως “θα γίνουμε πλάτη πολύ σύντομα”, εμφανίστηκε η νέα έκδοση του GandCrab, η οποία πλέον είναι η 5.0.9 

Ransomware Ελλάδα: GandCrab
Ransomware Ελλάδα: GandCrab

Ransomware Ελλάδα: Dablio

Υπάρχει λύση για τον νέο Dablio Ransomware

Ο Karsten Hahn εντόπισε έναν νέο Ransomware ο οποίος είναι γραμμένος σε Python.
Τοποθετεί το πρόθεμα (encrypted) στα κρυπτογραφημένα αρχεία.
Μοιάζει με παραλλαγή του HolyCrypt, για τον οποίο έχουμε λύση.
Αν υπάρχει κάποιος που έχει μολυνθεί, ας έρθει σε επικοινωνία μαζί μας.

Ransomware Ελλάδα: Dablio
Ransomware Ελλάδα: Dablio

Ransomware Ελλάδα: Gerber

Nέος Ransomware – Gerber 1 & 3 &5 μαζί.

Ο πρώτος, τοποθετεί την επέκταση .XY6LR στα κρυπτογραφημένα αρχεία. Είναι σίγουρα InducVirus δηλαδή ο DelphiMorix. 

Ransomware Ελλάδα: Gerber
Ransomware Ελλάδα: Gerber

Ο δεύτερος, όπως μπορείτε να δείτε:

Ransomware - Gerber 3
Ransomware – Gerber 3

έχει αρκετά θεματάκια, με το σοβαρότερο (καλό για εμάς) είναι ότι λόγω άπειρων λαθών στον κώδικα, δεν κρυπτογραφεί.
Αν το έκανε, θα έβαζε την επέκταση .FJ7QvaR9VUmi στα κρυπτογραφημένα, όπως φαίνεται και από εδώ.

Ransomware - Gerber 1
Ransomware – Gerber 1

O τρίτος, κυκλοφόρησε σήμερα και τοποθετεί την επέκταση .gerber5.

Τον κοιτάμε. και προσπαθούμε να βρούμε ευπάθειες, ώστε να αποκρυπτογραφήσουμε τα αρχεία που κρυπτογραφεί ο Gerber 5.0.

Ransomware - Gerber 5
Ransomware – Gerber 5

Ransomware Ελλάδα: Scarab

Να και ένας Scarab. Δεν μας έλειψε καθόλου θα πρέπει να σας πούμε. Τοποθετεί την επέκταση .lol.

Ransomware Ελλάδα: Scarab
Ransomware Ελλάδα: Scarab

Ransomware Ελλάδα: Outsider

Toποθετεί την επέκταση .protected στα κρυπτογραφημένα αρχεία.
Δείτε το εδώ σε δράση:

Ransomware Ελλάδα: .rape

To γεγονός ότι κυκλοφορούν τριγύρω μας άνθρωποι που είναι “μπερδεμένοι” (για να το πούμε ευγενικά), είναι γεγονός.
Αυτό όμως, ξεπερνάει.

 Ransomware Ελλάδα: .rape
Ransomware Ελλάδα: .rape

Το είδαμε, και το μόνο που μπορέσαμε να σκεφτούμε είναι WTF???
Aπό την επέκταση (η οποία είναι .rape) μέχρι το όνομα του Ransom Note και το περιεχόμενό του, κυριολεκτικά WTF.

Ransom Note .rape
Ransom Note .rape

Αυτά για τώρα! Καλή εβδομάδα σε όλους!

Ransomware Ελλάδα: Dharma SamSam Gerber Scarab

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.

H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.

Ίσως σας ενδιαφέρουν…