Ransomware Ελλάδα: SamSam Dharma Scarab

Ransomware Ελλάδα: SamSam Dharma Scarab . Ας τα δούμε αναλυτικά:

  1. Eίχαμε ιστορίες με τον SamSam την προηγούμενη εβδομάδα. Μία ομάδα Ιρανών χάκερ κατηγορούνται ότι βρίσκονται πίσω του και στην Αμερική τους ψάχνουν να τους βρουν. Διαβάστε αναλυτικά παρακάτω.
  2. Είχαμε χαμό με Dharma
  3. Είχαμε χαμό με Scarab,
  4. Eίχαμε και πολλά μικρότερα στελέχη.

Ransomware Ελλάδα: Dharma

Κι άλλα νέα στελέχη εμφανίστηκαν την προηγούμενη εβδομάδα. Την Δευτέρα εμφανίστηκε ο .myjob. Δεν αλλάζει απολύτως τίποτα στον τρόπο λειτουργίας.  Δύο μέρες αργότερα, ανακαλύφθηκε και ο WAR ο οποίος τοποθετεί την επέκταση .[cyberwars@qq.com].war στα κρυπτογραφημένα αρχεία.

Ransomware Ελλάδα: Dharma
Ransomware Ελλάδα: Dharma

Και την Παρασκευή, είχαμε και τον .risk. Και για τους 3, δεν αλλάζει απολύτως τίποτα στο κομμάτι της κρυπτογράφησης. ΠΡΟΣΟΧΗ ΟΜΩΣ. Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

Με μεγάλη μας λύπη διαπιστώνουμε ότι η λαίλαπα εξαπλώθηκε και στη χώρα μας με “κάποιους” να ισχυρίζονται ότι μπορούν να λύσουν τον Dharma και μάλιστα με … εξπρες διαδικασίες και προνομιακό κόστος, 3000-6000 ευρώ (…) (!!!!).Γελάμε και κλαίμε ταυτόχρονα.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ, οπότε μη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

  1. Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
  2. Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.
  3. Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Ransomware Ελλάδα: Scarab

O πρώτος μας έκανε την εμφάνισή του το βράδυ της Τετάρτης.

Τοποθετεί την επέκταση .lolita.

Ο δεύτερος εντοπίστηκε τα ξημερώματα της επόμενης

Tοποθετεί την επέκταση .stevenseagal@airmail.cc.

Ransomware Ελλάδα: Scarab .stevenseagal@airmail.cc
Ransomware Ελλάδα: Scarab .stevenseagal@airmail.cc

Το βράδυ της 28/11 εντοπίστηκε και τρίτος

Tοποθετεί την επέκταση .online24files@airmail.cc.

Ransomware Ελλάδα: Scarab .online24files@airmail.cc
Ransomware Ελλάδα: Scarab .online24files@airmail.cc

Ransomware Ελλάδα: Enybeny Nuclear

Μάλλον είναι υπό κατασκευή. Υποτίθεται ότι θα έπρεπε να τοποθετεί επεκτάση (την .PERSONAL_ID:.Nuclear) στα κρυπτογραφημένα αρχεία, αλλά στον κώδικα έχουν βάλει Invalid characters (συγκεκριμένα, τον ‘:’) και δεν λειτουργεί.
Από αυτό που είδαμε, ακόμα και να λειτουργούσε θα μπορούσαμε να τον σπάσουμε.

Δείτε το σε δράση εδώ από βίντεο της CyberSecurity:

Ransomware Ελλάδα: GarrantyDecrypt

Πέρα από τα άπειρα ορθογραφικά στον κώδικα, τίποτα απολύτως το καινούργιο…

Ransomware Ελλάδα: GarrantyDecrypt
Ransomware Ελλάδα: GarrantyDecrypt

Ransomware Ελλάδα: Εverbe

Mία νέα έκδοση του Everbe 2.0 εντόπισε ο Michael Gillespie, τοποθετεί την επέκταση .lightning. Ακόμη δεν υπάρχει κάτι νεότερο για το θέμα της αποκρυπτογράφησης, προσπαθούμε όμως και όταν έχουμε νεότερα για την λύση του ransomware θα σας ενημερώσουμε με νέο άρθρο μας.

Ransomware Ελλάδα: PUMA

Η Northwind Data Recovery βρήκε λύση για τον PUMA ransomware

Mιλώντας για τον Michael, όπως είχε υποσχεθεί την προηγούμενη εβδομάδα, κατασκεύασε λύση για τον STOP Ransomware και συγκεκριμένα για την έκδοση PUMA (επεκτάσεις .puma, .pumas, .pumax). 

Ακόμη και Cable Car στη Μόσχα έπεσε θύμα Ransomware!

Cable Car στη Μόσχα θύμα Ransomware
Cable Car στη Μόσχα θύμα Ransomware

To νέο Cable Car στη Μόσχα, που υπόσχονταν δωρεάν μεταφορές στους πολίτες για τον πρώτο μήνα, έπεσε θύμα Ransomware μία μέρα μετά τα επίσημα εγκαίνιά του.
Εδώ, ένας Ρώσος αξιωματικός που ενημερώνει τους πολίτες να μην περιμένουν στην ουρά, και εδώ (στα ρώσικα, τι περιμένατε?) η αναφορά ρώσικης ιστοσελίδας που αναφέρει ότι ο κεντρικός Η/Υ του συστήματος έπεσε θύμα Ransomware.

Ransomware Ελλάδα: Lucky

Toποθετεί την επέκταση [[email]][original].[random].lucky.
Πέρα από ενδιαφέρον pattern στον κώδικα κρυπτογράφησης, όχι κάτι το ιδιαίτερο.

Ransomware Ελλάδα: Lucky
Ransomware Ελλάδα: Lucky

Ransomware Ελλάδα: GusCryptor

To μόνο ενδιαφέρον που έχει αυτός είναι η επέκταση που βάζει, που είναι η .bip, την οποία χρησιμοποιεί και ο Dharma. Ransomware Ελλάδα: SamSam Dharma Scarab

Ransomware Ελλάδα: GusCryptor
Ransomware Ελλάδα: GusCryptor

Xaμούλης με τον Ransomawre SamSam

Kυρώσεις από τις ΗΠΑ για τους δημιουργούς του.

Το Υπουργείο Δικαιοσύνης των ΗΠΑ (DOJ) ανακοίνωσε ότι εξέδωσε κατηγορητήριο εναντίον δύο Ιρανών, τους οποίους κατηγορεί για την διακίνηση, διασπορά και μετάδοση του SamSam Ransomware.

Να θυμίσουμε ότι ο SamSam ήταν ιδιαίτερα δραστήριος από το 2016 και έκανε μόνο στοχευμένες επιθέσεις σε υπηρεσίες υγείας (νοσοκομεία κλπ) και κυβερνητικούς οργανισμούς, σπάζοντας τους κωδικούς υπηρεσιών απομακρυσμένης πρόσβασης (Remote Desktop) και εγκαθιστώντας το κακόβουλο λογισμικό χειροκίνητα σε όλο το δίκτυο.

Στη συνέχεια,

ζητούσαν λύτρα τα οποία κυμαίνονταν από $5.000 ως $60.000, ανάλογα με το μέγεθος του “στόχου”.
Υπολογίζεται ότι το κέρδος τους άγγιζε κατά μέσο όρο τα 16 εκατομμύρια δολάρια (εξαρτώμενο από την τιμή του bitcoin. Τα κέρδη του SamSam ήταν 5.901 bitcoin, που με τη διακύμανση του Bitcoin την τελευταία διετία θα λέγαμε ότι ήταν από 4 εκατομμύρια μέχρι και 116 εκατομμύρια δολάρια (!). Με τη σημερινή ισοτιμία, ο αριθμός αυτός ισοδυναμεί με 24,5 εκατομμύρια δολάρια!

Οι δύο κατηγορούμενοι, Faramarz Shahi Savandi και Mohammad Mehdi Shah Mansouri αντιμετωπίζουν βαρύτατες κατηγορίες και καταζητούνται από το FBI. 

Xaμούλης με τον Ransomawre SamSam
Xaμούλης με τον Ransomawre SamSam

Η ανακοίνωση του DOJ εδώ.

Και δεν σταματάει εδώ. Σύμφωνα με το DOJ, όποιος πλέον πληρώνει λύτρα, παραβιάζει το Σύνταγμα των ΗΠΑ και μπορεί να βρεθεί αντιμέτωπος με το νόμο (που στην Αμερική, δεν πολυαστειεύεται..).
Αντιγράφουμε από το BleepingComputer:

OFAC (U.S. Department of the Treasury’s Office of Foreign Assets Control) has also added Khorashadizadeh and Ghorbaniyan to the Specially Designated Nationals And Blocked Persons List (SDN), which means that U.S. individuals and companies are blocked from doing business or conducting any transactions with these individuals. These sanctions could also affect non U.S. businesses and individuals who conduct transactions with them due to secondary sanctions.

“As a result of today’s action, persons that engage in transactions with Khorashadizadeh and Ghorbaniyan could be subject to secondary sanctions,” continued the announcement. “Regardless of whether a transaction is denominated in a digital currency or traditional fiat currency, OFAC compliance obligations are the same.”

ΓΙΑ ΠΟΙΟΝ ΧΤΥΠΑΕΙ Η ΚΑΜΠΑΝΑ?

Θέλουμε πολύ να δούμε τους γνωστούς-γνωστούς φίλους μας που παριστάνουν ότι έχουν λύση για τον Dharma, να στέλνουν bitcoin για αγορά λύτρων. Πολύ το θέλουμε.

Αυτά για τώρα! Καλή εβδομάδα σε όλους!

Ransomware Ελλάδα: SamSam Dharma Scarab

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.

H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.

Ίσως σας ενδιαφέρουν…