Τα νέα των Ransomware, 29/5/2018

Πολύ ήσυχη η εβδομάδα που μας πέρασε στον τομέα των Ransomware, και αυτό είναι πάντα καλό νέο.

Τα κυριότερα νέα αφορούν μία μεγάλη καμπάνια διασποράς του CryptON που έχει μολύνει πολύ κόσμο (και στην Ελλάδα).

Μιας και ο CryptON διασπείρεται μέσα από Remote Desktop που έχουν παραβιαστεί, είναι σημαντικό να αναφέρουμε για ΑΛΛΗ μία φορά, ότι το RDP θα πρέπει να ΜΗΝ είναι απευθείας συνδεδεμένο στο ίντερνετ, αλλά πίσω από VPN.

Ας τα δούμε αναλυτικά:

Nέος Unlock92 – cdrpt

Γνωστός και ως Unlckr, εμφανίστηκε με νέα επέκταση.
Παρακάτω, βίντεο της CyberSecurity με επίδειξη του τρόπου επιμόλυνσης.

Θερίζει ο CryptON

Mία τεράστια καμπάνια διασποράς του CryptON είχαμε αυτήν την εβδομάδα, και συνεχίζεται καθώς γράφονται αυτές οι γραμμές.

Στο γράφημα φαίνονται οι καταγραφές των δηλωμένων επιμολύνσεων ως τις 25/5.


Ο CryptON διασπείρεται μέσω χακαρισμένων Remote Desktop.
Όταν οι επιτιθέμενοι αποκτήσουν πρόσβαση στο θύμα μέσω του RDP, εγκαθιστούν χειροκίνητα τον CryptON, ο οποίος κρυπτογραφεί τα δεδομένα και τοποθετεί την επέκταση .ransomed@india.com 
Σε κάθε φάκελο αφήνει Ransom Note με τίτλο HOWTODECRYPTFILES.html το οποίο είναι αυτό:

Για αυτήν την έκδοση του CryptON δεν έχουμε βρει λύση ακόμα. Υπήρχε λύση για τις παλιότερες εκδόσεις του, όχι όμως και για αυτήν.

Μιας και ο CryptON διασπείρεται χειροκίνητα μέσω ευάλωτων Remote Desktop, είναι σημαντικό να τονίσουμε πως πρέπει να είναι κλειστές οι υπηρεσίες Remote Desktop για όσους δεν τις  χρησιμοποιούν, ή να είναι πίσω από VPN για όσους τις χρησιμοποιούν.

Nέος RotorCrypt

Eίχαμε καιρό να τον δούμε αυτόν, εμφανίστηκε με νέα επέκταση όπως φαίνεται στην εικόνα παρακάτω. Κατά τ’ άλλα, δεν είδαμε σημαντικές αλλαγές. 

Νέος Ransomware – PGPSnippet

Αυτός είναι καινούργιος, τοποθετεί την επέκταση .decodeme666@tutanota.com και είναι εντελώς κακογραμμένος.
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ — ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!



Νέος AES-Matrix

Tην Τετάρτη που μας πέρασε εμφανίστηκε μια παραλλαγή του AES Matrix που αφήνει Ransom Note με τίτλο ACCUDATA_pay and get your data back.txt.

Νέος Ransomware – JosepCrypt

Αυτός δεν είναι ακριβώς “νέος” με την αυστηρή έννοια, καθώς είχαμε δει ένα θύμα πριν από 2 μήνες. Θεωρήσαμε ότι είναι κάποια δοκιμή κάποιου, όμως τώρα είδαμε και άλλα δύο θύματα. Το κοιτάμε.

Από τη Ρωσία με αγάπη

Δύο θύματα αναφέρθηκαν για αυτόν τον νέο Ρώσικο Ransomware, και τα δύο από τη Ρωσία.
Τίποτα το ιδιαίτερο.

Αυτά για τώρα.
Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.