RANSOMWARE UPDATES 3/9/2017
Την περίοδο που πέρασε από την προηγούμενη μας αναφορά στα Ransomware επικράτησε μια γενικότερη ησυχία, χωρίς να έχει υπάρξει κάτι το ιδιαίτερα συναρπαστικό ή νέο.
Θα τα δούμε αναλυτικά!
EcoParty’s Conference Ransomware
Πέσαμε επάνω σε ένα Ransomware το οποίο προμοτάρει το συνέδριο του EkoParty. Εικάζουμε (και ελπίζουμε) ότι πρόκειται για κάποια σεμιναριακή επίδειξη που έκαναν. Τοποθετεί την επέκταση .locked και είναι βασισμένος στον HiddenTear.
Wooly Ransomware
Mε αυτόν είχαμε ασχοληθεί στο παρελθόν, όταν ακόμα ήταν υπό κατασκευή και δεν κρυπτογραφούσε.
Πλέον κρυπτογραφεί κανονικά (.wooly η επέκταση που τοποθετεί) και χρησιμοποιεί και τη φωτογραφία μιας πολικής αρκούδας σαν ταπετσαρία..
Προελαύνει ο BTCWare Ransomware
Mέσα στο δίμηνο Ιουλίου – Αυγούστου εμφανίστηκαν 4 νέα στελέχη του BTCWare (υπενθυμίζουμε ότι για τα πρώτα στελέχη του, υπάρχει λύση) και αυτό είναι το 5ο.
Τοποθετεί την επέκταση .nuclear.
Η τακτική εξάπλωσης παραμένει ίδια, δηλαδή οι κατασκευαστές του κακόβουλου λογισμικού εισβάλλουν σε απομακρυσμένους υπολογιστές εκμεταλλευόμενοι κενά ασφαλείας του Remote Desktop των Windows και εγκαθιστούν το Ransomware κρυπτογραφώντας τα αρχεία.
Εκπαιδευτικός (?) Ransomware
Βρέθηκε στο δρόμο μας αυτός ο μάλλον εκπαιδευτικός (?), υπό δοκιμή (?) Ransomware ο οποίος ονομάζεται MindSystem ο οποίος κρυπτογραφεί και αφήνει σουβενίρ τόσο το λογισμικό αποκρυπτογράφησης όσο και το κλειδί αποκρυπτογράφησης. Το δοκιμάσαμε και η αποκρυπτογράφηση δουλεύει όντως.
Για άλλη μια φορά επιβεβαιώνεται πανηγυρικά: Η ηλιθιότητα είναι ανίκητη…
Ανακαλύψαμε έναν Ransomware τον οποίο τον κατατάσσουμε στην κατηγορία TrollWare, ο οποίος χρησιμοποιεί XOR για την κρυπτογράφηση των αρχείων.
Το πρόβλημα είναι ότι δεν κάνει καμία εξαίρεση με αποτέλεσμα να κρυπτογραφεί ΟΛΑ τα αρχεία, όπου και αν βρίσκονται. Μηδενός εξαιρουμένου. Επομένως, κρυπτογραφεί και το φάκελο /Windows, /system32 κλπ, επομένως και τα Windows θα σταματήσουν να λειτουργούν, επομένως δεν έχουν τρόπο να εμφανίσουν το Ransom Note, επομένως δεν πρόκειται να πάρουν δεκάρα τσακιστή. Τι να πεις…
Νεος Ransomware: Haze
Αυτός, αν και αρχικά φαίνεται άκακος και μοιάζει να μην κρυπτογραφεί τίποτα, όπως διαπιστώσαμε μετά από 48 ώρες ξεκίνησε την κρυπτογράφηση τοποθετώντας την επέκταση .hazepetya στα αρχεία. Είμαστε πολύ κοντά στο να βρούμε λύση για αυτόν.
Επιμένει ο Locky…
Τους περασμένους μήνες παρατηρήσαμε επανειλημμένες προσπάθειες του Locky να ξαναβγεί στο προσκήνιο. Δεν είχε και πολύ μεγάλη επιτυχία (και δεν πρέπει να ξεχνάμε ότι ο Locky ήταν ο βασιλιάς των Ransomware όταν είχε “άλλους” τρόπους διακίνησης), τώρα όμως εμφανίζεται με έναν πανέξυπνο τρόπο διασποράς.
Συγκεκριμένα, έχουν “παγιδεύσει” ένα αρχείο Word το οποίο εκτελεί τον κακόβουλο κώδικα ΜΕΤΑ το κλείσιμο του αρχείου.
Αυτό μπορεί να μην παίζει μεγάλο ρόλο για τον χρήστη ο οποίος έχει ενεργοποιημένες τις μακροεντολές του Office (έτσι κι αλλιώς είναι άξιος της μοίρας του), παίζει όμως τεράστιο ρόλο στα security scanners και στα διάφορα antiransomware, antivirus κλπ, αφού δεν ανιχνεύουν κακόβουλη ενέργεια όταν την περιμένουν, δηλαδή στο άνοιγμα του αρχείου.
Αυτό έχει ως αποτέλεσμα, το εν λόγω αρχείο Word να περνά από τα περισσότερα scanners ως “καθαρό”.
Στο ακόλουθο screenshot φαίνεται καμπάνια που παριστάνει ότι είναι από το Dropbox και διασπείρει το στέλεχος Lukitus του Locky.
Το ίδιο στέλεχος διασπείρει και μια ακόμα καμπάνια διασποράς, η οποία βασίζεται στην κλασική Μέθοδο Hoefler. Σύμφωνα με αυτήν, οι χρήστες Chrome και Firefox κατευθύνονται προς κακόβουλη ιστοσελίδα (αφού πρώτα έχουν πέσει θύματα της “Dropbox” καμπάνιας) όπου τους εμφανίζεται μήνυμα ότι λείπουν κάποιες γραμματοσειρές και καλούνται να τις εγκαταστήσουν για να συνεχίσουν. Το “update” έχει ως αποτέλεσμα το κατέβασμα κώδικα JS ο οποίος εγκαθιστά τον Locky.
Η καμπάνια αυτή ξεκίνησε στις 31/8 και είναι ιδιαίτερα ενεργή, οπότε προσοχή σε όλους!
Παρόλες, πάντως, τις προσπάθειες που κάνουν οι δημιουργοί του Locky, τα στατιστικά μας δείχνουν ότι τα αποτελέσματά τους είναι πενιχρά, καθώς δεν είδαμε καμία διαφορά στον αριθμό των μολύνσεων σε σχέση με το πρόσφατο παρελθόν.