RANSOMWARE UPDATES 01/6/2017 – 15/6/2017
Οι 2 τελευταίες εβδομάδες ήταν γεμάτες με πολλά μικρά strains από διάφορους Ransomware. Γενικά, αυτό είναι καλό νέο, καθώς οι περισσότεροι από αυτούς δεν θα κυκλοφορήσουν ποτε, είναι απλές δοκιμές.
Είχαμε επίσης τον πρώτο RaaS για MacOS και άλλα πολλά.
Προσδεθείτε.
ΝΕΑ ΠΑΡΑΛΛΑΓΗ ΤΟΥ JIGSAW: Ramsey
Ξεκινάμε με τον αγαπημένο μας Jigsaw. Τοποθετεί την επέκταση .ram στα κρυπτογραφημένα αρχεία. ΜΠΟΡΟΥΜΕ ΝΑ ΤΟΝ ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΟΥΜΕ.
ΝΕΟΣ RANSOMWARE: Executioner
Βασίζεται στον HiddenTear. Τοποθετεί τυχαία επέκταση στα αρχεία και αφήνει Ransom Note που ονομάζεται Sifre_Coz_Talimat.html (που δεν έχω ιδέα τι σημαίνει).
Κι άλλος HiddenTear
Yπο κατασκευή είναι, και ονομάζεται Mora Project. Τοποθετεί την πρωτότυπη επέκταση .encrypted.
Κι άλλος Jigsaw…
Περιμένουμε να δούμε πολλές παραλλαγές του Jigsaw στο αμέσως επόμενο χρονικό διάστημα. Αυτός ονομάζεται StrutterGear. Είναι υπό κατασκευή και προς το παρόν κρυπτογραφεί μερικά δοκιμαστικά αρχεία. Είμαστε σε θέση να τον αποκρυπτογραφήσουμε.
… κι άλλος ένας Jigsaw…
Χρησιμοποιεί την επέκταση .lost και προσποιείται ότι είναι Flash.
Όπως πάντα, μπορούμε να τον αποκρυπτογραφήσουμε.
ΝΕΟΣ SCAREWARE: MrLocker
Αυτός ισχυρίζεται ότι θα διαγράψει τα αρχεία αν δεν καταβληθεί το ποσό που ζητάει. Στην πραγματικότητα δεν κάνει τίποτα. Αγνοήστε το (και προσέχετε που κάνετε κλικ από δω και πέρα).
UPDATE 10/6: Εμφανίστηκε και νέος MrLocker
Για να τελειώνουμε με τον Jigsaw…
Αυτή τη στιγμή είμαστε σε θέση να αποκρυπτογραφήσουμε ΟΛΕΣ τις εκδόσεις του Jigsaw (44 συνολικά) και συγκεκριμένα τις καταλήξεις:
-
.AFD, .beep, .btc, .Contact_TarineOZA@Gmail.com_, .crypte, .die, .encrypted, .epic, .fun, .gefickt, .getrekt, .ghost, .gws, .hush, .ice, .I’WANT MONEY, .jey, .kkk, .lckd, .locked, .Locked, .lost, .nemo-hacks.at.sigaint.org, .PAY, .paybtcs, .paym, .paymds, .paymrss, .paymrts, .payms, .paymst, .paymts, .payransom, .payrms, .payrmts, .pays, .paytounlock, .porno, .pornoransom, .R3K7M9, .ram, .tax, .To unlock your files send 0.15 Bitcoins to 1P67AghL2mNLbgxLM19oJYXgsJxyLfcYiz within 24 hours 0.20 after 24 hours, .uk-dealer@sigaint.org, .versiegelt, .xyz
ΝΕΟΣ RANSOMWARE: OGRE
Υπό κατασκευή κι αυτός. Βρήκαμε στον κώδικά του κάποια σχόλια με νεοναζιστικά σκουπίδια ως περιεχόμενο. Η ηλιθιότητα είναι ανίκητη.
ΝΕΟΣ RANSOMWARE: TheDarkEncryptor
Kι άλλος ένας θαυμαστής του Saw διανέμει τον TheDarkEncryptor. Τοποθετεί την επέκταση .tdelf. Δουλεύουμε επάνω σε λύση για αυτόν.
ΝΕΟΣ SCAREWARE: YouTube
Aυτός παριστάνει ότι πρόκειται για μήνυμα από το YouTube. Ο κωδικός για να το ξεκλειδώσετε είναι law725. Πείτε μας ευχαριστώ.
ΝΕΟΣ RANSOMWARE: $usyLocker
Kι αυτός είναι βασισμένος στον Hiddentear. Τοποθετεί την επέκταση .WINDOWS.
ΝΕΟΣ ΒΤCWare
Όπως αναμενόταν, μετά την εγκατάλειψη του προηγούμενού τους project, οι δημιουργοί του BTCWare κινούνται τώρα με ένα νέο στέλεχος, το οποίο τοποθετεί την επέκταση [3bitcoins@protonmail.com].blocking.
Ζητούνε, πλέον, 3 bitcoin (τα οποία με την τρέχουσα ισοτιμία αντιστοιχούν σε περίπου 9,000€!)
ΝΕΟΣ RANSOMWARE: CryMore
ΝΕΟΣ RANSOMWARE: ΒeethoveN
Yπό κατασκευή κι αυτός. Τοποθετεί την επέκταση .BeethoveN.
Η Μicrosoft τρολλάρει?
Σε ένα report(download PDF) που κυκλοφόρησε, ευλογούσε τα γένια της ότι κανένας χρήστης των Windows 10 δεν μολύνθηκε από τον WannaCry, ενώ ισχυρίζεται ότι κανένας Ransomware δεν θα μπορεί να προσβάλει τα Windows 10S.
ΝΕΟΣ RANSOMWARE: xXLecXx
Yπό κατασκευή κι αυτός. Προς το παρόν δεν κάνει τίποτα. Alt+F4 για να κλείσει.
ΝΕΟΣ RANSOMWARE: CryptoGod
Aυτός βασίζεται στον MoWare H.F.D. Τοποθετεί την επέκταση .payforunlock.
ΝΕΟΣ RANSOMWARE: Spectre
O πιο ενδιαφέρων από τους νεους Ransomware είναι ο Spectre. Προς το παρόν είναι υπό κατασκευή, αλλά με κριτήριο το χρόνο και την προσπάθεια που έχει καταβάλει ο δημιουργός του για να το κατασκευάσει, είναι σχεδόν βέβαιο ότι θα μπει σε κυκλοφορία.
ΝΕΟΣ JAFF: .sVn
Mια νεα καμπάνια διασποράς του Jaff είναι σε εξέλιξη (ΠΡΟΣΟΧΗ!). Στην καμπάνια αυτή διασπείρονται emails που παριστάνουν πως είναι από τοπικά φωτοαντιγραφικά με .zip επισυναπτόμενα:
Το επισυναπτόμενο περιέχει εκτελέσιμο το οποίο κρυπτογραφεί τα δεδομένα και τοποθετεί την επέκταση .sVn.
UPDATE 15/6/17: BΡΗΚΑΜΕ ΛΥΣΗ ΓΙΑ ΤΟΝ JAFF!! MΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!!!
UPDATE 15/6/17: BΡΗΚΑΜΕ ΛΥΣΗ ΓΙΑ ΤΟΝ JAFF!! MΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!!!
ΝΕΟRaaS: MacRansom
Είναι η πρώτη φορά που βλέπουμε να προσφέρεται RaaS (Ransomware As A Service) μέσω του DarkWeb που να στοχεύει άλλο λειτουργικό σύστημα εκτός από Windows.
ΝΕΟΣ ScreenLocker: {κάτι_στα_κινέζικα}
Αυτός κάτι λέει στα κινέζικα, λεει και ένα βρωμόλογο στα αγγλικά (ευχαρίστως), δεν κρυπτογραφεί τίποτα, αγνοήστε το.
ΝΕΟΣ RANSOMWARE: 1337Locker
Εμφανίστηκε νέος Ransomware ο οποίος βασίζεται στον MyLittleRansomwar και ονομάζεται 1337Locker. Βάζει τυχαία filenames στα αρχεία και τοποθετεί την επέκταση .adr.
ΝΕΟΣ RANSOMWARE: Im Sorry
O πιο ευγενικός Ransomware της ιστορίας είναι αυτός. Τοποθετεί την επέκταση .imsorry και πετάει ένα Ransom Note που λέγεται Read me for help thanks.txt.
Στο Ransom Note λέει ότι θέλει $500 ή να του στείλεις μήνυμα και μπορεί να σου στείλει το κλειδί δωρεάν. Ζητάει και 4 – 5 φορές συγνώμη.
Κκκαιιιιι άλλος ένας HiddenTear…
R3Store ονομάζεται αυτός, τίποτα το καινούργιο…
ΝΕΟΣ RANSOMWARE: Luxnut
Βασίζεται στον EDA2. Χρησιμοποιεί το παρακάτω wallpaper και τοποθετεί την επέκταση .locked.
H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.