Τα νέα των Ransomware, 14/5/2018

Είναι σαφές ότι οι Ransomware έχουν κατεβάσει ταχύτητα και οι επιμολύνσεις είναι λιγότερες. Οι περισσότερες επιθέσεις πραγματοποιούνται πλέον μέσω RDP (Remote Desktop) και είναι στοχευμένες.

Έχουμε φυσικά και πολλά μικρά στελέχη που δημιουργούνται κάθε εβδομάδα, αν και τις περισσότερες φορές δεν έχουν καμία ελπίδα να κάνουν κάτι σημαντικό.


Τις προηγούμενες δύο εβδομάδες, τα κυριότερα νέα είχαν να κάνουν με αλλεπάλληλες εκδόσεις του GandCrab, ο οποίος μοιάζει να είναι ο πιο δραστήριος Ransomware των τελευταίων μηνών. Είχαμε επίσης μία αναφορά του FBI που μοιάζει με ανέκδοτο και τον Facebook Ransomware που περισσότερο είναι wiper.

Ας τα δούμε αναλυτικά:

Το Υπουργείο Υγείας της Αγγλίας αναβαθμίζει σε Win10 φοβούμενο νέο ξέσπασμα τύπου WannaCry

Tο Υπουργείο Υγείας και Κοινωνικής Πρόνοιας του Ηνωμένου Βασιλείου ανακοίνωσε ότι θα αναβαθμίσει όλα τα συστήματα της σε Windows 10, καθώς φοβάται ξέσπασμα τύπου WannaCry. Οι υπεύθυνοι αναφέρθηκαν στην “προηγμένη” ασφάλεια των W10.

The UK Department of Health and Social Care has announced that it will transition all National Health Service (NHS) computer systems to Windows 10.
Officials cited the operating system’s more advanced security features as the primary reason for upgrading current systems, such as the SmartScreen technology included with Microsoft Edge (a Google Safe Browsing-like system) and Windows Defender, Microsoft’s sneakily good antivirus product.

Nέος Ransomware – Facebook // FBLocker

Πρόκειται μάλλον για wiper παρά για Ransomware. Δημιουργεί ένα κλειδί για κάθε αρχείο που κρυπτογραφεί, το οποίο κλειδί όμως δεν το αποθηκεύει πουθενά. Δεν υπάρχει τρόπος να ανακτηθούν δεδομένα. Επίσης παριστάνει ότι είναι από τη Ρωσία, αλλά τα ρώσικα τους είναι επιπέδου Μπαγκλαντες (no offense για τη συμπαθή χώρα). 

FBI: Oι αναφορές για επιμολύνσεις Ransomware παρουσίασαν μείωση το 2017 #not

Σε ένα report του FBI το οποίο θεωρούμε ότι δεν αντικατοπτρίζει σε καμία περίπτωση την πραγματικότητα, αναφέρεται ότι οι επιμολύνσεις από Ransomware παρουσίασαν μείωση το 2017 (!), φτάνοντας σχεδόν σε επίπεδα 2014 (!!!). Κάτι που μας έκανε να γελάσουμε.

2014 2015 2016 2017
1,402 2,453 2,673 1,783

Φυσικά, τα νουμερά αυτά αντιστοιχούν στις αναφορές που γίνονται στην πλατφόρμα IC3 του FBI και δεν έχουν καμία σχέση με το τι συμβαίνει πραγματικά, αφού όπως ξέρουμε, ένας τεράστιος αριθμός από θύματα δεν κάνει αναφορά του συμβάντος, είτε γιατί παραμελεί, είτε γιατί η επιμόλυνση δεν έχει αντίκτυπο μιας και υπήρχαν αντίγραφα, είτε γιατί αποφασίζει να πληρώσει τα λύτρα, είτε γιατί απευθύνεται σε εμας (ή αντίστοιχες εταιρίες σαν τη δική μας) για την αποκρυπτογράφηση, είτε τέλος γιατί τα κρυπτογραφημένα δεδομένα δεν έχουν καμία αξία.

Μπορείτε να δείτε την αναφορά του FBI για το 2017 σε μορφή PDF εδώ.

Το BlackHeart χρησιμοποιεί το AnyDesk?

Διαβάζουμε:

We recently discovered a new ransomware (Detected as RANSOM_BLACKHEART.THDBCAH), which drops and executes the legitimate tool known as AnyDesk alongside its malicious payload.  This isn’t the first time that a malware abused a similar tool. TeamViewer, a tool with more than 200 million users, was abused as by a previous ransomware that used the victim’s connections as a distribution method.
In this instance, however, RANSOM_BLACKHEART bundles both the legitimate program and the malware together instead of using AnyDesk for propagation.

Περισσότερα εδώ

Νέος Ransomware – Useless

Useless όνομα και πράμα, μάλλον…

Νέος Xiaoba

Εμφανίστηκε ένας νέος XIaoba, ο οποίος χρησιμοποιεί την επέκταση .[Bayucheng@yeah.net].china. Δεν θυμόμαστε άλλον Ransomware να χρησιμοποιεί όνομα χώρας σαν επέκταση. Πιστεύουμε ότι έχουμε καλές πιθανότητες να τον αποκρυπτογραφήσουμε, οπότε αν κάποιος μολυνθεί να έρθει σε επικοινωνία μαζί μας.

Nέος GandCrab v.3

Αρκετές αλλαγές σε αυτήν την καινούργια έκδοση, με τις βασικές  να αφορούν σε λειτουργία AutoRun καθώς και στην εφαρμογή εικόνας background. Αυτην:


Εξακολουθεί να χρησιμοποιεί την επέκταση .CRAB. Δυστυχώς, όσο και αν προσπαθήσαμε, δεν έχουμε καταφέρει ακόμα να βρούμε λύση για αυτόν.

Βιετναμέζος Ransomware θέλει τηλεφωνικές μονάδες…

Λέγεται BKRansomware, είναι από το Βιετνάμ, και ζητάει από τα θύματά του να στείλουν χρήματα σε έναν τηλεφωνικό αριθμό. 

Νέος Ransomware – ΜΜΜ v.1

Eίναι παραλλαγή του παλιού MMM. Χρησιμοποιεί την επέκταση .MMM στα αρχεία και αφήνει Ransom Note GET_YOUR_FILES_BACK.html.
Τον κοιτάμε…



Νέος Scarab

Aυτός εμφανίστηκε πρώτη φορά στις 6/5/2018, έκτοτε όμως δεν έχουμε δει καμία δραστηριότητα. Τοποθετεί την επέκταση .horsia@airmail.cc



και νέος Matrix

Αυτός δεν τοποθετεί επέκταση στα αρχεία και αφήνει Ransom Note που είναι #What_Wrong_With_files#.rtf. Ως τώρα έχουν αναφερθεί δύο θύματα στην Αυστραλία και ένα στην Ιταλία.


Nέος Ransomware – RansomAES

Τοποθετεί την επέκταση .RansomAES στα κρυπτογραφημένα αρχεία.

GandCrab v3.1

Τώρα μάλλον άλλαξαν γνώμη και αφαίρεσαν το background και την λειτουργία autorun…. Σπουφάρει όμως το yahoo.com στον header.

Αυτά για τώρα.
Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.