Τα νέα των Ransomware, 15/1/2018

Άλλη μία εβδομάδα με λίγα πράγματα στον τομέα των Ransomware -κάτι που είναι πάντα καλό νέο- με μόνο μικρές παραλλαγές και ανούσια νέα στελέχη.

Τα κυριότερα νέα αφορούν τον HC7, ο οποίος είναι ο πρώτος Ransomware που δέχεται ως πληρωμή το κρυπτονόμισμα Ethereum. 

Ας τα δούμε αναλυτικά:

Nέος Jigsaw, NSFW

Δευτέρα πρωί-πρωί εμφανίστηκε ένας νέος Jigsaw ο οποίος είναι NSFW (Not Safe For Work) καθώς περιέχει γυμνές φωτογραφίες (εμείς “λογοκρίναμε” την παρακάτω φώτο). Είναι σε δοκιμαστικό στάδιο με hardcoded κωδικό (είναι χαρακτηριστικό ότι ζητάει 100 εκατομμύρια δολάρια σε λύτρα…). 

Νεος HC7 – Planetary

Tην Τρίτη εμφανίστηκε ένας νέος HC7 ο οποίος τοποθετεί την επέκταση .PLANETARY στα κρυπτογραφημένα αρχεία.
Αυτό που τον κάνει μοναδικό είναι ότι είναι ο πρώτος που δέχεται ως τρόπο πληρωμής το κρυπτονόμισμα Ethereum.
Φυσικά κάνουν δεκτά και Bitcoin και Monero, μην αφήσουν κανέναν παραπονεμένο.


ALL FILES ARE ENCRYPTED. 
TO RESTORE, YOU MUST SEND $700 EQUIVALENT FOR ONE COMPUTER
OR $5,000 FOR ALL NETWORK
PAYMENTS ACCEPTED VIA BITCOIN, MONERO AND ETHEREUM
BTC ADDRESS: [bitcoin_address]
MONERO (XMR) ADDRESS: [monero_address]
CONTACT US WHEN ETHEREUM PAYMENT INFORMATION
BEFORE PAYMENT SENT EMAIL m4rk0v@tutanota.de
ALONG WITH YOUR IDENTITY: [base64_encoded_computer_name]
INCLUDE SAMPLE ENCRYPTED FILE FOR PROOF OF DECRYPT


NOT TO SHUT OFF YOUR COMPUTER, UNLESS IT WILL BREAK



Ποιος είναι πάλι αυτός?

Ο d.koporushkin είναι κάποιος που θα έπρεπε να ξέρουμε?
Γιατί σε αυτόν τον “Ransomware”, εμφανίζεται το όνομα αυτό σε ένα αρχείο. Και βάζουμε το Ransomware σε εισαγωγικά γιατί ο εν λόγω δεν κρυπτογραφεί (προς το παρόν), αν και είναι φτιαγμένος για κάτι τέτοιο. Πάντως, υποκλέπτει δεδομένα, τα κρυπτογραφεί με hardcoded κωδικό και random αλάτι και τα ανεβάζει σε ένα ftp. Είναι βασισμένος στον HiddenTear.


Νέος Ransomware – Krypton

Ο Karsten Hahn εντόπισε αυτόν τον HiddenTear που ονομάζεται Krypton. Είναι σε δοκιμαστική έκδοση κι αυτός, και τοποθετεί την επέκταση .kryptonite.



ΝΕΟΣ Ransomware: Frog

Από το Βιετνάμ με αγάπη μας έρχεται αυτός, τοποθετεί την επέκταση .frog και έχει hardcoded κωδικό ενός λογαριασμού gmail στον οποίο αποστέλει report για τη δράση του. Κι αυτός HiddenTear (ο τέταρτος αυτής της εβδομάδας…)


Κι άλλος Jigsaw

Έχουμε βρει λύση, τοποθετεί την επέκταση .CryptWalker. ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ! 

Το καλό είναι ότι τα περισσότερα AV της αγοράς τον αναγνωρίζουν, οπότε έτσι κι αλλιώς οι πιθανότητες να κολλήσετε τον εν λόγω είναι μικρές.
(Εκτός, πάλι, αν είστε από αυτούς που εν έτει 2018 δεν χρησιμοποιούν προστασία στον Η/Υ τους)


…speaking of which…

Μιας και αναφερθήκαμε στον εντοπισμό από τα AV, εμφανίστηκε ένας νέος υπό κατασκευή Ransomware χωρίς καμία ιδιαίτερη σημασία, ο LTML (Long Term Memory Loss), τον χρησιμοποιήσαμε όμως για να δούμε τους εντοπισμούς από τα AV.
Στις 9/1/18, τα AntiVirus που τον εντόπιζαν ήταν 2/68 (άρα περνούσε απρόσκοπτα από σχεδόν το σύνολο των ελέγχων).
Στις 11/1/18, η βαθμολογία ήταν 31/68.




ΝΕΟΣ Ransomware – DeathNote

Αυτός χρησιμοποιεί ένα script το οποίος τοποθετεί τα αρχεία κάθε σκληρού δίσκου που βρίσκει μέσα σε ένα αρχείο RAR και τα προστατεύει με κωδικό.


Αυτά για τώρα.
Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.