Τα νέα των Ransomware, 19/11/2017
Αυτήν την εβδομάδα είχαμε κυρίως μικρά στελέχη Ransomware να κάνουν την εμφάνισή τους.
Μας κίνησαν το ενδιαφέρον δύο παραλλαγές του CryptoMix και ένα υπό κατασκευή Ransomware που δημιουργήθηκε για να επιτεθεί σε συγκεκριμένο σχολείο της Αμερικής.
Ας τα δούμε αναλυτικά:
Νέος Jigsaw Ransomware: Pabluklocker
Νέος Ransomware: CyberPolice
Νέος Ransomware: Stroman
.fat32 στα κρυπτογραφημένα αρχεία και αφήνει Ransom Note με την όχι και τόσο ενδιαφέρουσα ονομασία info.txt.
Νέος Ransomware: XZZX
Νέος Ransomware: jCandy.
Νέος Ransomware: LockOn
Βρήκαμε λύση για τους Blind Ransomware (και την παραλλαγή του, Kill Ransomware!
Βρήκαμε λύση και για τον Amnesia 3!
Eίμαστε πολύ περήφανοι που είμασταν από τους πρώτους (οι πρώτοι) που είχαμε βρει λύση για τον Amnesia2 (τοποθετεί την επέκταση .amnesia). Η λύση βασίζονταν βασικά στο γεγονός ότι ο Ransomware κρυπτογραφούσε τα πρώτα 2047 (και μισό…) sectors του κάθε αρχείου.
Την Τετάρτη εμφανίστηκε και νέα έκδοση του εν λόγω, την οποία επίσης σπάσαμε και είμαστε σε θέση να αποκρυπτογραφήσουμε τα δεδομένα που έχουν επηρεαστεί! ?
Τοποθετεί την επέκταση .am και οφείλουμε να πούμε ότι έχει πολλά προβλήματα στον κώδικά του (αυτό για εμας είναι πάντα καλό νέο)…
Την Τετάρτη εμφανίστηκε και νέα έκδοση του εν λόγω, την οποία επίσης σπάσαμε και είμαστε σε θέση να αποκρυπτογραφήσουμε τα δεδομένα που έχουν επηρεαστεί! ?
Τοποθετεί την επέκταση .am και οφείλουμε να πούμε ότι έχει πολλά προβλήματα στον κώδικά του (αυτό για εμας είναι πάντα καλό νέο)…
Δυστυχώς, τα νέα δεν είναι εξίσου καλά στη συνέχεια…
Εμφανίστηκε και νέος GlobeImposter, ο οποίος τοποθετεί την επέκταση .kimchenyn στα κρυπτογραφημένα αρχεία.
Να πούμε ότι ο GlobeImposter έχει επηρεάσει έναν πολύ μεγάλο αριθμό χρηστών και στην Ελλάδα, και έχουμε μία λίστα με πελάτες μας που περιμένουν να βρούμε λύση για τις προηγούμενες εκδόσεις.
Δυστυχώς προς το παρόν δεν έχουμε καταφέρει να βρούμε λύση για αυτόν.
Να πούμε ότι ο GlobeImposter έχει επηρεάσει έναν πολύ μεγάλο αριθμό χρηστών και στην Ελλάδα, και έχουμε μία λίστα με πελάτες μας που περιμένουν να βρούμε λύση για τις προηγούμενες εκδόσεις.
Δυστυχώς προς το παρόν δεν έχουμε καταφέρει να βρούμε λύση για αυτόν.
Ο δεύτερος HiddenTear της εβδομάδας
Την Πέμπτη εμφανίστηκε αυτός, τοποθετεί την επέκταση .goofed.
Περι GlobeImposter συνέχεια…
Και πριν προλάβουμε να συνέλθουμε από τον GlobeImposter που εμφανίστηκε την προηγούμενη μέρα, ο Michael Gillespie ανακάλυψε κι άλλον…
Τοποθετεί την επέκταση .SEXY.
Τοποθετεί την επέκταση .SEXY.
Έβαλαν στο μάτι λύκειο του Illinois!
Από τύχη δεν είχαμε χειρότερη κατάληξη για το σχολείο J. Sterling Morton του Cicero, Illinois στις ΗΠΑ. Ο λόγος είναι ότι εντοπίστηκε έγκαιρα στέλεχος ενός Ransomware το οποίο φτιάχτηκε ειδικά για να χτυπήσει το εν λόγω σχολείο, και ενημερώθηκαν οι υπεύθυνοι.
Το εν λόγω Ransomware, που του δώσαμε το όνομα του σχολείου που είχε βάλει στο μάτι, είναι υπό κατασκευή αλλά είναι πολύ καλογραμμένο και θα μπορούσε άνετα να ξεγελάσει ακόμα και έμπειρους χρήστες.
Παρουσίαζε τον εαυτό του ως γκάλοπ μεταξύ των μαθητών και χρησιμοποιούσε το λογότυπο του σχολείου.
Το εν λόγω Ransomware, που του δώσαμε το όνομα του σχολείου που είχε βάλει στο μάτι, είναι υπό κατασκευή αλλά είναι πολύ καλογραμμένο και θα μπορούσε άνετα να ξεγελάσει ακόμα και έμπειρους χρήστες.
Παρουσίαζε τον εαυτό του ως γκάλοπ μεταξύ των μαθητών και χρησιμοποιούσε το λογότυπο του σχολείου.
Νέος Ransomware: Rastakhiz
Tίποτα απολύτως το πρωτότυπο: HiddenTear βγαλμένο από το τσουβάλι.
Κι άλλος CryptoMix!
Tην Παρασκευή ανακαλύφθηκε άλλος ένας CryptoMix, ο δεύτερος για αυτήν την εβδομάδα, κάτι που δείχνει έντονη δραστηριότητα σε σχέση με το προηγούμενο διάστημα. Αυτός τοποθετεί την επέκταση .0000 στα αρχεία.
Νέος Ransomware: WannaSmile
Eπίσης, τίποτα το πρωτότυπο, τοποθετεί την επέκταση .WSmile..
Νέος Ransomware: CorruptCrypt
Aυτός όμως, έχει ενδιαφέρον.
Καταρχήν, δεν μπορούμε να βρούμε πληροφορίες για αυτόν. Δύο μέρες μετά την ανακάλυψή του, εμφανίζει μηδενική διασπορά.
Κατά δεύτερον, δείχνει να έχει μία ρουτίνα η οποία γεμίζει το σκληρό δίσκο με σκουπίδια μόλις ολοκληρώσει την κρυπτογράφηση.
Υπάρχει και ένα απενεργοποιημένο κομμάτι της εν λόγω ρουτίνας, με το οποίο κρυπτογραφεί 312 αρχεία (!?) και στη συνέχεια γεμίζει τον υπόλοιπο δίσκο με σκουπίδια…
Το τρίτο ενδιαφέρον στοιχείο είναι ότι κρυπτογραφεί τα αρχεία χρησιμοποιώντας εναλλάξ δύο διαφορετικές επεκτάσεις.
Τον παρακολουθούμε.
Καταρχήν, δεν μπορούμε να βρούμε πληροφορίες για αυτόν. Δύο μέρες μετά την ανακάλυψή του, εμφανίζει μηδενική διασπορά.
Κατά δεύτερον, δείχνει να έχει μία ρουτίνα η οποία γεμίζει το σκληρό δίσκο με σκουπίδια μόλις ολοκληρώσει την κρυπτογράφηση.
Υπάρχει και ένα απενεργοποιημένο κομμάτι της εν λόγω ρουτίνας, με το οποίο κρυπτογραφεί 312 αρχεία (!?) και στη συνέχεια γεμίζει τον υπόλοιπο δίσκο με σκουπίδια…
Το τρίτο ενδιαφέρον στοιχείο είναι ότι κρυπτογραφεί τα αρχεία χρησιμοποιώντας εναλλάξ δύο διαφορετικές επεκτάσεις.
Τον παρακολουθούμε.
Νέος ScreenLocker: Hand Of God
Η Γαλλία είχε αυτήν την εβδομάδα την τιμητική της…
Καλή εβδομάδα σε όλους!
Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
