Τα νέα των Ransomware, 2/12/2017

Είχαμε αυξημένη δραστηριότητα την προηγούμενη εβδομάδα στον τομέα των Ransomware. Είχαμε πολλά μικρά και μεγαλύτερα στελέχη να κάνουν την εμφάνισή τους. Είχαμε έναν ακόμα νέο CryptoMix, έναν νέο BTCWare και καμπάνιες διασποράς του GlobeImposter και του Sigma.
Είχαμε όμως και μερικές επιτυχίες με εξέυρεση λύσεων για κάποια στελέχη 🙂


Ας τα δούμε αναλυτικά:


ΝΕΟΣ CryptON διασπείρεται μέσω KeyGen

Για εσάς που ζείτε τη ζωή στα άκρα και ψάχνετε να βρείτε σπαστήρια για εφαρμογές με σκοπό να μη πληρώσετε τις άδειες των εφαρμογών αυτών και κατεβάζετε τα λεγόμενα KeyGenerators, τώρα έχετε πρόβλημα (άλλο ένα).
Κυκλοφόρησε ένας CryptOn ο οποίος παριστάνει ότι πρόκειται για KeyGen του γνωστού λογισμικού ανάκτησης δεδομένων EaseUS Data Recovery. 

Έτσι, θέλετε να πειραματιστείτε μόνοι σας προσπαθώντας να ανακτήσετε μόνοι σας τα αρχεία που διαγράψατε. 
Κατεβάζετε το EaseUS αλλά δεν θέλετε να το πληρώσετε κιόλας.
Ψάχνετε να βρείτε σπαστήρι.
Βρίσκετε και κατεβάζετε αυτό:


Πατάτε Generate και γίνεται αυτό:


Ευτυχώς για εσάς, έχουμε βρει λύση ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!



Βρήκαμε λύση για τον HC6/Fucku

Και ο HC6 μας απασχόλησε αυτήν την εβδομάδα, και βρήκαμε λύση!
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!



Τι συμβαίνει με τον Halloware, ποιος είναι ο Luc1f3r? Τεχνική ανάλυση!

Ο Catalin Cimpanu της BleepingComputer, ανακάλυψε ότι κάποιος με το όνομα Luc1f3r πουλάει στο Dark Web ένα νέο Ransomware, τον Halloware, για $40.

Οι πωλήσεις του εν λόγω Ransomware στο Dark Web ξεκίνησαν την Πέμπτη που μας πέρασε.
Ρίχνοντας μια ματιά στα (3 στον αριθμό) site που πουλούσαν τον εν λόγω Ransomware μπορούμε να ασφάλεια να πούμε ότι είτε η προσφορά είναι too good to be true, είτε πρόκειται για απάτη, είτε ο Halloware δεν είναι και τόσο καλός όσο πιστεύει ο Luc1f3r.


Αυτό μας κίνησε κι άλλο το ενδιαφέρον, μιας και αρχικά πιστεύαμε ότι πρόκειται για απάτη. Ο Catalin εκμεταλλεύτηκε διάφορα διαχειριστικά σφάλματα των ιστοσελίδων που πουλούσαν τον Halloware και κατάφερε να βρει τον server όπου ο Luc1f3r κρατούσε τα αρχεία του Halloware, μεταξύ αυτών και κάποιων “οπλισμένων” αρχείων.




Παρατηρήστε τα αρχεία της λίστας από πάνω. Δείτε και τις διπλές καταλήξεις.
Πέραν αυτών, τα ενδιαφέροντα αρχεία είναι το hmavpncreck.exe το οποίο είναι το εκτελέσιμο του Ransomware και το ran.py το οποίο είναι ο πηγαίος κώδικας του Halloware.
Παρόλο που το αρχείο ήταν κλειδωμένο, καταφέραμε και το σπάσαμε, και θα χρησιμοποιηθεί για να φτιαχτούν decrypters σε περίπτωση που κάποιος μολυνθεί από τον Halloware 🙂

Σε δοκιμές πάντως που έγιναν, το Ransomware δουλεύει.

Τοποθετεί το string (Lucifer) στα κρυπτογραφημένα αρχεία, επομένως το αρχικό image.png θα γίνει (Lucifer)image.png.


Μόλις η κρυπτογράφηση ολοκληρωθεί, εμφανίζεται η εικόνα ενός κλόουν και η παραπομπή σε ένα portal πληρωμών στο Dark Web. Δεν αφήνει Ransom Note.

Πάντως, μιας και το Halloware χρησιμοποεί hard coded AES κλειδιά και δεν χρησιμοποιεί καν C&C Servers, ο Luc1f3r δεν έχει ελπίδες να βγάλει χρήματα από αυτό. Κάποιος που είναι καλά στα μυαλά του και έχει ελάχιστη εμπειρία δεν πρόκειται να δώσει ούτε $1, πόσω μάλλον $40.


Ακολουθώντας τα ίχνη του Luc1f3r διαπιστώνουμε ότι είναι χαμηλής κλάσης και μάλλον παίρνει τα πρώτα του μαθήματα στο κυβερνο-έγκλημα. Στο κανάλι του στο YouTube εκθειάζει τεχνικές οι οποίες είναι απλά βασικές και προμοτάρει malware τα οποία είναι ξεπερασμένα και μάλλον απλοϊκά. Μάλιστα, κάποια από αυτά τα βίντεο λινκάρουν στο λογαριασμό του στο GitHub όπου ο τύπος φιλοξενεί 4 ακόμη στελέχη malware: ένα ransomware της πλάκας, ένα Windows keylogger, ένα Linux Keylogger και έναν mail sender. 

Ο Luc1f3r ισχυρίζεται ότι είναι 17χρονος φοιτητής από την βορειοανατολική Ινδία, και βασιζόμενοι σε όλα τα παραπάνω, δεν θα μας έκανε εντύπωση αν όντως είναι αυτή η πραγματική του τοποθεσία, την οποία μοιράζει απλόχερα….


Νέος Ransomware: Crypt12

Την Τρίτη εμφανίστηκε αυτός ο αρκετά υποσχόμενος Ransomware ο οποίος τοποθετεί την επέκταση των κρυπτογραφημένων αρχείων σε .crypt12. Ταυτόχρονα, αλλάζει την ταπετσαρία των Windows όπως φαίνεται παρακάτω.


Δυστυχώς για αυτούς, ευτυχώς για εμας (και εσας), έχουμε βρει λύση.
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!


Νέος Ransomware: StorageCrypt

Ένας νέος Ransomware, o StorageCrypt εμφανίστηκε ο οποίος στοχεύει και χτυπάει συσκευές NAS της WD και συγκεκριμένα τα WD MyCloud NAS, και κρυπτογραφεί τα δεδομένα τους. Αλλάζει την επέκταση των αρχείων σε .locked.



Νέος Ransomware: Really Dangerous Ransomware

Στο αστείο της εβδομάδας, εμφανίστηκε αυτός, ο οποίος χαρακτηρίζει τον εαυτό του Real Dangerous Ransomware.
Τελικά ούτε Really Dangerous είναι, ούτε Ransomware αφού δεν κρυπτογραφεί και λειτουργεί απλά σαν Screenlocker. 
Αγνοήστε το.



Νέος Magniber

Είχαμε αναφερθεί στο παρελθόν αρκετές φορές στην αλλαγή του Cerber σε Magniber και την απόπειρά του να διατηρηθεί ζωντανός.
Αυτήν την εβδομάδα εμφανίστηκε μία νέα έκδοσή του, τον .vpgvlkb ο οποίος απ’ ότι έχουμε δει, προς το παρόν χτυπάει μόνο τη Νότια Κορέα.


Δύο μέρες αργότερα, κυκλοφόρησε και ακόμα νεότερο στέλεχος, που τοποθετεί την επέκταση .dlenggrl.

Νέος Ransomware: MaxiCrypt

Για αυτόν δεν ξέρουμε πολλά πράγματα ακόμα. Τοποθετεί την επέκταση .[maxicrypt@cock.li].maxicrypt στα κρυπτογραφημένα αρχεία.



Νέος Ransomware: WannaPeace

Ένα προφανές κακέκτυπο του WannaCry από τη Βραζιλία έχουμε για τη συνέχεια, τον WannaPeace ο οποίος τοποθετεί την επέκταση _enc+επέκταση, δηλαδή το αρχεία 1.jpg θα γίνει 1_encjpg.
Προς το παρόν είναι σε δοκιμαστικό στάδιο, ψάχνει το C:testes για δοκιμές.




Νέος παραλλαγή του Crypt888

Εμφανίστηκε μία παραλλαγή του Crypt888 την Πέμπτη, που εμφανίζει τα ακόλουθα:




Νέος στέλεχος του BTCWare

Tην Παρασκευή εμφανίστηκε νέο στέλεχος του BTCWare το οποίο τοποθετεί την επέκταση .[email]-id-id.shadow. 

Οι δημιουργοί του πάντως εξακολουθούν να χρησιμοποιούν την παλιά, ρομαντική μέθοδο: Παραβιάζουν το Remote Desktop και εγκαθιστούν χειροκίνητα τον Ransomware. 


Νέος στέλεχος του Globe2

O Michael Gillespie ανακάλυψε ένα νέο στέλεχος του Globe2 που τοποθετεί την επέκταση .abc. 



Και για αυτόν, έχουμε βρει λύση, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!




Αυτά για τώρα.
Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.

H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.