Τα νέα των Ransomware, 2/4/2018

Κυρίως μικρά στελέχη για αυτήν την εβδομάδα. Είχαμε ένα νέο Cryptomix, ένα wiper που ονομάζεται UselessDisk και μεταμφιέζεται σε Ransomware και μία εντελώς περίεργη είδηση (?) ότι η Boeing μολύνθηκε από τον WannaCry. 

Ας τα δούμε αναλυτικά:

Ο UselessDisk (ή αλλιώς Diskwriter) είναι wiper?

Ένας νέος bootlocker που ονομάζεται Diskwriter ή Uselessdisk, εμφανίστηκε στην αρχή της προηγούμενης εβδομάδας. Αυτός τροποποιεί το MBR (Master Boot Record), ώστε να εμφανίζει το παρακάτω Ransom Note όταν κάνει επανεκκίνηση  ο Η/Υ, και δεν μπαίνει στα Windows. Ζητάει $300 σε Bitcoins. Επειδή δεν βλέπουμε κανέναν απολύτως τρόπο να μπορεί να επανέρθει ο Η/Υ στην προηγούμενη κατάσταση, ακόμα και αν κάποιος πληρώσει τα λύτρα, τον θεωρούμε wiper. 


Αναστάτωση με την Boeing – μολύνθηκε από WannaCry?

Στα “τρελά” νέα της εβδομάδας, βγήκε η είδηση ότι η Boeing μολύνθηκε από τον WannaCry. Και λέμε “τρελή” γιατί ο WannaCry θεωρείται πλέον παλιά ιστορία και από το καλοκαίρι που μας πέρασε δεν έχει εμφανιστεί κανένα κρούσμα. 

Όλα ξεκίνησαν από ένα memo που έστειλε ο Mike VanderWel, επικεφαλής μηχανικός των αεροσκαφών Boeing, το οποίο σύμφωνα με την Seattle Times :

“It is metastasizing rapidly out of North Charleston and I just heard 777 (automated spar assembly tools) may have gone down,” VanderWel wrote, adding that he’s concerned the virus will hit equipment used in functional tests of airplanes ready to roll out and potentially “spread to airplane software.”


To πιο πιθανό πάντως είναι να πρόκειται για κάποιο από τα χιλιάδες Ransomware που εμφανίστηκαν και μιμούνται τον WannaCry. 

Αργότερα, στο twitter της Boeing εμφανίστηκε αυτό το Tweet:

Nέος Ransomware – EggLocker

Είναι υπό κατασκευή, δεν επηρεάζει τα ονόματα αρχείων -προς το παρόν μάλλον-
και τοποθετεί την επέκταση .EGG στα κρυπτογραφημένα αρχεία. Δουλεύει αρκετά καλά… 🙁


Νέος Ransomware – WhiteRose

Αυτός εμφανίστηκε την Τρίτη που μας πέρασε, τροποποιεί τα ονόματα αρχείων σε αυτό το μοτίβο [random-random-random]_encrypted_by.whiterose.

Moιάζει να είναι κάτι μεταξύ InfinteTear, BlackRuby και Zenis, αλλά είναι πολύ καινούργιο για να μπορούμε να πούμε.


Νέος Ransomware – JFRansomware

Ο Karsten Hahn ανακάλυψε αυτόν τον Ransomware. Δεν κρυπτογραφεί και απλά εμφανίζει το παρακάτω μήνυμα.
Ο κωδικός για να το ξεκλειδώσετε είναι Saus2018

Νέος Ransomware – Haxerboi

O Karsten και πάλι ανακάλυψε αυτόν τον builder για malware, που επιτρέπει και τη δημιουργία Ransomware. Ονομάζεται haxerboi.



Νέος L0cked

Δεύτερο στέλεχος σε μία εβδομάδα για τον L0cked, τοποθετεί την επέκταση .lckd.


Νέος Ransomware – Bansomqare

Αυτός μιμείται τον WannaCry και χρησιμοποιεί ένα εικονίδιο του Whatsapp (!). Toποθετεί την επέκταση .bitcoin.

Αν έχει μολυνθεί κάποιος, ας έρθει σε επικοινωνία μαζί μας, μοίαζει ότι μπορούμε να τον αποκρυπτογραφήσουμε.


Nέος CryptoMix 

Πέρασαν 2 μήνες από τον τελευταίο CryptoMix και επανέρχεται με την παραλλαγή .MOLE66. Δεν έχουν αλλάξει πολλά πράγματα, πάντως.


Νέος Ransomware – RansomwareTest

Προφανώς υπό κατασκευή, δεν διανέμεται ακόμα. Τοποθετεί την επέκταση .crypt στα κρυπτογραφημένα αρχεία και δεν αφήνει Ransom Note.


Αυτά για τώρα.
Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.