Τα νέα των Ransomware, 24/9/2018

Ήταν μία δραστήρια εβδομάδα. 
Είχαμε χτύπημα σε ζυθοποιία, είχαμε χτύπημα σε αεροδρόμιο της Αγγλίας, και πολλούς νέους Dharma. 

Όσο βγαίνουν νέοι Dharma εμείς θα συνεχίσουμε να κρατάμε ανέπαφο το Disclaimer που είχαμε γράψει και αφορά τους απατεώνες που προσπαθούν να γίνουν μεσάζοντες.

Ας τα δούμε αναλυτικά:

ΧΑΟΣ ΜΕ ΤΟΝ DHARMA — ΠΡΟΣΟΧΗ ΣΤΟΥΣ ΑΠΑΤΕΩΝΕΣ

Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 1 μήνα ο Dharma (2 μήνες, πλέον), ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:
filename.[<email>].wallet/.bip/.cmb/.arena (έχουν προστεθεί κι άλλα)

Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.
Μας έχουν προσεγγίσει από τουλάχιστον 4 διαφορετικές μεριές την τελευταία εβδομάδα μόνο. Φυσικά τους καταγγείλαμε στις αρχές.

Ένα παράδειγμα:



Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY.

Για την ιστορία, οι παραπάνω “experts” μας κοστολόγησαν τη “δουλειά” τους 2800-3400 ευρώ, όσο περίπου δηλαδή κοστίζει και η παροχή του κλειδιού από τους δημιουργούς.

Επίθεση με Ransomware σε ζυθοποιία

H ζυθοποιία Arran στη Σκωτία έπεσε θύμα επίθεσης με Ransomware το Σαββατοκύριακο που μας πέρασε. 
Η επίθεση ήταν στοχευμένη και πολύ καλά μελετημένη.
Οι επιτιθέμενοι, τοποθέτησαν αγγελίες σε διάφορα site ανεύρεσης εργασίας παγκοσμίως, ότι δήθεν η επιχείρηση ζητούσε να προσλάβει οικονομικό διευθυντή με πολύ καλούς όρους.
Αυτό είχε ως αποτέλεσμα να πλημμυρίσει το mailbox της εταιρίας από εισερχόμενα email με επισυναπτόμενα (βιογραφικά κλπ).
Ένα από αυτά τα email ήταν και το παγιδευμένο, το οποίο και άνοιξε κάποιος απρόσεκτος (και μπουχτισμένος) υπάλληλος με αποτέλεσμα να αναλάβει δράση ο Ransomware. Σύμφωνα με ενημέρωση της ίδιας της Arran Brewery, ο Ransomware που τους χτύπησε ήταν -τι άλλο- Dharma.
Στην ίδια ανακοίνωση δήλωσαν πως δεν πλήρωσαν τα λύτρα και απεκατέστησαν τη ζημιά με ό,τι backup είχαν.
Εμείς το μόνο που έχουμε να πούμε είναι, κάτω τα χέρια από τις μπύρες!


Επίθεση με Ransomware στο αεροδρόμιο του Bristol

To περασμένο Σαββατοκύριακο επικράτησε χάος στο αεροδρόμιο του Bristol στην Αγγλία. Ο λόγος ήταν η επίθεση που δέχτηκε το αεροδρόμιο από Ransomware, και συγκεκριμένα το σύστημα ενημέρωσης αναχωρήσεων/αφίξεων του αεροδρομίου.

Το αποτέλεσμα ήταν οι φωτεινοί πίνακες να μην λειτουργούν


και  οι ενημερώσεις να γίνονται με τον παλιό, καλό, παραδοσιακό τρόπο.

Nέος Dharma- Brr

Tην προηγούμενη Δευτέρα εμφανίστηκε νέο στέλεχος του Dharma που τοποθετεί την επέκταση .brr. Κατά τ’ άλλα δεν έχει αλλάξει τίποτα. 


Νέος Ransomware – IT.Books

Aυτός είναι HiddenTear στον κώδικα και Jigsaw στο GUI. Κάποιος παίζει και με τα δύο. Τοποθετεί την επέκταση .fucked.


To όνειρό τους, πραγματικότητα?

Αυτό  θα μπορούσε να θεωρηθεί κάλλιστα το όνειρο κάθε κυβερνο-εγκληματία. Ένα κακόβουλο εργαλείο που στοχεύει τόσο σε Windows όσο και σε Linux servers, με ικανότητες αυτόματης διασποράς και που συνδυάζει λειτουργίες Ransomware και CryptoMining.
Κυρίες και κύριοι, ο Xbash.


Απίστευτο κι όμως αληθινό, βάση δεδομένων αγνώστου πατρός, εκτεθειμένη στο Ιντερνετ, με 11.000.000 προσωπικά στοιχεία εκτεθειμένα.

Ο ανεξάρτητος ερευνητής Bob Diachenko εντόπισε μια βάση δεδομένων, τύπου MongoDB, εκτεθειμένη στο ιντερνετ. Το πρώτο αστείο είναι ότι την εντόπισε χρησιμοποιώντας εργαλεία που είναι ευρέως διαθέσιμα. Το δεύτερο αστείο είναι ότι η εν λόγω βάση δεδομένων δεν έχει διαπιστωθεί σε ποιον ανήκει, καθώς ήταν ανεβασμένη κάπου, απροστάτευτη και εύκολα προσβάσιμη στον οποιονδήποτε.
Το τρίτο και πιο σοβαρό αστείο είναι ότι η βάση περιείχε 10,999,535 διευθύνσεις email (όλες Yahoo) και είχε μέγεθος 43.5GB. Φυσικά, μαζί με τις διευθύνσεις email περιείχε και πολλά προσωπικά δεδομένα, όπως διευθύνσεις και τηλέφωνα.
 Oι spammers και οι scammers τρίβουν τα χέρια τους…


Nέος Dcrtr – parrot

Εμφανίστηκε μία νέα παραλλαγή του Dcrtr με την κατάληξη .parrot. 
Λίγο αργότερα, εμφανίστηκε και άλλη μία, με κατάληξη .java (προφανώς για να μπερδέψουν κι άλλο την κατάσταση). 

Nέος Scarab – skype

Toποθετεί την επέκταση .skype. Όπως πάντα, ελάτε σε επικοινωνία μαζί μας για να δούμε αν μπορούμε να βοηθήσουμε.


Nέοι Dharma 🙁

O Dharma συνεχίζει την επέλασή του και αυτήν την εβδομάδα εμφανίστηκαν άλλα 3 νέα στελέχη.
Τοποθετούν τις επεκτάσεις .Gamma, .Bkp και .Monro αντίστοιχα.

Μάλλιασε η γλώσσα μας, ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΓΙΑ ΤΟΝ DHARMA, ΜΗΝ ΠΙΣΤΕΥΕΤΕ ΤΟΥΣ ΕΠΙΤΗΔΕΙΟΥΣ.


Αυτά για τώρα! Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.