Τα νέα των Ransomware 25/6/18

Μία εξαιρετικά καλή εβδομάδα ήταν αυτή που πέρασε στον τομέα των Ransomware.
Είχαμε πολλές αποκρυπτογραφήσεις. 

Πέρα από αυτό, αυτή ήταν η εβδομάδα των Scarab. Scarab παντού. Ευτυχώς, στη συντριπτική πλειοψηφία των περιπτώσεων έχουμε βρει λύση, μη πληρώσετε τα λύτρα και ελάτε σε επικοινωνία μαζί μας. 

Στα άλλα καλά νέα, αποκρυπτογραφήσαμε και 2-3 ακόμα μικρότερα στελέχη όπως ο Sepsis και ο νέος Everbe.

Ας τα δούμε αναλυτικά:

NEOI SCARAB — MH ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!

Την εβδομάδα που μας πέρασε είχαμε τεράστια έξαρση του Scarab με πολλά νέα στελέχη. ΕΧΟΥΜΕ ΚΑΤΑΦΕΡΕΙ ΚΑΙ ΕΧΟΥΜΕ ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΕΙ ΤΗ ΣΥΝΤΡΙΠΤΙΚΗ ΠΛΕΙΟΨΗΦΙΑ ΤΩΝ ΣΤΕΛΕΧΩΝ ΑΥΤΩΝ, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ ΚΑΙ ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ.

Το πρώτο που εμφανίστηκε ήταν το στέλεχος .good.

To δεύτερο ήταν το στέλεχος Danger το οποίο τοποθετεί την επέκταση .fastrecovery@xmpp.jp στα κρυπτογραφημένα αρχεία.

Μετά, εμφανίστηκε ο Oneway, o πρώτος που εμφανίστηκε που ήταν στα Ρώσικα. Αφήνει ένα Ransom Note με τίτλο Расшифровать файлы oneway.TXT

Ο επόμενος ήταν ο Bomber με μεγάλη καμπάνια σε εξέλιξη στη Ρωσία. Τοποθετεί την επέκταση .bomber

Πέμπτη στη σειρά ήταν η έκδοση RECME που τοποθετεί την επέκταση .recme και αφήνει Ransom Note HOW_TO_RECOVER_ENCRYPTED_FILES.TXT .

Έκτο στέλεχος, το DAN. Τοποθετεί την επέκταση .dan@cock.email.

Για άλλη μια φορά, για όλα τα παραπάνω, αν έχετε μολυνθεί, ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ!

Αποκρυπτογραφήσαμε και τον Sepsis!

Eίχαμε γράψει για αυτόν πριν ένα μήνα. Βρήκαμε λύση, οπότε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!



Υπάρχει ένα μικρό θεματάκι με την αποκρυπτογραφήση, η οποία σχετίζεται με κάποιο bug στο ίδιο το Ransomware, και συγκεκριμένα σε κάποιο padding bug, το οποίο προκαλεί πρόβλημα στην αποκρυπτογράφηση των τελευταίων 16 bytes των αρχείων, στην περίπτωση που το μέγεθός τους δεν είναι πολλαπλάσιο του 16. Κατά τ’ άλλα όμως, ό,τι έχουμε δοκιμάσει λειτουργεί μια χαρά.

Νέος Ransomware – BadMonkey

Είναι υπό κατασκευή με πολλά προβλήματα προς το παρόν.

Nέα έκδοση του FileIce, ζητάει να συμπληρώσετε δημοσκοπήσεις!

Είχαμε γράψει το 2016 για αυτόν, τώρα εμφανίστηκε και νέα έκδοση!
Ζητάει από τα θύματά του να συμπληρώσουν ερωτηματολόγια, προκειμένου να τους δώσει το κλειδί αποκρυπτογράφησης…



Νέος Ransomware – Pulpy

Τίποτα απολύτως το αξιόλογο. Τοποθετεί την επέκταση AES στα κρυπτογραφημένα αρχεία.


Δύο νέα στελέχη του CyberSCCP

To πρώτο τοποθετεί την επέκταση .cybersccp στα κρυπτογραφημένα αρχεία


και το δεύτερο με πιο εντυπωσιακό background

Nέος Ransomware – JungleSec

Από τα ελάχιστα Ransomware για Linux. Αφήνει Ransom Note με το όνομα Encrypted.md. Τοποθετεί την επέκταση .jungle@anonymousspeachcom

Νέος Everbe – Volcano — ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ

Μετά τους Everbe που αποκρυπτογραφήσαμε την προηγούμενη εβδομάδα, εμφανίστηκε άλλος ένας, που τοποθετεί την επέκταση Volcano. Τον σπάσαμε κι αυτόν. ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!


Nέος CryptConsole

Για αυτόν έχουμε βρει λύση εδώ και καιρό, αυτήν την εβδομάδα κυκλοφόρησε μία καινούργια έκδοση, για την οποία με χαρά διαπιστώσαμε ότι η λύση μας συνεχίζει και υφίσταται. ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!

Nέος Ransomware – KingOuroboros

Τοποθετεί την επέκταση .king_ouroboros.extension. Τίποτα το ιδιαίτερο.

Nέος καμπάνια προσποιείται ότι είναι από την ομάδα του WannaCry – ζητάει Bitcoin

Mία νέα καμπάνια Spam Email προσποιείται ότι το email που λαμβάνετε προέρχεται από την ομάδα που προκάλεσε χάος σε όλο τον κόσμο με τον WannaCry Ransomware, ότι ο WannaCry επέστρεψε και ζητάει να πληρώσετε Bitcoin αλλιώς θα διαγράψουν τα αρχεία σας.
Αυτό που έχετε να κάνετε είναι να στείλετε το email εκεί που ανήκει (στα σκουπίδια) και να συνεχίσετε την εργασία σας. Ο Η/Υ σας δεν έχει κανένα πρόβλημα.

Και ένα καλό για το τέλος…

“….FILES_ARE_SAFE_THE_SIGNLE_AND_UNIQ_WAY_TO_RECOVER_YOUR_FILES_IS_TO_BUY_THE_CERBER_DECRYPTOR_PROGRAM_YOU_NEED_TO_MAKE_THE_PAYMENT_IN_MAXIM_24_HOUR_OR_ALL_YOUR_FILES_WILL_BE_LOST_FORVER_PLEASE_BE_REZONABLE_AND_MAKE_THE_PAYMENT_URGENTLY” 
Ναι, αυτό είναι επέκταση αρχείων.?‍♂️?

Αυτά για τώρα.
Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.