Τα νέα των Ransomware, 2/7/2018
Μετά την εξαιρετικά καλή προηγούμενη εβδομάδα, όπου είχαμε επιτυχία αποκρυπτογραφώντας μία σειρά από εξαιρετικά ενεργούς Ransomware, συνεχίζουμε με τα καλά νέα, αυτή τη φορά με λύση για τον Thanatos Ransomware αλλά και γενικά γιατί ήταν μία πολύ πολύ ήσυχη εβδομάδα, κάτι που πάντα είναι καλό νέο.
Ας τα δούμε αναλυτικά:
NEOΣ RotorCrypt
O Michael Gillespie εντόπισε ένα καινούργιο στέλεχος του RotorCrypt, το οποίο δεν τοποθετεί επέκταση στα κρυπτογραφημένα αρχεία και αφήνει ένα Ransom Note με τίτλο HELP.
Αποκρυπτογραφήσαμε τον Thanatos!
Για τον Thanatos, είχαμε γράψει:
Παρά το ελληνικό του όνομα, μάλλον προέρχεται από τη Ρωσία. Το πρόβλημα είναι ότι ο Thanatos αποτελεί άλλο ένα παράδειγμα όπου οι δημιουργοί Ransomware βγάζουν στη φόρα επιμολύνσεις που δεν είναι επαρκώς δοκιμασμένες και έχουν τόσα bugs που είναι εξαιρετικά απίθανο έως αδύνατον να αποκρυπτογραφηθούν τα δεδομένα, ακόμα και αν το θύμα πληρώσει τα λύτρα.
Στην προκειμένη περίπτωση, ο Thanatos δημιουργεί ένα κλειδί για κάθε αρχείο ξεχωριστά (!). Το πρόβλημα είναι ότι αυτό το κλειδί δεν αποθηκεύεται κάπου. Επομένως, αν το θύμα πληρώσει τα λύτρα, ο επιτιθέμενος δεν έχει τρόπο να του αποκρυπτογραφήσει τα αρχεία…
Τα καλά νέα είναι ότι για συγκεκριμένους τύπους αρχείου και με δεδομένο ότι υπάρχει επάρκεια χρόνου, ίσως μπορούμε να σπάσουμε τον κωδικό για κάθε αρχείο με τη μέθοδο Brute Force.
Το άλλο ενδιαφέρον με τον συγκεκριμένο είναι ότι είναι ο πρώτος που δέχεται Bitcoin Cash ως πληρωμή.
Όπως και να έχει, όπως είπαμε ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ καθώς δεν θα σας δώσουν κλειδί αποκρυπτογράφησης, πολύ απλά γιατί κλειδί αποκρυπτογράφησης δεν υπάρχει.
Ευτυχώς καταφέραμε και εκμεταλλευτήκαμε κάποια προβλήματα στην υλοποίηση του συγκεκριμένου Ransomware, και μπορούμε να τον αποκρυπτογραφήσουμε.
Νέος Ransomware – BloodJaws
Νέος Ransomware – AnimusLocker
Είτε το πιστεύετε είτε όχι, αυτά ήταν όλα τα νέα των Ransomware για την εβδομάδα που πέρασε!
Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
