Ανάκτηση Δεδομένων & Λύσεις Ransomware: Northwind

Ανάκτηση Δεδομένων και λύσεις για Ransomware

Τα νέα των Ransomware, 29/1/2018

συντάκτης ·


Πολλά νέα σε ένα εκτενές update έχουμε ετοιμάσει για αυτήν την εβδομάδα.

Τα σημαντικότερα νέα είχαν να κάνουν με μεγάλη έξαρση στον SamSam. Υπενθυμίζουμε ότι ο SamSam διασπείρεται μέσω Remote Desktop και ακόμα και τώρα υπάρχουν πολλοί Η/Υ που έχουν την απομακρυσμένη πρόσβαση σχεδόν ελεύθερη για όλους….

Ενδιαφέρον έχουν οι δηλώσεις του προέδρου της Maersk για τον NotPetya, η επανεμφάνιση του KillDisk, και η νέα λαίλαπα που έκανε την εμφάνισή της, το BlackmailWare το οποίο μοιάζει να είναι πιο αποδοτικό από το Ransomware. 

Ας τα δούμε αναλυτικά:

Επανεμφάνιση του KillDisk

Tην Δευτέρα η TrendMicro ανακοίνωσε ότι παρατηρείται έξαρση του KillDisk σε εταιρίες της Λατινικής Αμερικής.
Να θυμήσουμε ότι ο KillDisk είναι ένας Ransomware με πολλές ιδιαιτερότητες, που κατασκευάστηκε από την ίδια ομάδα Ρώσων κυβερνο-εγκληματιών οι οποίοι ευθύνονται για την επίθεση στο δίκτυο Ενέργειας της Ουκρανίας με το BlackEnergy malware, για την επίθεση σε βιομηχανίες των ΗΠΑ με τον Sandworm malware και φυσικά για τον NotPetya που χτύπησε πολλές εταιρίες τον Ιούνιο του 2017.

Ο KillDisk έχει την ιδιαιτερότητα ότι αφού μπει στον Η/Υ, εγκαθίσταται στη μνήμη του, διαγράφει τον εαυτό του από το δίσκο και μετονομάζει τον εαυτό του.
Στη συνέχεια κάνει overwrite τα πρώτα 20 sectors από το MBR όλων των δίσκων του συστήματος και γράφει από πάνω τους μηδενικά.
Μετά, γράφει μηδενικά και στα πρώτα 2800 bytes από κάθε αρχείο των δίσκων αυτών (εξαιρεί τα αρχεία συστήματος) και αφήνει το Ransom Note.

Τέλος, μετράει 15 λεπτά (άγνωστο γιατί) και ξεκινάει να τερματίζει processes των Windows με σκοπό να προκαλέσει είτε πάγωμα του Η/Υ είτε μπλέ οθόνη (BSOD) με σκοπό να επανεκκινηθεί ο Η/Υ.

Μόλις ο Η/Υ επανεκκινηθεί φυσικά δεν μπορεί να μπει σε Windows αφού τα MBR έχουν μηδενιστεί. Το θύμα θα επισκεφθεί κάποιον τεχνικό ο οποίος προφανώς ψάχνοντας για αρχεία θα δει τα Ransom Notes.  





Νοσοκομείο πληρώνει $55.000 για λύτρα — είχε backup!

Tην Τρίτη ενημερωθήκαμε ότι νοσοκομείο στην Indiana των ΗΠΑ πλήρωσε $55.000 σε λύτρα προκειμένου να απαλλαγεί από Ransomware που τους χτύπησε. Πρόκειται για το Hancock Health Hospital στο GreenField της Indiana.

Το νοσοκομείο χτυπήθηκε από τον SamSam ο οποίος μετονόμασε όλα τα αρχεία τοποθετώντας τη φράση “I’m sorry” στο όνομα αρχείου.
Η επίθεση έλαβε χώρα την προηγούμενη εβδομάδα (11/1) όμως ανακοινώθηκε επίσημα αργότερα. Την επόμενη μέρα, Παρασκευή, το νοσοκομείο ήταν γεμάτο με ανακοινώσεις που καλούσε όλους τους εργαζόμενους να τερματίσουν τους Η/Υ τους.


Όλες οι μηχανογραφικές εργασίες του νοσοκομείου σταμάτησαν. Οι γιατροί και το νοσηλευτικό προσωπικό συνέχισε να εργάζεται με χαρτί και μολύβι και όποια άλλα μέσα υπήρχαν διαθέσιμα. 

Σε ανακοίνωση του νοσοκομείου, παραδέχονται το γεγονός με πολύ λίγες, πάντως, λεπτομέρειες.
Το νοσοκομείο λειτούργησε ξανά 100% την επόμενη Δευτέρα, αφού πλήρωσε $55.000 για λύτρα. Εκπρόσωπος του νοσοκομείου δήλωσε ότι υπήρχαν αντίγραφα ασφαλείας αλλά θα τους έπαιρνε πολλές μέρες ή ακόμα και εβδομάδες για πλήρη αποκατάσταση, και αποφάσισαν ότι η πληρωμή των λύτρων ήταν γρηγορότερη διαδικασία…


ΝΕΟΣ Ransomware – MoneroPay – μεταμφιέζεται σε πορτοφόλι κρυπτονομισμάτων!

Είναι εντελώς καινούργιος, εμφανίστηκε την προηγούμενη Τετάρτη. Προσπαθεί να εκμεταλλευτεί την τρέλα που επικρατεί με τα κρυπτονομίσματα, προωθώντας τον εαυτό του ως πορτοφόλι ενός κρυπτονομίσματος -του SpriteCoin- το οποίο
δεν υφίσταται.
Ενόσω οι χρήστες νομίζουν ότι εγκαθιστούν πορτοφόλι για ένα καινούργιο κρυπτονόμισμα, στην πραγματικότητα δίνουν πρόσβαση στο MoneroPay να κρυπτογραφήσει τα δεδομένα τους.




Η MAERSK θύμα του NotPetya – η απίστευτη δήλωσή της

H μεγαλύτερη εταιρία μεταφορών του κόσμου, η Maersk δήλωσε ότι επανεγκατέστησε περισσότερους από 4.000 servers (!!!), 45.000 H/Y (!!!!!) και 2.500 εφαρμογές της μέσα σε 10 μέρες (!!!!!!!!) στα τέλη του Ιούνη, προκειμένου να ορθοποδήσει μετά το χτύπημα του NotPetya.

Ο πρόεδρος της εταιρίας, Jim Hagemann Snabe, δήλωσε χαρακτηριστικά:
“Φανταστείτε μία εταιρία μεταφορών, της οποίας ένα πλοίο με 20.000 κοντέινερ να εισέρχεται σε ένα λιμάνι κάθε 15 λεπτά.
Τώρα φανταστείτε αυτήν την εταιρία χωρίς Η/Υ!”


Συνέχισε λέγοντας: “Μια εταιρία με τεράστιο εργατικό δυναμικό, θα χρειάζονταν περίπου 6 μήνες για να καταφέρει αυτό που κάναμε εμείς, να επανεγκαταστήσουμε τόσο μεγάλο αριθμό Η/Υ. Εμάς μας πήρε 10 μέρες”.


Δείτε την πολύ ενδιαφέρουσα συνέντευξή του:




BlackMailWare – Μια καινούργια μάστιγα – πιο αποδοτική από τα Ransomware!

Μπήκαμε στην εποχή του Blackmail – ware.

Πρόκειται για μια απάτη που χρησιμοποιούν κακοποιοί (οι οποίοι πάντως δεν σταματούν να μας εκπλήσσουν), μέσω της οποίας εκβιάζουν το θύμα τους ότι θα το καταγγείλουν στις αρχές για διακίνηση παιδικής πορνογραφίας, αν δεν πληρώσει τα λύτρα που ζητούν.

Πως το καταφέρνουν?

Πριν μερικές μέρες εμφανίστηκε αυτό το post στο reddit:


Ο χρήστης παρακολουθούσε πορνό από γνωστή ιστοσελίδα, όταν αποπειράθηκε να κατεβάσει ένα τέτοιο βιντεάκι.
Το βιντεάκι (που δεν ήταν βιντεάκι) περιείχε εκτελέσιμο, το οποίο έτρεξε στο παρασκήνιο και με την εξής σειρά έκανε τα ακόλουθα:

  • Συλλέγει πληροφορίες όπως το όνομα του Η/Υ του θύματος, το όνομα του Windows λογαριασμού, τα χαρακτηριστικά του Η/Υ, την τοποθεσία (βασισμένη στην ΙΡ) και το MAC Address του δικτύου.  Όλα αυτά τα αποθηκεύει σε ένα αρχείο. 
  • Αν βρει μέσω της ΙΡ την γεωγραφική περιοχή, συνδέεται σε διάφορα σαιτ και μέσω Google Maps φτιάχνει μία εικόνα της περιοχής του θύματος από το δορυφόρο.
  • Δημιουργεί 4 screenshots από την επιφάνεια εργασίας με απόσταση 10 δευτερολέπτων. Μιας και αυτό το πρόγραμμα κατεβαίνει από σελίδες με περιεχόμενο πορνό, ο δημιουργός θεωρεί ότι το θύμα θα είναι ακόμα εκεί, οπότε ευελπιστεί να τον “πιάσει στα πράσα”, και να κάνει capture την επιφάνεια εργασίας την ώρα που το θύμα παρακολουθεί ακόμα πορνό.
  • Αλλάζει την επιφάνεια εργασίας σε αυτό:


  • Δημιουργεί μεγάλο αριθμό αρχείων στα οποία αναφέρει ότι το θύμα πιάστηκε να βλέπει παιδική πορνογραφία και απειλεί να ειδοποιήσει τις αρχές αν το θύμα δεν πληρώσει.



Από έλεγχο που κάναμε στα bitcoin πορτοφόλια τους, μέσα σε λίγες μέρες έχουν συλλέξει τουλάχιστον 5 πληρωμές, και αν αναλογιστεί κανείς ότι στο Ransomware ο δημιουργός του θα πρέπει να επικοινωνήσει με τα θύματα, να διαχειριστεί τις πληρωμές, να διαχειριστεί κλειδιά κρυπτογράφησης και να διαχειριστεί και C&C Servers, στην συγκεκριμένη περίπτωση ο κακοποιός δεν έχει τίποτα να τον απασχολεί και απλώς εισπράττει τα χρήματα…

Τεράστια επίθεση του SamSam!

Οι δημιουργοί του SamSam μπήκαν στο 2018 με σειρά μεγάλων επιθέσεων.

Μετά την επίθεση στο νοσοκομείο Hancock της Indiana, εξαπέλυσαν επίθεση και στο Adams Memorial Hospital επίσης στην Indiana.
Την Παρασκευή 12/1 τα γραφεία διοίκησης του νοσοκομείου ήταν κλειστά, με το νοσοκομείο να ισχυρίζεται ότι αυτό συνέβη λόγω “κακοκαιρίας”. Λίγο αργότερα παραδέχτηκαν ότι δέχτηκαν επίθεση από τον SamSam:



While AHN did experience a business interruption throughout the weekend as we worked to restore the affected severs, there was never an interruption in patient care. We are continuing to assess the severity of the situation, but at this time we believe no patient files have been accessed. At no time during this event has the quality and safety of patient care been affected.

Ο διευθυντής του νοσοκομείου, Jo Ellen Eidam, αρνήθηκε να παραχωρήσει συνέντευξη όταν του ζητήθηκε από το NewsChannel 15. 
Περισσότερα εδώ

Ο SamSam επιτίθεται και στην πόλη του Farmington 

Στη συνέχεια, επιτέθηκαν στην πόλη του Farmington στο New Mexico των ΗΠΑ, κατεβάζοντας όλες τις υπηρεσίες της πόλης, και ζητώντας 3 Bitcoins ως λύτρα.
Ο δήμαρχος της πόλης, δήλωσε ότι όλα τα αρχεία αποκαταστάθηκαν χωρίς να καταβληθούν λύτρα.


Ο SamSam χτυπάει και την Allscripts

H Allscripts ηταν το επόμενο θύμα τους. Πρόκειται για μία εταιρία EHR (Electronic Health Records) με έδρα τις ΗΠΑ. Η εταιρία παραδέχτηκε την επίθεση, και συγκεκριμένα για κάποιους servers που φιλοξενούσαν το cloud της εταιρίας στη Βόρεια Καρολίνα. 

ΝΕΟΣ Ransomware – Killbot

Υπό κατασκευή, προς το παρόν εμφανίζει μόνο αυτήν την εικόνα



ΝΕΟΣ Ransomware – Mada

Αυτός τοποθετεί την επέκταση .LOCKED_BY_pabluklocker στα κρυπτογραφημένα αρχεία. Έχει ενδιαφέρον Ransom Note και desktop wallpaper ενώ το πιο αστείο είναι ότι χρησιμοποιεί λογαριασμό gmail (!)



Νέος Ransomware – R3vo

Toποθετεί την επέκταση .Lime. 


ΝΕΟΙ Ransomware – Talk || RansomUserLocker

Είναι βασισμένος στον HiddenTear και τοποθετεί την επέκταση .암호화됨 στα κρυπτογραφημένα αρχεία.
Είναι υπό κατασκευή.



Η ίδια ομάδα κακοποιών έφτιαξε και τον RansomUserLocker που κι αυτός είναι HiddenTear, κι αυτός είναι κορεάτικος, κι αυτός είναι υπό κατασκευή.




ΝΕΟΣ Ransomware – Ghack

Υπό κατασκευή, δεν δουλεύει και πετάει συνέχεια μηνύματα σφάλματος. Εμφανίζει μόνον αυτήν την εικόνα:




ΝΕΟΣ Ransomware – SureRansom

Υπό κατασκευή κι αυτός. Δεν κάνει τίποτα απολύτως προς το παρόν.


ΝΕΟΣ Ransomware – RancidLocker

Ομοίως με προηγουμένως, δεν κάνει τίποτα εκτός από το να εμφανίζει αυτό το background.



ΝΕΟΣ Ransomware – Qwerty

Είναι βασισμένος στον HiddenTear και όπως σχεδόν για όλους τους HiddenTear έχουμε βρει λύση. ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ. 



ΝΕΟΣ Ransomware – DeusCrypt

Αυτός ήταν σε μεγάλη έξαρση την προηγούμενη εβδομάδα, με δύο παραλλαγές του, την DeusCrypt και την Insane.

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΚΑΙ ΓΙΑ ΤΙΣ ΔΥΟ, ΜΗΝ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ.



ΝΕΟΣ GlobeImposter2

Toποθετεί την επέκταση .crypted! στα αρχεία. Εμφανίστηκε την Παρασκευή που μας πέρασε και περιμένουμε, όπως και τα προηγούμενα στελέχη, να έχει θύματα και στην Ελλάδα. ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ!


ΝΕΟΣ RotorCrypt

Το Σάββατο 27/1 εμφανίστηκε αυτός, με την τεράστια επέκταση στα κρυπτογραφημένα αρχεία: !==SOLUTION OF THE PROBLEM==blacknord@tutanota.com==.Black_OFFserve

ΝΕΟΣ Ransomware – Velso

…και την Κυριακή 28/1/18 εμφανίστηκε ο Velso, για τον οποίο προφανώς δεν ξέρουμε πολλά ακόμα, μοιάζει όμως να εγκαθίσταται χειροκίνητα από τον επιτιθέμενο, αφού ο τελευταίος μπει στον Η/Υ του θύματός του μέσω Remote Desktop.



Αυτά για τώρα.
Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.