Τα νέα των Ransomware, 30/7/2018

Του … Scarab το κάγκελο για αυτήν την εβδομάδα, με περισσότερα από 6 νέα στελέχη να κάνουν την εμφάνισή τους και να είναι ιδιαίτερα δραστήρια.
Όπως έχουμε πει πολλές φορές, η Northwind έχει βρει κάποια αδυναμία στα περισσότερα από αυτά τα στελέχη, και αν έχετε μολυνθεί, ελάτε σε επικοινωνία μαζί μας.


Κατά τ’ άλλα, ενδιαφέρον είχε το χτύπημα με Ransomware στον κολοσσό Cosco, απάντηση σε όσους λένε ότι το Ransomware πέθανε.

Ας τα δούμε αναλυτικά:

NEOΣ GandCrab

Χωρίς καμία ιδιαίτερη αλλαγή σε σχέση με την προηγούμενη έκδοση, 4.2 απλώς προσθέτει μηνύματα ειρωνίας σε διάφορους security researchers.

Nέος Ransomware – Armage

Αυτός καταστρέφει τα εικονίδια του Windows Explorer και τοποθετεί την επέκταση .armage. Τίποτα το περισσότερο ενδιαφέρον.


Νέος Dharma

Toποθετεί την επέκταση .id.combo. Τίποτα το καινούργιο.

Νέος Jigsaw

Toποθετεί την επέκταση .black007. Κατά τα γνωστά, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ, ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ. 

Νέοι Scarab ….

Πρώτα εμφανίστηκε η παραλλαγή ΒΙΝ. Τοποθετεί την επέκταση .bin2 στα αρχεία και αφήνει πίσω του ένα Ransom Note με την ονομασία HOW TO RECOVER ENCRYPTED FILES.TXT.




Στη συνέχεια
εμφανίστηκε άλλος ένας, που είναι στα ουκρανικά και τοποθετεί την αντίστοιχη επέκταση .ukrain, με το ίδιο όνομα στο Ransom Note όπως προηγουμένως.



Μετά, εμφανίστηκε ο Amnesia, με το ίδιο Ransom Note name και επέκταση .amnesia.


και μετά, ο Bomber, πανομοιότυπος με τον BIN.


τέλος, ο Barracuda. Αυτός τοποθετεί την επέκταση .BARRACUDA και αφήνει Ransom Note με τίτλο BARRACUDA RECOVERY INFORMATION.TXT.


ΓΙΑ ΟΛΟΥΣ ΑΥΤΟΥΣ, ΕΛΑΤΕ ΣΕ ΕΠΙΚΟΙΝΩΝΙΑ ΜΑΖΙ ΜΑΣ. ΕΧΟΥΜΕ ΒΡΕΙ ΕΥΑΙΣΘΗΣΙΑ ΣΤΟΝ ΚΩΔΙΚΑ ΚΑΙ ΠΟΛΥ ΠΙΘΑΝΟΝ ΝΑ ΜΠΟΡΟΥΜΕ ΝΑ ΤΟΥΣ ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΟΥΜΕ.
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!


Λύση για τον LockCrypt

Για την έκδοση με την επέκταση .1btc,
ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ – ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!


Λύση για τον Aurora

Για τον Aurora, που τοποθετεί την αντίστοιχη επέκταση .Aurora,  


ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ – ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ!



Λύση και για τον Desu!

Για αυτόν γράψαμε την προηγούμενη εβδομάδα ότι εκτός από την κρυπτογράφηση, τροποποιεί και το MBR. Λέγαμε ότι προς το παρόν δεν υπάρχει λύση.
Ο θεός Michael όμως, μας ενημέρωσε ότι έχει εντοπίσει ευαισθησία και είναι κοντά στη λύση!




Ransomware γονατίζει την Cosco



Ένας από τους μεγαλύτερους κολοσσούς των μεταφορών, η Cosco (China Ocean Shipping Company) χτυπήθηκε από Ransomware την προηγούμενη εβδομάδα.

Σύμφωνα με δελτίο τύπου της εταιρίας [1, 2], το συμβάν χαρακτηρίζεται σαν “πρόβλημα δικτύου”, όμως διάφορες πηγές [12αναφέρουν και επιβεβαιώνουν ότι πρόκειται για χτύπημα Ransomware. 

Οι εργαζόμενοι της εταιρίας αναγκάστηκαν να χρησιμοποιήσουν email providers οπως η Gmail και η Yahoo για να συνεχίσουν την επικοινωνία με τους πελάτες.

Νέος Ransomware – DDE

Μοιάζει πολύ με τον Crypt888. Τον κοιτάμε.


Ποινή 240 ωρών κοινωνικής εργασίας για τους δημιουργούς του CoinVault


Δικάστηκαν στην Ολλανδία τα δύο αδέρφια που συνελήφθησαν για τη διασπορά  του Coinvault.



Στο δικαστήριο, αποκαλύφθηκε ότι ρόλο στον εντοπισμό και στη σύλληψη έπαιξε η Kaspersky, ερευνητές της οποίας ανακάλυψαν τραγικό λάθος στον κώδικα, το οποίο αποκάλυπτε την πραγματική ταυτότητα των δημιουργών του εν λόγω Ransomware (…).

Η Kaspersky δήλωσε ότι σε συνεννόηση με την αστυνομία, κατέβασε την ανάρτησή της, προκειμένου να δοθεί χρόνος για τη σύλληψή τους.
Τα δύο αδέρφια δήλωσαν ότι είχαν δει την ανάρτηση της Kaspersky, αλλά συνέχισαν κανονικά τη δράση τους (…).


Η εισαγγελία δήλωσε ότι τα δύο αδέρφια κέρδισαν περισσότερα από €10.000, ενώ τα λύτρα που ζητούσαν ήταν 1 Bitcoin (το οποίο εκείνη την εποχή είχε αξία €200). 
Κάποιος ξύπνιος από τα θύματα που ήταν παρών στο δικαστήριο, ζήτησε να του επιστραφεί το ποσό που πλήρωσε, αλλά σε bitcoin (μιας και τώρα έχει €6000). 

Οι κατηγορούμενοι καταδικάστηκαν σε 240 ώρες κοινωνικής εργασίας και τους επιβλήθηκε να επιστραφούν τα χρήματα που πήραν.

Στα μαλακά έπεσαν…

Νέος Xiaoba

O Rony εντόπισε μια καινούργια έκδοση του Xiaoba, τοποθετεί την επέκταση .XIAOBA. 




Ψάχνοντάς το, βρίσκει κανείς ότι σχετίζεται με τον GlobeImposter 2.0.


Νέος Ransomware – Xlockr


Τίποτα το ιδιαίτερο.




Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.
H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.