Τα νέα των Ransomware, 9/10/17

Ξεκινήσαμε το Μάιο του 2016 να αναλύουμε και να γράφουμε για τους Ransomware. Να τους πολεμάμε και να ψάχνουμε για αδυναμίες στον κώδικά τους με σκοπό να βρούμε λύσεις και να βοηθήσουμε όσους έχουν πέσει θύματα επιτηδείων.

Είναι η πρώτη εβδομάδα που έχουμε όλο κι όλο 6 (έξι) νέα να αναφέρουμε!


Ελπίζουμε αυτό να σημαίνει ότι οι κατασκευαστές των Ransomware να βαρέθηκαν και να σταματήσουν την δημιουργία και διασπορά τους, όμως μάλλον είναι απλά η νηνεμία πριν την καταιγίδα, δυστυχώς.


Έχουμε μία επίθεση Ransomware σε Κέντρο Υγείας και μία σε ένα δημοτικό δίκτυο του Colorado.

Ας τα δούμε αναλυτικά..

Απάτη: “Ransomware Detected”

Εμφανίστηκε αυτή η απάτη, η οποία εμφανίζει στο browser μήνυμα ότι ο υπολογιστής έχει μολυνθεί από Ransomware. Είναι η κλασική απάτη που ζητούν να καλέσει το θύμα ένα νούμερο, όπου είτε χρεώνουν τεράστια ποσά στο λογαριασμό, είτε γίνεται απευθείας συνομιλία με τους απατεώνες, οι οποίοι παριστάνουν τους ειδικούς σε θέματα ασφάλειας Η/Υ και ζητούν χρήματα για να μπουν στον Η/Υ με απομακρυσμένη σύνδεση για να “λύσουν το πρόβλημα”. Φυσικά κάτι τέτοιο είναι πολύ επικίνδυνο, ΜΗ ΔΙΝΕΤΕ ΑΠΟΜΑΚΡΥΣΜΕΝΗ ΠΡΟΣΒΑΣΗ ΣΕ ΑΤΟΜΑ ΠΟΥ ΔΕΝ ΓΝΩΡΙΖΕΤΕ!




ΝΕΑ ΕΚΔΟΣΗ ΤΟΥ SamSam

Είχαμε λίγο καιρό να τους δούμε και ομολογούμε ότι δεν μας έλειψαν καθόλου, αλλά οι κύριοι του SamSam/Samas Ransomware επιστρέφουν με νεα έκδοση που τοποθετεί την επέκταση .loveransisgood. Να θυμήσουμε ότι ο SamSam είναι γραμμένος σε C# και δημιουργεί ένα AES κλειδί για κάθε αρχείο που κρυπτογραφεί.
Αυτό μας δίνει την αίσθηση ότι οι άνθρωποι δεν είναι καλά στα μυαλά τους και πρέπει να ψαχτούν. Επιβεβαιωθήκαμε από τα comments στο κώδικα της τελευταίας έκδοσης.::

ΝΕΑ ΕΚΔΟΣΗ ΤΟΥ BTCWare

Άλλη μία έκδοση του BTCWare ανακαλύφθηκε τις προηγούμενες μέρες, η οποία τοποθετεί την επέκταση .[]-id.payday στα αρχεία που κρυπτογραφεί και αφήνει ένα Ransom Note που ονομάζεται !! RETURN FILES !!.txt.


Ransomware χτυπάει το Englewood

Σύμφωνα με τοπικά νέα, η πόλη του Englewood στο Colorado έχει χτυπηθεί από Ransomware τα ξημερώματα της Τετάρτης 4/10/17.  Μέχρι το βράδυ της ίδιας μέρας όλα τα συστήματα ηλεκτρονικών υποδομών της πόλης είχαν καταρρεύσει. Το τμήμα ΙΤ της πόλης προσπαθεί να βρει τις αιτίες της επίθεσης και τρόπους για να ανακάμψει τα συστήματα. Μέχρι αυτήν την ώρα δεν έχουν επανέλθει.


Ransomware χτυπάει και ιατρικό κέντρο στο Arkansas!

To HealthITSecurity.com ανέφερε ότι ένα κέντρο υγείας στο Arkansas χτυπήθηκε από Ransomware με αποτέλεσμα να επηρεαστούν 128.000 ασθενείς:
Κρυπτογραφήθηκαν μαγνητικές τομογραφίες, ακτινογραφίες, καρδιογραφήματα, έγγραφα και επισυναπτόμενες σημειώσεις, γενικά ό,τι ήταν ψηφιακό.
Το κέντρο υγείας αναφέρει ότι ο λόγος ήταν ο εκβιασμός για χρήματα και όχι η διαρροή προσωπικών δεδομένων. 
However, the ransomware has rendered the imaging files and documents inaccessible. Based on our present investigation, it also appears that the ransomware rendered all electronic patient data inaccessible pertaining to visits within approximately three weeks prior to the incident.

NEOΣ SCREENLOCKER: ENDER

Όποιος έγραψε αυτόν τον Screenlocker πρέπει α) Να μάθει να προγραμματίζει β) Να πάρει βραβείο κακογουστιάς 

Ο κωδικός για να ξεκλειδώσετε τον Η/Υ σας είναι aRmLgk8wb0WK5q7
Μας ευχαριστείτε αργότερα.


H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.