Ανάκτηση Δεδομένων & Λύσεις Ransomware: Northwind

Ανάκτηση Δεδομένων και λύσεις για Ransomware

Ransomware Ελλάδα: GandCrab Remote Desktop Windows

συντάκτης · Δημοσιεύτηκε · Ενημερώθηκε

Ransomware Ελλάδα: GandCrab Remote Desktop Windows . Ήταν μία εβδομάδα με λίγα νέα στελέχη σε σχέση με τις προηγούμενες.

  • Οι επιτήδειοι πλέον μοιάζουν να στοχεύουν σε συγκεκριμένους στόχους, μέσω εκτεθιμένων υπηρεσιών απομακρυσμένης πρόσβασης (Remote Desktop).
  • Είχαμε νέο GandCrab ο οποίος εκμεταλλεύεται γνωστή ευπάθεια των Windows. ΠΡΟΣΟΧΗ ΣΕ ΟΛΟΥΣ.
  • To πιο ενδιαφέρον νέο της εβδομάδας ήταν η ανακοίνωση του IC3 (Internet Crime Complaint Center – Κέντρο Αναφοράς Διαδικτυακού Εγκλήματος) του FBI σχετικά με τις εκτεθειμένες υπηρεσίες απομακρυσμένης πρόσβασης.

Ας τα δούμε αναλυτικά:

Ransomware Ελλάδα: Dharma

Χάος παγκόσμιο με τον dharma ransomware – Προσοχή στους απατεώνες

Σε τεράστια έξαρση βρίσκεται εδώ και περίπου 1 μήνα ο Dharma (2 μήνες, πλέον), ο οποίος θυμίζουμε ότι μετατρέπει τα αρχεία σύμφωνα με αυτόν τον κανόνα:

filename.[<email>].wallet/.bip/.cmb/.arena

(έχουν προστεθεί κι άλλα). Θυμίζουμε επίσης ότι ο συγκεκριμένος Ransomware ΔΕΝ έχει λύση. Δεν υπάρχει από πουθενά κάποια αδυναμία που να μπορούμε να εκμεταλλευτούμε για να τον σπάσουμε και αυτό το υπογράφουμε. 
Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.
Μας έχουν προσεγγίσει από τουλάχιστον 4 διαφορετικές μεριές την τελευταία εβδομάδα μόνο. Φυσικά τους καταγγείλαμε στις αρχές.
Ένα παράδειγμα:

Dharma ransomware filename.[<email>].wallet/.bip/.cmb/.arena
Dharma ransomware filename.[].wallet/.bip/.cmb/.arena

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY.

Για την ιστορία, οι παραπάνω “experts” μας κοστολόγησαν τη “δουλειά” τους 2800-3400 ευρώ, όσο περίπου δηλαδή κοστίζει και η παροχή του κλειδιού από τους δημιουργούς.

Ransomware Ελλάδα: GandCrab, v5

Δυστυχώς, είχαμε επανεμφάνιση του GandCrab. Η ρουτίνα κρυπτογράφησης έχει τη διαφορά ότι τώρα πλέον τοποθετεί τυχαία επέκταση στα αρχεία (μήκους 5 χαρακτήρων), ενώ και το ransom note είναι πλέον σε μορφή HTML.

Ransomware Ελλάδα: GandCrab, v5
Ransomware Ελλάδα: GandCrab, v5

ΣΗΜΑΝΤΙΚΟ UPDATE 29/9

Ο GandCrab v5 μοιάζει τελικά να εκμεταλλεύεται τη γνωστή ευπάθεια Task Scheduler ALPC (η οποία στοχεύει στο GoogleUpdate). Η ευπάθεια

διορθώθηκε από τη Microsoft στο Patch Tuesday του Σεπτεμβρίου 2018, όμως όπως γνωρίζουμε όλοι, πολλοί είναι αυτοί που αργούν να κάνουν ενημερώσεις στα μηχανήματά τους.

GandCrab v5 εκμεταλλεύεται την ευπάθεια Task Scheduler ALPC
GandCrab v5 εκμεταλλεύεται την ευπάθεια Task Scheduler ALPC

Επίθεση με Ransomware στο λιμάνι του San Diego

Σύμφωνα με δήλωση του CEO του λιμανιού του San Diego, υπήρξε επίθεση με Ransomware στα συστήματα του λιμανιού. Περισσότερες λεπτομέρειες δεν έγιναν γνωστές μέχρι αυτήν την ώρα. 

Επίθεση με Ransomware στο λιμάνι του San Diego
Επίθεση με Ransomware στο λιμάνι του San Diego

Εκτεθειμένα Remote Desktop κίνδυνος για ransomware

Aυτό που φωνάζουμε εδώ και καιρό, το ανακοίνωσε και το IC3 (Internet Crime Complaint Center), του FBI και του Homeland Security των ΗΠΑ.

Εκτεθειμένα Remote Desktop κίνδυνος για ransomware
Εκτεθειμένα Remote Desktop κίνδυνος για ransomware

Οι εκτεθειμένες υπηρεσίες απομακρυσμένης πρόσβασης είναι δούρειος ίππος για τους επιτήδειους που εκμεταλλεύονται το συγκεκριμένο -εγκληματικό- κενό ασφαλείας και εισβάλλουν στους Η/Υ διασπείροντας ransomware.

Η ανακοίνωση εδώ.

Ransomware Ελλάδα: Jigsaw

Kάποιος ηλίθιος έφτιαξε αυτόν τον Jigsaw που τοποθετεί την επέκταση .spaß
Και είναι ηλίθιος, αφού εκτός από το γεγονός ότι δημιουργεί ένα κλειδί για κάθε αρχείο που κρυπτογραφεί, δεν το αποθηκεύει πουθενά. Επίσης, το κλειδί το κρυπτογραφεί σε base64, όμως έχει συμπεριλάβει χαρακτήρες όπως !#$^ που είναι invalid για το base64. 

Ransomware Ελλάδα: Jigsaw
Ransomware Ελλάδα: Jigsaw

Αυτό σημαίνει ότι ο συγκεκριμένος είναι 100% wiper. Πάντως, αν και τόσο η επέκταση των αρχείων όσο και το κείμενο του Ransom Note παραπέμπει σε κάποιον εκ Γερμανίας, τα γερμανικά του είναι τόσο κακά, που είτε δεν είναι Γερμανός, είτε είναι νηπιακής μόρφωσης.
Τι να πεις…

Ransomware Ελλάδα: Qinynore

Eίναι HiddenTear. Τοποθετεί την επέκταση .anonymous.

Ransomware Ελλάδα: Qinynore
Ransomware Ελλάδα: Qinynore

Ransomware Ελλάδα: Bytar

Eίναι υπό κατασκευή ακόμη ο παρακάτω ransomware, αν πέσετε θύμα του μην φοβάστε! μπορείτε να έρθετε σε επικοινωνία με τα εργαστήρια της Northwind Data Recovery και να δώσουμε την λύση.

Ransomware Ελλάδα: Bytar
Ransomware Ελλάδα: Bytar

Ransomware Ελλάδα: LockCrypt – BDKR

Είναι η νέα έκδοση του LockCrypt. Τον κοιτάμε ακόμα.

Ransomware Ελλάδα: LockCrypt - BDKR
Ransomware Ελλάδα: LockCrypt – BDKR

$700.000 πλήρωσε σε Ransomware η γερουσία της Πεννσυλβάνια

Η δημοκρατική γερουσία της Πεννσυλβάνια πλήρωσε $703.697 στην Microsoft προκειμένου να ξαναστηθεί το δίκτυο ΙΤ τους μετά από επίθεση Ransomware το 2017.

Περισσότερα εδώ.

Αυτά για τώρα! Ransomware Ελλάδα: GandCrab Remote Desktop Windows

Καλή εβδομάδα σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.

H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.

Ετικέτες:

Μπορεί επίσης να σας αρέσει...