Ransomware Ελλάδα: Stop Azorult Hermes
Ransomware Ελλάδα: Stop Azorult Hermes.
- Εκεί που είχε ηρεμήσει για λίγο, ο STOP επανεμφανίστηκε με
5 6 78 διαφορετικά στελέχη, μέσα σε μία εβδομάδα και μάλιστα χρησιμοποιώντας ακόμα πιο επιθετικές τακτικές. - Είχαμε επίσης λύση για τον BigBobRoss (δεν έχουμε δει, πάντως,θύματα στην Ελλάδα ακόμα) και πολλές νέες παραλλαγές από γνωστά στελέχη.
- Κάθε φορά που κάποιος μας λέει ότι το Ransomware πέθανε ένα Blockchain κάπου στην Κορέα γελάει ηχηρά.
Ας τα δούμε αναλυτικά:
Ransomware Ελλάδα: Hermes
O Hermes χτυπάει το Jackson County της Georgia, παίρνει $400.000!
Στις 6/3/2019, ο Hermes με … ολίγη από Ryuk (επρόκειτο για στέλεχος που ήταν μείγμα των δύο) χτύπησε το Jackson County στην Georgia των ΗΠΑ, γονατίζοντας στην κυριολεξία όλες τις υπηρεσίες της πόλης. Από σχετική ανακοίνωση, φαίνεται ότι οι υπεύθυνοι αποφάσισαν και πλήρωσαν τα λύτρα, τα οποία ανέρχονται σε $400.000.
Ransomware Ελλάδα: STOP – Azorult
O Ransomware STOP εγκαθιστά και Trojan με σκοπό την υποκλοπή προσωπικών στοιχείων
Πέρα από τα 10 νέα στελέχη STOP Ransomware είχαμε αυτήν την εβδομάδα. Διαπιστώσαμε ανησυχία ότι ο STOP πλέον εγκαθιστά και τον Azorult. Ο οποίος είναι ένα Trojan το οποίο υποκλέπτει από το θύμα προσωπικά στοιχεία. Όπως κωδικούς πρόσβασης, ιστορικό περιήγησης, συνομιλίες στο Skype, πορτοφόλια κρυπτονομισμάτων, αρχεία xls και άλλα πολλά.
Αν έχετε πέσει θύμα του Ransomware STOP:
Μιας και είναι αδύνατον να γνωρίζουμε από πότε συμβαίνει αυτό, παρακαλούμε όλα τα θύματα του Ransomware STOP (οποιαδήποτε έκδοση, οποιοδήποτε στέλεχος/οικογένεια) να πάρουν ΑΜΕΣΑ τα παρακάτω μέτρα:
- Αλλαγή ΟΛΩΝ των κωδικών πρόσβασης για όλους τους online λογαριασμούς καθώς και τους κωδικούς του Η/Υ αν υπάρχουν. ΟΛΟΙ οι κωδικοί που αποθηκεύονται από το πρόγραμμα περιήγησης, θα πρέπει να θεωρούνται εκτεθειμένοι.
- Αλλαγή όλων των κωδικών πρόσβασης για λογισμικά όπως το Skype, το Telegram το Steam κλπ.
- Αλλαγή όλων των κωδικών πρόσβασης για τυχόν λογισμικά FTP (Filezilla κλπ).
- Αρχεία με ευαίσθητα προσωπικά δεδομένα που βρίσκονται στην επιφάνεια εργασίας ή αλλού, θα πρέπει να θεωρούνται εκτεθειμένα. Αν υπήρχαν αρχεία που περιλαμβάνουν κωδικούς πρόσβασης, θα πρέπει να αλλαχτούν άμεσα.
O STOP, που θεωρείται ίσως ο πιο δραστήριος Ransomware των τελευταίων μηνών, με πολλά θύματα και στην Ελλάδα, μας είχε συνηθίσει να εμφανίζει ένα τουλάχιστον νέο στέλεχος ανά εβδομάδα.
Τις προηγούμενες 20 μέρες υπήρχε μια ησυχία, αλλά μάλλον ήταν η ησυχία πριν την καταιγίδα. Την εβδομάδα που μας πέρασε, πλησίασε τα 10 νέα στελέχη.
Επεκτάσεις κρυπτογράφησης του Ransomware STOP
Με τη σειρά:
Επέκταση .promorad2 με προέλευση / στοχεύει: Βραζιλία.
Επέκταση .kroput ομοίως με από πάνω.
Πρόκειται για την οικογένεια DJVU.
Επέκταση .kroput1, .pulsar1 και .charck, επίσης της οικογένειας DJVU.
Επέκταση .kropun και .klope της οικογένειας ZzZzZ.
Επέκταση .lastrop της οικογένειας Gilette.
Ransomware Ελλάδα: BigBobRoss
Υπάρχει λύση για τον BigBobRoss Rasnomware από την Northwind Data Recovery
Αν και δεν είχαμε αναφορά θυμάτων στην Ελλάδα από τον BigBobRoss Ransomware. Πλέον υπάρχει λύση και μπορούμε να σας αποκρυπτογραφήσουμε τα δεδομένα σας. Η Emsisoft ανακοίνωσε την εξεύρεση λύσης και λίγο αργότερα ακολούθησε και η Avast. Μπορείτε να επικοινωνήσετε με την Emisoft. Ή με τα εργαστήρια της Northwind στην Αθήνα ή τα εργαστήρια της Northwind στην Θεσσαλονίκη.
Το Ransom Note του BigBobRoss Ransomware είναι αυτό:
Ransomware Ελλάδα: Dharma
Oι νέες εκδοχές και κρυπτογραφήσεις του Ransomware Dharma, τοποθετούν την επέκταση .NWA.
Μία άλλη εκδοχή του Dharma Ransomware εγκαθιστά κακόβουλο λογισμικό στον υπολογιστή σας με την ομομασία payload.exe. Αυτό το κακόβουλο λογισμικό τοποθετεί την επέκταση .azero και κρυπτογραφεί τα δεδομένα σας.
Ransomware Ελλάδα: Yatron
Ο Yatron προμοτάρεται ως RaaS (Ransomware-As-A-Service)
Ένας νέος RaaS (Ransomware-As-A-Service) προμοτάρεται μέχρι και μέσω Twitter (!) ότι χρησιμοποιεί το EternalBlue της NSA για να διασπείρει τον εαυτό του μέσω δικτύου. Ισχυρίζεται ότι διαγράφει επιτυχώς αρχεία μετά από x χρόνο αν δεν καταβληθούν τα λύτρα.
Είναι ανησυχητικό, καθώς από ότι είδαμε, κάνει αυτά που υπόσχεται.
Ransomware Ελλάδα: bRcrypt
Mοιάζει να είναι παραλλαγή του CrazyCrypt.
Αν κάποιος έχει μολυνθεί και έχουν κρυπτογραφηθεί τα δεδομένα του. Να επικοινωνήσει με τα εργαστήρια της Northwind στην Αθήνα ή τα εργαστήρια της Northwind στη Θεσσαλονίκη. Για να τον βοηθήσουμε να αποκρυπτογραφήσει τα δεδομένα του από τον Ransomware bRcrypt.
Ransomware Ελλάδα: Gillette
Toποθετεί την επέκταση .GILLETTE και, αν και την ίδια επέκταση χρησιμοποιεί και ο STOP, δεν έχει καμία σχέση.
Αν κάποιος έχει μολυνθεί και έχουν κρυπτογραφηθεί τα δεδομένα του. Να επικοινωνήσει με τα εργαστήρια της Northwind στην Αθήνα ή τα εργαστήρια της Northwind στη Θεσσαλονίκη. Για να τον βοηθήσουμε να αποκρυπτογραφήσει τα δεδομένα του από τον Ransomware Gillette.
Ransomware Ελλάδα: Scarab
Nέος Ransomware Scarab – παριστάνει τον GandCrab
Ένα νέο στέλεχος του Scarab εμφανίστηκε, που τοποθετεί την επέκταση ..[crab2727@gmx.de].gdcb και αφήνει Ransom Note που ονομάζεται GDCB-DECRYPT.TXT, επεκτάση και Ransom Note που χρησιμοποιεί ο GandCrab.
Ransomware Ελλάδα: Stinger
Nέος Stinger Ransomware – Scorpion. Tοποθετεί την επέκταση .Scorpion και κρυπτογραφεί τα δεδομένα σας.
Ransomware Ελλάδα: Jamper
Nέος Ransomware – Jamper. Τοποθετεί την επέκταση .jamper και αφήνει Ransom Note που ονομάζεται —readme—.txt.
Ransomware Ελλάδα: RotorCrypt
Nέοι RotorCrypt ransomware. Και δύο RotorCrypt για το τέλος, τοποθετούν τις επεκτάσεις .!__help2decode@mail.com__.a800 και !@#$%^&-().1c αντίστοιχα.
Αυτά για τώρα! Καλή εβδομάδα σε όλους! Ransomware Ελλάδα: Stop Azorult Hermes
Ευχαριστούμε την BleepingComputer για την παροχή υλικού. H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.
