Ransomware Ελλάδα: STOP Dharma Aurora Ryuk

Ransomware Ελλάδα: STOP Dharma Aurora Ryuk . Αρκετά ενδιαφέροντα έγιναν την προηγούμενη εβδομάδα, με κύριους πρωταγωνιστές

  1. τον Dharma,
  2. έναν Ransomware που λέει ταυτόχρονα αλήθειες και ψέματα και
  3. έναν ακόμα που τρολάρει τους malware hunters. 

Nα υπενθυμίσουμε, συνοπτικά για τους Ransomware, ότι

  • Οι Ransomware δεν έχει καθόλου εξαλείψει
  • Είναι εκεί έξω με πολλές τυφλές και στοχευμένες επιθέσεις.
  • Μείνετε προστατευμένοι
  • Βεβαιωθείτε ότι τα αντίγραφα ασφαλείας σας είναι έγκυρα
  • Οτι οι υπηρεσίες RDP που χρησιμοποιείτε είναι ασφαλείς
  • Ότι δεν ανοίγετε επισυναπτόμενα από αυτούς που δεν γνωρίζετε και
  • Εγκαταστείτε τα updates από τα λογισμικά που χρησιμοποιείτε.

Ας τα δούμε αναλυτικά:

Ransomware Ελλάδα: Dharma

Δύο νέα στελέχη εμφανίστηκαν την προηγούμενη εβδομάδα, τοποθετεί τις καταλήξεις

.fire και

.shhh

Τον τελευταίο καιρό, έχουν βγει στην πιάτσα διάφοροι απατεώνες που διατείνονται ότι έχουν λύση για τον Dharma.

Μην πιστεύετε τους απατεώνες. Όποιος δηλώνει ότι έχει λύση για τον Dharma bip/arena/cmb/wallet, είτε έχει μιλήσει με τους δημιουργούς του Dharma και έχει πάρει έκπτωση, έτσι ώστε να κερδίσει τη διαφορά, είτε είναι ο ίδιος ο δημιουργός του Dharma.

Με μεγάλη μας λύπη διαπιστώνουμε ότι η λαίλαπα εξαπλώθηκε και στη χώρα μας με “κάποιους” να ισχυρίζονται ότι μπορούν να λύσουν τον Dharma και μάλιστα με … εξπρες διαδικασίες και προνομιακό κόστος, 3000-6000 ευρώ (…) (!!!!). Γελάμε και κλαίμε ταυτόχρονα.

ΔΕΝ ΥΠΑΡΧΕΙ ΛΥΣΗ ΣΤΟΝ DHARMA ΧΩΡΙΣ ΤΟ MASTER KEY ΤΩΝ ΔΗΜΙΟΥΡΓΩΝ ΤΟΥ

Mη πέσετε θύμα κι άλλης απάτης.

Οι προοπτικές που έχετε αυτή τη στιγμή είναι οι εξής:

1) Αν έχετε τον επιμολυσμένο δίσκο μπορούμε να αποπειραθούμε να ανακτήσουμε έγγραφα και φωτογραφίες, αλλά δεν πρόκειται για ολοκληρωμένη λύση. 
2) Να κρατήσετε αντίγραφα των δεδομένων και να περιμένετε έως ότου βρούμε λύση. Δυστυχώς δεν είμαστε σε θέση να γνωρίζουμε αν και πότε θα γίνει αυτό, μιας και ως ένα σημείο εξαρτάται και από τους ίδιους τους developers του Ransomware.

Θα πρέπει, τέλος, να γνωρίζετε, ότι ακόμα και αν αποφασίσετε να ενδώσετε και να πληρώσετε τα λύτρα που ζητάνε, δεν σας εξασφαλίζει κανείς ότι θα τηρήσουν το μέρος της συμφωνίας τους, καθώς πρακτικά έρχεστε σε επικοινωνία με κακοποιούς τους οποίους αναζητά το FBI.

Ransomware Ελλάδα: STOP

Nέος STOP Ransomware – INFOWAIT

Toποθετεί την επέκταση .INFOWAIT. 
Δείτε το εδώ σε δράση:
https://app.any.run/tasks/5256ec09-df0c-4949-8888-13df86199219

 Ransomware Ελλάδα: STOP INFOWAIT
Ransomware Ελλάδα: STOP INFOWAIT

Κι νέος STOP ransomware για αυτή την εβδομάδα:

Κάποιος μάλλον τον θυμήθηκε αυτήν την εβδομάδα. Το δεύτερο στέλεχος που εμφανίζεται μέσα σε λίγες μέρες ονομάζεται PUMA και αφήνει Ransom Note με την ονομασία !readme.txt

STOP ransomware PUMA
STOP ransomware PUMA

Ransomware Ελλάδα: Aurora

Ο Aurora Ransomware λέει αλήθειες και ψέματα…

Μεγάλη δραστηριότητα παρουσίασε ο Aurora τις τελευταίες μέρες, σε όλο τον κόσμο με πολλά πολλά θύματα. Σας παραθέτουμε το Ransom Note:

Ransomware Ελλάδα: Aurora Ransom Note
Ransomware Ελλάδα: Aurora Ransom Note

H αλήθεια είναι αυτή για περιπτώσεις όπως ο Dharma, όπου “συνάδελφοι” κάνουν ακριβώς αυτό που περιγράφουν. Οπότε προσέξτε με ποιους συνεργάζεστε.
Το ψέμα που λένε οι κύριοι παραπάνω στο Ransom Note είναι ότι μόνο αυτοί μπορούν να αποκρυπτογραφήσουν τον συγκεκριμένο Ransomware, καθώς

ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ για τον Aurora/Zorro ransomware

Μπορούμε να τον αποκρυπτογραφήσουμε.  Αυτό που δεν μπορούμε να διανοηθούμε είναι ότι ενώ υπάρχει διαθέσιμη λύση, ρίχνοντας μια ματιά στο bitcoin wallet των κακοποιών, διαπιστώνουμε ότι από τις αρχές του Οκτώβρη μέχρι σήμερα έχει δεχθεί 109 πληρωμές.

ΛΥΣΗ για τον Aurora/Zorro ransomware
ΛΥΣΗ για τον Aurora/Zorro ransomware

Ransomware Ελλάδα: Vapor

Xρησιμοποιούν gmail ως μέσο επικοινωνίας με τα θύματα (!!!). Ισχυρίζονται ότι διαγράφουν δεδομένα όταν λήξει ο χρόνος, όμως το δείγμα που εξετάσαμε δεν έκανε κάτι τέτοιο. Τοποθετεί την επέκταση .VAPOR.  Έχει θεματάκια με τον κώδικα, το κοιτάμε μήπως και μπορέσουμε να βρούμε κενό και αποκρυπτογραφήσουμε τον κώδικα κρυπτογράφησης.

Για κάθε εξέλιξη θα σας ενημερώσουμε την στιγμή που η λύση θα είναι ολοκληρωμένη.

Ransomware Ελλάδα: Vapor
Ransomware Ελλάδα: Vapor

Ransomware Ελλάδα: EnybenyHorsuke

Aυτός τοποθετεί την επέκταση .Horsuke και μόλις ολοκληρώσει την κρυπτογράφηση, εμφανίζει Ransom Note με τίτλο Hack.txt και έχει και φωνητικό μήνυμα με τα κακά μαντάτα.
Για να μη λέτε ότι δε σας προσέχουν.

Ransomware Ελλάδα: EnybenyHorsuke
Ransomware Ελλάδα: EnybenyHorsuke

Ransomware Ελλάδα: Ryuk

Mία νέα έκδοση του RYUK εμφανίστηκε το Σάββατο που μας πέρασε. Αφήνει Ransom Note με την ονομασία
RyukReadMe.txt και μπορείτε να τον δείτε σε δράση εδώ:
https://app.any.run/tasks/e42ec8f0-ff3f-41e1-84d7-1eb1c2bf0cce

Ransomware Ελλάδα: Ryuk
Ransomware Ελλάδα: Ryuk

Ransomware Ελλάδα: Scarab

Νέος Scarab – CRYPTO ransomware

Ένας νέος Scarab μας εμφανίστηκε, που τοποθετεί την επέκταση .CRYPTO και αφήνει Ransom Note HOW TO RECOVER YOUR ENCRYPTED FILES.TXT.
Με βάση το γεγονός ότι είμαστε από τις μοναδικές εταιρίες στον κόσμο που έχουμε βρει λύση για πολλά από τα στελέχη του Scarab, ελπίζουμε ότι το ίδιο θα γίνει και με αυτόν.

Ransomware Ελλάδα: Scarab
Ransomware Ελλάδα: Scarab

Ransomware Ελλάδα: DelphiMorix

Eίναι παραλλαγή του InducVirus. Το έχει αναλάβει ο Michael Gillespie και λεει ότι θα τον έχει αποκρυπτογραφήσει μέσα στις επόμενες ημέρες, οπότε καλά νέα για όλους!

Ransomware Ελλάδα: DelphiMorix
Ransomware Ελλάδα: DelphiMorix

Μην βιαστείτε να πληρώσετε τα λύτρα, κρατήστε το σκληρό σας δίσκο εκτός λειτουργίας και όταν έχουμε ολοκληρωμένη λύση θα σας ενημερώσουμε για να αποκρυπτογραφήσουμε τα δεδομένα σας.

Ransomware Ελλάδα: EverBe

Τοποθετεί την επέκταση [email].neverdies@tutanota.com

Ransomware Ελλάδα: EverBe
Ransomware Ελλάδα: EverBe

Ransomware Ελλάδα: RAPID

Nέος RAPID – Nano ransomware

Toποθετεί την επέκταση .Nano. Στο HybridAnalysis του δίνει 100% malicious score
Προσοχή!

Ransomware Ελλάδα: RAPID
Ransomware Ελλάδα: RAPID

Κάτι ξεκαρδιστικό για το τέλος:

Ransomware Ελλάδα: STOP Dharma Aurora Ryuk

Οι θεούληδες του DelphiMorix που γράφαμε παραπάνω, κυκλοφόρησαν και ένα ακόμα στέλεχος, το οποίο τρολάρει τους malware hunters, αφού τοποθετεί την επέκταση .malwarehunterteam.
Πρόκειται προφανώς για τρολιά, αφού ζητάει 1 εκατομμύριο Bitcoin (παρά μισό) το οποίο ισοδυναμεί με περίπου 4.5 δις δολάρια (και όχι 9999999999999999999 τρις όπως λένε).
Φυσικά, μόλις κάποιος πατήσει DECRYPT, του λέει ότι δεν έβαλε το σωστό κλειδί, και αν ξαναπατήσει, του δίνει συγχαρητήρια για την εισαγωγή του σωστού κλειδιού.
Μπορεί να πρόκειται για κάτι που είναι υπό κατασκευή, ή για αστείο κάποιου προφανώς.

DelphiMorix  ransomware decryption
DelphiMorix ransomware decryption

Αυτά για τώρα! Καλή εβδομάδα σε όλους!

Ransomware Ελλάδα: STOP Dharma Aurora Ryuk

Ευχαριστούμε την BleepingComputer για την παροχή υλικού.

H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.

Ίσως σας ενδιαφέρουν…