Ransomware Ελλάδα: STOP Trumphead Jobcrypter BlackRouter

Ransomware Ελλάδα: STOP Trumphead Jobcrypter BlackRouter . Γύρισαν από τις διακοπές τους οι Ransomware Developers και προκάλεσαν χάος. Ήταν από τις πιο busy εβδομάδες των τελευταίων μηνών αυτή που μας πέρασε.

  1. Ξεχωρίζουμε την έξαρση με τον STOP
  2. Tο στέλεχος tfudet, για το οποίο είχαμε 6 κλήσεις για βοήθεια (στην Ελλάδα), μέσα σε 3 ημέρες.
  3. Είχαμε – φυσικά – νέους Dharma και Scarab και πολλά νέα και παλιά στελέχη.

Ας τα δούμε αναλυτικά:

Ransomware Ελλάδα: STOP

Χάος με τον STOP Ransomware

Ξαφνικά, στις αρχές της προηγούμενης εβδομάδας λαμβάνουμε κλήσεις για βοήθεια για ένα άγνωστο – μέχρι εκείνη την ώρα- στέλεχος.
Στην ανάλυση που κάναμε, συνειδητοποιούμε πώς πρόκειται για στέλεχος του STOP για τον οποίο είχαμε να ακούσουμε μήνες, από την εποχή του στελέχους Puma και INFOWAIT.

Έκτοτε, λάβαμε περισσότερες από 15 κλήσεις για βοήθεια για τον συγκεκριμένο Ransomware, κυρίως για τις εκδόσεις .tfudet και .rumba, μέσα στην προηγούμενη εβδομάδα και 6 μέσα στο σ/κ που μας πέρασε.

ΝΑ ΠΟΥΜΕ ΟΤΙ ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΓΙΑ ΤΑ ΣΤΕΛΕΧΗ ΑΥΤΑ, υπό προϋποθέσεις.

Συγκεκριμένα, αν ο μολυσμένος Η/Υ δεν έχει γίνει επανεκκίνηση, έχουμε καλές πιθανότητες να τα αποκρυπτογραφήσουμε.
Αν έχει γίνει επανεκκίνηση, τότε μπορούμε να αποκρυπτογραφήσουμε αρχεία τύπου .doc, .xls και .pdf. Όχι όμως άλλου τύπου αρχεία.

Ransomware Ελλάδα: STOP λύση
Ransomware Ελλάδα: STOP λύση

Θυμίζουμε ότι ο STOP διασπείρεται μέσω σπασμένων προγραμμάτων και torrent sites.

Ransomware Ελλάδα: Matrix

Νέος Matrix ransomware. O Michael Gillespie εντόπισε ένα νέο στέλεχος του Matrix που τοποθετεί την επέκταση .GRHAN. Δεν υπάρχει κάτι καινούργιο απ’ ότι είδαμε πάντως στον τρόπο κρυτπτογράφησης του.

Ransomware Ελλάδα: Jigsaw

Ένα γαλλικό αλλά εντελώς βαρετό στέλεχος του Jigsaw εμφανίστηκε, που τοποθετεί την επέκταση .data. Και είναι βαρετό, γιατί ενώ ο Jigsaw μας είχε συνηθίσει σε εντυπωσιακά background, αυτός έχει ένα μαύρο τετράγωνο.

Ransomware Ελλάδα: Jigsaw
Ransomware Ελλάδα: Jigsaw

Ransomware Ελλάδα: Trumphead

Νέος Ransomware – Trumphead. Μοιάζει να είναι υπό κατασκευή αυτός, ο οποίος περιέχει κείμενα που προσομοιάζουν πολύ … τον Τραμπ…

Ransomware Ελλάδα: Trumphead
Ransomware Ελλάδα: Trumphead

Ransomware Ελλάδα: Scarab

Νέος Scarab Ransomware – zzzzzzzz

Όχι κάτι καινούργιο. Είχαμε πάντως αρκετά θύματα και στην Ελλάδα.

Ransomware Ελλάδα: Scarab zzzzzzzz
Ransomware Ελλάδα: Scarab zzzzzzzz

Προσοχή: Ransomware προσπαθεί να κάνει phising το paypal

Ένας νέος, υπό κατασκευή Ransomware έκανε την εμφάνισή του, ο οποίος έχει την καινοτομία ότι στο Ransom Note προσπαθεί να κλέψει τα στοιχεία της πιστωτικής κάρτας του θύματος του μέσω Phising.

Ransom Note κάνει phising το paypal
Ransom Note κάνει phising το paypal
Ransomware κάνει phising το paypal
Ransomware κάνει phising το paypal

Συγκεκριμένα, ο εν λόγω Ransomware, ο οποίος ναι μεν λειτουργεί καλά αλλά δεν είναι κάτι φοβερό, έχει έξυπνο Ransom Note, στο οποίο εκτός από τον παραδοσιακό τρόπο πληρωμής με Bitcoin, προσφέρει και την επιλογή πληρωμής μέσω Paypal.
Αν κάποιος επιλέξει να πληρώσει μέσω Paypal, τότε τον πηγαίνει σε μία phising σελίδα (στην οποία έχουν κάνει ομολογουμένως πολύ καλή δουλειά) η οποία μοιάζει καταπληκτικά με την αντίστοιχη του κανονικού Paypal, όμως στην πραγματικότητα είναι η  http://ppyc-ve0rf.890m.com/s2[.]php.

Paypal Phising σελίδα
Paypal Phising σελίδα

Όταν το θύμα συμπληρώσει τα στοιχεία του, τότε τον πηγαίνει στο κανονικό Paypal page για τα περαιτέρω, εντωμεταξύ όμως οι κακοποιοί έχουν υποκλέψει τα στοιχεία της πιστωτικής κάρτας και του Paypal του θύματος.

Ransomware Ελλάδα: Israbye

Το είδαμε κι αυτό.
Πρόκειται για τον Israbye Ransomware o οποίος, καταρχήν επαναλαμβάνει τον εαυτό του στην επέκταση των κρυπτογραφημένων δεδομένων:

Ransomware Ελλάδα: Israbye
Ransomware Ελλάδα: Israbye

Δεύτερον, αν το τρέξει κανείς δεύτερη φορά, θα αποκρυπτογραφηθούν τα αρχεία μόνα τους, αφού τα κάνει XOR με hardcoded κλειδί. 

αποκρυπτογραφηση αρχείων XOR με hardcoded κλειδί
αποκρυπτογραφηση αρχείων XOR με hardcoded κλειδί

Ransomware Ελλάδα: Paradise

Nέος Paradise ransomware. Τοποθετεί την επέκταση _%ID%_{admin@prt-decrypt.xyz}.xyz.

Ransomware Ελλάδα: Paradise
Ransomware Ελλάδα: Paradise

Ransomware Ελλάδα: .obfuscated

Ψάχνουμε: .obfuscated ransomware. Aν κάποιος εκεί έξω έχει μολυνθεί με αυτό, να έρθει σε επικοινωνία με τα εργαστήρια της Northwind στην Αθήνα ή στη Θεσσαλονίκη. Θα βοηθήσει πάρα πολύ την εξεύρεση λύσης και την αποκρυπτογράφηση αρχέιων από τον ιό

Ransomware Ελλάδα: Jobcrypter

Kι όμως είναι ζωντανός ο jobcrypter ransomware αν και έχει πολύ πολύ καιρό να μας απασχολήσει. Χάκαραν μία γαλλική ιστοσελίδα και τον διένειμαν μέσω αυτής.

Έχουμε λύση για τον JobCrypter μην πληρώσετε τα λύτρα!

Ransomware Ελλάδα: Jobcrypter λύση
Ransomware Ελλάδα: Jobcrypter λύση

Ransomware Ελλάδα: BlackRouter

Ο BlackRouter Ransomware προς πώληση στο DarkWeb

Πρόκειται για τον BlackHeart με καλύτερο GUI.
Βρίσκεται προς πώληση με μόλις 20% προμήθεια στο Dark Web.
Μάλιστα, εντοπίστηκε να προωθείται σε ένα κανάλι του Telegram από κάποιον Ιρανό.

Ransomware Ελλάδα: BlackRouter
Ransomware Ελλάδα: BlackRouter

Ransomware Ελλάδα: 7Zip – AES

Νέος Ransomware – 7Zip – AES Ένα νέο στέλεχος του 7zip εμφανίστηκε την προηγούμενη παρασκευή. Αφήνει την επέκταση .aes. Μπορείτε να δείτε ακριβώς πως δείχνει το Ransom Note.

Ransomware Ελλάδα: 7Zip - AES
Ransomware Ελλάδα: 7Zip – AES

Ransomware Ελλάδα: Xcry

Nέος Ransomware – Xcry εμφανίστηκε την τρέχουσα εβδομάδα και στην Ελλάδα. Αυτός είναι γραμμένος σε Nim (!). Τοποθετεί την επέκταση .xcry7684.

Ransomware Ελλάδα: Xcry
Ransomware Ελλάδα: Xcry

Ransomware Ελλάδα: Oscar Venom

Nέος Ransomware – Oscar Venom που στην αρχή μας μπέρδεψε για την προέλευση του. Τελικά μετά από έρευνα καταλήξαμε ότι είναι ο γνωστός ransomware Jigsaw. Τοποθετεί την επέκταση .venom. Λειτουργεί με την ίδια ακριβώς τακτική με τον Jigsaw. ΠΡΟΣΟΧΗ!

Ransomware Ελλάδα: Oscar Venom
Ransomware Ελλάδα: Oscar Venom

Ransomware Ελλάδα: Dharma

O ένας τοποθετεί την επέκταση .gif και ο άλλος την επέκταση .phobos. Ως συνήθως δεν είναι decryptable.

Ransomware Ελλάδα: Dharma .gif .phobos
Ransomware Ελλάδα: Dharma .gif .phobos

Ransomware Ελλάδα: DCRTR-WDM

Αυτός ο νέος DCRTR-WDM αφήνει Ransom Note που σε αποκαλεί και φίλο! Όπως και να το δούμε βέβαια για να μάθουμε παραπάνω στοιχεία για την αποκρυπτογράφηση των αρχέιων και το κόστος πρέπει να ακολουθήσουμε τις οδηγίες που είναι οι εξής.

Ransomware Ελλάδα: DCRTR-WDM
Ransomware Ελλάδα: DCRTR-WDM

Ransomware Ελλάδα: James

Αυτός ο νέος ransomware James, τοποθετεί την επέκταση .James και το αστείο είναι ότι αν δημιουργήσεις έναν φάκελο /Windows/James και το τρέξεις, κρασάρει και μπαίνει σε λούπα.

Ransomware Ελλάδα: James
Ransomware Ελλάδα: James
ransomware /Windows/James
ransomware /Windows/James

Ransomware Ελλάδα: RickRoll Locker

Αυτός ο νέος ransomware με όνομα RickRoll Locker τoποθετεί την επέκταση .cryptoid. Μοιάζει να είναι ο γνωστός Aurora ransomware. Ακόμη όμως έιμαστα στην φάση της μελέτης και έρευνας για αυτόν. Θα σας έχουμε νέα σύντομα για την προέλευση του Ιού και του τρόπου που κρυπτογραφεί.

Ransomware Ελλάδα: RickRoll Locker
Ransomware Ελλάδα: RickRoll Locker

Ransomware Ελλάδα: Bitpaymer

Tελειωμό δεν έχουν τα νέα στελέχη αυτής της εβδομάδας. Αυτός είναι Bitpaymer που τοποθετεί την επέκταση .locked. 

Ransomware Ελλάδα: Bitpaymer
Ransomware Ελλάδα: Bitpaymer

Αυτά για τώρα! Ransomware Ελλάδα: STOP Trumphead Jobcrypter BlackRouter

Καλή εβδομάδα και καλή χρονιά σε όλους!

Ευχαριστούμε την BleepingComputer για την παροχή υλικού. H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.

Ίσως σας ενδιαφέρουν…