Κατατροπώνοντας τους Ransomware, μέρα με την ημέρα…
Την προηγούμενη εβδομάδα είχε κυκλοφορήσει μία παραλλαγή του Jigsaw, που τοποθετούσε την επέκταση .paytounlock στα κρυπτογραφημένα αρχεία.
ΒΡΗΚΑΜΕ ΛΥΣΗ ΚΑΙ ΓΙΑ ΑΥΤΗΝ ΤΗΝ ΠΑΡΑΛΛΑΓΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!!
Πολλές φορές αναρωτιέστε :
– “πως κόλλησα ransomware?”
ή
– “πως κόλλησα ιο κρυπτογράφησης?”.
Η αλήθεια είναι πως αυτή την ερώτηση την ακούμε καθημερινά πολλές φορές!
Το πρώτο στάδιο που παρατηρεί ένας απλός χρήστης που δεν κατάλαβε ότι κόλλησε Cerber ή κάποιον άλλο Ransomware (ιο κρυπτογράφησης) είναι πως τα αρχεία του άλλαξαν κατάληξη ενώ αυτός δούλευε κανονικά στον υπολογιστή του. Αυτή η ενέργεια συμβαίνει προφανώς λόγο της κρυπτογράφησης του ιού.
Το αμέσως επόμενο πράγμα που σκέφτεται ένας χρήστης προφανώς και είναι
– ” υπάρχει λύση για ransomware?”.
Δυστυχώς αν κολλήσατε ιo “Locky” ή κολλήσατε “Cerber” virus δεν υπάρχει ακόμη λύση παγκοσμίως για την από- κρυπτογράφηση και να γλυτώσετε τα λύτρα που ζητάει ο ιός σε bitcoin.
Άλλωστε αυτή είναι η μορφή και ο τρόπος λειτουργίας των ιών κρυπτογράφησης (Ransomware).
Να κρυπτογραφούν με τέτοιο τρόπο τα αρχεία και να τους αλλάζουν την κατάληξη που η απο-κρυπτογράφηση τους για ένα μεγάλο σύνολο από αυτούς (μεταξύ αυτών οι Locky και Cerber) να είναι αδύνατη ΑΚΟΜΗ!
Παρακάτω σας αναφέρουμε όλους τους ιούς που μπορέσαμε να αποκρυπτογραφήσουμε τον Ιανουάριο καθώς και σας αναλύουμε τους νέους ιούς που ανακαλύψαμε τον Ιανουάριο για να είσαστε προσεκτικοί και μέχρι να τους απο- κρυπτογραφήσουμε να μην χρειαστεί να πληρώσετε τα λύτρα που ζητάει ο ιός σε bitcoin.
Μετά τον Merry X-Mas και τη δεύτερη έκδοσή του,
βρήκαμε λύση και για την τρίτη, την Μerry I love you, η οποία έχει το χαρακτηριστικό ότι αφήνει ransom note με την ονομασία Merry_I_Love_You_Bruce.hta.
Η διασπορά του συγκεκριμένου Ransomware γίνεται έτσι:
και μάλιστα είναι εξαιρετικά δραστήριος!
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!!
Υπο κατασκευή είναι, αφήνει ένα ransom note που ονομάζεται Warning??.html
 |
| Ransomware – ιός κρυπτογράφησης CloudSword |
Υπάρχει μεγάλη ανησυχία για πιθανή έξαρση του Sage 2.0, ο οποίος πλέον διασπείρεται μέσω email ενώ χρησιμοποιούν τις τεχνικές και την υποδομή διασποράς του Cerber, του Locky και του Spora, των 3 φοβερότερων Ransomware αυτή τη στιγμή δηλαδή.
Υπενθυμίζουμε ότι ο Sage 2.0 ζητάει περίπου $2000 ως λύτρα.
Υπενθυμίζουμε ότι ο Sage 2.0 ζητάει περίπου $2000 ως λύτρα.
 |
| Ransomware – ιός κρυπτογράφησης Sage 2.0 |
Όπως είχαμε προβλέψει (δυστυχώς σωστά), ο Spora πλέον διανέμεται και εκτός των χωρών της πρώην Σοβιετικής Ένωσης (απ’ όπου προέρχεται). Τα χτυπήματά του, μόλις την εβδομάδα που μας πέρασε φαίνονται στον παρακάτω χάρτη (ευχαριστούμε τον Daniel Gallagher για την παραχώρηση της εικόνας):
 |
| Ransomware – ιός κρυπτογράφησης Spora |
Πρόκειται στην πραγματικότητα για παραλλαγή του Philadelphia Ransomware.
 |
| Λύση για τον Ransomware – ιός κρυπτογράφησης Russian Roulette |
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ, ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!
Εμφανίστηκε μία εφαρμογή για Android η οποία παρίστανε ότι αυξάνει τη διάρκεια της μπαταρίας στο κινητό και ονομάζεται EnergyRescue. Η εφαρμογή στο παρασκήνιο αποστέλλει όλα τα SMS και τις επαφές του κινητού στο server των developer του εν λόγω ransom και στη συνέχεια κλειδώνει τη συσκευή. Η Google αφαίρεσε άμεσα την εφαρμογή από το Play Store.
Από τις 13 Φεβρουαρίου και έπειτα, η Google θα μπλοκάρει τα Javascript επισυναπτόμενα. Αν και αυτή η είδηση δεν αφορά ακριβώς τα νέα των Ransomware, το μπλοκάρισμα των επισυναπτόμενων που περιέχουν JS μπορεί να βοηθήσει στην προστασία κατά των Ransomware, καθώς πολλοί διανομείς Ransomware χρησιμοποιούν JS ως μέθοδο επίθεσης.
 |
| Μπλοκάρονται τα Javascripts (.Js) από τη Google |
Αυτός βάζει την επέκταση .potato στα κρυπτογραφημένα αρχεία..
 |
Ransomware – ιός κρυπτογράφησης Potato |
Το αστυνομικό τμήμα στο Cockrell Hill στο Texas των Ηνωμένων Πολιτειών έπεσε θύμα Ransomware με αποτέλεσμα να χάσει αρχεία με αποδεικτικά στοιχεία ετών. Μεταξύ αυτών, χάθηκαν αρχεία βίντεο από φορητές κάμερες, βίντεο από τις κάμερες των περιπολικών, βίντεο από κάμερες παρακολούθησης, φωτογραφίες, και όλα τα αρχεία Office (εγγραφα word, excel κλπ).
Επέστρεψε ο VirLocker (τον οποίο είχαμε κατατροπώσει στο παρελθόν), αυτή τη φορά με πιο σοφιστικέ έκδοση του μηνύματος (όπου προτρέπει στα θύματά του είτε να πληρώσουν με bitcoin είτε να μεταβούν στο … δικαστήριο της περιοχής τους και να πληρώσουν εκεί με μετρητά…) το οποίο ίσως να πείσει και κάποιους αφελείς. Επίσης παρατηρήσαμε ότι η διασπορά του την προηγούμενη εβδομάδα ήταν τεράστια.
Όμως έχουμε βρει τρόπο και μπορούμε να αποκρυπτογραφήσουμε τα δεδομένα, εκμεταλλευόμενοι ένα κενό ασφαλείας στον κώδικα.
Όμως έχουμε βρει τρόπο και μπορούμε να αποκρυπτογραφήσουμε τα δεδομένα, εκμεταλλευόμενοι ένα κενό ασφαλείας στον κώδικα.
 |
| Ransomware – ιός κρυπτογράφησης VirLocker |
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!!
Έναν από τους πιο δύσκολους Ransomware καταφέραμε και παραβιάσαμε αυτήν την εβδομάδα, τον CryptConsole.
 |
| H λύση για τον Ransomware – ιός κρυπτογράφησης cryptconsole |
ΕΧΟΥΜΕ ΒΡΕΙ ΛΥΣΗ ΜΗ ΠΛΗΡΩΣΕΤΕ ΤΑ ΛΥΤΡΑ!!!
H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.
