Προσοχή στους ransomware Μαΐου 2017

RANSOMWARE UPDATES Mάιος 2017 (part II)
Μόνο ως εφιαλτική θα μπορούσε να χαρακτηριστεί η εβδομάδα που μας πέρασε. Μετρήσαμε 38 νέα στελέχη Ransomware, εκ των οποίων τα 10 εμφανίστηκαν την Πρωτομαγιά!
Τα περισσότερα από αυτά είναι σκουπίδια, αλλά έρχονται να προστεθούν στο τεράστιο κύμα επιμολύνσεων που παρατηρείται.
Στα καλά νέα, καταφέραμε να αποκρυπτογραφήσουμε αρκετούς νέους
Ransomware.
Για να τα δούμε αναλυτικά:
ΝΕΟΣ RANSOMWARE: RSAUtil
Εμφανίστηκε (άλλος ένας) νέος HiddenTear Ransomware που ονομάζεται RSAUtil και αφήνει αυτό το Ransom Note με την ονομασία How_return_files.txt και τραγικά Αγγλικά.

ΝΕΟΣ RANSOMWARE: DeadSec-Crypto v2.1
Αυτός είναι υπό κατασκευή και στοχεύει Βραζιλιάνους χρήστες. Στην έκδοση που ελέγξαμε το μόνο που έκανε ήταν να πετάει αυτή τη φόρμα και να διαγράφει μερικά δοκιμαστικά αρχεία. Αλλά όπως είπαμε είναι υπο κατασκευή
ΝΕΑ ΕΚΔΟΣΗ ΤΟΥ CryptoMix με επέκταση .wallet
Νέα έκδοση του CryptoMix εμφανίστηκε, η οποία τοποθετεί την επέκταση .wallet στα κρυπτογραφημένα αρχεία. Αυτό δημιουργεί μία σύγχυση, καθώς η επέκταση .wallet είχε συνδεθεί με τον Dharma και τον Sanctions.
ΝΕΟΣ RANSOMWARE: Extractor
Αυτός τοποθετεί την επέκταση .xxx (θυμίζοντας Tesla) και αφήνει αυτό το Ransom Note:
Kι άλλος HiddenTear
Κυρίες και κύριοι, ο Ruby.
ΝΕΟΣ Troldesh
Βρέθηκε στο δρόμο μας μία νέα έκδοση του διαβόητου Troldesh που τοποθετεί την επέκταση .crypted000007
ΝΕΟΣ RANSOMWARE: Maykolin
Άλλος ένας στο σωρό. Τοποθετεί την επέκταση .[maykolin1234@aol.com].
ΝΕΟΣ RANSOMWARE: Amnesia
Αυτός προσπαθεί να μιμηθεί τον Globe. Τοποθετεί την επέκταση .amnesia στα κρυπτογραφημένα αρχεία
Ο Κλαρκ Κεντ
Θυμάστε το αστείο spoiler/ταινίαΟ Κλαρκ Κεντ είναι ο Σούπερμαν”?
Σειρά μας τώρα:
Ο
.CRYPTBOSS είναι ο Amnesia. (που είπαμε παραπάνω).
ΝΕA ΠΑΡΑΛΛΑΓΗ τουGlobelImposter
Αυτός τοποθετεί την επέκταση .keepcalm στα αρχεία.
Αργότερα μέσα στην εβδομάδα αντιληφθήκαμε τεράστια καμπάνια με spam email προσπαθώντας να προωθήσουν τον εν λόγω Ransomware.
ΝΕΟΣ RANSOMWARE: vCrypt
Αυτός έχει δύο ιδιαιτερότητες. Η πρώτη είναι ότι ο αριθμός των αρχείων που στοχεύει βάσει την επέκτασής τους είναι μικρός (χτυπάει γύρω στις 10-12 επεκτάσεις) και δεύτερον στοχεύει Ρώσους χρήστες!
Τοποθετεί την επέκταση .vcrypt1 και αφήνει ένα Ransom Note με την ονομασία КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt.
ΝΕΟΣ RANSOMWARE: PEC2017
Αυτός είναι Ιταλικός και τοποθετεί την επέκταση .pec στα αρχεία.
ΝΕA EΚΔΟΣΗ ΤΟΥ CERBER
Δεν μας έφτανε η σαρωτική επέλαση των προηγούμενων εκδόσεων, κυκλοφόρησε και η 6η έκδοση ενός από τους φοβερότερους Ransomware όλων των εποχών. Μάλιστα, προσθέτωντας στην ήδη υπάρχουσα πολυπλοκότητα αυτής της οικογένειας, πλέον έχει και anti-VM και anti-Sandboxing ιδιότητες… 🙁
KI AΛΛΑ ΣΚΟΥΠΙΔΙΑ…
Αυτός είναι παραλλαγή του ShellShock και τοποθετεί την επέκταση .xolzs3c στα αρχεία
ΝΕΟΣ RANSOMWARE: Clouded
Αυτός τοποθετεί την επέκταση .cloud. Έχουμε βάσιμες υποψίες ότι οι ηλίθιοι δεν αποθηκεύουν πουθενά το μοναδικό κλειδί για κάθε επιμόλυνση. Άρα μόλις κλείσει το Ransomware, αντίο τα αρχεία.
ΝΕΟΣ RANSOMWARE: Rans0mlocker
Ένας πολύ εκνευριστικός Ransomware εμφανίστηκε, ο οποίος δεν είναι καθόλου εύκολο να νικηθεί. Δημιουργεί τον κωδικό στον C&C Server άρα αποκλείει οποιαδήποτε πιθανότητα για άλλη παρέμβαση…
ΝΕΟΣ RANSOMWARE: CCGen
Αυτός παριστάνει το CreditCard Generator, στην πραγματικότητα από πίσω εγκαθιστά Ransomware και ζητάει 1Btc για την αποκρυπτογράφηση.

H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.