Изминалите седмици бяха доста натоварени, като бяха пуснати няколко декриптора, много варианти на съществуващи ransomware, както и няколко разкрити разработчика.
Най-голямата новина беше съобщението, че Великобритания е затворила един от дистрибуторите на ransomware на Reveton. Този ransomware беше с мащабите на епидемия през 2012 г. до 2015 г., блокираше потребителите от собствените им компютри, преструвайки се, че е известие от правителствена правоприлагаща агенция.
Поради тази причина този тип ransomware обикновено се нарича Полицейски троян. Тук можете да видите няколко примера:
6 април 2019 г.
Възстановяне от атака на Ransomware
Окръг Дженези, Мичиган е бил ударен с атака на рансъмуер във вторник и окръгът работи без прекъсване, за да върне системите си онлайн. За съжаление, този процес се оказа по-труден от очакваното и системата все още е в застой.
Pick-Six: Прихващане на проникване в FIN6, хакер наскоро обвързан с Ryuk и LockerGoga Ransomware
FireEye посочва:
Неотдавна FireEye Managed Defense открива и реагира на проникването на FIN6 в клиент в рамките на инженерната индустрия, което изглежда не е характерно поради насочване на FIN6 към данните за платежните карти. Първоначално намерението на проникването е било неясно, тъй като клиентът не е разполагал или не е обработил данните за платежните карти. За щастие, всяко изследване, проведено от Managed Defense или Mandiant, включва анализатори от екипа на FireEye Advanced Practices, които помагат да се съпостави активността, наблюдавана в стотиците проучвания и обемните информационни агенции. Екипът бързо обвърза тази дейност с някои последни проучвания на Mandiant и ни даде възможност да определим, че FIN6 е разширил своето престъпно поведение за разгръщане на рансъмуер в опит да донесе повече приходи от компрометирани обекти.
Нов .btix вариант на Дарма
Якуб Кройстек откри нов вариант на ransomware на Dharma, който добавя разширение .btix към криптирани файлове.
raldug STOP Djvu вариант
Amigo-A намери нов вариант на рансъмуера STOP Djvu, който добавя разширение .raldug към криптирани имена на файлове.
AsuraHTTP Bot с възможности за Ransomware
MalwareHunterTeam откри LiteHTTP Bot преименуван като AsuraHTTP с добавен Ransomware код.
7 април 2019 г.
Световен Ransomware Decryptor връща вашите файлове обратно безплатно
Тази седмица Emsisoft пусна декриптор за семейство Световен Ransomware, който позволява на жертвите да дешифрират файловете си безплатно. Това семейство ransomware се нарича Planetary, защото обикновено използва имената на планетите за разширенията, добавени към имената на криптираните файлове.
8 април 2019 година
Анубис андроид троянски кон забелязан с почти функционален модул за Ransomware
Приложението на Android, което краде PayPal идентификационни данни, криптира файлове от външното хранилище на устройството и заключва екрана с черен екран, бе забелязано в Google Play Store от изследователя на злонамерен софтуер Лукас Стефанко.
ВЗЕМЕТЕ ВАШИТЕ ДАННИ БЕЗ ПЛАЩАНЕ НА ОТКУП
„Ние достигнахме до три бели рицаря – Уосар (чиято дневна работа е в компютърна фирма), Лорънс Абрамс от сайт за компютърна взаимопомощ, стартиран през 2004 г., и Майкъл Гилеспи, който основава безплатната услуга за идентификация на Ransomware преди три години – за съвети как хората и предприятията могат да попречат на кражбите.
Турският рансъмуер Аурора
MalwareHunterTeam откри нов турски вариант на офлайн Aurora, който добавя разширението .cryptoid към криптираните файлове .enSilo намери рансъмуер, написан в Go, който се избутва от злонамерен Word документ. Изглежда, че е изследователски проект.
9 април
Ключов член на престъпна група зад прочутия полицейски троянец Reveton, който атакува потребителите на Windows, и заключва техни файлове освен ако не се плати откуп, бе арестуван.
Би Би Си радио съобщава:
Зейн Кайзер направи стотици хиляди изнудвания с блекмейлинг на потребители на сайтове за възрастни от дома на родителите си. Сега си получи заслуженото.
Майкъл Гилеспи актуализира своя STOP Djvu decryptor, за да поддържа офлайн ID за .grovat, .raldug и .roland варианти.
10 април
В ход е нова кампания с имейл измама, в която се посочва, че компютърът ви е бил хакнат и че е открито, че криете данъците си. Предполагаемите хакери след това изискват 2 bitcoin-а или ще уведомят “данъчната служба”,правят атака от типа DDoS на вашата мрежа, и след това инсталират рансъмуера WannaCry.
Coveware пише:
Когато рансъмуерът удари и възстановяването от архивите не е опция, жертвата често смята, че плащането на откуп е единствената опция. Често жертвите осъзнават, че наистина могат да живеят без криптираните данни и могат да чакат за публикуване на потенциално безплатно решение за декриптиране. Като се има предвид колко непредсказуемо е създаването на безплатни инструменти за декриптиране, как жертвите на рансъмуер трябва да планират възстановяването си? Какво могат да направят, за да увеличат шансовете си за пълно възстановяване?
12 април
MalwareHunterTeam е намерил рансъмуера на SadComputer, който добавя разширение .sad и дропва бележка за откуп, наречена sadcomputer_note.txt.
Седмичен пазарен дял на Ransomware от Coveware
Според Coveware, случаите на Ryuk са се забавили малко, въпреки че все още са значителна част от новите случаи. GandCrab v5.2 се повиши леко през април. Фобос и Дарма продължават да държат най-голям дял от атаките, насочени към бизнеса.
Източник: По материали от интернет