Μαζική παραβίαση δεδομένων σε 500 εκατ. λογαριασμούς της Yahoo!

Η Yahoo! επιβεβαίωσε την Πέμπτη ότι στοιχεία από τουλάχιστον 500
εκατομμύρια λογαριασμούς χρηστών κλάπηκαν από το δίκτυό της στα τέλη του
2014, από μια ομάδα χάκερ που πιστεύεται ότι συνδέεται με κάποιο
κράτος.

«Αυτή είναι η μεγαλύτερη παραβίαση δεδομένων που έγινε ποτέ», δήλωσε στο
Reuters ο Μπρους Σνάιερ, γνωστός ειδικός στην κρυπτογραφία και την
ασφάλεια υπολογιστικών συστημάτων.

Στα δεδομένα που κλάπηκαν ενδέχεται να περιλαμβάνονται ονόματα,
διευθύνσεις ηλεκτρονικού ταχυδρομείου, τηλεφωνικοί αριθμοί, ημερομηνίες
γέννησης, ασφαλείς κωδικοί πρόσβασης, όχι όμως και ευάλωτοι κωδικοί
πρόσβασης, δεδομένα που αφορούν κάρτες πληρωμών ή τραπεζικούς
λογαριασμούς.

Από την έρευνα που έχει γίνει μέχρι στιγμής δεν βρέθηκαν αποδείξεις ότι
οι χάκερ παραμένουν εντός του δικτύου της εταιρείας σήμερα.

Τρεις αμερικανοί αξιωματούχοι των μυστικών υπηρεσιών εξέφρασαν την
πεποίθησή τους ότι κάποιο κράτος βρίσκεται πίσω από την κυβερνοεπίθεση,
λόγω της ομοιότητάς της με άλλες που είχαν γίνει στο παρελθόν και
διαπιστώθηκε ότι πίσω τους βρίσκονταν οι ρωσικές μυστικές υπηρεσίες.

Η Yahoo! συνεργάζεται με τις αμερικανικές Aρχές για το θέμα αυτό.

Δεν είναι σαφές πώς η αποκάλυψη αυτή μπορεί να επηρεάσει το σχέδιο του
Yahoo! να πουλήσει την υπηρεσία ηλεκτρονικού ταχυδρομείου και άλλες
υπηρεσίες της στη Verizon Communications.

Η Verizon ανακοίνωσε ότι ενημερώθηκε για τη παραβίαση τις τελευταίες δύο
ημέρες και θα εκτιμήσει την κατάσταση όσο θα συνεχίζεται η έρευνα.
«Μέχρι τότε, δεν είμαστε σε θέση να σχολιάσουμε περαιτέρω».

Simplelocker – Ο νέος ιός που χτυπάει Android συσκευές και κλειδώνει τα αρχεία σας

 

Ενας καινούριος ιός ο Simplelocker.A στοχεύει την κάρτα SD μιας συσκευής Android και κρυπτογραφεί κοινές μορφές αρχείων (.jpg .mp3 .avi) έτσι ώστε οι χρήστες να μην μπορούν να έχουν πρόσβαση σε αυτά, εκτός εάν πληρώσουν κάποιο ποσό για λύτρα

Η ασφάλεια του Android ήταν πάντα ένα θέμα προς συζήτηση, λόγω του τρόπου με το οποίο είναι ανοικτό το σύστημα, τουλάχιστον σε σύγκριση με άλλες κινητές πλατφόρμες όπως το iOS που περιγράφονται ως «περιφραγμένο κήπος». Η πλατφόρμα της Google σίγουρα έχει ένα μερίδιο που της αναλογεί από κακόβουλο λογισμικό και προβλήματα ασφαλείας. Μόλις τον περασμένο μήνα, έχει αναφερθεί ένας συγκεκριμένος τύπος ransomware ονομάζεται Koler.A. Αυτό το κακόβουλο λογισμικό κλειδώνει την συσκευή από τον χρήστο εμφανίζοντας ένα παράθυρο στο πάνω μέρος της οθόνης, αλλά κατά τα άλλα δεν βλάπτει τα δεδομένα του χρήστη.

Υπό αυτή την έννοια, το Simplelocker.A που αναφέρθηκε από την εταιρία κατασκευής antivirus, ESET είναι πιο κακόβουλo και σίγουρα πιο επικίνδυνο. Μόλις εγκατασταθεί το κακόβουλο λογισμικό, ανιχνεύει την κάρτα SD της συσκευής, εάν έχει, και κρυπτογραφεί τις δημοφιλείς μορφές αρχείων, χρησιμοποιώντας τον αλγόριθμο κρυπτογράφησης AES. Αυτά περιλαμβάνουν τα αρχεία έγγραφο του Word, βίντεο MP4, JPG και GIF εικόνες, και πολλά άλλα. Το κακόβουλο λογισμικό θα εμφανίσει στη συνέχεια το μήνυμα, στα ρωσικά, ενημερώνοντας αυτό το χρήστη ότι αυτός ή αυτή έχει κλειδωθεί έξω, λόγω της προβολής παράνομου πορνογραφικού υλικού. Φυσικά, αυτό δίνει επίσης οδηγίες για το πώς να καταθέσετε ποσό που ανέρχεται απο $ 21 έως πολύ μεγάλο ποσό σε υπηρεσία ηλεκτρονικού χρήματος (π.χ paysafe), προκειμένου να σας δωθεί η εφαρμογή για να αποκρυπτογραφήσετε τα αρχεία σας.

Με τον ίδιο περίπου τρόπο λειτουργεί και ο γνωστός ιός της δίωξης ηλεκτρονικού εγκλήματος που συναντούμε στους υπολογιστές με λειτουργικό σύστημα Windows

Σύμφωνα με την ESET, ωστόσο, που ανάλυσε τον κώδικα του, προκύπτει ότι το κακόβουλο λογισμικό επικοινωνεί με ένα διακομιστή, κρυμμένο πίσω από ένα δίκτυο TOR, και στέλνει βασικές πληροφορίες χρήστη, συμπεριλαμβανομένου του ΙΜΕΙ. Το ίδιο το κακόβουλο λογισμικό δεν έχει κωδικό για να αποκρυπτογραφήσει τα αρχεία με δική του λειτουργία αλλάι η εντολή για την αποκρυπτογράφηση αποστέλλεται από τον απομακρυσμένο διακομιστή μόνο όταν έχει ολοκληρωθεί η πληρωμή. Αυτό πρακτικά σημαίνει ότι το κακόβουλο λογισμικό μπορεί να μην αποκρυπτογραφήσει ποτέ τα αρχεία σας παρόλο που το ποσό για τα λύτρα έχει καταβληθεί.

Το Simplelocker.A δεν είναι ακριβώς κάτι που οι περισσότεροι χρήστες θα συναντήσουν. Κίνδυνο θα αντιμετωπίσετε μόνο αν χρησιμοποιείται εφαρμογές εκτός του καταστήματος Google Play. Ο μόνος τρόπος που μπορεί να εγκατασταθεί, λοιπόν, είναι αν ο χρήστης παρακάμπτει συνειδητά συνήθεις ελέγχους ασφαλείας του Android, στην οποία περίπτωση η ευθύνη εμπίπτει εν μέρει στο χρήστη. Αυτό καθιστά επίσης μια υπόθεση για την πολιτική της Google, όπου δεν μπορεί να επιβάλλει αυστηρούς ελέγχους ασφάλειας στον τρόπο που λειτουργεί η εσωτερική μνήμη. Πρόσφατες αλλαγές πηγαίο κώδικα του Android Open Source έργου δείχνουν ότι η Google κινείται προς την κατεύθυνση περιορισμού της πρόσβασης σε κάρτες SD, ώστε να αυξηθεί η ασφάλεια και περιοριστούν τέτοια προβλήματα απο ιούς.

CryptoLocker – Επικίνδυνος ιός που κλειδώνει τα αρχεία σας – ΚΑΘΑΡΙΣΜΟΣ – ΑΦΑΙΡΕΣΗ – ΑΝΤΙΜΕΤΩΠΙΣΗ

Τα κρούσματα πληθαίνουν δυστυχώς συνέχεια οπότε ας απαντήσουμε σε ένα καίριο ερώτημα:

Οι ιοί τύπου Ransomware που κλειδώνουν τα αρχεία, χρησιμοποιούν τόσο δυνατή κρυπτογράφηση που δεν είναι δυνατόν να ανακτήσετε τα αρχεία σας. Πλην δύο περιπτώσεων οι 50 και πλέον διαφορετικές εκδόσεις τέτοιων ιών δεν μπορούν να αντιμετωπιστούν. Το μόνο που μπορείτε να κάνετε είναι να αποθηκεύσετε τα κλειδωμένα αρχεία σε ένα εξωτερικό δίσκο η ένα στικάκι, μήπως μελλοντικά (2-3 χρόνια) βρεθεί κάποια μέθοδος αποκρυπτογράφησης.

Στις τέσσερις παρακάτω σελίδες της Kaspersky και της ESET υπάρχουν προγράμματα με τα οποία μπορείτε να προσπαθήσετε μήπως πάρετε πίσω τα αρχεία σας (αν είχατε μολυνθεί μόνο με τον ιό CoinVault, Bitcryptor, TeslaCrypt ή Crysis)

 

https://noransom.kaspersky.com/

http://support.kaspersky.com/viruses/disinfection?page=2

http://support.eset.com/kb6051/?viewlocale=en_US

https://www.eset.com/int/download-utilities/

 

Την υποστήριξη της Ελληνικής Αστυνομίας έχει από σήμερα ιστότοπος που έχει δημιουργήσει εδώ και ένα χρόνο η Ευρωπαϊκή Αστυνομική Υπηρεσία Europol, για την παροχή προστασίας και βοηθείας προς τους χρήστες του διαδικτύου, απέναντι σε κακόβουλο λογισμικό (ransomware), που μπλοκάρει και μολύνει τα υπολογιστικά συστήματα.

Το κακόβουλο λογισμικό αποτελεί κατηγορία εξελιγμένου κακόβουλου λογισμικού, που εγκαθίσταται στα υπολογιστικά συστήματα των χρηστών του διαδικτύου και κρυπτογραφεί τα αρχεία τους. Ακολούθως οι δράστες απαιτούν την καταβολή λύτρων από τους χρήστες προκειμένου να δοθεί στους τελευταίους το κλειδί αποκρυπτογράφησης των αρχείων τους.

Η πρωτοβουλία αυτή της Europol, με τον τίτλο «No More Ransom» (όχι άλλα λύτρα) περιλαμβάνει τη δημιουργία του ιστότοπου, https://www.nomoreransom.org/, ο οποίος μεταφράστηκε και στα ελληνικά και από σήμερα υποστηρίζεται από την Δίωξη Ηλεκτρονικού Εγκλήματος.

Ευρετήριο

1. CryptoLocker – Επικίνδυνος ιός που κλειδώνει τα αρχεία σας – ΚΑΘΑΡΙΣΜΟΣ – ΑΦΑΙΡΕΣΗ – ΑΝΤΙΜΕΤΩΠΙΣΗ
2. CryptorBit
3. CryptorDefence
4. Cryptowall
5. CoinVault
6. CTB Locker ή Critoni
7. TeslaCrypt και AlphaCrypt
8. Locky
9. Petya
10. Crysis (αποκρυπτογραφήθηκε)

 

1. CryptoLocker – Επικίνδυνος ιός που κλειδώνει τα αρχεία σας – ΚΑΘΑΡΙΣΜΟΣ – ΑΦΑΙΡΕΣΗ – ΑΝΤΙΜΕΤΩΠΙΣΗ

Το κακόβουλο λογισμό είναι μια έννοια συνυφασμένη με την πληροφορική εδώ και πάρα πολλά χρόνια. Τα είδη των κακόβουλων προγραμμάτων έχουν εξελιχθεί από τον απλό ιό που δεν άφηνε τον υπολογιστή να ξεκινήσει, σε κάτι το οποίο είναι σχετικά καινούργιο και πολύ επικίνδυνο στα “προγράμματα πληρωμής λύτρων” (ransomware). Τα προγράμματα πληρωμής λύτρων δημιουργούν μια κατάσταση ομηρίας στον υπολογιστή σας – πρόσφατο παράδειγμα ο “ιός της αστυνομίας” ο οποίος δεν επέτρεπε την πρόσβαση στον υπολογιστή σας έως ότου να πληρώσετε το “πρόστιμο” που σας αναλογούσε.

Αυτές τις μέρες εντοπίστηκε ένα νέο κακόβουλο πρόγραμμα πληρωμής λύτρων το Cryptolocker, το οποίο κλειδώνει τα προσωπικά σας αρχεία και ζητάει λεφτά για να τα ξεκλειδώσει. Το πρόγραμμα αυτό δεν πρέπει να το αγνοήσετε, μιας και κρυπτογραφεί τα αρχεία σας δημιουργώντας ένα AES κλειδί 256 bit. Αυτό το κλειδί χρησιμοποιεί την μεθοδολογία του δημόσιου/ιδιωτικού κλειδιού, έχοντας το ένα στον υπολογιστή σας και το άλλο σε κάποιο διακομιστή που χρησιμοποιεί ο “απαγωγέας”.

Το κλειδί λόγω της πολυπλοκότητας του αλγόριθμου δεν είναι δυνατόν να σπαστεί η να γίνει προσπάθεια παραβίασης με την μέθοδο bruteforce αφού θα χρειαζόταν άπειρος χρόνος για κάτι τέτοιο λόγω του μεγάλου αριθμού πιθανών συνδυασμών.

Μία μέθοδος με την οποία μπορεί να σώσετε τα αρχεία σας είναι η άμεση επαναφορά συστήματος πατώντας το F8 δείτε εδώ για οδηγίες.

https://windows.microsoft.com/el-gr/windows7/products/features/system-restore/

Η επαναφορά συστήματος μπορεί και να μην έχει κανένα αποτέλεσμα.


Το μήνυμα που βλέπει ο χρήστης

Ο τρόπος με τον οποίο μολύνεται ο υπολογιστής σας είναι μέσω κοινωνικής μηχανικής (εξαπάτησης), μιας και ο χρήστης-θύμα λαμβάνειένα μήνυμα ηλεκτρονικού ταχυδρομείου από έναν δήθεν δυσαρεστημένο πελάτη, ο οποίος του έχει επισυνάψει ένα αρχείο το οποίο τον προτρέπει να ανοίξει να διαβάσει το λόγο για τον οποίο είναι δυσαρεστημένος. Όπως καταλαβαίνετε, το κακόβουλο πρόγραμμα αυτό απευθύνεται σε εργασιακά περιβάλλοντα των οποίων η απώλεια αρχείων κοστίζει περισσότερα από τα $300 τα οποία ζητάει ο “απαγωγέας” για να σας δώσει το ιδιωτικό κλειδί το οποίο θα ξεκλειδώσει τα αρχεία σας. Το πρόγραμμα λοιπόν το οποίο ανοίγει ο χρήστης που δέχεται την επίθεση, είναι στην ουσία ένα πρόγραμμα ανάκτησης αρχείων από το διαδίκτυο (downloader) το οποίο και κατεβάζει το Cryptolocker, το οποίο σαρώνει όλους τους δίσκους στον υπολογιστή σας, ακόμα και τους δικτυακούς για αρχεία τύπου *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c και θα καταγράψει τα αρχεία τα οποία έχει κρυπτογραφήσει στο HKEY_CURRENT_USER\Software\CryptoLocker\Files, καταχώρηση που θα χρησιμοποιήσει μετά για να δείξει στο χρήστη ποια αρχεία έχουν κλειδώσει και να επιταχύνει την διαδικασία αποκρυπτογράφησης.

ΠΡΟΣΟΧΗ: Το επικίνδυνο με το συγκεκριμένο πρόγραμμα απαγωγής αρχείων δεν είναι τόσο ότι θα δε θα έχετε πρόσβαση στα αρχεία σας, αλλά αν δεν πληρώσετε σε προκαθορισμένο χρόνο, τότε το πρόγραμμα θα προχωρήσει στην διαγραφή των αρχείων σας από τον σκληρό σας δίσκο.

– Αυτό που προτείνεται από τις εταιρίες καταπολέμησης κακόβουλων προγραμμάτων καθώς και από πεπειραμένους χρήστες στο διαδίκτυο είναι η ύπαρξη αντίγραφου ασφαλείας το οποίο δεν θα το έχετε συνδεδεμένο πουθενά(offline backup), μιας και ακόμα δεν έχει βρεθεί κάποια μέθοδος καταπολέμησης της συγκεκριμένης απειλής.

Επίσης κάντε backup ιδιαίτερα σημαντικά αρχεία ένα ακόμα αντίγραφο σε DVD

– Μην ανοίγετε e-mail με ύποπτο περιεχόμενο ακόμα και όταν ο αποστολέας είναι γνωστός.

– Επίσης πρέπει να έχετε πάντα ενημερωμένο τον browser και τον flash player. Όσον αφορά την java κλειστή κατά την περιήγηση στο διαδίκτυο (addon για FF: QuickJava) και ένα antimalware με real time έλεγχο των αρχείων και οποιασδήποτε ύποπτης συμπεριφοράς (πχ malwarebytes) το οποίο θα λειτουργεί παράλληλα με το antivirus.

– Σε καμία περίπτωση μην πληρώσετε το ποσό! Σε κάποιους έχει λειτουργήσει και έχουν επανέλθει τα αρχεία (για μικρό χρονικό διάστημα και μετά κλειδώνουν ξανά) και σε κάποιους δεν λειτούργησε

Ενας τρόπος που παρέχει αρκετή προστασία ώστε να μην μολυνθεί ο υπολογιστής σας είναι το παρακάτω πρόγραμμα

Για την καταπολέμηση του CryptoLocker και του Zbot πρέπει να δημιουργήσετε κανόνες αποκλεισμού (Path Rules( ώστε να μην επιτρέπεται η εκτέλεση τους. Για να δημιουργήσετε αποκλεισμού λογισμικού, μπορείτε να το κάνετε μόνοι σας (που δεν είναι εύκολο για απλούς χρήστες) η μπορείτε να χρησιμοποιήσετε το CryptoPrevent.

 

Πως να χρησιμοποιήσετε το CryptoPrevent Tool:

Η FoolishIT LLC δημιούργησε ένα δωρεάν πρόγραμμα για που αυτόματα δημιουργεί κανόνες αποκλεισμού λογισμού στο σύστημα σας. Είναι πολύ εύκολο στη χρήση για λειτουργικά συστήματα Windows XP SP 2 και άνω και εμποδίζει το CryptoLocker και το Zbot να εγκατασταθούν στο σύστημα σας.


Το CryptoPrevent έχει και την επιλογή whitelist για το προσθέσετε ήδη υπάρχοντα προγράμματα στις τοποθεσίες %AppData% η %LocalAppData%. Αυτή η επιλογή θα εξασφαλίσει ότι οι περιορισμοί δεν θα επηρεάσουν αξιόπιστες εφαρμογές που ήδη υπάρχουν στον υπολογιστή μας. Για την χρησιμοποιήσετε την επιλογή επιλέξτε την λειτουργία Whitelist EXEs already located in %appdata% / %localappdata% πριν πατήσετε την επιλογή Block.

Μπορείτε να κατεβάσετε το CryptoPrevent από την παρακάτω σελίδα: (υπάρχει και δωρεάν έκδοση)

https://www.foolishit.com/cryptoprevent-malware-prevention/

Για περισσότερες πληροφορίες για το CryptoPrevent δείτε την παρακάτω σελίδα:

https://www.foolishit.com/faq/will-cryptoprevent-protect-me-against-everything-or-is-there-more-i-need-to-do/

Μόλις τρέξετε το πρόγραμμα απλά κάντε κλικ στην επιλογή Block για να προσθέσετε τους κανόνες περιορισμού λογισμικού. Αν το CryptoPrevent προκαλεί προβλήματα σε αξιόπιστες εφαρμογές τότε δείτε παραπάνω πως να ενεργοποιήσετε συγκεκριμένες εφαρμογές. Μπορείτε επίσης να απενεργοποιήσετε τους κανόνες περιορισμού κάνοντας κλικ στην επιλογή Undo button.

 

Παρακάτω μπορείτε να διαβάσετε περισσότερα για το πως λειτουργεί το κακόβουλο πρόγραμμα CryptoLocker καθώς και τρόπους αντιμετώπισής του.

https://blog.emsisoft.com/2013/09/10/cryptolocker-a-new-ransomware-variant/

https://www.bleepingcomputer.com/forums/t/506924/cryptolocker-hijack-program/

2. CryptorBit

 Στο ίδιο μοτίβο με τον CryptoLocker και τον CryptoDefense, ένας τρίτος ιος που ζητάει λύτρα (ransomware) το Cryptobit έκανε την εμφάνιση του. Το CryptorBit κρυπτογραφεί τα αρχεία σας και ζητούσε αρχικά $500 σε Bitcoins, αν και τώρα έχει ρίξει πολύ τις απαιτήσεις του μετά την υποτίμηση του Bitcoin.Χρησιμοποιώντας μεθόδους για να πείσει του χρήστες, εγκαθίσταται στον υπολογιστή π.χ μέσω ενός ψεύτικου μηνύματος για εγκατάσταση αναβάθμισης στο Flash Player η μέσω ψεύτικου προγράμματος antivirus. Αφού εγκατασταθεί το CryptorBit καταστρέφει τα πρώτα 512 η 1024 bytes από όλα τα αρχεία δεδομένων ανεξάρτητα απο την κατάληξη τους (.jpg .mp3. .avi) To Cryptobit παρακάμπτει την πολιτική ασφαλείας του συστήματος (Group Policy settings) που έχει δημιουργηθεί για να προστατεύει το σύστημα από τέτοια μόλυνση (δείτε παραπάνω στο Cryptolocker) Το Cryptobit επίσης εγκαθιστά στο σύστημα λογισμικό cryptocoin miner για να αντλήσει ψηφιακά νομίσματα και να τα αποθηκεύσει στο ψηφιακό πορτοφόλι του δημιουργού του.Το CryptorBit εμφανίστηκε πέρισυ τον Δεκέμβριο και μετά από αναβάθμιση του λογισμικού του οι επιθέσεις αυξάνονται. Οπως και στον Cryptolocker το Antivirus δεν μπορεί να προσφέρει σημαντική προστασία.Ο ιός μπορεί να απομακρυνθεί με ασφάλεια από το σύστημα είτε με την επαναφορά του συστήματος η με το Malwarebytes η το Kaspersky Resque Disk αλλά δεν υπάρχει ακόμα ολοκληρωμένος τρόπος επαναφοράς των κρυπτογραφημένων σας αρχείων.

 

3. CryptorDefense


Το CryptoDefense είναι το τρίτο ransomware πρόγραμμα που κυκλοφόρησε γύρω στα τέλη του Φλεβάρη 2014, που απευθύνεται σε όλες τις εκδόσεις των Windows, συμπεριλαμβανομένων των Windows XP, Windows Vista, Windows 7 και Windows 8 Όταν ένας υπολογιστής έχει προσβληθεί, η μόλυνση θα εκτελέσει τις ακόλουθες ενέργειες.:

Συνδέεται με το διακομιστή διοίκησης και ελέγχου (command and control) και ανεβάζει το ιδιωτικό κλειδί σας.

Διαγράφει όλα τα σκιώδη αντίγραφα των windows (shadow copies), έτσι ώστε δεν μπορείτε να επαναφέρετε τα αρχεία σας. Αυτό σημαίνει ότι μπορείτε να επαναφέρετε τα αρχεία σας μόνο αν κρατούσατε bakcup σε κάποιο εξωτερικό δίσκο ή να πληρώνοντας τα λύτρα, χωρίς και αυτό να είναι σίγουρο. Σε ορισμένες περιπτώσεις η μόλυνση δεν διαγράφει σκιώδη αντίγραφα και μπορείτε να κάνετε επαναφορά των αρχείων σας.

Εξετάζει τον υπολογιστή σας  κρυπτογραφεί τα αρχεία δεδομένων, όπως αρχεία κειμένου, αρχεία εικόνας, αρχεία βίντεο και έγγραφα.

Δημιουργεί ένα στιγμιότυπο από την επιφάνεια εργασίας τωνWindows σας και το φορτώνει στον Server Command & Control. Αυτό το στιγμιότυπο της επιφάνειας εργασίας πρέπει να εισαχθεί στη σελίδα καταβολής των λύτρων για την υπηρεσία αποκρυπτογράφισης.

   Δημιουργεί ένα αρχείο How_Decrypt.txt και How_Decrypt.html σε κάθε φάκελο που περιέχει κρυπτογραφημένα αρχεία.. Τα αρχεία HTML και TXT θα περιέχουν οδηγίες για το πώς να αποκτήσετε πρόσβαση σε μια τοποθεσία πληρωμής για να στείλετε τα λύτρα.

Δημιουργεί ένα HKCU \ Software \ <unique ID> \ κλειδί μητρώου και αποθηκεύει διάφορες πληροφορίες διαμόρφωσης σε αυτό. Θα δημιουργήσει επίσης ένα κατάλογο με όλα τα κρυπτογραφημένα αρχεία στο προστατευόμενο κλειδί  HKCU \ Software \ <unique ID> \ PROTECTED

 



H ιστοσελίδα πληρωμής βρίσκεται στο δίκτυο Tor και μπορείτε να κάνετε μόνο την πληρωμή σε Bitcoins. Αν και αυτή η μόλυνση έχει πολλές ομοιότητες με CryptoLocker ή CryptorBit, δεν υπάρχουν ενδείξεις ότι συνδέονται. Για να αγοράσετε το πρόγραμμα αποκρυπτογράφησης θα πρέπει να πληρώσετει $ 500 δολάρια λύτρα Bitcoins. Εάν δεν πληρωθούν τα λύτρα εντός 4 ημερών θα διπλασιαστεί έως $ 1.000 δολάρια. Δηλώνει επίσης, ότι αν δεν αγοράσετε το πρόγραμμα αποκρυπτογράφησης εντός ενός μηνός, που θα διαγράψει το ιδιωτικό κλειδί σας και δεν θα μπορείτε πλέον να αποκρυπτογραφήσετε τα αρχεία σας.

Τονίζουμε πως πληρώνοντας τα λύτρα δεν υπάρχει καμία εγγύηση οτι το κακόβουλο λογισμικό θα ξεκλειδώσει τα αρχεία σας.

Τα αρχεία κρυπτογραφούνται χρησιμοποιώντας RSA-2048 κρυπτογράφηση, το οποίο καθιστά αδύνατη την αποκρυπτογράφηση των αρχείων.

Με βάση πληροφορίες φαίνεται ότι αυτή η μόλυνση εγκαταστάθηκε μέσω προγραμμάτων που προσποιούνται ότι είναι ενημερώσεις του flash player ή αναπαραγωγής βίντεο που απαιτείται για να δείτε ένα βίντεο στο διαδίκτυο. Όταν αυτές οι λήψεις θα εγκαταστήσουν επίσης και πολλά adware προγράμματα μαζί με CryptoDefense. Από στιγμιότυπα από άλλους υπολογιστές που έχουν προσβληθεί, δεν είναι ασυνήθιστο για έχει εγκατασταθεί επίσης και το CryptoDefense ή το CryptorBit.

4. CryptorWall


Το CryptoWall είναι το τέταρτο ransomware πρόγραμμα που κυκλοφόρησε γύρω στα τέλη του Φλεβάρη 2014, που απευθύνεται σε όλες τις εκδόσεις των Windows, συμπεριλαμβανομένων των Windows XP, Windows Vista, Windows 7 και Windows 8 και έχει πολλές ομοιότητες με το
3.CryptorDefence

Όταν ένας υπολογιστής μολύνεται με το CryptoWall ο ιός θα σαρώσει τον υπολογιστή σας για αρχεία δεδομένων και θα προχωρήσει στο κλείδωμα τους με τη χρήση κρυπτογράφησης RSA , ώστε να μην είσαστε πλέον σε θέση να τα ανοίξετε . Όταν η κρυπτογράφηση θα έχει ολοκληρωθεί στα αρχεία σας, θα ανοίξει ένα παράθυρο σημειωματάριο που περιέχει οδηγίες για το πώς να αποκτήσετε πρόσβαση στο πρόγραμμα αποκρυπτογράφησης του CryptoWall υπηρεσία που μπορείτε να χρησιμοποιήσετε αφού καταβάλετε “λύτρα”. Το κόστος λύτρα ξεκινά από 500 δολάρια και μετά από 7 ημέρες πηγαίνει μέχρι και 1.000. Αυτά τα “λύτρα” πρέπει να καταβληθούν σε Bitcoins και αποστέλλονται σε Bitcoin διεύθυνση που αλλάζει ανά χρήστη.

Τονίζουμε πως πληρώνοντας τα λύτρα δεν υπάρχει καμία εγγύηση οτι το κακόβουλο λογισμικό θα ξεκλειδώσει τα αρχεία σας.

Τα αρχεία κρυπτογραφούνται χρησιμοποιώντας RSA-2048 κρυπτογράφηση, το οποίο καθιστά αδύνατη την αποκρυπτογράφηση των αρχείων.


 

To CryptoWall κυκλοφορεί μέσω e-mail με συνημμένα αρχεία ZIP που περιέχουν εκτελέσιμα αρχεία που είναι μεταμφιεσμένα ως αρχεία PDF. Αυτά τα αρχεία PDF προσποιούνται ότι είναι τα τιμολόγια , εντολές αγοράς , γραμμάτια , καταγγελίες , ή άλλες επιχειρηματικές επικοινωνίες . Όταν κάνετε διπλό κλικ στο ψεύτικο PDF , θα το CryptoWall θα μολύνει τον υπολογιστή σας και θα ξεκινήσει η εγκατάσταση κακόβουλου λογισμικού στο φάκελο % AppData % η % Temp% . Μολις το CryptoWall εγκατασταθεί θα αρχίσει να σαρώνει δίσκους του υπολογιστή σας για αρχεία δεδομένων. Ο ιός θα σαρώσει όλα τα γράμματα μονάδας δίσκου στον υπολογιστή σας, συμπεριλαμβανομένων των αφαιρούμενων δίσκων, τις θέσεις του δικτύου, ακόμα και το DropBox . Εν ολίγοις θα σαρώσει όλες τις συσκευές αποθήκευσης που υπάρχουν στον υπολογιστή σας.

Πώς να αποτρέψετε την μόλυνση.

Η προφύλαξη είναι πάντα ο ασφαλέστερος τρόπος για να κρατήσει τον υπολογιστή σας ασφαλές.


Πρέπει να είστε πολύ προσεκτικοί όταν ανοίγετε ένα άγνωστο e-mail , ειδικά αν περιέχει μία ψεύτικη ειδοποίηση π.χ από τράπεζα η υπάρχουν συνημμένα αρχεία .exe, .scr , ή συνημμένα αρχείο .zip.


Θα πρέπει να είστε προσεκτικοί σε ύποπτες ιστοσελίδες που σας ζητούν να εγκαταστήσετε το λογισμικό που υποτίθεται ότι πρέπει και να ΜΗΝ προχωρείτε σε εγκατάσταση (π.χ πρόγραμμα που απαιτείται για να δείτε μια ταινία).

Ο καλύτερος τρόπος να έχετε πάντα ένα πρόσφατο αντίγραφο ασφαλείας των σημαντικών αρχείων σας σε ένα αποθηκευτικό μέσο που να μην είναι συνδεδεμένο στον υπολογιστή ( π.χ. εξωτερικό USB HDD, DVD ROM , κ.λπ. ) .

Σε περίπτωση μόλυνσης, αφού καθαρίσετε τον υπολογιστή σας μπορείτε να επαναφέρετε όλα τα αρχεία σας πίσω από το αντίγραφο ασφαλείας.

 

5.CoinVault

 

Τονίζουμε πως πληρώνοντας τα λύτρα δεν υπάρχει καμία εγγύηση ότι το κακόβουλο λογισμικό θα ξεκλειδώσει τα αρχεία σας.


Το CoinVault είναι ένα πρόγραμμα ransomware που κρυπτογραφεί τα αρχεία σας και κυκλοφορεί από τις αρχές του Νοέμβρη του 2014 και στοχεύει όλες τις εκδόσεις των Windows, συμπεριλαμβανομένων των Windows XP, Windows Vista, Windows 7 και Windows 8. Αυτό το ransomware είναι μία ακόμα έκδοση κακόβουλου λογισμικού που ανήκει στην οικογένεια των προγραμμάτων που κλειδώνουν τα αρχεία σας και ζητούν λύτρα. Το
CoinVault στην τελευταία έκδοση του, προσφέρει μία δωρεάν αποκρυπτογράφηση αρχείου για να αποδείξει ότι είναι σε θέση να το κάνει. Σε αντίθεση με άλλες εκδόσεις ransomware που κυκλοφόρησαν πρόσφατα, το CoinVault δεν χρησιμοποιεί μια ιστοσελίδα αποκρυπτογράφησης για να πληρώσετε και να κατεβάσετε το Decrypter (πρόγραμμα αποκρυπτογράφησης), αλλά αλλά η συγκεκριμένη λειτουργία και το σύστημα πληρωμών είναι ενσωματωμένα μέσα στο λογισμικό.

 

 

Όταν ο υπολογιστής σας μολυνθεί, Το CoinVault θα σαρώσει τον υπολογιστή σας για αρχεία δεδομένων και θα τα κρυπτογραφήσει χρησιμοποιώντας κρυπτογράφηση AES, ώστε να μην είναι πλέον σε θέση να ανοίξετε. Όταν η μόλυνση κρυπτογραφήσει όλα τα αρχεία θα εμφανιστεί το πρόγραμμα CoinVault, το οποίο περιέχει πληροφορίες σχετικά με το τι έχει συμβεί με τα αρχεία σας, το ποσό λύτρων, και οδηγίες για το πώς να το πληρώσετε. Το κόστος λύτρα ξεκινά από 0,7 bitcoins και ανεβαίνει μετά από κάθε 24 ώρες που δεν έχει γίνει πληρωμή. Η διεύθυνση Bitcoin για τις πληρωμές είναι διαφορετική για κάθε μολυσμένο υπολογιστή.

Το CoinVault διανέμεται μέσω e-mail με συνημμένα αρχεία ZIP που περιέχουν εκτελέσιμα μεταμφιεσμένα ως αρχεία PDF. Αυτά τα αρχεία PDF προσποιούνται ότι είναι τα τιμολόγια, εντολές αγοράς, λογαριασμοί, καταγγελίες ή άλλες επιχειρηματικές επικοινωνίες. Όταν κάνετε διπλό κλικ στο ψεύτικο PDF, θα μολύνει τον υπολογιστή σας με το CoinVault και να εγκαταστήσει τα αρχεία κακόβουλου λογισμικού στο φάκελο % AppData% \ Microsoft \ Windows \ .

Μόλις το κακόβουλο λογισμικό εγκατασταθεί, θα αρχίσει να σαρώνει τους δίσκους του υπολογιστή σας για αρχεία δεδομένων, συμπεριλαμβανομένων των αφαιρούμενων δίσκων, κοινόχρηστες θέσεις δικτύου ή ακόμα και φακέλους του DropBox. Εν ολίγοις, το CoinVault θα σαρώσει για αρχεία δεδομένων και θα τα κρυπτογραφήσει οπουδήποτε και αν βρίσκονται. Όταν το CoinVault εντοπίζει ένα αρχείο που μπορεί να κρυπτογραφήσει, προσθέτει την πλήρη διαδρομή για το κρυπτογραφημένο αρχείο στο% Temp αρχείο% \ CoinVaultFileList.txt. Το CoinVault θα δημιουργήσει επίσης ένα αρχείο που ονομάζεται% AppData% \ Microsoft \ Windows \ filelist.txt που περιέχει μια λίστα όλων των αρχείων που έχει κρυπτογραφήσει.

Όταν το CoinVault ολοκληρώσει τη σάρωση του υπολογιστή σας, θα εμφανιστεί ένα παράθυρο στην οθόνη σας. Αυτό θα σας δείξει πόσο κοστίζει για να πάρετε τα αρχεία σας πίσω, την διεύθυνση Bitcoin που θα πρέπει να στείλετε τα λύτρα, μια λίστα με τα αρχεία που έχουν κρυπτογραφηθεί και ένας τρόπος για να ελέγξετε την κατάσταση της πληρωμής σας. Το CoinVault επιτρέπει επίσης να αποκρυπτογραφήσετε ένα αρχείο δωρεάν για να αποδείξει ότι μπορεί να το κάνει. Όταν επιλέγετε το αρχείο για την αποκρυπτογράφηση, το CoinVault θα συνδεθεί με τον κέντρο ελέγχου του μέσω internet θα αποκρυπτογραφήσει το αρχείο και στη συνέχεια θα το αποθηκεύσει ξανά στον υπολογιστή σας.

Επίσης το CoinVault θα αλλάξει την ταπετσαρία των Windows στην επιφάνεια εργασίας σας και θα γράφει “Your files have been encrypted!” όπως φαίνεται στην παρακάτω εικόνα.

 

 

Ποιους τύπους αρχείων κρυπτογραφεί το CoinVault;

Το CoinVault κρυπτογραφεί τα δεδομένα στον υπολογιστή σας, θα ψάξει για συγκεκριμένα αρχεία σε όλα τα γράμματα μονάδας δίσκου στον υπολογιστή σας. Αυτό σημαίνει ότι οι μονάδες USB, εξωτερικοί σκληροί δίσκοι, αντιστοιχισμένες μονάδες δίσκων δικτύου, ακόμη και υπηρεσίες cloud, όπως το DropBox θα σαρωθούν και θα κρυπτογραφηθούν. Όταν το CoinVault ολοκληρώσει αυτή την διαδικασία θα κρυπτογραφήσει μόνο τα αρχεία που τελειώνουν με μία από τις ακόλουθες επεκτάσεις:


.odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx , .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps,. ai, .indd, .cdr, .dng, .3fr, .arw, .srf, .sr2, .mp3, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .NEF, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx , .p12, .p7b, .p7c, .jpg, .png, .jfif, .jpeg, .gif, .bmp, .exif, .txt

Τα αρχεία κρυπτογραφούνται χρησιμοποιώντας RSA-2048 κρυπτογράφηση, το οποίο καθιστά αδύνατη την αποκρυπτογράφηση των αρχείων.

 

 

6.CTB Locker ή Critoni

 

Τονίζουμε πως πληρώνοντας τα λύτρα δεν υπάρχει καμία εγγύηση οτι το κακόβουλο λογισμικό θα ξεκλειδώσει τα αρχεία σας.

Τα αρχεία κρυπτογραφούνται χρησιμοποιώντας RSA-2048 κρυπτογράφηση, το οποίο καθιστά αδύνατη την αποκρυπτογράφηση των αρχείων.

Τι είναι το CTB Locker ή Critroni;

Το CTB Locker (Curve-Tor-Bitcoin Locker), η αλλιώς γνωστό ως Critroni, είναι ένα κακόβουλο πρόγραμμα κρυπτογράφησης (ransomware) που κυκλοφόρει από τα μέσα του Ιούλη του 2014 που στοχεύει όλες τις εκδόσεις των Windows, συμπεριλαμβανομένων των Windows XP, Windows Vista, Windows 7 και Windows 8. Ακριβώς όπως και άλλα κακόβουλα προγράμματα κρυπτογράφησης, μιμείται το CryptoLocker, ενώ στην πραγματικότητα φαίνεται να έχει αναπτυχθεί από μια διαφορετική ομάδα με τη χρήση νέων τεχνολογιών, όπως η elliptical curve cryptography και το κακόβουλο λογισμικό επικοινωνεί με τον εξυπηρετητή ελέγχου με το σύστημα TOR. Όπως διαπιστώθηκε αυτό το κακόβουλο λογισμικό φαίνεται να είναι μέρος ενός πακέτου που πωλείται on-line για $ 3,000 δολάρια, το οποίο περιλαμβάνει υποστήριξη για να μπορέσει δημιουργήσει όποιος θέλει το δικό του ransomware λογισμικό. Έχοντας αυτά τα δεδομένα, περιμένουμε να δούμε και άλλα ransomware να κυκλοφορούν χρησιμοποιώντας αυτό το πακέτο, αλλά πιθανόν με διαφοροποιήσεις.

Όταν εγκατασταθεί, το CTB Locker θα σαρώσει τον υπολογιστή σας για αρχεία δεδομένων και θα τα κρυπτογραφήσει ώστε να μην είναι πλέον προσβάσιμα. Στο παρελθόν κάθε αρχείο που κρυπτογραφούσε άλλαζε την επέκταση αρχείου σε CTB ή CTB2. Η τρέχουσα έκδοση προσθέτει τώρα μια τυχαία επέκταση αρχείου στα κρυπτογραφημένα αρχεία. Το κακόβουλο λογισμικό στη συνέχεια θα ανοίξει μια οθόνη που θα αναφέρει ότι τα δεδομένα σας έχουν κρυπτογραφηθεί και σας ζητά να ακολουθήσετε τις οδηγίες  για να μάθετε πώς να πληρώσετε τα λύτρα των 0,2 BTC. Αυτό το ποσό λύτρων είναι ισοδύναμο με περίπου $ 120,00 δολάρια.

 


Το CTB Locker, θα σαρώσει τους δίσκους του υπολογιστή σας για αρχεία δεδομένων και θα τα κρυπτογραφήσει, στοχεύοντας τους σκληρούς δίσκους, τους αφαιρούμενους δίσκους, δίσκους δικτύου και
USB Stick που θα είναι συνδεδεμένα πάνω στον υπολογιστή σας.

Η τεχνολογία elliptical curve cryptography που χρησιμοποιεί το CTB Locker είναι ιδιαίτερα σπάνια σε προγράμματα κακόβουλου λογισμικού κρυπτογράφησης. Ένα άλλο ασυνήθιστο χαρακτηριστικό του θα επικοινωνήσει με τους διακομιστές ελέγχου του (Command & Control) απευθείας μέσω TOR. Αυτή η τεχνική καθιστά πιο δύσκολο, αλλά όχι αδύνατο, για τις αρχές να εντοπίσουν της θέση των διακομιστών και να τους θέσουν εκτός λειτουργίας.

Ποιες είναι αυτές οι νέες επεκτάσεις όπως CTBL ή CTB2 που προστίθενται στα κρυπτογραφημένα αρχεία;

Το CTB Locker ή Critroni, θα κρυπτογραφήσει τα αρχεία σας και στη συνέχεια, θα τους δώσει μια νέα επέκταση. Παλαιότερες εκδόσεις του CTB-Locker άλλαζαν την επέκταση αρχείου σε .CTBL ή .CTB2, ενώ οι νεότερες χρησιμοποιούν μια τυχαία επέκταση, όπως .ftelhdd ή .ztswgmc. Ως εκ τούτου, τα αρχεία αυτά είναι απλά κανονικά αρχεία δεδομένων που έχουν κρυπτογραφηθεί. Δεν υπάρχει κανένας τρόπος για να ανοίξετε ένα κρυπτογραφημένο αρχείο, εάν πρώτα δεν το αποκρυπτογραφήσετε πληρώνοντας τα λύτρα χωρίς να υπάρχει κάποια εγγύηση σε αυτό. Εάν προσπαθήσετε να ανοίξετε ένα αρχείο με ένα πρόγραμμα, το πρόγραμμα μπορεί να δηλώσει ότι είναι κατεστραμμένο ή εμφανίζει μόνο αλλοιωμένο κείμενο στην οθόνη.

Τι πρέπει να κάνετε όταν ανακαλύψετε ο υπολογιστής σας έχει μολυνθεί με το CTB Locker

Αν ανακαλύψετε ότι ο υπολογιστής σας έχει μολυνθεί με CTB Locker θα πρέπει να σαρώσετε τον υπολογιστή σας αμέσως με ένα antivirus ή antimalware πρόγραμμα. Δυστυχώς, οι περισσότεροι άνθρωποι δεν συνειδητοποιούν ότι το CTB Locker είναι στον υπολογιστή τους, έως ότου εμφανιστεί το σημείωμα για λύτρα και τα αρχεία σας έχουν ήδη κρυπτογραφηθεί. Η σάρωση όμως του υπολογιστή τουλάχιστον θα εντοπίσει και θα διαγράψει τη μόλυνση από τον υπολογιστή σας, έτσι ώστε να μην ξεκινά πλέον όταν συνδέεστε στα Windows.

Νέα παραλλαγή του CTB Locker προσφέρει δωρεάν αποκρυπτογράφηση 5 αρχείων.

Μια νέα παραλλαγή του Critroni, γνωστό και ως CTB Locker, παρέχει πλέον τη δυνατότητα να αποκρυπτογραφήσει 5 αρχεία ως απόδειξη ότι το κακόβουλο λογισμικό μπορεί να επαναφέρει τα αρχεία σας. Στην κύρια οθόνη αποκρυπτογράφησης που εμφανίζεται στην επιφάνεια εργασίας σας όταν έχετε μολυνθεί, εάν πατήσετε το κουμπί next θα σας επιτρέψει να αποκρυπτογραφήσετε 5 αρχεία δωρεάν.

 

 

Όταν κάνετε κλικ στο κουμπί αναζήτησης, θα επιλέξει τυχαία 5 κρυπτογραφημένα αρχεία και στη συνέχεια θα τα αποκρυπτογραφήσει.


Τι θα συμβεί αν δεν πληρώσετε τα λύτρα στο CTB-Locker;

Το CTB-Locker θα αναφέρει ότι έχετε 96 ώρες για να πληρώσετε τα λύτρα ή θα χάσετε τα αρχεία σας για πάντα. Αυτό είναι απλά μια τακτική εκφοβισμού και θα εξακολουθείτε να είσαστε σε θέση να πληρώσετε τα λύτρα, αλλά θα πρέπει αντ ‘αυτού να το κάνετε μέσω του της ιστοσελίδας TOR τους. Όταν το χρονόμετρο φτάσει στο μηδέν, θα εμφανιστεί στην οθόνη το Time expired και οδηγίες για το πώς να πληρώσετε τα λύτρα, όπως φαίνεται παρακάτω.

 


Μόλις πατήσετε το κουμπί
Exit το πρόγραμμα θα κλείσει και το malware αρχείο θα διαγραφεί. Σε αυτό το σημείο μπορείτε να ανοίξετε το αρχείο DecryptAllFiles.txt που βρίσκεται στο φάκελο Έγγραφα και να ακολουθήσετε τις οδηγίες σχετικά με το πώς να αποκτήσετε πρόσβαση στην ιστοσελίδα αποκρυπτογράφησης CTB-Locker.

 

7.TeslaCrypt και AlphaCrypt

 

Τι είναι TeslaCrypt και το AlphaCrypt;

Το TeslaCrypt και το AlphaCrypt είναι κακόβουλο λογισμικό κρυπτογράφησης (ransomware) που στοχεύει όλες τις έκδοσεις των Windows, συμπεριλαμβανομένων των Windows XP, Windows Vista, Windows 7 και Windows 8. Το TeslaCrypt κυκλοφόρησε για πρώτη φορά στα τέλη του Φεβρουαρίου 2015 και το AlphaCrypt στα τέλη του Απριλίου 2015. Όταν ο υπολογιστής σας μολυνθεί το TeslaCrypt και το AlphaCrypt θα σαρώσουν τον υπολογιστή σας για αρχεία δεδομένων και θα τα κρυπτογραφήσουν χρησιμοποιώντας κρυπτογράφηση AES, ώστε να μην είσαστε πλέον σε θέση να τα ανοίξετε. Όταν το πρόγραμμα έχει κρυπτογραφήσει τα αρχεία δεδομένων σε όλους δίσκους του υπολογιστή σας, θα εμφανιστεί μια εφαρμογή που περιέχει οδηγίες για το πώς να πάρετε τα αρχεία σας πίσω. Αυτές οι οδηγίες περιλαμβάνουν ένα σύνδεσμο σε μια ιστοσελίδα με την υπηρεσία αποκρυπτογράφησης, η οποία θα σας ενημερώσει για το τρέχον ποσό λύτρων, πόσα αρχεία κρυπτογραφήθηκαν και οδηγίες για το πώς θα πληρώσετε. Τα λύτρα ξεκινούν από περίπου $ 500 δολάρια και καταβάλλονται μέσω bitcoins. Η διεύθυνση Bitcoin που υποβάλλεται η πληρωμή είναι διαφορετική για κάθε χρήστη.

Όταν το TeslaCrypt και το AlphaCrypt εγκατασταθούν θα ξεκινήσουν μία σάρωση των σκληρών δίσκων του υπολογιστή σας για αρχεία δεδομένων. Αν εντοπιστεί υποστηριζόμενο αρχείο δεδομένων που μπορούν να κρυπτογραφήσουν τότε θα προσθέσουν μία νέα επέκταση στο όνομα του αρχείου με βάση τη συγκεκριμένη παραλλαγή που έχει μολυνθεί. Για TeslaCrypt, οι επεκτάσεις είναι .ECC και .EXX και για το Alpha Crypt η επέκταση .EZZ θα προστεθεί στα ονόματα των αρχείων. Αυτή είναι και η κύρια διαφορά μεταξύ των δύο προγραμμάτων.

Οι επεκτάσεις που στοχεύει το TeslaCrypt είναι:
.7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sc2save, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax , .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup,. syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, 0.001, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl , .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DayZProfile, .rofl, .hkx,. μπαρ, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .unity3d, .wotreplay, .xxx, .desc, .py, .m3u, FLV, .js, .css, .RB, .png, .jpeg, .txt, .p7c, .p7b , .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf,. NRW, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb , .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp,. ODS, .odt

Οι επεκτάσεις που στοχεύει το AlphaCrypt και νεότερες εκδόσεις της οικογένειας αυτής είναι:
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg,. hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba,. rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, το πορτοφόλι, .wotreplay, .xxx, .desc, .py, .m3u, FLV, .js, .css, .RB, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe,. jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt

Το κακόβουλο λογισμικό, θα σαρώσει τους δίσκους του υπολογιστή σας για αρχεία δεδομένων και θα τα κρυπτογραφήσει, στοχεύοντας τους σκληρούς δίσκους, τους αφαιρούμενους δίσκους, δίσκους δικτύου και USB Stick που θα είναι συνδεδεμένα πάνω στον υπολογιστή σας.

Όταν
το λογισμικό ολοκληρώσει τη σάρωση του υπολογιστή σας θα διαγράψει επίσης όλα τα σκιώδη αντίγραφα (Shadow Volume Copies) που βρίσκονται στον υπολογιστή έτσι ώστε να μην μπορείτε να τα χρησιμοποιήσετε για να επαναφέρετε τα κρυπτογραφημένα αρχεία σας.

Εφόσον πλέον τα δεδομένα σας έχουν κρυπτογραφηθεί, θα εμφανιστεί ένα μήνυμα στην οθόνη. Το μήνυμα και για τα δύο ransomware είναι πανομοιότυπο, εκτός από τον τίτλο της εφαρμογής.

 

 

Αφού κρυπτογραφήσουν τα αρχεία σας, τα ransomware θα δημιουργήσουν επίσης ένα αρχείο κειμένου που θα έχει σημειώσεις σχετικά με την πληρωμή των λύτρων σε κάθε φάκελο που βρίσκονται αρχεία που κρυπτογράφησε και ένα αρχείο με τον κατάλογο των κρυπτογραφημένων αρχείων στην επιφάνεια εργασίας. Τα ransomware θα αλλάξουνι επίσης την ταπετσαρία στην επιφάνειας εργασίας σας με ένα αρχείο BMP που βρίσκεται στην επιφάνεια εργασίας των Windows. Για το TeslaCrypt το σημείωμα για λύτρα έχει τίτλο HELP_TO_DECRYPT_YOUR_FILES.txt ή HELP_RESTORE_FILES.txt και το αρχείο BMP ονομάζεται HELP_TO_DECRYPT_YOUR_FILES.bmp ή HELP_RESTORE_FILES.bmp. Για το AlphaCrypt τα αρχεία ονομάζονται HELP_TO_SAVE_FILES.txt και HELP_TO_SAVE_FILES.bmp.

Τόσο η ταπετσαρία όσο και το σημείωμα για τα λύτρα θα περιέχει τις ίδιες πληροφορίες σχετικά με το πώς να αποκτήσετε πρόσβαση στην ιστοσελίδα πληρωμής και να πάρετε τα αρχεία σας πίσω. Ένα παράδειγμα της ταπετσαρίας βρίσκεται παρακάτω.

 

 

Όταν πηγαίνετε στις διευθύνσεις που αναφέρονται στα λύτρα θα σας κατευθύνουν σε μια τοποθεσία TOR όπου μπορείτε να μάθετε το ποσό και πώς να κάνετε την πληρωμή. Το TeslaCrypt διαφέρει από τα άλλα ransomware αφού ήταν το πρώτο που δέχεται πληρωμή από το PayPal.


Το κείμενο για τα λύτρα είναι:

All your important files are encrypted!

Your personal files(including those on the network disks, USB, etc) have been encrypted: photos, videos, documents, etc. Click “Show files” Button to view a complete list of encrypted files, and you can personally verify this.

Encryption was made using a unique strongest RSA-2048 public key generated for this computer. To decrypt files you need to acquire the private key.
The only copy of the private key, which will allow you to decrypt your files,is located on a secret TOR
server in the Internet; the server will eliminate the key after a time period specified in this window.
Once this has been done, nobody will ever be able to restore files…

In order to decrypt files press button to open your personal page and follow the instruction. In case of “File decryption button” malfunction use one of public gates:
http://iq3ahijcfeont3xx.anfeua74x36.com or
https://iq3ahijcfeont3xx.tor2web.blutmagie.de

Use your Bitcoin address to enter the site: <bitcoin address>

if both button and reserve gates not opening, please follow these steps:
You must install TOR browser www.torproject.org/projects/torbrowser.html.en
After installation,run the browser and enter address iq3ahijcfeont3xx.onion
Follow the instructions on the web-site. We remind you that the sooner you do so,
the more chances are left to recover the files.

There is no other way to restore your files except of making the payment.
Any attempt to remove or corrupt this software will result in immediate
elimination of the private key by the server.

Τι πρέπει να κάνετε όταν ανακαλύψετε ότι ο υπολογιστής σας έχει μολυνθεί με TeslaCrypt ή AlphaCrypt

Αν ανακαλύψετε ότι ο υπολογιστής σας έχει μολυνθεί με TeslaCrypt ή AlphaCrypt θα πρέπει αμέσως να τον τερματίσετε και εάν είναι δυνατόν αφού τον καθαρίσετε από την μόλυνση να κρατήσετε αντίγραφο των κρυπτογραφημένων αρχείων σας σε περίπτωση που στο μέλλον βρεθεί μια μέθοδος αποκρυπτογράφησης.

Κάντε σάρωση του υπολογιστή σας με ένα antivirus ή antimalware πρόγραμμα και αφήστε το να αφαιρέσει τα πάντα. Δυστυχώς, οι περισσότεροι άνθρωποι δεν συνειδητοποιούν ότι το TeslaCrypt και το AlphaCrypt είναι στον υπολογιστή τους, έως ότου εμφανιστεί το σημείωμα για λύτρα και τα αρχεία έχουν ήδη κρυπτογραφηθεί. Η σάρωση όμως τουλάχιστον θα ανιχνεύσει και θα αφαιρέσει οποιοδήποτε άλλο κακόβουλο λογισμικό που μπορεί να έχει εγκατασταθεί μαζί με το πρόγραμμα ransomware.

Όπως πάντα συστήνουμε να μην πληρώσετε ποτέ τα λύτρα, αλλά αν σκοπεύετε να το κάνετε είναι σημαντικό να μην διαγράψετε τίποτα από τον υπολογιστή σας και να μην κάνετε σάρωση με antivirus. Αυτό οφείλεται στο γεγονός ότι η ιστοσελίδα πληρωμής μπορεί να χρειαστεί κάποια αρχεία που δημιουργούνται από τη μόλυνση για να σας στείλει το κλειδί αποκρυπτογράφησης.

Πώς μολύνεστε με το TeslaCrypt και το AlphaCrypt;

Ένας χρήστης μπορεί να μολυνθεί από το TeslaCrypt ή το AlphaCrypt όταν επισκέπτεται μία παραβιασμένη ιστοσελίδα στην οποία είναι εγκατεστημένο κάποιο κακόβουλο λογισμικό το οποίο υποβαθμίζει την ασφάλεια του συστήματος. Επίσης σημαντικός κίνδυνος υπάρχει όταν έχετε ξεπερασμένες εκδόσεις των Windows ή συγκεκριμένων άλλων προγραμμάτων στον υπολογιστή. Το λογισμικό που βρίσκεται εγκατεστημένο σε μία ιστοσελίδα που έχει παραβιαστεί ελέγχει τον υπολογιστή σας για προγράμματα που έχουν προβλήματα ασφαλείας και προσπαθεί να τα εκμεταλλευτεί. Τα προγράμματα αυτά που συνήθως έχουν προβλήματα ασφαλείας είναι η Java, το Adobe Flash Player, το Acrobat Reader, και προβλήματα ασφαλείας στα Windows. Όταν κάποιο πρόγραμμα εκμεταλλευτεί με επιτυχία ένα πρόβλημα ασφαλείας θα ξεκινήσει την εγκατάσταση του ransomware χωρίς να το καταλάβετε..

Ως εκ τούτου, είναι επιτακτική ανάγκη ο κάθε χρήστης να κρατάει τα Windows και τα εγκατεστημένα προγράμματα στον υπολογιστή του ενημερωμένα.

Το TeslaCrypt και το Alpha Crypt στοχεύουν και τα παιχνίδια

Το TeslaCrypt ήταν το πρώτο πρόγραμμα ransomware που στοχεύει ενεργά αρχεία δεδομένων που χρησιμοποιούνται από παιχνίδια PC. Τα αρχεία που στοχεύει ανήκουν σε παιχνίδια όπως το RPG Maker, το Call of Duty, το Dragon Age, StarCraft, Minecraft, το World of Warcraft, Diablo, το Fallout 3, το Half Life 2, Skyrim, Day Ζ, League of Legends, το World of Tanks, το Steam και πολλά άλλα. Αν και είναι άγνωστο αν έχουν αυξημένα έσοδα από λύτρα με το να  κρυπτογραφούν αρχεία παιχνιδιών, ωστόσο είναι οι πρώτες εφαρμογές που πραγματοποιούν τέτοια ενέργεια.

 

8.Locky

 

Ένα νέο ransomware έχει ανακαλυφθεί και ονομάζεται Locky. Κρυπτογραφεί τα δεδομένα σας χρησιμοποιώντας κρυπτογράφηση AES και στη συνέχεια απαιτεί 0,5 bitcoins να αποκρυπτογραφήσει τα αρχεία σας. Στοχεύει μεγάλο αριθμό επεκτάσεων αρχείων και ακόμη πιο σημαντικό, κρυπτογραφεί δεδομένα και στους δίσκους δικτύου ακόμα και αν είναι unmapped (χωρίς αντιστοίχηση). Κρυπτογράφηση δεδομένων για unmapped δίσκους δικτύου δεν είχαμε δεί μέχρι τώρα εκτός από την πρόσφατη πρόσφατη περίπτωση με τον DMA Locker και τώρα το ίδιο γίνεται με τον Locky, αυτό πρόκειται να γίνει ο κανόνας και όχι η εξαίρεση. Όπως ο CryptoWall, ο Locky επίσης αλλάζει εντελώς τα ονόματα αρχείων για τα κρυπτογραφημένα αρχεία ώστε να είναι πιο δύσκολο να επαναφέρετε τα σωστά δεδομένα.

Ο Locky αυτή τη στιγμή διανέμεται μέσω ηλεκτρονικού ταχυδρομείου που περιέχει συνημμένα έγγραφο του Word με κακόβουλες μακροεντολές. Το μήνυμα ηλεκτρονικού ταχυδρομείου θα περιέχει ένα θέμα παρόμοιο με Re: Invoice J-98223146 και ένα μήνυμα όπως “See attached invoice (Έγγραφο του Microsoft Word) και να αναφέρει περί πληρωμής σύμφωνα με τους όρους που αναγράφονται στο κάτω μέρος του τιμολογίου”. Ένα παράδειγμα ενός από αυτά τα μηνύματα μπορείτε να δείτε παρακάτω

.

 

Το συννημένο αρχείο είναι ένα κακόβουλο έγγραφο του Word που περιέχει ένα όνομα παρόμοιο με το invoice_J-17105013.doc. Όταν το έγγραφο ανοιχτεί, το κείμενο θα είναι κωδικοποιημένο και το έγγραφο θα εμφανίσει ένα μήνυμα που αναφέρει ότι θα πρέπει να ενεργοποιήσετε τις μακροεντολές, εάν το κείμενο είναι δυσανάγνωστο.


Μόλις το θύμα επιτρέψει τις μακροεντολές, οι μακροεντολές θα κατεβάσουν ένα εκτελέσιμο αρχείο από έναν απομακρυσμένο server και θα το εκτελέσουν.


Το αρχείο που έχει ληφθεί από το απομακρυσμένο server αποθηκεύεται στο φάκελο% temp% και εκτελέστηκε. Αυτό το εκτελέσιμο είναι το Locky ransomware και σημαίνει ότι ξεκίνησε να κρυπτογραφεί τα αρχεία στον υπολογιστή σας.

Το Locky κρυπτογραφεί τα δεδομένα σας και αλλάζει εντελώς τα ονόματα αρχείων

Όταν ξεκινήσει το Locky θα δημιουργήσει και θα εκχωρήσει ένα μοναδικό 16 δεκαεξαδικό αριθμό στο θύμα π.χ F67091F1D24A922B. Το Locky τότε θα σαρώσει όλες τις τοπικές μονάδες και ακόμα και τις μή αντιστοιχισμένες μονάδες δίσκου (unmapped) τα αρχεία δεδομένων ώστε να τα κρυπτογράφησει.

Ο Locky στοχεύει μόνο τα παρακάτω αρχεία:

.mid, .wma, FLV, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk , .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp , .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp,. brd, .SCH, .dch, .dip, .vbs, .asm, ΠΑΣ, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .Τοποθετήστε, .ms11 (αντίγραφο ασφαλείας), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml,. SXM, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, * .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm , .dotx, .docm, .docx, .dot, .max, .xml, .txt, .csv, .uot, .rtf, .pdf, .xls, .ppt, .stw, .sxw, .ott,. odt, .doc, .pem, .csr, .crt, .key, wallet.dat

Όταν ο Locky κρυπτογραφεί ένα αρχείο θα το μετονομάσει στην μορφή [unique_id] [αναγνωριστικό] .locky. Έτσι, όταν το test.jpg κρυπτογραφηθεί θα μετονομαστεί π.χ σε F67091F1D24A922B1A7FC27E19A9D9BC.locky. Το μοναδικό αναγνωριστικό και άλλες πληροφορίες επίσης θα ενσωματωθεί στο τέλος του ονόματος του αρχείου.

Είναι σημαντικό να τονιστεί ότι ο Locky θα κρυπτογραφήσει τα αρχεία στους κοινόχρηστους δίσκους δικτύου ακόμα και όταν δεν αντιστοιχίζονται σε μια τοπική μονάδα. Όπως είχε προβλεφθεί, αυτό γίνεται όλο και πιο συχνά και όλοι οι διαχειριστές του συστήματος θα πρέπει να κλειδώνουν όλες τις μονάδες δικτύου περιορίζοντας τα δικαιώματα πρόσβασης και εγγραφής.

Ως μέρος της διαδικασίας κρυπτογράφησης, Ο Locky θα διαγράψει επίσης όλα τα αντίγραφα Volume Shadow στο μηχάνημα, έτσι ώστε να μην μπορούν να χρησιμοποιηθούν για να επαναφέρετε τα αρχεία του θύματος. (Επαναφορά συστήματος, System Restore)

Στην επιφάνεια εργασίας των Windows και σε κάθε φάκελο όπου υπάρχουν κρυπτογραφημένα αρχεία, ο Locky θα δημιουργήσει σημειώσεις για τα λύτρα που ονομάζεται _Locky_recover_instructions.txt. Αυτό το σημείωμα για λύτρα περιέχει πληροφορίες σχετικά με το τι συνέβη στα αρχεία και συνδέσμους του θύματος στη σελίδα Decrypter.


 

Το Locky επίσης θα αλλάξει και την ταπετσαρία στην επιφάνεια εργασίας του υπολογιστή με την παρακάτω:


Μέσα στις σημειώσεις για τα λύτρα είναι οι συνδέσεις για μια τοποθεσία Tor που ονομάζεται Locky Decrypter. Αυτή η σελίδα βρίσκεται στο 6dtxgqam4crv6rr6.onion και περιέχει το ποσό των bitcoins που πρέπει να στείλετε ως πληρωμή, πώς να αγοράσετε τα bitcoins, και τη διεύθυνση bitcoin θα πρέπει να στείλετε την πληρωμή. Μόλις το θύμα στέλνει πληρωμή στην εκχωρημένη διεύθυνση Bitcoin, αυτή η σελίδα θα παρέχει ένα Decrypter που μπορεί να χρησιμοποιηθεί για να αποκρυπτογραφήσετε τα αρχεία σας.

Τονίζουμε φυσικά πως δεν υπάρχει καμία εγγύηση ότι αν πληρώσετε θα αποκρυπτογραφηθούν τα αρχεία σας

 


 

9.Petya

To Petya Ransomware παραλείπει τα αρχεία και κρυπτογραφεί το σκληρό δίσκο σας

Συνήθως, όταν ένας χρήστης μολυνθεί από ένα crypto-ransomware, η μόλυνση κρυπτογραφεί τα αρχεία στο σκληρό δίσκο του θύματος. Αυτό αφήνει το λειτουργικό σύστημα να λειτουργεί σωστά, αλλά με το χρήστη να μην μπορεί να ανοίξει τα κρυπτογραφημένα έγγραφα. Το Petya Ransomware περνάει στο επόμενο επίπεδο με την κρυπτογράφηση τμημάτων του ίδιου του σκληρού δίσκου με τέτοιο τρόπο ώστε να μην είσαστε σε θέση να έχετε πρόσβαση σε οτιδήποτε σχετικά με το σκληρό δίσκο, συμπεριλαμβανομένων των Windows. Αυτή την στιγμή η τιμή για τα λύτρα είναι ~ 0,9 bitcoins και δεν υπάρχει κανένας τρόπος για να αποκρυπτογραφήσετε τον δίσκο σας δωρεάν προς το παρόν.

Το ransomware αυτή τη στιγμή διανέμεται μέσω e-mail που στοχεύει τα τμήματα ανθρώπινου δυναμικού εταιρειών κυρίως στην Ευρώπη. Αυτά τα μηνύματα περιέχουν συνδέσεις Dropbox με υποτιθέμενες εφαρμογές και μόλις γίνει λήψη ενός αρχείου και εκτελεστεί θα εγκατασταθεί το Petya Ransomware στον υπολογιστή. Ένα παράδειγμα ονόματος αρχείου για την εγκατάσταση είναι Bewerbungsmappe-gepackt.exe.

Είναι σημαντικό να σημειωθεί ότι υπάρχει πολλή κακή πληροφόρηση στο διαδίκτυο σχετικά με το πώς το πώς να καθαρίσετε τον υπολογιστή σας, όταν έχει κρυπτογραφηθεί από τον Petya. Πολλά από αυτά τα sites δηλώνουν ότι μπορείτε να χρησιμοποιήσετε την εντολή fixmbr ή επισκευή MBR σας για να αφαιρέσετε τη λοίμωξη. Αν και αυτό θα αφαιρέσει πράγματι την οθόνη κλειδώματος, δεν θα αποκρυπτογραφήσει το MFT του δίσκου σας και έτσι τα αρχεία σας και τα Windows θα εξακολουθεί να μην είναι προσβάσιμα. Επιδιορθώστε το MBR, μόνο αν δεν νοιάζεστε για τυχόν απώλεια δεδομένων και θέλετε να εγκαταστήσετε ξανά τα Windows.


Κατά την εγκατάσταση, To Petya Ransomware θα αντικαταστήσει τις υπάρχουσες πληροφορίες του Master Boot Record του δίσκου εκκίνησης (MBR) με ένα κακόβουλο πρόγραμμα. Το MBR είναι οι πληροφορίες που διατίθενται στην αρχή ενός σκληρού δίσκου που λένε στον υπολογιστή πώς πρέπει να εκκινήσετε το λειτουργικό σύστημα. Στη συνέχεια, θα προκαλέσει επανεκκίνηση των Windows προκειμένου να εκτελέσει το νέο κακόβουλο ransomware που έχει φορτωθεί, η οποία θα εμφανιστεί μια οθόνη που προσποιείται ότι είναι CHKDSK (η διαδικασία ελέγχου των δίσκων) Κατά τη διάρκεια αυτής της ψεύτικο διαδικασίας CHKDSK,  Το Petya θα κρυπτογραφήσει τον πίνακα εκχώρησης στη μονάδα δίσκου. Μόλις το MFT είναι κατεστραμμένο, ή κρυπτογραφημένο σε αυτή την περίπτωση, ο υπολογιστής δεν ξέρει πού βρίσκονται τα αρχεία, ή αν ακόμη υπάρχουν, και έτσι δεν είναι προσβάσιμα.



Μόλις το ψεύτικο CHKDSK έχει ολοκληρωθεί, θα σας παρουσιαστεί μια οθόνη κλειδώματος που εμφανίζει οδηγίες σχετικά με τη σύνδεση σε μια τοποθεσία TOR και ένα μοναδικό αναγνωριστικό που πρέπει να χρησιμοποιήσετε στην ιστοσελίδα για να κάνετε την πληρωμή λύτρων. Μόλις η  πληρωμή λύτρων  γίνει, θα λάβετε έναν κωδικό πρόσβασης που μπορείτε να εισαγάγετε σε αυτήν την οθόνη για να αποκρυπτογραφήσει τον υπολογιστή σας. Όπως έχουμε πει και στις άλλες περιπτώσεις δεν υπάρχει καμία εγγύηση ότι αν πληρώσετε θα πάρετε πίσω τα αρχεία σας.


Όταν πληκτρολογήσετε τον σύνδεσμο σε έναν browser θα δείτε την παρακάτω εικόνα

 


Αμέσως μετά ξεκινάει η διαδικασία για την πληρωμή των λύτρων σε Bitcoin


 

10.Crysis (αποκρυπτογραφήθηκε)

Ο ιος Crysis προερχόμενος από την Ινδία αρχικά προξένησε μόλυνση σε μεγάλο αριθμό συστημάτων. Κύριος τρόπος διάδωσης ήταν μέσω συνημμένων αρχείων σε μηνήματα ηλεκτρονικού ταχυδρομείου που ο χρήστης τα άνοιγε από περιέργεια η μέσω μηνυμάτων που εμφανίζονταν στην οθόνη οτι ο Flash Player χρειάζεται αναβάθμιση.

 

Μόλις ο ιος έμπαινε στο σύστημα σας κρυπτογραφούσε αρχεία με καταλήξεις

.mid, .wma, FLV, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk , .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp , .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp,. brd, .SCH, .dch, .dip, .vbs, .asm, ΠΑΣ, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .Τοποθετήστε, .ms11 (αντίγραφο ασφαλείας), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml,. SXM, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, * .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm , .dotx, .docm, .docx, .dot, .max, .xml, .txt, .csv, .uot, .rtf, .pdf, .xls, .ppt, .stw, .sxw, .ott,. odt, .doc, .pem, .csr, .crt, .key, wallet.dat

Στην συνέχεια άλλαζε την κατάληξη τους με μία από τις παρακάτω. .{mailrepa.lotos@aol.com}.CrySiS, .{TREE_OF_LIFE@INDIA.COM}.CrySiS, .CrySis, .locked, .kraken, .darkness, .nochance, .oshit, .oplata@qq_com, .relock@qq_com, .crypto, .helpdecrypt@ukr.net, .pizda@qq_com, .dyatel@qq_com, _ryp, .nalog@qq_com, .chifrator@qq_com, .gruzin@qq_com, .troyancoder@qq_com, .encrytped, .cry, .AES256, .enc or .hb15.

Ακολουθούσαν τα μηνύματα που βλέπετε με οδηγίες πληρωμής των “λύτρων” σε Bitcoin

Ο ιος μπορεί να αποκρυπτογραφηθεί με το Kaspersky’s Rakhni Decrypter που μπορείτε να κατεβάστε στην παρακάτω διεύθυνση

https://noransom.kaspersky.com/


 


 


 

 


Μισό δισεκατομμύριο e-mail-password στη μαύρη αγορά -ίσως και το δικό σας

Εάν διαπιστώσετε ότι το e-mail σας υπάρχει στις λίστες προς πώληση, τότε θα πρέπει να αλλάξετε password στις πλέον κρίσιμες υπηρεσίες που χρησιμοποιείτε, με πρώτο το λογαριασμό e-mail.

Εκατοντάδες εκατομμύρια χρήστες διαδικτυακών υπηρεσιών, οι οποίες ήταν ιδιαίτερα δημοφιλείς προ 8ετίας, όπως «το Facebook της εποχής», MySpace, ή το LinkedIn, διαπιστώνουν ότι τα στοιχεία τους -διευθύνσεις e-mail, login name και password- διατέθηκαν πρόσφατα προς πώληση, χρόνια μετά την υποκλοπή τους. Εξαναγκάζονται έτσι, να αλλάξουν κωδικούς σε πλήθος δικτυακών τόπων ό,που είναι πιθανό να χρησιμοποιούν ακόμα το ίδιο password.

Τον Μάιο, έγινε γνωστό ότι εκτέθηκαν 164 εκατομμύρια λογαριασμοί ηλεκτρονικού ταχυδρομείου και οι σχετικοί κωδικοί εισόδου στην κυρίαρχη υπηρεσία επαγγελματικής δικτύωσης, LinkedIn. Τα στοιχεία αυτά αφορούν μέλη του LinkedIn που το 2012 είχαν ήδη δημιουργήσει λογαριασμό. Η συντριπτική πλειονότητα των password που υποκλάπηκαν αποκρυπτογραφήθηκαν.

Λίγο αργότερα, επίσης το Μάιο του 2016 βρέθηκαν διαθέσιμα προς πώληση username και password 380 εκατομμυρίων μελών του MySpace το 2008. Στη λίστα που διατέθηκε στην μαύρη αγορά (“Real Deal”) περιλαμβάνονται και τα SHA1 hash των 10 πρώτων χαρακτήρων των κωδικών που μετατράπηκαν σε πεζά και αποθηκεύονταν επίσης χωρίς περαιτέρω πρόνοια για το απόρρητό τους (χωρίς «αλάτι»). Σύμφωνα με τις εκτιμήσεις των ειδικών, αυτή η διαρροή αφορά ανθρώπους που πριν από 8 χρόνια ήταν μέλη του δημοφιλούς τότε κοινωνικού δικτύου, προγενέστερου του Facebook.

Κάποιες υπηρεσίες υποβάλλουν τους κωδικούς εισόδου σε hash, δηλαδή σε αντιστοίχιση με συμβολοσειρές σταθερού μήκους και τους «αλατίζουν», δηλαδή, συνοπτικά θα μπορούσαμε να πούμε ότι στον αλγόριθμο που παράγει το κρυπτογραφημένο password, το hash, έχει πέσει και λίγο «αλατάκι», δηλαδή τυχαία δεδομένα ώστε να αυξηθεί η πολυπλοκότητα της αποκρυπτογράφησης. Το σημαντικότερο πρόβλημα που ανακύπτει μετά από τις διαδοχικές, και ενδεχομένως συνδεδεμένες, ογκώδεις διαρροές στοιχείων είναι ότι αν και πρόκειται για στοιχεία προ 4ετίας ή 8ετίας αντίστοιχα, δεν είναι λίγοι οι χρήστες που συνεχίζουν να χρησιμοποιούν το ίδιο password όχι απαραίτητα για την ίδια υπηρεσία (π.χ. στο LinkedIn, όχι απαραίτητα όμως στο MySpace που εγκαταλείφθηκε λίγα χρόνια αργότερα) αλλά για άλλες, όπως εξηγεί ο Τρόι Χαντα, ένας από τους ειδικούς σε θέματα ασφαλείας που μελετά τα συμβάντα.

Ο Τρόι Χαντ καλεί τους χρήστες να αναζητήσουν στο https://haveibeenpwned.com/ την e-mail διεύθυνσή τους στις λίστες που έχουν τεθεί προς πώληση και εάν την εντοπίσουν, να σπεύσουν να αλλάξουν password.

Εκτός από το LinkedIn και το MySpace, ο ερευνητής προσθέτει ότι την ίδια περίοδο διατέθηκαν προς πώληση και λίστες στοιχείων του 2011 από υποκλοπή στην υπηρεσία γνωριμιών Fling, καθώς και από το Tumblr με στοιχεία του 2013.

Επίσης στην ιστοσελίδα υπάρχει και η λειτουργία για να αναζητήσετε αν ο κωδικός που συνήθως χρησιμοποιείτε έχει βρεθεί να έχει παραβιαστεί. Σε αυτή την περίπτωση θα πρέπει να τον αλλάξετε αμέσως

https://haveibeenpwned.com/Passwords

 

Προσοχή: Ευαίσθητες πληροφορίες μεταδίδονται μέσω του κινητού

Τα ανώνυμα μεταδεδομένα των τηλεφώνων για τις κλήσεις και τα
γραπτά μηνύματα των χρηστών είναι αρκετά για να «προδώσουν» ευαίσθητες προσωπικές πληροφορίες σχετικά με τους χρήστες, όπως αποκαλύπτει -και προειδοποιεί- μια νέα αμερικανική επιστημονική έρευνα.

 

Υπάρχει έτσι πλέον η επιστημονική επιβεβαίωση ότι μια μυστική υπηρεσία, όπως η Υπηρεσία Εθνικής Ασφαλείας (NSA) των ΗΠΑ, μπορεί να μάθει διάφορα «επώνυμα» πράγματα μόνο με την ανάλυση των ανώνυμων δεδομένων, παραβιάζοντας με αυτό τον τρόπο την ιδιωτικότητα των πολιτών.

Τα μεταδεδομένα αφορούν στοιχεία όχι για το ίδιο το περιεχόμενο της
επικοινωνίας, αλλά άλλες πληροφορίες σχετικά με αυτήν. Η σημασία τους άρχισε να γίνεται αντιληπτή το 2013, όταν έγινε γνωστό ότι η NSA τα συλλέγει και τα αναλύει μανιωδώς, χωρίς όμως έως σήμερα να έχει γίνει σαφές τι ακριβώς μαθαίνει από αυτά. Η νέα μελέτη δείχνει ότι μπορεί όντως να μάθει πολλά και ενδιαφέροντα πράγματα.

Οι ερευνητές του Τμήματος Επιστήμης Υπολογιστών του Πανεπιστημίου Στάνφορντ της Καλιφόρνια, με επικεφαλής τον ειδικό σε θέματα κυβερνοασφάλειας Πάτρικ Μούτσλερ, έκαναν τη σχετική δημοσίευση στο περιοδικό της Εθνικής Ακαδημίας Επιστημών (PNAS) των ΗΠΑ.

Οι επιστήμονες διαπίστωσαν ότι τα τηλεφωνικά μεταδεδομένα (αριθμός καλούμενου, χρόνος κλήσης, διάρκειά της κ.α.) μπορούν να αποκαλύψουν το όνομα κάποιου, την τοποθεσία της κατοικίας του και τους ανθρώπους που έρχεται σε επαφή, ενώ μπορούν να
επιτρέψουν βάσιμες εικασίες για άλλες ευαίσθητες πληροφορίες, όπως την κατάστασης της υγείας του ή τα θρησκευτικά πιστεύω του.

Οι ερευνητές χρησιμοποίησαν μια εφαρμογή Android με την ονομασία MetaPhone, για να συλλέξουν μεταδεδομένα από 823 ανώνυμους εθελοντές (με τη συγκατάθεση των τελευταίων), τα οποία αφορούσαν συνολικά περισσότερες από 250.000 κλήσεις και πάνω από 1,2 εκατομμύρια μηνύματα κειμένου.

Οι επιστήμονες κατάφεραν να αποκαλύψουν -μόνο από τα μεταδεδομένα- το 82% των ονομάτων των χρηστών και τα ονόματα όσων ατόμων, οργανώσεων ή εταιρειών αυτοί καλούσαν. Σε μερικές περιπτώσεις βρήκαν από ποιο χρόνιο πρόβλημα υγείας έπασχαν οι «στόχοι», αν είχαν μείνει έγκυοι, αν είχαν μόνιμη ερωτική σχέση, αν κάπνιζαν μαριχουάνα, αν αγόραζαν όπλα κ.α.

Η μελέτη επισημαίνει ότι η μαζική συλλογή και ανάλυση από μυστικές
υπηρεσίες έστω και ανώνυμων στοιχείων για τις επικοινωνίες συνιστά σαφή απειλή για τα προσωπικά δεδομένα των πολιτών, ιδίως όταν συνδυάζεται με δημόσιες πληροφορίες για τους ίδιους ανθρώπους, οι οποίες μπορούν να βρεθούν μέσω Google ή Facebook.

Οι ερευνητές υπογράμμισαν ότι ενώ όσοι συλλέγουν τις πληροφορίες, όπως η NSA, γνωρίζουν πολύ καλά ότι «τα μεταδεδομένα μπορούν να αποκαλύψουν τα πάντα για τη ζώη κάποιου», το κοινό δεν το έχει συνειδητοποιήσει αυτό και έχει μείνει στο σκοτάδι, καθώς το ζήτημα δεν έχει μελετηθεί όσο πρέπει.

Αν μάλιστα ληφθεί υπόψη ότι υπηρεσίες όπως η NSA διαθέτουν πολύ μεγαλύτερες δυνατότητες σε υποδομές και λογισμικό (π.χ. εξελιγμένες τεχνικές μηχανικής μάθησης και τεχνητής νοημοσύνης), σε σχέση με τους απλούς ερευνητές πανεπιστημίων, αντιλαμβάνεται κανείς ότι σχεδόν σίγουρα οι υπηρεσίες αυτές είναι σε θέση να εξάγουν πολύ περισσότερες προσωποποιημένες πληροφορίες από τα μεταδεδομένα.

Γιατί δεν πρέπει να ανεβάζετε στο Facebook ό,τι θέλετε να μείνει κρυφό

 Εάν θέλετε να διατηρήσετε τα προσωπικά σας δεδομένα που ανεβάσατε στο Facebook ασφαλή, θα πρέπει να ξανασκεφτείτε σοβαρά τι ανεβάζετε, ποιοι είναι (και παραμένουν) οι πραγματικοί σας φίλοι, πού κάνετε κλικ στο κοινωνικό δίκτυο, αλλά και πόσο συχνά αλλάζετε τον ισχυρό κωδικό σας.

Μια διαφορετική ματιά στο θέμα της ασφάλειας των προσωπικών δεδομένων που δημοσιοποιούμε μέσω Facebook ρίχνει ο επικεφαλής του τμήματος κυβερνοασφάλειας στο πανεπιστήμιο του Φοίνιξ, Dan Konzen.

Τι έχεις ανεβάσει στο FB; Ο καθηγητής επισημαίνει ότι όλα όσα υπάρχουν στο προφίλ μας είναι πληροφορίες δυνητικά προσβάσιμες από τρίτους. Πρόσφατη έρευνα του πανεπιστημίου έδειξε ότι τουλάχιστον στις ΗΠΑ δύο στους
τρεις ενήλικες κατόχους λογαριασμού στα social media έχουν πέσει θύμα
χάκινγκ (64%).

Απόρρητη προσωπική πληροφορία στο Facebook, όχι όμως δημόσια; Ακόμα κι αν έχουμε επιλέξει να μην δημοσιοποιήσουμε πληροφορίες όπως η
διεύθυνση ή το τηλέφωνό μας, οι πληροφορίες αυτές δεν είναι παρά
κρυμμένες πίσω από κάποια φίλτρα που οι κυβερνοεγκληματίες μπορούν να
προσπεράσουν. Γι’αυτό θα πρέπει να το ξανασκεφτούμε πριν δημοσιεύσουμε οτιδήποτε, είτε δημόσια, είτε σε περιορισμένο κύκλο.

Πόσους φίλους και πόσους «φίλους» έχετε στο Facebook; Επιπλέον,
ο καθηγητής αναφέρεται στους φίλους και συνιστά να αναθεωρήσουμε τη
σχέση που μας συνδέει με κάθε έναν από τους εκατοντάδες διαδικτυακούς
μας φίλους στο μέσο: μπορεί να μην είναι πραγματικοί φίλοι, αλλά
επίδοξοι υποκλοπείς που κατορθώνουν να μας πείσουν για τα φιλικά τους
αισθήματα και έτσι να συλλέξουν προσωπικές πληροφορίες που στα χέρια
τους μας καθιστούν ευάλωτους.

Πού κάνετε κλικ στο Facebook; Ένα ακόμα σημείο στο
οποίο στέκεται ο καθηγητής Konzen, είναι οι αλληλεπιδράσεις μας στο
κοινωνικό δίκτυο, αναφερόμενος ιδιαίτερα στα link που επιλέγουμε να
ακολουθήσουμε: κάθε επιλογή link πρέπει να έχει σαφή σκοπό, διαφορετικά
μπορεί να μας οδηγήσει σε άγνωστα μονοπάτια (με κυριότερο την προσβολή
του συστήματός μας με κακόβουλο λογισμικό).

Επιλέξτε ισχυρό κωδικό, που θα αλλάζετε κάθε τρεις και λίγο: Τέλος,
ο καθηγητής αναφέρεται στη σημασία ενός ισχυρού κωδικού πρόσβασης που
περιέχει κεφαλαία και πεζά γράμματα, τουλάχιστον έναν αριθμό και ένα
σύμβολο. Αντενδείκνυται η χρήση λέξεων ή φράσεων που προκύπτουν από
στοιχεία για τη ζωή (π.χ. eimai30etwn), τις σχέσεις (π.χ. agapotondimitri) ή τα προσωπικά μας στοιχεία (odosmixalakopoulou80). Εκτός από τον ισχυρό κωδικό, ιδιαίτερη σημασία έχει και η συχνότητα αλλαγής του κωδικού αυτού -πρέπει να αλλάζετε τον κωδικό σας αρκετά συχνά για να παραμένετε ασφαλείς.

Στις συστάσεις αυτές να προσθέσουμε την εξαιρετικά μεγάλη σημασία που
έχει η φύλαξη του κωδικού εισόδου σας στην θυρίδα του ηλεκτρονικού σας
ταχυδρομείου, καθώς εκεί καταλήγουν όλες οι ειδοποιήσεις της υπηρεσίας
κοινωνικής δικτύωσης.

Facebook: Έρχεται νέα λειτουργία εντοπισμού ψεύτικων προφίλ!

 
Το δημοφιλές κοινωνικό δίκτυο, Facebook προσθέτει μία ακόμα λειτουργία για την ασφάλεια των χρηστών και πλέον θα μπορεί να τους ειδοποιεί όταν ανακαλύπτει έναν ψεύτικο προφίλ.

Η νέα λειτουργία ασφάλειας του Facebook θα μπορεί να εντοπίζει τα προφίλ που μιμείται το προφίλ κάποιου χρήστη χρησιμοποιώντας το όνομα και την ιδιότητα του, και στη συνέχεια τον ειδοποιεί προκειμένου να το ενημερώσει και να πράξει αναλόγως σε περίπτωση που δεν είναι κάποιος δικός του, δεύτερος λογαριασμός.

Τέλος το Facebook δοκιμάζει από τον Νοέμβριο την νέα λειτουργία αυτή και πλέον είναι έτοιμα να διατεθεί σε ένα μεγάλο ποσοστό των χρηστών του.

Προσοχή: Κακόβουλο λογισμικό χτυπάει μέσω e-mail

Την προσοχή των πολιτών για ένα κακόβουλο λογισμικό, τύπου
«Δούρειος Ιππος», το οποίο εξαπλώνεται μέσω μολυσμένων και ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου «Spam e-mails», εφιστά η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος.

 

Το κακόβουλο αυτό λογισμικό, μπορεί:

  • Να υποκλέπτει πληροφορίες χρηστών (usernames, mails, passwords).
  • Nα λαμβάνει στιγμιαίες εκτυπώσεις της οθόνης (printscreens).
  • Nα αποκτά πρόσβαση στην κάμερα, να κατεβάζει και να εκτελεί αρχεία.
  • Να ενημερώνει την παραμετροποίησή του.
  • Να προωθεί σιωπηλά τις πληροφορίες που έχουν συλλεχθεί σε απομακρυσμένο διακομιστή – εξυπηρετητή (server).
  • Να εισέρχεται στους ηλεκτρονικούς υπολογιστές «καμουφλαρισμένο», σαν κανονικό πρόγραμμα.

Οπως επισημαίνει η Δίωξη Ηλεκτρονικού Εγκλήματος, το λογισμικό τύπου «java archive file» τρέχει στο παρασκήνιο και δημιουργεί κενά ασφαλείας στο σύστημα, παραχωρώντας με αυτό τον τρόπο πρόσβαση σε τρίτους, ενώ για να εκτελεστεί πρέπει στον ηλεκτρονικό υπολογιστή να είναι ήδη εγκατεστημένο το πρόγραμμα «Java Runtime Environment».

Με σκοπό την αποφυγή προσβολής από το προαναφερόμενο κακόβουλο λογισμικό, η Δίωξη Ηλεκτρονικού Εγκλήματος καλεί τους πολίτες να λαμβάνουν τα απαραίτητα μέτρα ψηφιακής προστασίας και ασφάλειας.

Συγκεκριμένα:

  • Να χρησιμοποιούν τείχη προστασίας (firewall), ικανά να αποτρέψουν την είσοδο σε εισερχόμενες συνδέσεις προς υπηρεσίες, που δεν πρέπει να είναι διαθέσιμες δημόσια και να επιτρέπονται μόνο μεμονωμένες υπηρεσίες προς τα έξω.
  • Να χρησιμοποιούν κωδικούς πρόσβασης, η ανάκτηση των οποίων να καθίσταται δύσκολη.
  • Να χρησιμοποιούν ενημερωμένα «αντιικά» προγράμματα προστασίας, γνήσια λογισμικά προγράμματα και να πραγματοποιούν τακτικές αναβαθμίσεις «updates».
  • Να παραχωρούν το χαμηλότερο επίπεδο δικαιωμάτων σε
    χρήστες και προγράμματα, όπου απαιτούνται, προκειμένου να εκτελεστεί μία διεργασία.
  • Να απενεργοποιούν τη λειτουργία «AutoPlay»,
    προκειμένου να παρεμποδίζεται η αυτόματη εκτέλεση αρχείων στο δίκτυο και στους δίσκους καθώς και να ενεργοποιούν την επιλογή ανάγνωσης «read-only» στις περιπτώσεις, που δεν απαιτείται δικαίωμα εγγραφής «write access».
  • Να μην ανοίγουν τα συνημμένα αρχεία των μηνυμάτων ηλεκτρονικού ταχυδρομείου, την προέλευση των οποίων και το περιεχόμενο δεν γνωρίζουν και να ρυθμίσουν το διακομιστή των μηνυμάτων
    του ηλεκτρονικού τους ταχυδρομείου, έτσι ώστε να μην επιτρέπεται η
    είσοδος ή να διαγράφονται αυτόματα τα μηνύματα με συνημμένα αρχεία τύπου exe, .vbs, .jar, .bat, .scr, που χρησιμοποιούνται ευρέως για διάδοση ιών.
  • Να απενεργοποιούν τη δυνατότητα διαμοιρασμού αρχείων, στις περιπτώσεις όπου δεν απαιτείται.
  • Να δημιουργούν ανά τακτά χρονικά διαστήματα αντίγραφα ασφαλείας «backup» των αρχείων της συσκευής τους, σε εξωτερικό μέσο αποθήκευσης

Οι ρώσοι χάκερς ξαναχτυπούν με διορία έως την Πέμπτη

 

Η ομάδα των ρώσων χάκερς που απειλεί με «εισβολή» στα συστήματα ελληνικών τραπεζών έστειλε νέο μήνυμα, το απόγευμα της Δευτέρας.

Σε αυτό, δίνουν διορία έως την Πέμπτη, προκειμένου να τους δοθούν τα λύτρα των 700 bitcoin (250.000 ευρώ) που ζητούν από ελληνικές τράπεζες, προκειμένου να μην «ρίξουν» τα πληροφοριακά τους συστήματα. Να σημειωθεί ότι η πρώτη προθεσμία που είχαν δώσει εξέπνευσε σήμερα.

Η Εθνική Υπηρεσία Πληροφοριών πάντως- που ασχολείται με το θέμα μαζί με τη Δίωξη Ηλεκτρονικού Εγκλήματος αλλά και την Τράπεζα της Ελλάδος- διαβεβαιώνει ότι δεν υπάρχει κανένα πρόβλημα και πως τα συστήματα είναι «θωρακισμένα»  Ποιοι είναι οι χάκερς

Οι χάκερς που απείλησαν την Τράπεζα της Ελλάδος και άλλες δυο ελληνικές τράπεζες ανήκουν στην ομάδα «Armada Colective».

Οι αξιωματούχοι του υπουργείου Προστασίας του Πολίτη κάνουν λόγο για μία πολύ σοβαρή υπόθεση και για το λόγο αυτό την έρευνα ανέλαβε αποκλειστικά το «Εθνικό Cert» της ΕΥΠ.

«Είναι σοβαρή οργάνωση αλλά μέχρι στιγμής δεν μας φοβίζει σε μεγάλο βαθμό. Και αυτό γιατί έκαναν μία επίθεση προσπαθώντας να ρίξουν τις ιστοσελίδες τραπεζών και να εμποδίσουν τις υπηρεσίες να τρέξουν. Μας απείλησαν όμως χωρίς να μας δείξουν κάποιο δείγμα, όπως γίνεται στις πολύ σοβαρές υποθέσεις. Χωρίς δηλαδή να μας αποδείξουν ότι έχουν πρόσβαση σε απόρρητα στοιχεία ή να μας κάνουν να καταλάβουμε ότι έχουν στα χέρια τους κάτι», λέει αρμόδια πηγή.

Η «Armada Colective» είναι μία από τις πιο γνωστές οργανώσεις χάκερ παγκοσμίως που συνηθίζει να απειλεί οικονομικούς στόχους και να ζητά λύτρα σε bitcoins

Η «Armada Colective» είναι μία από τις πιο γνωστές οργανώσεις χάκερ παγκοσμίως που συνηθίζει να απειλεί οικονομικούς στόχους και να ζητά λύτρα σε bitcoins. Πληροφορίες από την ΕΛ.ΑΣ. αναφέρουν ότι τα τελευταία δύο χρόνια έχουν απειλήσει τουλάχιστον 20 τράπεζες σε όλο τον κόσμο. Οι υπηρεσίες ασφαλείας εκτιμούν ότι πρόκειται για την … ελίτ των χάκερς που βρίσκονται σε διάφορα σημεία του κόσμου και επικοινωνούν ηλεκτρονικά για τις επιθέσεις τους.

Στο μήνυμα που απέστειλαν στην ΤτΕ γράφουν ότι «η διορία για την καταβολή λύτρων λήγει τη Δευτέρα (σήμερα). Σε περίπτωση που δεν καταβληθούν 700bitcoins συστημικές ελληνικές τράπεζες θα δεχθούν επίθεση με στόχο την αλλοίωση απόρρητων τραπεζικών στοιχείων».

Με τη συγκεκριμένη ομάδα έχει ασχοληθεί πολλές φορές στο παρελθόν το FBI αλλά και η CIA, ενώ από ελληνικής πλευράς την έρευνα έχει αναλάβει η ΕΥΠ.

Μία από τις πιο εντυπωσιακές επιθέσεις τους έγινε στο δίκτυο του CERN από όπου ζητήθηκαν λύτρα.

Τότε οι χάκερ χτύπησαν τον server μέσω του οποίου λειτουργούσε η ηλεκτρονική αλληλογραφία επιστημόνων που εργάζονται στο πείραμα. Ακόμα και οι «επιστήμονες» που είναι επιφορτισμένοι με την ηλεκτρονική ασφάλεια του CERN έλαβαν πολύ σοβαρά υπόψιν την απειλή γνωρίζοντας με ποιους έχουν να κάνουν και είχε σημάνει τότε συναγερμός.

Η οργάνωση – «φάντασμα» «Armada Colective» χτυπάει τους στόχους της επιλεκτικά.

Συνηθίζει να χρησιμοποιεί αρχικά τη μέθοδο «Distributed Denial ofService attack» (μαζικές επιθέσεις σε μία ιστοσελίδα με σκοπό να βγει εκτός λειτουργίας) για να δείξει τα δόντια της και στη συνέχεια ζητάει λύτρα για να μην συνεχίσει και ολοκληρώσει την επίθεση με κλοπή δεδομένων. 

Το σήμα στην ΤτΕ

Σύμφωνα με πληροφορίες, το Σάββατο έφτασε σήμα στην Τράπεζα της Ελλάδας με απειλή να «χακαριστούν» τρεις μεγάλες ελληνικές Τράπεζες, εφόσον δεν καταβάλλονταν στους επίδοξους χάκερς 700 bitcoin.

Οι ίδιες πληροφορίες ανέφεραν πως το σήμα προερχόταν από τη Ρωσία.

Πηγές από τα τραπεζικά ιδρύματα διευκρίνιζαν πως δεν προκύπτει κανένα ζήτημα ασφάλειας συναλλαγών καθώς η απειλή δεν αφορά υποκλοπή στοιχείων ή λογαριασμών.

Αλλά μαζικά «κλικ» στις ιστοσελίδες των τραπεζών ώστε να «πέσουν» υπό το βάρος της μεγάλης κίνησης.

Ως προειδοποιητικό χτύπημα είχαν προκαλέσει την προηγούμενη Πέμπτη την ολιγόλεπτη διακοπή του internet banking τριών τραπεζών με ομαδικό

Οι χάκερ «βομβάρδισαν» τα ηλεκτρονικά συστήματα των τριών τραπεζών με χιλιάδες ερωτήματα ταυτόχρονα, με αποτέλεσμα να τα μπλοκάρουν πρόσκαιρα. Παράλληλα ζήτησαν λύτρα σε bitcoins, απειλώντας ότι αν οι απαιτήσεις τους δεν ικανοποιηθούν μέχρι σήμερα Δευτέρα 30 Νοεμβρίου, θα επαναλάβουν την επίθεσή τους στα ηλεκτρονικά συστήματα των τραπεζών.

Ωστόσο οι Τράπεζες διαβεβαίωσαν ότι τα συστήματά τους είναι απολύτως θωρακισμένα και ασφαλή.

http://www.thetoc.gr/koinwnia/article/asunithisti-epithesi-se-treis-trapezes-apo-xakers 

Θα ανανεώσετε το antivirus ή θα αρκεστείτε στην ασφάλεια των Windows 10;

 

Κατά την αναβάθμιση των Windows, ελέγχεται εάν παραμένει σε ισχύ η συνδρομή σας σε λογισμικό antivirus και anti-malware. Έτσι κι αλλιώς, ότανα εγκαταστήσετε την αναβάθμιση στα Windows 10, το λειτουργικό θα απεγκαταστήσει την εφαρμογή ασφάλειας, αποθηκεύοντας τις ρυθμίσεις που την αφορούν. Αφού ολοκληρωθεί η αναβάθμιση, και υπό την προϋπόθεση ότι η συνδρομή στο antivirus είναι ενεργή, τα Windows θα εγκαταστήσουν την νεότερη έκδοση του λογισμικού αυτού και θα επαναφέρουν τις ρυθμίσεις του. Διαφορετικά θα πρέπει να πρέπει να εμπιστευτείτε τον Windows Defender των Windows 10 -που φέρεται να είναι επίσης αναβαθμισμένος-, στις αμέτρητες ρυθμίσεις ασφαλείας και απορρήτου στις επιμέρους λειτουργίες των Windows και στο SmartScreen, τον έλεγχο που κάνει ο Edge σε κάθε σάιτ που επισκέπτεστε.

Πάντως ήδη, εταιρείες antivirus προωθούν σχετική ενημέρωση, και καλούν τους χρήστες των προϊόντων τους να ανανεώσουν την συνδρομή τους. Όσοι έχουν ενεργή συνδρομή, καλούνται να κάνουν δωρεάν αναβάθμιση στην νεότερη έκδοση του προγράμματος antivirus, η οποία έχει περάσει την δοκιμασία της συμβατότητας με τα Windows 10. Σας συνιστούμε να επισκεφτείτε τον δικτυακό τόπο της εταιρείας ανάπτυξης του λογισμικού. Εκτός εάν θεωρείτε πως…

Είναι ασφαλή τα Windows 10;

H Microsoft έχει από καιρό επισημάνει κατ’επανάληψη πόσο ασφαλή θα είναι τα Windows 10. Μάλιστα, ο Chris Hallum, ανώτατο στέλεχος μάρκετινγκ της εταιρείας, έχει πει σε συνέντευξή του πως χρήστες και επιχειρήσεις δεν θα χρειαστεί να εγκαταστήσουν πρόσθετο λογισμικό ασφαλείας, επειδή «έχουμε συμπεριλάβει μια πλήρη λύση αντιμετώπισης ιών στα Windows».

Εκτός από τον Windows Defender, η Microsoft έχει κάνει γνωστό ότι έχει
λάβει τα μέτρα της σε πολλαπλά επίπεδα. Χαρακτηριστικό είναι τι κάνει ο Microsoft Edge, ο default browser των Windows 10. Το λεγόμενο
SmartScreen επιθεωρεί τους δικτυακούς τόπους που επισκέπτεται ο χρήστης για να βεβαιώσει ότι δεν κρύβεται κακόβουλο λογισμικό στον κώδικά τους. Επίσης, ο Edge αναλαμβάνει να ενημερώσει αυτόματα τα πρόσθετα στον browser ώστε να προστατεύσει τον χρήστη από κενά ασφαλείας που διαφορετικά θα έμεναν ανοικτά χωρίς τις τρέχουσες ενημερώσεις ασφαλείας. Αυτό θα συμβαίνει για παράδειγμα με το Adobe Flash που βρίσκεται συχνά στην επικαιρότητα για τους λάθος λόγους:

  • Ένα περιστατικό που έχει καταγραφεί αφορά το (προσωρινό) μπλοκάρισμα του Gmail, επειδή ο Edge το θεώρησε ύποπτο.Η δυνατότητα πρόσβασης αποκαταστάθηκε αργότερα.
  • Πρόβλημα έχει επίσης αναφερθεί κατά την δημιουργία εγγράφου στο Google Docs, όταν o Edge δεν «καταλάβαινε» πότε ο χρήστης πατούσε το spacebar. Η Microsoft έχει αναγνωρίσει το πρόβλημα και δεσμεύτηκε να το επιλύσει.
  • Πριν αναβαθμίσετε, καλό θα ήταν να ελέγξετε στον δικτυακό τόπο των εταιρειών ανάπτυξης εάν έχει ελεγχθεί η συμβατότητα των εφαρμογών/apps τους με τα Windows 10.

Προβληματισμό αναμένεται να προκαλέσουν στους χρήστες οι ειδοποιήσεις του Windows Defender για πιθανά κακόβουλο λογισμικό που μπλοκάρεται όταν ο χρήστης ζητήσει να το τρέξει. Κι αυτό καθώς, στα Windows 8/8.1 είναι μάλλον αμφιλεγόμενο το τι θεωρεί ο Defender ως «πιθανά επικίνδυνο».

Top