• Narzędzie do odzyskania plików zaszyfrowanych Mapo ransomware

    Article thumbnail

    W toku analizy incydentu zaszyfrowanych plików w systemach informatycznych gminy Kościerzyna, otrzymaliśmy od poszkodowanych próbkę z plikiem wykonywalnym złośliwego oprogramowania szyfrującego o nazwie Mapo. Po przystąpieniu do szczegółowej analizy technicznej udało nam się zidentyfikować błąd w procesie generowania kluczy szyfrujących. Pozwoliło nam to na ich odzyskanie bez konieczności płacenia okupu …

    Czytaj więcej
  • Trojan oraz ransomware w kampanii podszywającej się pod InPost

    Article thumbnail

    Przez kilka ostatnich dni obserwujemy kampanię e-mailową, w której fałszywi nadawcy podają się za firmę kurierską InPost. Wiadomości informują o przesyłce gotowej do odbioru w jednym z paczkomatów. Adres paczkomatu oraz pin potrzebny do odbioru przesyłki ma być dostępny po pobraniu pliku z linku widocznego w wiadomości. Do tej pory …

    Czytaj więcej
  • Narzędzie do odzyskiwania klucza szyfrującego ransomware’u Vortex

    Article thumbnail

    Pod adresem https://nomoreransom.cert.pl/vortex udostępniamy Państwu narzędzie, które może pomóc odzyskać klucz szyfrujący ransomware’u Vortex (znanego także jako Flotera lub Polski Ransomware). Narzędzie jest skuteczne w odniesieniu do części kampanii obserwowanych w 2017 i 2018 roku. Vortex dystrybuowany był za pośrednictwem licznych, analizowanych przez CERT Polska …

    Czytaj więcej
  • Atak Petya & Mischa

    Article thumbnail

    Duet Petya & Mischa jest na rynku ransomware od końcówki 2015 roku. Po sukcesie ataku WannaCry, ostatni wariant został wzbogacony o funkcje propagacji wewnątrz sieci za pomocą exploita EternalBlue, PsExec oraz Windows Management Instrumentation Command-line (WMIC). Wczorajsza kampania uderzyła przede wszystkim w sieci ukraińskie (dostawca energii Ukrenergo, system monitoringu promieniowania elektrowni …

    Czytaj więcej
  • WannaCry Ransomware

    Article thumbnail

    WannaCry (inne nazwy WCry, WannaCrypt, WanaCrypt0r) jest bardzo skutecznym w swoim działaniu złośliwym oprogramowaniem typu ransomware, które 12 maja swoim zasięgiem objęło ponad 100 krajów i 200 tysięcy komputerów z systemem operacyjnym Windows. Ofiarami padły takie instytucje jak: brytyjska służba zdrowia, Nissan, Telefonica, FedEx, rosyjskie banki i koleje państwowe, indyjskie …

    Czytaj więcej
  • 11 kwietnia 2017 piotrb #ransomware

    Przystąpienie do projektu No More Ransom

    Article thumbnail

    Na początku kwietnia tego roku nasz zespół oficjalnie dołączył do projektu No More Ransom walczącego z ransomware’em. Projekt, koordynowany m.in. przez Europol, zrzesza organy ścigania oraz firmy sektora prywatnego z całego świata i umożliwia ofiarom przestępców darmowe odszyfrowanie plików. Naszym głównym wkładem w projekt jest program deszyfrujący pliki …

    Czytaj więcej
  • Analiza Sage 2.0

    Article thumbnail

    Wstęp Sage jest nową rodziną ransomware, wariantem CryLockera. Obecnie jest rozprowadzany przez tych samych aktorów, którzy zazwyczaj rozsyłają Cerbera, Locky’ego oraz Sporę. Głównym wektorem infekcji jest malspam i złośliwe załączniki. Emaile z kampanii są puste, bez żadnego tekstu i zawierają jedynie plik .zip. W załączniku znajduje się złośliwy dokument …

    Czytaj więcej
  • Evil: prosty ransomware, napisany w języku JavaScript

    Article thumbnail

    Evil: prosty ransomware, napisany w języku JavaScript Wstęp Evil jest nową odmianą ransomware, którą pierwszy raz zaobserwowaliśmy ósmego stycznia 2017 roku – wtedy został nam zgłoszony pierwszy incydent z nią związany. Było to wtedy zupełnie nowe zagrożenie i nie było na jego temat żadnych informacji dostępnych publicznie. Nie mieliśmy też żadnych …

    Czytaj więcej
  • Analiza techniczna rodziny CryptoMix/CryptFile2

    Article thumbnail

    Kampania CryptoMix to kolejna rodzina ransomware która próbuje zdobyć pieniądze dla swoich twórcow przez szyfrowanie plików ofiar i wymuszanie na nich okupu za odszyfrowanie ich. Do niedawna była znana bardziej jako CryptFile2, ale z nieznanych nam powodów została rebrandowana i teraz jest rozpoznawalna jako CryptoMix. Została zaobserwowana niedawno jako malware …

    Czytaj więcej
  • TorrentLocker: złośliwa faktura za telefon

    Article thumbnail

    Na początku października otrzymaliśmy zgłoszenie o kolejnej kampanii spamowej, wymierzonej w klientów sieci Play i dystrybuującej oprogramowanie ransomware. Rozsyłane maile mają postać fałszywych faktur, z załączonym skryptem JS, który pobiera i uruchamia złośliwe oprogramowanie, znane pod nazwą TorrentLocker (określanym również jako Crypt0L0cker). Opis zagrożenia TorrentLocker jest szeroko rozpowszechniany w licznych …

    Czytaj więcej