Tag: ransomware

Atak Petya & Mischa

Data publikacji: 28/06/2017, Kamil Frankowicz

Duet Petya & Mischa jest na rynku ransomware od końcówki 2015 roku. Po sukcesie ataku WannaCry, ostatni wariant został wzbogacony o funkcje propagacji wewnątrz sieci za pomocą exploita EternalBlue, PsExec oraz Windows Management Instrumentation Command-line (WMIC).

Wczorajsza kampania uderzyła przede wszystkim w sieci ukraińskie (dostawca energii Ukrenergo, system monitoringu promieniowania elektrowni w Czarnobylu oraz producent samolotów Antonov) oraz rosyjskie.

W przypadku Polski otrzymaliśmy tylko jedno potwierdzone zgłoszenie, lecz innymi kanałami udało się ustalić kilka zainfekowanych firm.

Czytaj więcej

Przystąpienie do projektu No More Ransom

Data publikacji: 11/04/2017, piotrb

No More Ransom logo
Na początku kwietnia tego roku nasz zespół oficjalnie dołączył do projektu No More Ransom walczącego z ransomware’em. Projekt, koordynowany m.in. przez Europol, zrzesza organy ścigania oraz firmy sektora prywatnego z całego świata i umożliwia ofiarom przestępców darmowe odszyfrowanie plików. Naszym głównym wkładem w projekt jest program deszyfrujący pliki, obsługujący rodziny Cryptomix, Cryptfile2 oraz Cryptoshield – które niedawno szczegółowo opisywaliśmy.

Dzięki platformie No More Ransom już ponad 10000 ofiar mogło bezpłatnie odszyfrować pliki, a teraz również i my możemy się przyczynić do zwiększenia tej liczby. Liczymy na owocną współpracę!

Analiza Sage 2.0

Data publikacji: 14/02/2017, Jarosław Jedynak

logo

Wstęp

Sage jest nową rodziną ransomware, wariantem CryLockera. Obecnie jest rozprowadzany przez tych samych aktorów, którzy zazwyczaj rozsyłają Cerbera, Locky’ego oraz Sporę.

Głównym wektorem infekcji jest malspam i złośliwe załączniki. Emaile z kampanii są puste, bez żadnego tekstu i zawierają jedynie plik .zip. W załączniku znajduje się złośliwy dokument programu Word z makrem pobierającym i instalującym ransomware.

Czytaj więcej

Evil: prosty ransomware, napisany w języku JavaScript

Data publikacji: 18/01/2017, Jarosław Jedynak

hacker-1944688_960_720

Evil: prosty ransomware, napisany w języku JavaScript

Wstęp

Evil jest nową odmianą ransomware, którą pierwszy raz zaobserwowaliśmy ósmego stycznia 2017 roku – wtedy został nam zgłoszony pierwszy incydent z nią związany. Było to wtedy zupełnie nowe zagrożenie i nie było na jego temat żadnych informacji dostępnych publicznie. Nie mieliśmy też żadnych próbek do analizy.

Pierwszą działającą próbkę zdobyliśmy dzień później, dziewiątego stycznia. W tym artykule opiszemy w skrócie naszą analizę i wnioski. Od tamtej porty dostaliśmy relatywnie dużo raportów o infekcji, więc istnieje ryzyko, że ta rodzina stanie się większym zagrożeniem w przyszłości.

Evil nie ma żadnego panelu służącego do deszyfrowania (podobnie jak np. CryptoMix) – zamiast tego dostarczany jest adres email twórców, pod który należy się skontaktować.

Czytaj więcej

Analiza techniczna rodziny CryptoMix/CryptFile2

Data publikacji: 04/01/2017, Jarosław Jedynak

skull and crossbones malware

Kampania

CryptoMix to kolejna rodzina ransomware która próbuje zdobyć pieniądze dla swoich twórcow przez szyfrowanie plików ofiar i wymuszanie na nich okupu za odszyfrowanie ich.
Do niedawna była znana bardziej jako CryptFile2, ale z nieznanych nam powodów została rebrandowana i teraz jest rozpoznawalna jako CryptoMix.
Została zaobserwowana niedawno jako malware serwowane przez Rig-V exploit kit.

Ten malware wyróżnia się na tle innych popularnych odmian, ale niekoniecznie pozytywnie.

Czytaj więcej

TorrentLocker: złośliwa faktura za telefon

Data publikacji: 24/10/2016, Paweł Srokosz

Na początku października otrzymaliśmy zgłoszenie o kolejnej kampanii spamowej, wymierzonej w klientów sieci Play i dystrybuującej oprogramowanie ransomware. Rozsyłane maile mają postać fałszywych faktur, z załączonym skryptem JS, który pobiera i uruchamia złośliwe oprogramowanie, znane pod nazwą TorrentLocker (określanym również jako Crypt0L0cker).

Czytaj więcej

Grupa Pocztowa

Data publikacji: 14/10/2015, Łukasz Siewierski

Podczas konferencji SECURE zaprezentowaliśmy nasze ustalenia dotyczące działalności grupy przestępczej, którą nazwaliśmy „Grupą Pocztową” ze względu na ich modus operandi. Szczegółowe ustalenia dotyczące tej grupy zebraliśmy również w formie raportu dostępnego pod poniższym linkiem.Czytaj więcej

Slave, Banatrix i maile od Poczty Polskiej

Data publikacji: 03/07/2015, Łukasz Siewierski

loveletter1W marcu 2015 firma S12sec poinformowała o nowym koniu trojańskim atakującym użytkowników polskiej bankowości elektronicznej. Nazwali to zagrożenie “Slave”, wywodząc nazwę z jednej ze ścieżek do dołączonych bibliotek, którą znaleźli w analizowanej próbce. W tym artykule postaramy się przedstawić nasze nowe ustalenia na temat tego złośliwego oprogramowania. Jesteśmy również przekonani (częściowo dzięki informacjom zawartym na kernelmode.info), że oprogramowanie to zostało napisane przez tego samego autora (bądź grupę autorów) co wcześniej opisywany przez nas Banatrix czy kampania mailowa, rzekomo od Poczty Polskiej, zawierająca oprogramowanie typu ransomware. Oznacza to, że autorami tego oprogramowania jest najprawdopodobniej osoba lub grupa osób pochodząca z Polski.

Czytaj więcej

12