» »

Izsiljevalski Wildfire zlomljen

Izsiljevalski Wildfire zlomljen

Slo-Tech - Projekt No More Ransomware je uspešno zlomil izsiljevalski virus Wildfire, ki se je širil po zahodni Evropi, zlasti po Belgiji in Nizozemski. Žrtvam tega virusa tako ne bo treba plačati do 1,5 bitcoina (okrog 800 evrov, a so se bili pisci pripravljeni pogajati tudi za nižje cene) za odklep podatkov, temveč lahko to storijo kar sami. Podobne nesnage na internetu kar mrgoli, a je Wildfire vseeno pomemben zaradi dveh točk - ker so se pisci ali bolje rečeno prikrojevalci zelo potrudili, da je okužena elektronska pošta videti verodostojna, in ker so njegovi skrbniki drugi kakor pisci. Širi se namreč ransomware-as-service, kar bi lahko prevedli v najem izsiljevalske programske opreme oziroma franšizo.

Iniciativo No More Ransomware so zagnali Evropol, nizozemska policija, Intel Security in Kaspersky Lab ter na enem mestu nudi informacije, ki so žrtvam v pomoč pri reševanju situacije. No More Ransomware zna odkleniti podatke iz že kar nekaj različnih izsiljevalskih virusov (med drugim Shade, Coinvault, Rannoh, Rakhn), stran pa je dovolj inteligentna, da iz vzorca zaklenjene datoteke sama ugotovi, kdo oziroma kaj nam jo je zagodlo.

Če se vrnemo k Wildfiru, ugotovimo, da so se upravljavci zelo potrudili, s čimer so si "zaslužili" okrog 70.000 evrov. Virus se je širil v elektronskem sporočilu, ki je bilo napisano v tekoči nizozemščini in z ustrezno grafiko, da je bilo videti legitimno. V njem so prejemnika obvestili o domnevno neuspeli dostavljeni pošiljki in mu ponudili dogovor o ponovni dostavi. Povezava v sporočilu je vodila na stran, ki je poskrbela za okužbo.

Toda analize kode je pokazala, da je bila sama koda verjetno napisana nekje v Vzhodni Evropi, ker vsebuje navodila, naj se sistemi v Rusiji in okoliških vzhodnoevropskih in rusko govorečih državah ne okužijo. To ni tako neobičajno, saj si s tem pisci zagotovijo, da jim lokalna policija ne diha preveč za vrat že sama po sebi, temveč morajo k njej potrkati tuji organi pregona. Wildfire je zelo verjetno del ransomware-as-service, kjer lahko vsakdo najame osnovno infrastrukturo ransomwara, ki ga potem prikroji lokalnim potrebam. Pisci programa za to uslugo običajno poberejo 30-40 odstotkov izsiljenih bitcoinov, preostanek pa obdrži najemnik.

12 komentarjev

mtosev ::

super ane
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

Netrunner ::

Zdaj še zlomit avtorje in vse ki so imeli prste vmes.

popster ::

Pa je vsaj ta tool freeware, al moras kupit antivirus namesto plačat ransom? Mi ni prav jasno po obisku te strani..tko malo za šalo

MrStein ::

So zlomili enkripcijo?
Našli tajni ključ? Ključe?
Nekaj tretjega?

C'mon, to bi naj bil tehnični forum...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

tikitoki ::

Za zadnji primer, k sem bral, so ukinili kontrolni server in z njega pobrali kljuce.

Rias Gremory ::

MrStein je izjavil:

So zlomili enkripcijo?
Našli tajni ključ? Ključe?
Nekaj tretjega?

C'mon, to bi naj bil tehnični forum...

Security researchers have uploaded 1,600 decryption keys with more to come to the No More Ransom joint ransomware-busting effort between McAfee and parent company Intel, Kasperksy Labs, Europol's EC3 cybercrime division, and dutch police.

http://www.theregister.co.uk/2016/08/24... (link je v novici btw)
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

Matej_K ::

Lahko bi slo-tech dal kakšno anketo levo glede teh izsiljevalskih virusov, da vidimo koliko jih to sploh prizadane...
... .. .

Seljak ::

Zelo prefinjeno so izsiljevali z tem virusom. Vedno bolj so domiselni in kar precej časa traja,da jih razkrinkajo.

SeMiNeSanja ::

Slaba tolažba. Zlomijo eno varianto, pa se namesto nje pojavi deset novih.
Sicer so s tem pomagali nekaterim prizadetim, ampak iluzorno pa bi bilo pričakovati, da bo enega dne na voljo neko 'univerzalno zdravilo'.

Preventiva je še vedno najbolj pomembna - ne samo glede ramsomware-a ampak na splošno.

MIHAc27 ::

Ja pri nas, ki se ukvarjamo z servisom smo naleteli že na kar nekaj primerov (Na pamet bom rekel okoli 10 letos). Do sedaj smo samo pri enem tudi uspešno odkodirali zadeve, pri drugi pa rešili z recovery programi (ampak na žalost samo stare dokumente, ne aktualnih). Včeraj pa je zadelo še eno podjetje. So za en dan kar ustavili celotno delovanje.

Jaz kamor pridem težim ljudem, naj si vendar delajo kopije. En zunanji disk stane 50€.. če ni veliko podatkov je pa lahko dovolj že ključek za nekaj €... pa se mi zdi, da se jih ne prime prav veliko.

Matej_K ::

Se pravi če me prizadane tak virus, je najbolje odstranit disk iz sistema, ga dati v omaro.
Kupiti nov disk, naložiti nov sistem in z tistim v omari čakati da razbijejo virus?
... .. .

SeMiNeSanja ::

Če imaš backup, se verjetno čez 6 mesecev ne boš trudil še karkoli reševati s tistega starega diska?

Če pa backup nimaš....pa na disku nič življenjsko pomembnega....ja, potem ga ima lahko smisel shraniti in videti, če se ga bo čez čas dalo odkleniti.

Vrag je edino, če so podatki na njemu kritični, ti pa nimaš backup-a....


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Najpopularnejši izsiljevalski virus GandCrab zlomljen

Oddelek: Novice / Kriptovalute
147230 (5292) SeMiNeSanja
»

Petya prizadela vsaj 65 držav

Oddelek: Novice / Kriptovalute
1911559 (9823) opeter
»

Nov kriptovirus Locky na pohodu, napada tudi bolnišnice (strani: 1 2 )

Oddelek: Novice / Kriptovalute
7934575 (30561) misek
»

FBI: izsiljevalskim virusom kar plačajte (strani: 1 2 )

Oddelek: Novice / Kriptovalute
5235337 (29713) Mare2
»

Izsiljevalska virusa Coinvault in Bitcryptor zlomljena, na pohodu že novi

Oddelek: Novice / Kriptovalute
55830 (4921) Markoff

Več podobnih tem