Κάθε εβδομάδα λαμβάνουμε αρκετά αιτήματα απο επιχειρήσεις που χρειάζονται αποκρυπτογράφηση αρχείων Dharma cezar, ένα Ransomware το οποίο τον τελευταίο μήνα έχει κρυπτογραφήσει τα αρχεία πολλών επιχειρήσεων και ζητάει λύτρα 3000$ – 8000$ σε Bitcoin.

dharma cezar ransomware case studies ransomware experts negotiation decrytpion hacker

Θα υπενθυμίσουμε για μία ακόμα φορά οτι για το συγκεκριμένο Ransomware δεν έχει βρεθεί ακόμα λύση, οπότε οι επιλογές που υπάρχουν για το χρήστη είναι οι παρακάτω:

  1. Να γίνει απόπειρα ανάκτησης αρχείων απο το εργαστήριο ανάκτησης δεδομένων της TicTac (δυστυχώς χωρίς ιδιαίτερα καλά αποτελέσματα, μιας και υπάρχουν αρκετές εγγραφές πάνω στα αρχεία και έχουμε ανάκτηση κάποιων εγγράφων και φωτογραφιών σε ελάχιστο ποσοστό)
  2. Να κλωνοποιήσετε τους δίσκους σας και να περιμένετε να βρεθεί λύση ή να δωθούν ελεύθερα στην αγορά τα κλειδία (χωρίς φυσικά να ξέρουμε πότε και εάν θα συμβεί αυτό)
  3. Να πληρώσετε τα λύτρα στον εκβιαστή Hacker με την ελπίδα οτι θα παραλάβει τα χρήματα σας (τα οποία πληρώνονται σε Bitcoin) και θα φιλοτιμηθεί να σας στείλει τη λύση και το κλειδί αποκρυπτογράφησης, πράγμα που δεν συμβαίνει συχνά αν δεν γίνει καλός χειρισμός

Την περασμένη εβδομάδα αναλάβαμε δύο υποθέσεις απελπισμένων επιχειρηματιών οι οποίοι μολύνθηκαν με τον Dharma (.cezar) που μπήκαν στη διαδικασία να πληρώσουν τα λύτρα καθώς δεν είχαν άλλη επιλογή.

Επιτυχημένη Υπόθεση: Ransomware στην περιοχή της Λάρισας

Η μία υπόθεση μας ήρθε απο την ευρύτερη περιοχή της Λάρισας όπου επιχειρηματίας βρέθηκε να έχει κρυπτογραφημένα αρχεία με τον Dharma (.cezar) και ο κεντρικός του υπολογιστής περιείχε τόσο τη βάση δεδομένων των προγραμμάτων του όσο και πολύ σημαντικά αρχεία για τη λειτουργία της επιχείρισης του.

Ο Hacker χρησιμοποιούσε το Email: decryptdata@qq.com για την επικοινωνία του.

Δυστυχώς ακόμα και τα Backup αρχεία είχαν επίσης κρυπτογραφηθεί απο τον Ransomware ιό Dharma cezar.

Το ποσό των λύτρων για τον Χακερ ανήλθε περίπου στα 5000€ και με τον καλό χειρισμό της ομάδας μας έγινε μια ουσιαστική μείωση στα λύτρα, δόθηκαν άμεσα στον πελάτη οδηγίες και καθοδήγηση στο πώς μπορεί να αγοράσει την ίδια μέρα το απαραίτητο ποσό και καθοδηγήσαμε στην διαδικασία αποστολής των λύτρων στον Χάκερ.

Η όλη διαδικασία διήρκησε περίπου 48 ώρες και πάρθηκαν οι κατάλληλες προφυλάξεις πριν και κατα τη διάρκεια της αποκρυπτογράφησης, αλλά και μετά απο αυτή.

Επιτυχημένη Υπόθεση: Ransomware σε λογιστικό γραφείο στη Στερεά Ελλάδα

Άλλο ένα περιστατικό μας ήρθε απο τη Στερεά Ελλάδα σε ένα πλήρως μηχανογραφημένο λογιστήριο το οποίο έπεσε θύμα του Dharma cezar όπου όλα τα αρχεία είχαν κρυπτογραφηθεί με την επέκταση .adobe

O Hacker χρησιμοποιούσε το Email: sasutemul1972@aol.com για την επικοινωνία του.

Ο επιχειρηματίας είχε άγνοια των κινδύνων που υπάρχουν στις μέρες μας με τα Ransomware και ήταν απελπισμένος με ιδιαίτερη ψυχολογική φόρτιση.

Απο την βάση δεδομένων μας διαπιστώσαμε οτι με το χειρισμό μας σε τέτοιες περιπτώσεις μπορούμε να βοηθήσουμε και είχαμε καλά ποσοστά καλής συνεργασίας και διαπραγμάτευσης με τους εκβιαστές Hackers.

Η διαδικασία προχώρησε και εντός περιπου 36 ωρών συνεχόμενης εργασίας, συντονισμού και διαπραγμάτευσης καταφέραμε να βοηθήσουμε στην “επιτυχημένη” αποκρυπτογράφηση μετά την πληρωμή των λύτρων.

Κακή έκβαση σε Ransomware στην Πάτρα, καθώς ο χάκερ δεν παρέδωσε το κλειδί

Μια υπόθεση του ίδιου τυπου Ransomware μας ήρθε απο την Πάτρα και δεν είχε αίσιο τέλος δυστυχώς, καθώς ο πελάτης απευθύνθηκε στην εταιρία TicTac Data Recovery αφού είχε ξεκινήσει συνομιλίες με τον Χάκερ και διαπιστώσαμε οτι δεν έκανε καλό χειρισμό στην επικοινωνία του.

Όταν ζητήσαμε να μας παραθέσει την επικοινωνία που είχε με τον χάκερ εντοπίστηκαν σοβαρές παραλήψεις στο πρωτόκολλο μας και ενημερώσαμε τον πελάτη οτι μάλλον δεν θα έχει καλή έκβαση και δεν αναλάβαμε.

Αποφασίσαμε να μην αναλάβουμε την υπόθεση καθώς διαπιστώσαμε λάθος χειρισμούς οι οποίοι λαμβάνοντας τα στατισικά απο την βάση μας, έδειχναν ένα μοτίβο επικοινωνίας το οποίο δεν θα έχει καλό τέλος.

Η ομάδα της TicTac Data Recovery αποφάσισε να μην εμπλακεί στην υπόθεση και ενημερώσαμε τον πελάτη οτι δεν θα ηταν συνετό να πληρώσει τα λύτρα.

Ο πελάτης τελικά ταλαιπωρήθηκε στην εύρεση των Bitcoin, καθώς δεν διέθετε τη γνώση να διαχειριστεί κρυπτονομίσματα και πλήρωσε τα λύτρα μετά απο 10 ημέρες απο την επίθεση.

Δυστυχώς επαληθεύτηκαν οι φοβίες μας και ο χάκερ μετά την πληρωμή των λύτρων έχει εξαφανιστεί και μάθαμε οτι δεν απαντάει πλέον στα μηνύματα.

Αν έχετε μολυνθεί με Dharma Cezar και έχουν κρυπτογραφηθεί τα αρχεία σας επικοινωνήστε άμεσα με την εταιρία ανάκτησης δεδομένων TicTac για να σας δώσουμε τις πρώτες οδηγίες ακόμα και αν δεν συνεργαστούμε.

Πρόληψη απο Ransomware ιούς όπως ο Dharma Cezar

Σε κάθε περιστατικό συστήνουμε μετά την διεκπεραίωση της υπόθεσης 3 πολύ σημαντικές τακτικές

  • Το TicTac Data Recovery as a Service: Cloud Backup απο την εταιρία μας
  • Να πραγματοποιηθεί Penetration Test (Έλεγχος παρείσδυσης) στο εταιρικό δίκτυο
  • Συμβόλαιο ασφάλισης Κυβερνοεπιθέσεων – Cyber Security Insurance απο την εταιρία IQ Brokers

Επικοινωνήστε μαζί μας για να ενημερωθείτε, καθώς οι επιθέσεις Ransomware ολοένα και αυξάνονται.