Šta je novo?
Od:
Filteri

OPREZ! CryptoWall virus koji enkriptuje fajlove

E jbga onda sve legalno, ne otvarati mail attachment-e, a na internet iz virtuelne Linux mašine :(
 
Qubes pa virtuelne mašine za svaku stvar.
 
Dark Magician je napisao(la):
U smislu da ne vidiš da su enkriptovani. Nego ih najobičnije otvaraš/zatvaraš.
Ako razumeš na šta sam mislio.
Kliknite za proširenje...
Ne baš. Enkriptovani c/c++ file više nije tekstualni, već je postao binarni. Ako iz text editora otvoriš takav file, dobićeš gomilu smeća. Isto važi i za jpg, png, pdf, doc itd... Enkriptovani su potpuno nečitljivi u aplikacijama koje rade sa takvim fajlovima.
 
@seizmos, kako pristupas NASu shareovima?

Za pocetak obavezan user/pass za pristup share-u, ugasen guest mode.
Po mogucstvu, jedan user/pass par samo sa readonly pristupom file systemu i drugi s kojim imas r/w. Koristis Readonly po defaultu. Kad ti zatreba write access, logujes se s tim u/p. Kad zavrsis, vratis read only.
Uzmimo u obzir da se ne bi logovao sa rw ukoliko bi primetio nesto sumnjivo na svom kompu.

Ukoliko bi koristio neki 3rd party software za pristup share-u umesto Win defaulta, sanse su mnogo manje.
Dodatna zastita - offline backup.
 
cyBerManIA, hvala na uputima, definitivno mora tako kako si naveo, nema vise opustanja, a takva svakodnevna upotreba realno postaje naporna. Pa se opet dodje na to, kolika kolateralna steta vreba nista tesko ne treba da bude da se preduzme da se izbegne.
 
zeljko je napisao(la):
Pisano u zacetku teme, 99.999% je nova verija u pitanju kod koje nema leka osim placanja
proveri sistem restore sa shadow copy ali kazem 99.9999% mrka kapa
Kliknite za proširenje...

Hvala na predlogu, shadow vratio sa C sve, na žalost, većina fajlova je bila na D particiji.
 
zechs je napisao(la):
E jbga onda sve legalno, ne otvarati mail attachment-e, a na internet iz virtuelne Linux mašine :(
Kliknite za proširenje...
Све мејлове које користим проверим као webmail и обришем све што ми није познато, углавном 90% мејлова. Ако је мејл познат и има атачмент, обавезно је да знам да је тај неко послао нешто па тек онда отварам.
А све ово је небитно пошто ионако користим реалан линух и за интернет и за остало. ;)
 
Dark Magician je napisao(la):
U smislu da ne vidiš da su enkriptovani. Nego ih najobičnije otvaraš/zatvaraš.
Ako razumeš na šta sam mislio.
Kliknite za proširenje...
Kapiram te, ali ne primeti se razlika jer na telefonu ne znas kako bi izgledalo da je skroz transparentno.. a dovoljno je brzo pravljenje nekriptovane kopije i cuvanje novog enkriptovanog fajla jer su sitni.
Ali nije transparentno.
Zeljko, moze se izvuci kljuc pod uslovom da ga stalno ima u memoriji, medjutim pravi virus ce praviti razlicite kljuceve za razlicite fajlove, cuvati u enkriptovanom fajlu, a samo master key (koji ce biti asimetrik, ne simetrik) cuvati u registry-u.
U toj situaciji ti trebas primetiti da su fajlovi modifikovani i stici da im svima pristupis i kopiras u nemodifikovanom stanju pre nego sto on primeti da ti to radis :D

Inace, neko rece kao da je industrija ovo uradila - ne bi me cudilo ;)
 
zechs je napisao(la):
Naleteh na ovo...kome treba ili hoce da eksperimentise :p
https://github.com/googulator/teslacrack
Kliknite za proširenje...

Ako je ovaj tool dovoljno pametan da ima tempiranu bombu, i eventualno on the fly decryption, nije valjda da je dovoljno glup da koristi AES-ECB ili neki slican mod kod koga se toliko lako known bytes koristi za nalazenje kljuca??
(da, AES-ECB ili bilo koji block cipher u obicnom ECB modu je toliko lako krekovati, da sam i ja to uradio, a ja nisam haker u timu :))

BTW, ako bilo koji ransomware ima on the fly decryption kroz driver, taj driver ce biti vidljiv u listi file system filtera, koju je jako lako videti i ne moze se sakriti. U cmd.exe kucajte samo "FLTMC" i vidite da li ima nekog cudnog naziva filtera.
FileInfo je Windowsov neki glupi filter ni za sta (ali samo jedan se sme naci u listi!), luafv (ili nesto slicno) je virtualizacioni filter Windowsa koji nije uvek aktivan (ako nema redirekcije za matorije programe, tj. iskljucena je, filter nece biti aktiviran) i to je to otprilike od standardnih.
Onda ima filtera antivirusa, ali njih ima prs i pleva da se pominju ovako.

U svakom slucaju, ako koristi driver neki - bice u toj listi. Sansa da koristi je doduse ravna nuli. Jer driver u x64 Windowsu mora biti potpisan, pa bi sistem pao da pokusa da podigne takav driver ;) A da je potpisan, MS bi odavno revoke-ovao sertifikat kojim je driver potpisan, pa opet ne bi mogao da se loaduje.
 
Blokirao bih na mail serveru (koji ja ne odrzavam), da stizu zip attachmenti koji nisu password zakljucani. U pitanju je sendmail, da li neko ima ideju jel to izvodljivo i kako?

Mislim da bi mi ovo resilo 99% problema s ovim virusom.
 
Poslednja izmena:
Googlam i nema sansi da pronadjem ista slicno ovom sto ja trazim.
Znaci ovo je stvar koja resava 99% problem sa virusima preko mejla, prosto ne mogu da verujem...
 
E ovo ako se ne primeti....
 
Googlam i nema sansi da pronadjem ista slicno ovom sto ja trazim.
Znaci ovo je stvar koja resava 99% problem sa virusima preko mejla, prosto ne mogu da verujem...
Kliknite za proširenje...

Jel koristis neki content filter uz sendmail, recimo amavis?

Ako da, ubaci negde u config fajl za amavis:

$banned_filename_re = new_RE(
qr'.\.(bat|exe|scr)$'i,
qr'^\.(exe|zip|rar)$'i,
);

Ovo ce da blokira bat, exe, zip i rar
 
salac je napisao(la):
Jel koristis neki content filter uz sendmail, recimo amavis?

Ako da, ubaci negde u config fajl za amavis:

$banned_filename_re = new_RE(
qr'.\.(bat|exe|scr)$'i,
qr'^\.(exe|zip|rar)$'i,
);

Ovo ce da blokira bat, exe, zip i rar
Kliknite za proširenje...

Ok kapiram za generalno blokiranje fajlova to je ok ali.

Moja ideja je bila (i cudim se kako to da niko nije uradio vec) da pusta zip sa passwordom a da brise svaki zip/rar/druga arhiva koja nema password. Dakle samo to bi me sacuvalo od 99% napada, bez da ikad i dodje do antivirusa.
 
Poslednja izmena:
Bilo je i virusa koji su se tako propagirali - dobijes arhivu sa passwordom u attachment-u sa virusom a password je isao u gif-u koji se nalazio u samom mailu.
 
Da ali je verovatnoca mnogo manja da se tako nesto salje, a ako se salje mala da se isti i pokrene, ako se ipak pokrene je tu antivirus, ako i njega prodje, tu je zabrana pokretanja iz appdata. Nista nije tako dobro kao slojevita odbrana.
 
Poslednja izmena:
Eh sad.... onda imas personalni AV i za ove lockere, u cemu je razlika?

Btw meni mladje kolege prosledjuju nove i nove verzije tih famoznih lockera, ja pravim antivirus sigove i onda ih oni snime u ClamAV, pa tako resavamo problem.
 
CLAMAV ih nema sam u bazi ? OMG pa cemu sluzi onda...
 
Nesto ima, nesto nema, novije i novije varijante se stalno pojavljuju, tako da sta god prodje manuelno biva ubaceno. Nije idealno ali bolje i to nego da se ceka sat ili dva na update.
 
Koji clamav koristite ? (znam da pre nije imao real time scaner)
 
Koristimo ga samo za mail i proxy servere.
 
salac je napisao(la):
Eh sad.... onda imas personalni AV i za ove lockere, u cemu je razlika?

Btw meni mladje kolege prosledjuju nove i nove verzije tih famoznih lockera, ja pravim antivirus sigove i onda ih oni snime u ClamAV, pa tako resavamo problem.
Kliknite za proširenje...

Kako mislis u cemu je razlika?
Branim se na sve nacine, sam antivirus nije 100% garancija, pogotovo kad je u pitanju cryptolocker. Sto vise slojeva zastite to bolje. Inace na mejl nikad ne stize on nego razni trojanci koji ga posle ubace.
 
Prosto ne vidim zasto bi propustao samo enkriptovane zipove a sekao obicne. I jedni i drugi mogu da sadrze i zlonamerni kod i normalne fajlove.

Ako se vec ide pravcem totalne zabrane odredjenih ekstenzija fajlova bolje je ubiti svaki .js koji dolazi nego sve zipove. Zar nisi primetio da stizu i rar-ovi?

edit: da pojasnim - content filter na mail serveru raspakuje arhivu iz maila (zip/rar/sta god), vidi da je unutra .js, blokira njegovu isporuku i cao.
 
Poslednja izmena:
Kako ide zaraza preko doc ili docx filova samo preko macro-a ili koriste neki exploit word-a?
 
Morate se prijaviti ili registrovati da odgovorite ovde.
Nazad
Vrh Dno