OPREZ! CryptoWall virus koji enkriptuje fajlove

[yooyo]

Napad je iz više faza. Prva faza je da se neki vode u nečemu izvrši pa će dalje da preuzme ostale komponente, koje će se instalirati u sistem. Taj inicijalni code je prilično bezazlen je mnogo aplikacija skida nešto sa interneta.
Čak i zaključani ZIP ili rar može da ima inficirani docx sa makro-om.

 

[salac]

Ja te zarazene docove nisam ni video, kapiram da ih je sve poskidao AV na mailu. Prolazile su mi samo arhive sa javaskriptovima.

 

[alex303]

Napad je iz više faza. Prva faza je da se neki vode u nečemu izvrši pa će dalje da preuzme ostale komponente, koje će se instalirati u sistem. Taj inicijalni code je prilično bezazlen je mnogo aplikacija skida nešto sa interneta.
Čak i zaključani ZIP ili rar može da ima inficirani docx sa makro-om.

Ako je to tako, zar nebi svaki firewall koji ima aplication control trebao da spreci dovlacenje ostatka komponenti sa neta?

 

[yooyo]

Šta ako aplikacija koja ima dozvolu na firewallu ima i rupu koju virus koristi da skine ostatak?

 

[KurtK]

Prosto ne vidim zasto bi propustao samo enkriptovane zipove a sekao obicne. I jedni i drugi mogu da sadrze i zlonamerni kod i normalne fajlove.

Ako se vec ide pravcem totalne zabrane odredjenih ekstenzija fajlova bolje je ubiti svaki .js koji dolazi nego sve zipove. Zar nisi primetio da stizu i rar-ovi?

edit: da pojasnim - content filter na mail serveru raspakuje arhivu iz maila (zip/rar/sta god), vidi da je unutra .js, blokira njegovu isporuku i cao.

Ovo je super ako content filter moze da raspakuje proveri sta ima unutra i ubije je. To je ono sto mi treba. Posto sam direktno ostale stvari zabranio vec.

Sa druge strane enkriptovanu arhivu svejedno ne moze sistem da otvori i proveri. Ne vidim rizik od iste, jer je vrlo mala verovatnoca i da ce je takvu slati niti da ce je klijent otvarati. A hocu da ostavim mogucnost da saljem/primam (kriptovane) arhive.

Btw svejedno pricam i o rar/zip isti mi je to djavo. Verovatno cu u privremeno zip da blokiram dok ne resim to.

 

[salac]

Pa samo ubaci js u ono sto sam poslao ranije, recimo

qr'.\.(exe|vbs|pif|scr|bat|cmd|com|cpl|js)$'i

Ovo vidim da su podesili da stoji na nekom random mail serveru.

 

[S22]

Pojavila se nova forma virusa koja enkriptuje hard disk, Petya: http://www.techspot.com/news/64271-new-form-ransomware-uses-disk-level-encryption-lock.html
Brise MBR nakon čega se javlja sistemska greska i resetovanje računara i pocinje enkripcija MTF-a, vrlo nezgodno.

 

[alex303]

Šta ako aplikacija koja ima dozvolu na firewallu ima i rupu koju virus koristi da skine ostatak?

Mislio sam da se blokira sve sto je nepoznato i sto pokusava da se nakaci na net iz gore spomenutih lokacija. Ako neki tmp, dll, ili exe file koji se nalazi u %windir% ili %windir%\temp trazi izlaz na net zasto bi mu ja to dozvolio? Isto vazi i za fajlove u AppData. Ovo sto si ti rekao ima smisla samo ako virus koristi svchosts.exe, explorer.exe ili neke druge sistemske fajlove. Ali svaki firewall detektuje promenu checksuma fajla koji je promenjen a nalazi se na whitelisti. Isto tako firewall se buni ako svchosts.exe pokusava da pokrene neku aplikaciju koja trazi izlaz na net.

 

[peja]

da nije to ovo mozda :

https://labs.bitdefender.com/2016/03/combination-crypto-ransomware-vaccine-released/

Ne pominje se da štiti od CryptoWall-a?

 

[Batke]

slusaj ovako, prica je vrlo komplikovana i dugacka, obzirom da svaka od ovih napasti dolazi u nekoliko verzija ( koje se unapredjuju svakodnevno zato sto su pocele da donose velike zarade ).

potpunu zastitu neces nigde naci ( ovo ti je sigurno jasno ), a i ove koje dolaze gadjaju samo prethodne varijante.

JEDINI nacin da sacuvas podatke ( nazalost ovo ce vaziti, verovatno, vrlo dugo ) je bekap na vise nivoa.
Znam da je zamoran posao ali eto, tako je.
Verovatno si procitao , skoro su bile pogodjene i dve bolnice u USA. Navodno je jedna imala sve moguce dostupne vrste zastita,filtera, itd.

Sad, nisam ti rekao nista sto vec nisi znao. Evo i par clanaka o ransomeware-u:
https://heimdalsecurity.com/blog/security-alert-teslacrypt-4-0-unbreakable-encryption-worse-data-leakage/
na ovom blogu se moze naci dosta korisnih i aktuelnih informacija.

mozda je bilo ali evo opet jedan tool za dekripciju :

http://www.talosintel.com/teslacrypt_tool/

Takodje i spominjani Malwarebytes Anti-Ransomware Beta ( CryptoWall4 zastita ):

https://forums.malwarebytes.org/topic/177751-introducing-malwarebytes-anti-ransomware-beta/



http://www.securityweek.com/vaccine-available-ctb-locker-locky-teslacrypt


i jedan clanak iz novembra 2015 godine, ima zanimljivih navoda :

https://blog.fortinet.com/post/keeping-pace-with-cryptowall

 

[wwwz]

Ne pominje se da štiti od CryptoWall-a?

Drugi pasus, prva rečenica:

“The new tool is an outgrowth of the Cryptowall vaccine program, in a way.” Chief Security Strategist Catalin Cosoi explained.

Mada, mislim da ću ja da instaliram CryptoPrevent...

 

[Kimins]

Pojavila se nova forma virusa koja enkriptuje hard disk, Petya: http://www.techspot.com/news/64271-new-form-ransomware-uses-disk-level-encryption-lock.html
Brise MBR nakon čega se javlja sistemska greska i resetovanje računara i pocinje enkripcija MTF-a, vrlo nezgodno.

Izgleda da se pojavilo i rešenje za ovaj tip
http://arstechnica.com/security/201...re-that-took-crypto-extortion-to-new-heights/

 

[OZZY83]

da li ransomware pod nazivom "Locky" moze da se neutralise..a da nije placanje?

 

[KurtK]

Ne bih se puno nadao.

 

[theemp]

I do mene je stigao jedan laptop sa napasti po imenu Locky. Probao sam sve što mi je palo na pamet, a i što sam pročitao da probam da vratim podatke ali nema pojma. Laptop je naravno iz firme koja nikad nije radila backup sa gomilom pdf, word, excel fajlova. Već sam se pomirio da od povraćaja nema ništa, samo njima da objasnim. Nego zna li ko sa čim mogu da ga očistim valjano pa da posle prebacim fajlove kod mene da čuvam ako nekad razbiju enkripciju. Probao sam sa bitedefender-om, malwarebytes-om, combo fix-om i ništa. Jedini program koji nađe Locky virus u registry pri scan-u je Spy Hunter 4, ali da bi ga obrisao traži da se kupi puna verzija programa. Zna li neko neku free varijantu da ga očistim?

 

[zeljko]

reinstaliraj sistem.... ako je virus usao znaci da je sistem "supalj"

 

[theemp]

Ma naravno preinstalacija se prodrazumeva, nego sam mislio da otklonim virus da bih posle hard prikačio na drugi računar i prekopirao sve enkriptovane fajlove. A da li je šupalj sistem ili korisnik e to je već dilema.

 

[zeljko]

Pa prikaci tako, virus ionako nece biti aktivan a exe fajlove nemoj ni kopirat vec samo kriptovane

 

[KurtK]

Mozes slobodno da obrises te fajlove. Meni ESET nalazi locky-ja, inace se virus sam brise kad zavrsi posao.

 

[zeljko]

Pa nada umire zadnja, mozda za koju godinu/vek bude poznat metod ili kljuc

 

[theemp]

Baš sam pre negde listao temu na forumu i rekoh ma gde ovo nekome da se dogodi, kad ono danas zovu kažu neće da otvori word fajlove nešto su pobeleli.

Ako ništa bar sam proverio da je meni odrađen backup svega bitnog na cloud. Instalirao sam i ovu beta verziju anti-ransomware-a. A fajlova neka jer sam čitao da su iz Kasperskog izbacili neki dekriptor za neke malo starije verzije ovih gluposti.

 

[Caramba]

haha evo jos jedne zadovoljne musterije - tesla crypt je u pitanju, verzija sto ostavlja !RecOveR! png, txt i html fajlove.
ne znam ljudi mene je ovaj virus ili trojanac kakogod impresionirao
sad samo da se ne rasiri po preduzecu, za sad jedna masina

 

[SOCOM]

Reče mi komšija da su zapatili u firmi, na jednom računaru za sad, kontam da su pregazili sistem, jer ima je to bio komp za razbibrigu izgleda.

 

[theemp]

Znači opšta navala. Ja sam naleteo na locky ekstenziju ne mogu joj ništa.

 

[Twi$teR]

Znaci, kad PC zapati ovaj virus i kad on (en)crypt-uje fajlove na HDD-u, nema resenja u vidu nekog softvera da se ti fajlovi decrypt-uju, am I right?

 

[chimpresco]

Yup

 

[theemp]

Iz mog iskustva, takođe čitajući ovu temu i još nešto na stranim forumima nema rešenja osim plaćanja, ukoliko je novija varijanta virusa. Mada i ako se plati niko ne garantuje da će podaci biti vraćeni.

 

[UberIT]

Iz mog iskustva, takođe čitajući ovu temu i još nešto na stranim forumima nema rešenja osim plaćanja, ukoliko je novija varijanta virusa. Mada i ako se plati niko ne garantuje da će podaci biti vraćeni.

Upravo to nemas garanciju kad pljnes lovu da ce ti podaci biti vraceni... malce nezgodno

 

[Space Beer]

Pamet u glavu i bekap van PC-a. Rešava sve probleme
http://www.dedoimedo.com/computers/april-security-sensationalism.html

 

[Sale]

Izgleda došlo krajnje vreme da se prelazi na Linux