Šta je novo?

OPREZ! CryptoWall virus koji enkriptuje fajlove

kovacm

Čuven
Učlanjen(a)
28.01.2005
Poruke
8,606
Poena
570
CryptoWall

decrypt-service-thmb.jpg


krastavac nisam stigao da otvorim temu ranije :) iako je proslo vec 5-6 dana od kako mi je drugar skrenuo paznju na ovaj virus a za to vreme se vec nakupilo par racunara koji su dobili istu posast.


dakle kad dobijete virus, on lepo krene redom sve licne fajlove da vam enkriptuje sa RSA 2048, kad zavrsi prikaze poruku da treba da platiti 500 eura ili 500$ ili 0.5 btc (mislim da su ovo korigovali zbog pada BTCa!) kako bi dobili kljuc za dekriptovanje fajlova.


nisam siguran kako se virus siri ali enkriptivace sve fajlove koji su dostupni zarazenom racunaru (mrezni share folderi, externi diskovi)...


koliko sam do sada procitao, jedini nacin da povratite fajlove je:

  1. iz backupa (ako ste sami napravili backup na DVD, USB, Externi drive... sto je jelte logicno :D)
  2. iz Windowsowog Shadow Volume Copy - windows pravi inkrementalne kopije fajlova na kojima radite kako bi mogli da vratiti sadrzaj fajla iz nekog proslog vremena (kao Time Machine na Mac OS Xu). Browser za Shadow Volume Copy je Shadow Explorer - http://www.shadowexplorer.com. Problem je sto novije verzije virusa obrisu Shadow Volume Copy tako da slaba vajda od ovoga
  3. da platite

- ono sto sam jos pokusao da uradim je Recovery fajlova pomocu npr. "Get Data Back" ali izgleda da virus upisuje podatke preko postojecih fajlova jer "Get Data Back" nije nasao stare izbrisane fajlove :/

- takodje sam nasao neki Pandin util koji navodno moze da pronadje kljuc ako mu date enkriptovan i originalni fajl ali u mom slucaju nije nista napravio (lako mozete da nadjete originalni fajl obicno iz "Download" foldera na internetu)

drugar je platio i dobio je kljuc ali nije uspeo da dekriptuje fajlove.
mozda se i on javi ovde sa dodatnim informacijama.


virus se prvi put pojavio 2011. danas imamo novu epidamiju sa unapredjenom verzijom!

ovde su najdetaljnije infomacije koje sam uspeo da nadjem:

http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information#restore
 
Poslednja izmena:
Znaci ti i 2015. moras da koristis Windows^^

Ontopic: bekap, bekap, bekap then disconnect.
 
:p ne koristim vec vodim racuna o 20tak swinjdowsa...


vezano za backup, moze da se desi sledeca situacija:

dobio si virus, jos uvek ne znas za to, zakacis eksterni disk (ili network share) i eto zakljucanih fajlova i na backupu!

(ja konkretno imam backup desktop masina na serveru (rsync) a server ima dalje Time Machine)
 
Znaci koristis ga :D Hahah :D

Bekap velike kolicine podataka jeste problem, za to ne znam kako resavaju firme realno. Ali za najbitnije fajlove, mi radimo i rucne bekape cim se nesto bitno promeni, na externe flasheve, i imamo i po 50 bekap verzija istih (imam bekape na flashu jos iz 2002 godine, iako mi taj ne treba sigurno :D)

Vise bekapa resava problem da bekap crkne (kao RAID). Bekap vise verzija je jedino resenje za ovakve viruse.
 
Čoveče šta se ovo dešav po netu??? Pa moji očim služe svi ovi silni antivirus programi koji srču po 500-600mb memorije kad ništa nedetektuju! Ja pre neki an dobio aultcamera.info virus skratio mi 5 godina života u borbi sa njim. A znači ovo je strava - horor bolje reći. Nmg da zamislim šta bih radio da mi se uvuče u komp - imam 3tb podataka na njemu a krajem meseca idem u inostranstvo da pazarim Seagate 8tb hard...ima li neki način, tj. preventivni program da se instalira da me čuva na netu od ovog virusa?
 
Ima neka fora sa mountovanjem system restore, nisam se udubio, kolega je resio 3 razlicite masine, ali samo na 7-ici moze. Za XP za sada nema resenja...
 
Ima neka fora sa mountovanjem system restore, nisam se udubio, kolega je resio 3 razlicite masine, ali samo na 7-ici moze. Za XP za sada nema resenja...

taj "system restore" je Shadow Copy koji sam spomenuo - nego bi to mozda nazvao i System Restore za korisnikove fajlove :)
to u svakom slucaju moze da spase dan osim ako ne zapatite verziju virusa koja OBRISE Shadow Copy!!

btw sad citam da Shadow Copy postoji jos od XP ali izgleda da nije ukljucen po defaultu?!
 
Čoveče šta se ovo dešav po netu??? Pa moji očim služe svi ovi silni antivirus programi koji srču po 500-600mb memorije kad ništa nedetektuju! Ja pre neki an dobio aultcamera.info virus skratio mi 5 godina života u borbi sa njim. A znači ovo je strava - horor bolje reći. Nmg da zamislim šta bih radio da mi se uvuče u komp - imam 3tb podataka na njemu a krajem meseca idem u inostranstvo da pazarim Seagate 8tb hard...ima li neki način, tj. preventivni program da se instalira da me čuva na netu od ovog virusa?

na linku koji sam okacio tacno je objasnjeno kako virus radi - nisam imao vremena da se udubio ali mozda moze da se iskljuci/onemoguci servis koji virus koristi za enkripciju fajlova pa cak i ako ga dobijete da ne moze da odradi to sto je naumio :)

svi antivirusi su odavno postali gori od virusa: em traze memorije, em CPU, em novce/licence...

@alfaunits
dobro ajde: korsitim ga!
(sta je sledece... moracu go da se kupam u terazijskoj cesmi? :d)
 
Poslednja izmena:
A može li ovaj virus da se uvuče u vaš kompjuter čak i kada imate zaključan adsl modem i ruter???
 
Da, i ne ici na sajtove sumljivog sadrzaja, pogtovo na adult sajtove. :D
 
glavni problem je sto su deb!l! u Microsoftu mislili da je dobra ideja da sakriju extenziju za poznate tipove fajlova.

neko vam posalje fajl: profaktura014.pdf.exe i windows, sa default setovanjima, ce vam fajl prikazati kao profaktura014.pdf (sklonice .exe jer je to "poznat tip fajla") i dvoklikom na taj fajl startovacete program (tj. virus) misleci da otvarate PDF dokument.


btw
cela ta papazjanija sa file.extenzijama je stara koliko i sam hijerarhijski fajl sistem.
ne znam kojem je to moronu palo na pamet da meta-podatak o tipu fajla stavi u naziv fajla ali znam da se to vicini tadasnjih IT "strucnjaka" ucinilo kao dobra ideja i da je taj koncept zaziveo i ostao do dana danasnjeg kao neupitan deo racunarskog sveta.
 
Lepo je kad sa danasnje visine tako nesto izjavis a nista nisi ucinio da nesto bolje napravis, niti da razmislis zasto je tada to bilo korisno.

Taj problem je poznat 20 godina - a uhvatio te je. Ti si admin, deal with it. Your fault.
 
Lepo je kad sa danasnje visine tako nesto izjavis a nista nisi ucinio da nesto bolje napravis, niti da razmislis zasto je tada to bilo korisno.

Taj problem je poznat 20 godina - a uhvatio te je. Ti si admin, deal with it. Your fault.

hahahahaha. vazi.

nadji moje prve postove na forumu, npr. u vezi C: D:..., ili "date" comande u windowsu ili zasto je fajl selektor pre Windowsa XP uvek onako smesno mali. Ja sWinjdows nisam koristio pre 1999. ali sam koristio Atari 15 godina i nisam video takve bud@lastine kakve su me sacekale u Windowsu i koje i dan danas gledam.

ako pisem zbog cega je nesto glupo, onda to pisem u nameri da mladji uvide greske, da znaju da stvari nisu bogom dane i da je jedina konstanta promena.

sa druge strane, ako spomenem da je web nista drugo do glupi linkovi izmedju fajlova u hijerahijskom fajl sistemu (sto ja smatram atakom na zdrav razum) i da je originalna ideja hyper texta bila daleko bolja onda "IT strucnjaci" krecu sa pricom kako je tako nesto tehnicki neizvodljivo (ili ova tvoja konstatacija da je taj "problem poznat 20 godina" - to je tragicno, taj problem je trebao da bude poznat ne pre 35 godina vec onda kad je nekome tako nesto uopste palo na pamet! ali i pored toga izgleda da nekima treba minimum 15 godina da uopste shvate da je to problem!).

i nisam ja taj koji je diktirao kako ce se stvari u racunarskom svetu koristiti. ako je to neko bio onda je to Microsoft i svi koji su mu dali podrsku! mene preskoci.


i ekstenzija u imenu fajla nema nikakvo opravdanje ni onda ni sad. ako si tip skupa podataka (ekstenziju) pisao u imenu fajla, onda si mogao da pises npr i datum fajla u imenu fajla ili mozda i velicinu fajla, lokaciju od kog sektora pocinje fajl...


i pogotovo nema nikave logike da u operativnom sistemu koji koristi 90% planete sakrijes ekstenzije i time omogucih da ljudi klikcu po exe fajlovima misleci da otvaraju dokumenta aplikacije.
taj potez Microsofta je potez kompletnog deb!la. ako hoces to da branis, slobodno brani. to vise govori o tebi od bilo cega drugog.
 
Poslednja izmena:
ako pisem zbog cega je nesto glupo, onda to pisem u nameri da mladji uvide greske, da znaju da stvari nisu bogom dane i da je jedina konstanta promena.
Napisi onda zasto je ovo glupo i kako si ti to znao pre ostalih, kada su ga smisljali. Ne ovako sa visine.

taj "problem poznat 20 godina" - to je tragicno, taj problem je trebao da bude poznat ne pre 35 godina vec onda kad je nekome tako nesto uopste palo na pamet! ali i pored toga izgleda da nekima treba minimum 15 godina da uopste shvate da je to problem!).
Pa objasni kako. Izvinjavam se ostalima sto dodajem offtopuc, ali umesto da ostavis temu na stranu resenja za virus, vise korsitis posta za blacenje Windowsa.
Mrzis ga, OK... prekini da ga koristis onda ;)


i ekstenzija u imenu fajla nema nikakvo opravdanje ni onda ni sad.
Kako nema? Znaci i ostali OSovi su krivi sto imaju .js, .java, .bas, .pas?

i pogotovo nema nikave logike da u operativnom sistemu koji koristi 90% planete sakrijes ekstenzije i time omogucih da ljudi klikcu po exe fajlovima misleci da otvaraju dokumenta aplikacije.
To je nezavisan potez, za koji si skroz u pravu.

taj potez Microsofta je potez kompletnog deb!la. ako hoces to da branis, slobodno brani. to vise govori o tebi od bilo cega drugog.
A ovo govori dovoljno o tebi.
Po stranu sto ne pravis razliku izmedju extenzija i sakrivanja extenzija kao zasebnih problema :)
 
i pogotovo nema nikave logike da u operativnom sistemu koji koristi 90% planete sakrijes ekstenzije i time omogucih da ljudi klikcu po exe fajlovima misleci da otvaraju dokumenta aplikacije.

Zasto si ugasio SmartScreen?
 
@alfaunits - hocu! otvoricu novu temu ali pre toga reality check:

Pa objasni kako. Izvinjavam se ostalima sto dodajem offtopuc, ali umesto da ostavis temu na stranu resenja za virus, vise korsitis posta za blacenje Windowsa.
pogledaj redom postove. ja sam napisao sta je uzrok sirenja virusa.
tebi se to nije svidelo, jer nabada windows, a posto se tevi ne svidja macintosh, to si iskoristio da me napadnes.
Mrzis ga, OK... prekini da ga koristis onda ;)
ne mogu da prestanem da ga koristim jer mi je to posao.

i ekstenzija u imenu fajla nema nikakvo opravdanje ni onda ni sad.
Kako nema? Znaci i ostali OSovi su krivi sto imaju .js, .java, .bas, .pas?
imaju jer je neko tako odlucio u pocetku. i Atari ima ekstenzije ali tamo niko nije odlucio da ih sakrije!
detalje o ekstenzijama, istoriji... cu opisati u posebnom threadu.


@G@W - ne znam sta je SmartScreen.

i da nesto bude jasno: ja nisam dobio ovaj virus. Bilo mi je cudno da niko do sada nije otvorio temu na forumu pa sam je otvorio kako bih upozorio druge! ...i na svim racunarima koje odrzavam obavezno je ukljuceno prikazivanje ekstenzija.

EDIT: mislim da sam shvatio sta te je pogodilo: "to vicini tadasnjih IT "strucnjaka" ucinilo kao dobra ideja" - pronasao si se u "IT strucnjacima"? :) salim se, znam da ti je profesija manipulisanje... fajlovima :D
 
Poslednja izmena:
Pa kako je onda kriva extenzija?:)
 
Nauciti pravopis takodje.



mislim da je danas stvar osnovne kulture i pismenosti postalo i to da se sumnjivi mejlovi sa atacmentima ne otvaraju.

tako da mi je konstatacija o "neotvaranju mejlova" sasvim na mestu.
 
Poslednja izmena:
Kako je uopšte exe prosao kao attachment?
 
lose podeseni mailserveri:)
 
Shoot the admin:)
 
za male firme gmail je mama.
 
Video istu stvar u Blacu pre par meseci, firma za knjigovodstvo, ista stvar, samo su trazili 100 eura. Ja kada sam dosao tamo vec je bilo kasno jer im je IT "strucnjak" koji im tamo radi lepo formatirao particiju i instalirao novi OS, pod izgovorom, to je samo virus vidjam ja to stalno nije to nista strasno. Cetiri umrezena racunara, svi podatci otisli u nepovrat, sto je najgore to je bilo knjigovodstvo, pa su meseci bili potrebni da se podatci ponovo vrate.

Jedino razumno reseneje ovde je bekap na optickim medijumima ili na USB drajvu ili kartici sa fizickim onemogucavanjem upisa, nijedan drugi nacin nije 100% siguran.

A za ove "opasne" mejlove, davne 2005. sam dobio neki mejl koji je bas izlgedao sumnjiv, imao zip atachment i unutra exe fajl, i tada kao klincu mi je bilo jasno da sam to trebao momentalno da obrisem, no napravim se pametan, pa otvorim. Ukratko posle par sati je pao reformat, jer je rad na racunaru tada bio nemoguc.
 
Kao čovek koji je radio za Microsoft reći ću vam samo ovo - koristite Linux. Zahvalićete mi se kasnije.

Čini se da je početna investicija živaca velika, ali videćete koliko se u stvari odmorite posle.
 
Nazad
Vrh Dno