»RSS Benchmark sajt

      Prikazani rezultati od 1 do 14 od ukupno 14

      Tema: Ransomware

      1. #1
        Member
        Na forumu od
        Aug 2012
        Poruka
        94

        Exclamation Ransomware

        Zakacio sam ransomware phobos, varijantu .adame. Kontakt email: raynorzlol@tutanota.com


        Evo i cinjenicni opis situacije:

        Radio sam reinstalaciju win-a, instalirao najnoviji, updatovao sve po propisu. Vecina programa koje instaliram su freeware, ali naravno neke sam skidao sa warez-bb (adobe acrobat, acdsee, ms office itd.).
        Poslednji program koji sam instalirao pre nego sto sam primetio da se dogadjaju cudne radnje, je gore pomenuti acdsee photo studio 2019, skinut sa warezbb koji koristi core keygen. On mi je najsumljiviji, ali nisam 100% siguran. Sve piratske programe sam skidao od ljudi koji su vec dugo memberi na warezbb i u cijim temama ima gomile komentara da je sve ok. Ono sto se jos ne poklapa je da je taj acdsee postavljen u aprilu ove godine, a tada ova varijanta ransomware-a nije ni postojala.
        Ukupna steta je nekih 80gb fajlova, na svu srecu za mene ne toliko bitnih. Na vreme sam primetio da se nesto dogadja.

        Ono sto mene interesuje je, ako iskljucimo opciju da je infekciju prouzrkovao neki keygen, kako sam mogao da se zarazim? Citao sam po nekom forumu da se napadi dogadjaju preko RDP (remote dekstop protocol) koji mi je bio ukljucen. Isto tako je spominjano da su napadaci koristili iobit unlocker, koji sam takodje prethodno instalirao.

        Cela situacija me je ostavila u rebusu. Mnogo bih voleo ako bi neko mogao da mi kaze sta da uradim da bih ovo izbegao u buducnosti. Sta jos disablovati sem RDP?
        Takodje mi deluje kao da napad nije bio automatizovan, nego je napadac birao fajlove koje ce da enrkiptuje. Jer nije isao redom, nego su birani odredjeni folderi.

        Sve fajlove koje sam instalirao tada, imam sacuvane. Da li ima neko voljan da ih isproba sve u virtuelnoj masini? Tako bi smo mogli da znamo definitivno da li je napad potekao od njih. Isprobao bi ih sam, ali virtualbox nece da mi radi od kako sam reinstalirao win.

      2. #2
        Member Avatar korisnika toxicm
        Na forumu od
        Jan 2012
        Poruka
        2.134
      3. Moja mašina
        • CPU: Intel Pentium G4560 / LC-CC-120
        • MoBo: Asus H110M-C
        • RAM: Kingston HyperX HX424C15FB/8 8GB DDR4 2400MHz CL15
        • VGA: XFX RX470 4GB RS Triple X
        • MON: Samsung T220
        • HDD: SSD CT250GB BX100 + WD500GB + 320GB
        • OPT: Pioneer 217D
        • Case: Chieftec LF-02B / Chieftec ELP-700S 700W
        • SND: Realtek HD
        • OS: Windows 10 Pro x64 / Mint 18.3 Cinnamon x64
        • LAP: Lenovo ThinkPad R61i UV1DTCD
        • INET: DSL
        • Ostalo: WinFast TV2000XP Global TV/FM | Lenovo A536
      4. Ransomware ne kriptuje sve podatke, ima određene lokacije, tipove fajlova i redosled. Verovatno ti zato deluje kao da je ručno birano, ali najverovatnije nije. Što se zaštite tiče, i dalje nema neke sigurne zaštite jer se sam postupak kriptovanja pokreće kao i neka regularna radnja. Neke zaštite prepoznavaju poznati ransomware, neke pokušavaju da ga prevare. Ja koristim Bitdefender anti-ransomware koji štiti tako što prikazuje računar kao već zaražen, ransomwere-i, barem do skoro, nisu napadali već zaražene računare (poštenje među lopovima ili šta već). Međutim, i sa zaštitom mora da se pazi, warez sajtovi i nasumični (što nepoznati, što poznati) mail-ovi su najpogođeniji. Čak sam viđao aktivatore koji su radili kako treba neko vreme (~mesec i više), a onda svlačili sa neta razni malwer.

      5. #3
        Member
        Na forumu od
        Aug 2012
        Poruka
        94
        Enkriptovao mi je maltene sve tutoriale koje sam skidao, verovatno zbog ekstenzije .mp4 misle da su neki privatni snimci pa da su bitni. Imao sam folder pod nazivom "backup programi", verovatno ga je zbog naziva "backup" kriptovao. Ali definitivno nije bio konzistentan. Jer recimo u jednom folderu nije kriptovao sav sadrzaj, a u nekom drugom jeste. A oba foldera imaju fajlove sa istim ekstenzijama. Zato mi je i licilo kao da je neko manuelno isao. Najmanje ima slika i muzike.

        Najvise me brine ovo sto kazes da su aktivatori radili mesecima i onda napravili problem. I dalje mi mirise da je u pitanju neki drugi ulaz (ali nemam ideju kako), jer neverovatno je da u temi na forumu koja ima tipa 10-20 stranica, niko nije rekao "ej ljudi ovo ima virus". Niti sam cuo da je neko zarazen sa tog foruma. Obicno se spominju torenti kao glavni izvor i spam mailovi, koje sigurno nisam otvarao.

      6. #4
        Member
        Na forumu od
        Feb 2005
        Poruka
        1.670
      7. Moja mašina
        • CPU: Ryzen 2700x
        • MoBo: Asus Prime pro X 470
        • RAM: 16 GB (2x8) 3200MHz
        • VGA: Vega 64
        • MON: LG HD 22"
        • HDD: 3.5 TB HDDs+256 GB SSD+ 256 GB M2 SSD
        • OPT: LG DVD
        • Case: Corsair graphite 780 t
        • SND: Koji ima ploča :)
        • OS: Windows 10 Pro
        • INET: Kablovska
      8. Meni se desila slična priča samo što nije bio ransomware nego su mi pokrali novčiće...glavni sumnjivac mi je bio kms...tako da od tada što se mene tiče nema više kmsa...isto je bilo instaliraj widows, office kms i puf....

      9. #5
        Member Avatar korisnika Space Beer
        Na forumu od
        Jan 2011
        Lokacija
        ISS
        Poruka
        3.893
      10. Moja mašina
        • CPU: AMD Ryzen 3 1200 ::: LC-CC-120
        • MoBo: MSI B350M Mortar
        • RAM: G.Skill 2x8GB (F4-3000C16D-16GISB)
        • VGA: PowerColor R7 260X 2GB
        • MON: BenQ G2222HDL
        • HDD: Crucial BX300 480GB + Toshiba HDD 500 GB
        • Case: CM N200 ::: SF-450P14HE
        • OS: openSUSE 15.0 & Windows 10 Pro
      11. @Hentor
        Pa ako ti najbolje znaš šta si radio, isprobaj u VM-u sve isto

        Ja sam u poslednjih 7 godina koristio samo jedan piratski program i to prvo u VM-u, pa u Liquidsky-u (iako je zabranjeno), pa tek onda kod mene na metalu

        Inače, šta god da se koristi, bekap je obavezan. A preporučena strategija je 3-2-1

      12. #6
        Member
        Na forumu od
        Aug 2012
        Poruka
        94
        Vec sam porucio eksterni hard za backup. Ovo mi je bila opomena.
        Rado bih isprobao u vm, ali imam problem sa ovim novim windowsom 1903, nece ni virtualbox ni vmware da mi rade. Cim to bude sredjeno, probacu.

      13. #7
        Member
        Na forumu od
        Aug 2012
        Poruka
        94
        Misterija resena. Keygen za "ACDSee Photo Studio Ultimate 2019 12.1.1 Build 1668 (x64)" me je inficirao. Ono sto me najvise nervira je to sto je fajl podelio neko ko je clan od 2009. godine i ima preko 16.000 postova.
        Zanimljivo je jos da windows defender apsolutno nista nije detektovao.

        Evo snimka iz VM: https://streamable.com/gdr6k

      14. #8
        Member Avatar korisnika MIB
        Na forumu od
        Feb 2006
        Lokacija
        Beograd
        Poruka
        754
      15. Moja mašina
        • CPU: Intel® Pentium® G3220 BOX
        • MoBo: MSI H81M-P33
        • RAM: 16GB | KHX1600C10D3/8 & HX316C10FB/8
        • VGA: IGP | Intel HD GT1
        • MON: Samsung SyncMaster T220
        • HDD: 128GB OCZ-Vertex4 | 500GB Toshiba DT01ACA050 | 1TB WDC WD10EADS
        • OPT: DVD-RW
        • Case: MS Industrial Gemini & LC500H-12 V2.2
        • SND: SB X-Fi Surround 5.1 | MS Industrial FROGGY 2.0
        • OS: Windows 10 Pro 1809 17763.316
        • LAP: IBM ThinkPad 570 2644-RR3
        • TV: Hyundai 32LE-R D (moze VGA 1920x1080 60Hz)
        • INET: DSL
        • Ostalo: Tab 4 7.0 SM-T230 8GB | Razer Mamba 2012@Goliathus Control | Logitech HD Pro Webcam C920
      16. Mozes da koristis windows sandbox umesto vm.

        https://www.howtogeek.com/399153/win...always-wanted/
        Пут до пакла поплочан је добрим намерама.

      17. #9
        Member Avatar korisnika danilo989
        Na forumu od
        Oct 2006
        Poruka
        1.260
      18. Moja mašina
        • CPU: Intel Core i7-6700k @4500MHz 1.36v; Noctua NH-D15
        • MoBo: ASUS Maximus VIII Hero
        • RAM: 2x8GB Corsair Vengeance LPX CMK16GX4M2B3200C16R DDR4 @3200MHz 1.35v
        • VGA: Gigabyte GeForce GTX 980 GV-N980G1 Gaming-4GD
        • MON: Philips 226V4LSB
        • HDD: Kingston HyperX Savage 240GB; WD Red WD20EFRX-68EUZN0; WD Red WD40EFRX-68N32N0 @LC-Power LC-35U3
        • Case: Fractal Design Define R5 Window
        • SND: Realtek ALC1150; Altec Lansing 220; HyperX Cloud KHX-H3CL/WR
        • OS: Windows 10 Education 1903 64 bit
        • LAP: Lenovo Ideapad 330S-14IKB 81F4014LYA; Rapoo MT750
        • INET: DSL
        • Ostalo: CoolerMaster CM Storm QuickFire TK Brown; Logitech G203 Prodigy; SanDisk Cruzer Extreme 64GB
      19. Probaj preko ovog sajta da vidis jel postoji decryption tool
        https://id-ransomware.malwarehunterteam.com/
        Menjao danilo989 : 26.07.2019. u 01:33
        ( ゚Д゚)

      20. #10
        Member
        Na forumu od
        Aug 2010
        Poruka
        372
        Imas i ovde decryptore, ako postoji za tvoj slucaj: https://noransom.kaspersky.com/

        PS probaj program Photoscape, mozda ti se dopadne kao zamena za "brzo" obradjivanje fotki.

      21. #11
        Member
        Na forumu od
        Aug 2012
        Poruka
        94
        Citat Citiram korisnika: MIB Pogledaj poruku
        Mozes da koristis windows sandbox umesto vm.

        https://www.howtogeek.com/399153/win...always-wanted/
        Na win10 1903 virtualbox nece da radi ako je sandbox aktiviran, a vb mi zatreba ponekad.

        Citat Citiram korisnika: danilo989 Pogledaj poruku
        Probaj preko ovog sajta da vidis jel postoji decryption tool
        https://id-ransomware.malwarehunterteam.com/
        Nema. Ovo je varijanta phobos-a, koji jos uvek ne moze da se dekriptuje

        Citat Citiram korisnika: imarkovic Pogledaj poruku
        Imas i ovde decryptore, ako postoji za tvoj slucaj: https://noransom.kaspersky.com/

        PS probaj program Photoscape, mozda ti se dopadne kao zamena za "brzo" obradjivanje fotki.
        Hvala na sugestiji, probacu

      22. #12
        VIP member Avatar korisnika morbius
        Na forumu od
        Mar 2003
        Lokacija
        Αθηνα, Ελλαδα
        Poruka
        4.455
      23. Moja mašina
        • CPU: AMD RYZEN 5 1600
        • MoBo: ASUS PRIME B350-PLUS
        • RAM: CORSAIR CMK16GX4M2B3200C16 VENGEANCE LPX BLACK 16GB
        • VGA: Gainward GeForce GTX 1060 6GB
        • MON: BENQ VZ2770H 27"
        • HDD: Seagate 500GB, Samsung 850 EVO SSD 240 GB
        • OPT: LG GH22NS40 DVD-RAM
        • Case: ASUS TA-D11 BLACK
        • SND: Realtek ALC888
        • OS: Ubuntu
        • INET: DSL
      24. Linux. Odmoriš se kao čovek i od warez i od napasti.
        First born unicorn
        hard core soft porn

      25. #13
        Member Avatar korisnika CountMike
        Na forumu od
        Jul 2012
        Lokacija
        Beograd. Toronto
        Poruka
        6.396
      26. Moja mašina
        • CPU: Ryzen R7 3700X, CM Nepton 140XL
        • MoBo: Asus PRIME X470 PRO
        • RAM: 2x8GB Kingston Predator 3600MHz
        • VGA: Asus strix 570 OC 4gb
        • MON: BenQ 28" + 2x Samsung 2494
        • HDD: Samsung 960Evo, 250GB, SP V70 240GB, WD Blue 2TB,WD Blue 1TB
        • Case: Raidmax Agusta (customized)
        • SND: On Board
        • OS: Win 10 Pro, Linux Mint
      27. Citat Citiram korisnika: morbius Pogledaj poruku
        Linux. Odmoriš se kao čovek i od warez i od napasti.
        Stvarno ???

        GonnaCry Rasomware

        Original Repository of the GonnaCry Ransomware.

        This project is OpenSource, feel free to use, study and/or send pull request.

        GonnaCry is a linux ransomware that encrypt all user files with strong encryption scheme.

        There is two versions of the Ransomware Code: C and Python.

        https://github.com/tarcisio-marinho/GonnaCry

        https://www.infoworld.com/article/31...e-attacks.html
        https://www.bankinfosecurity.com/lin...decrypt-a-9619
        Menjao CountMike : 28.07.2019. u 07:27

      28. #14
        Moderator Avatar korisnika sysninja
        Na forumu od
        Nov 2005
        Lokacija
        Beograd
        Poruka
        4.469
      29. Moja mašina
        • MON: Dell U3417W
        • SND: Q Acoustic 3050i, Denon AVR-X3400H, BeyerDynamics DT-770 Pro 250Ohm
        • OS: macOS Mojave
        • LAP: MacBook Pro 15,1
        • TV: LG 42LN5400
        • Ostalo: iPhone Xs
      30. Tako i treba ljudima koji koriste crackovan softver, pogotovo kada nema potrebe.

        Lock na temu pa za nauk drugima.

      Bookmarks

      Dozvoljeni tagovi

      • Ne možete pokrenuti nove teme
      • Ne možete odgovoriti u temi
      • Ne možete okačiti atačmente
      • Ne možete izmeniti svoje poruke
      •