OPREZ! CryptoWall virus koji enkriptuje fajlove

[kUdtiHaEX]

za male firme gmail je mama.

Ni to ne pomaze. Ljudi jednostavno nisu dovoljno kompjuterski pismeni, sem ako nije u pitanju neka IT firma, pa i tu se cesto desavaju ekscesi. Evo moj cale prvi - i pored antivirusa, UAC-a i jos 200 gluposti uspeo je bez problema da zakaci nekog bota koji sluzi za krckanje bitcoina.

Kad bi vi znali koliko virusa mi filtriramo dnevno za nase mail hosting klijente, ne bi verovali. Srecom, pa je EXE zabranjen format, zajedno sa svim ostalim formatima koji mogu da se izvrse, pa i nije tako strasno.

 

[alfaunits]

Ali to ne pomaze kada ima propust u Javi, pa ti onda reklama sa naseg poznatog IT sajta ubaci virus... (necu imenovati sajt, samo potvrditi da nije bench)

 

[ABET]

Ni to ne pomaze. Ljudi jednostavno nisu dovoljno kompjuterski pismeni, sem ako nije u pitanju neka IT firma, pa i tu se cesto desavaju ekscesi. Evo moj cale prvi - i pored antivirusa, UAC-a i jos 200 gluposti uspeo je bez problema da zakaci nekog bota koji sluzi za krckanje bitcoina.

Isto se desilo mojoj sestri, iako sam joj stavio antivirus i ostavio samo limitirani korisnicki nalog. Posto je laptop u pitanju, iznervirao sam se kada sam video da napucava CPU do 100% i zagreva celu masinu pa sam prelomio i stavio Linux. Bilo je malo muka u pocetku ali sada je prezadovoljna i ne zeli da se vraca na Windows iako sam nudio tu opciju.

Ja znam da se izborim sa virusima i ostalim napastima i bez AV softvera ali prosecni korisnici nema sanse. Za njih je Linux bukvalno lek jer tamo im cak ni pop-up reklame ne iskacu tako cesto, a ostale napasti jednostavno ne funkcionisu.

 

[kUdtiHaEX]

Ali to ne pomaze kada ima propust u Javi, pa ti onda reklama sa naseg poznatog IT sajta ubaci virus... (necu imenovati sajt, samo potvrditi da nije bench)

Ja samo zelim da ukazem na to da je covek, kao pojedinac, uvek najslabija karika svakog sistema. Svaki sistem funkcionise po nekim pravilima, i ma koliko da je kompleksan uvek se nadje nacin da se nadigra. Ali ljudi, ljudi su uvek najslabija karika kada je security u pitanju.
A sad, to sto ti aludiras na neke druge stari, to niko ne porice.

 

[alfaunits]

A kad sam ja pricao da je dzaba AV sve ovo vreme, i da je covek najslabija karika, cak si i ti kontrirao, cini mi se

 

[milanbb]

Predlazem da ti za posebnu zaslugu 'ja sam rekao, a neko je mislio drugacije' izdamo zlatnu plaketu "Covek koji je bio u pravu na internetu"

 

[isnogood]

Ni to ne pomaze. Ljudi jednostavno nisu dovoljno kompjuterski pismeni, sem ako nije u pitanju neka IT firma, pa i tu se cesto desavaju ekscesi. Evo moj cale prvi - i pored antivirusa, UAC-a i jos 200 gluposti uspeo je bez problema da zakaci nekog bota koji sluzi za krckanje bitcoina.

Kad bi vi znali koliko virusa mi filtriramo dnevno za nase mail hosting klijente, ne bi verovali. Srecom, pa je EXE zabranjen format, zajedno sa svim ostalim formatima koji mogu da se izvrse, pa i nije tako strasno.

Nista nije potpuno resenje...Ali za mail spram da im neko nameshta sa strane ili da mala firma koja nije it namesta sama sebi. Gmail je maksimalna ushteda vremena i novca.

 

[alfaunits]

Predlazem da ti za posebnu zaslugu 'ja sam rekao, a neko je mislio drugacije' izdamo zlatnu plaketu "Covek koji je bio u pravu na internetu"

Daj! Istopicu zlato taman

 

[kovacm]

Lepo je kad sa danasnje visine tako nesto izjavis a nista nisi ucinio da nesto bolje napravis, niti da razmislis zasto je tada to bilo korisno.

Taj problem je poznat 20 godina - a uhvatio te je. Ti si admin, deal with it. Your fault.

posto nemam vremena da detaljno napisem sve ono sto mi je u glavi vezano za fajl formate i danasnje racunare
ali da ipak ne ostanem nedorecen i da ucinim nesto da se situacija promeni (ukazem na problem):

---

danas postoji mnogo meta-podataka vezanih za svaki fajl
ali u pocetku je to bilo svega nekoliko meta-podataka.

-- kako bi pravilno razumeli danasnje stanje stvari moramo se vratiti kroz vreme i pogledati kako je uopste nastao hijerarhijski fajl sistem!

nekada ste imali magnetne trake koje su sluzile za permanentno cuvanje podatka.
one nisu imale nista specificno na sebi osim samih podataka (dakle podaci nisu imali meta-podatke (podatke o podacima)):
- npr. trebaju vam podaci o vremenskoj prognzi od petka?
- iz ormana izvadite traku na kojoj pise: "prognoza petak" i stavite u citac i ucitate podatke (meta-podatak o podacima na traci je bio naziv trake ispisan na nalepnici)

kako je vreme prolazilo, tako se javila potreba da se na jednoj traci smesti vise fajlova (npr. podaci o prognozi od petka i subote)

tako ste morali negde medju podaci o prognozi da zapisete i same nazive za skup podataka o petku, i za skup podataka o suboti, ukljucujuci i pocetnu lokaciju tih podataka kai i velicinu (duzinu) na traci.

mic po mic, dobili ste hijerarhijski fajl sistem. fajlovi su dobili meta-podatke kao sto su naziv, pocetna pozicija na disku/traci, velicina, datum kreiranja, datum izmene...

pojavom aplikativnog softwarea doslo je do potrebe da se ima i meta-podatak kojim govori kojem aplikativnog progamu pripadaju podaci u fajlu.
i tu je problem.
ekstenzija pokusava da resi dva problema:
1) prvi problem je sto ekstenzija opisuje na koji nacin su poredjani podaci unutar fajla
2) drugi problem je sto ekstenzija govori operativnom sistemu sa kojom aplikacijom treba da se otvori koji fajl

ono sto je problem je da slobodno mozete da promenite ekstenziju fajla ali na taj nacin sigurno necete promeniti strukturu/sadrzaj fajla (odnosno nacin na koji su zapisani podaci unutar fajla). Ako su podaci zapisani u JPEG formatu onda promena ekstenzije sigurno nece podatke presloziti u npr. GIF format. Sve sto ce se desiti promenom ekstenzije je zbunjivanje 1) korisnika i 2) OSa. 1) Izgleda da je neko u nekom trenutku razvoja racunara mislio da je dobra mogucnost, da uz promenu imena fajla, korisnik moze da menja i ekstenziju fajla.

to je ukratko problem. promena ekstenzije ne menja sadrzaj fajla. ne radi ama bas nista pametno osim sto pokusava da resi problem vezivanja fajla za odredjeni aplikativni program i to na jako glup nacin. ekstenzija je isto kao i velicina fajla, datum fajla, pozicija na disku fajla... nesto sto je cinjenica i nesto sto ne mozete promeniti izmenom meta-podataka. format fajla je isto to - zasto je onda dozvoljeno da ga slobodno menjate?

mogao bih jos nasiroko pisati ali me mrzi. ako se jednom nadjemo na pivu, mozemo diskutovati o tome 3+3+3... sata
:wave:

 

[a c a]

glavni problem je sto su deb!l! u Microsoftu mislili da je dobra ideja da sakriju extenziju za poznate tipove fajlova.

neko vam posalje fajl: profaktura014.pdf.exe i windows, sa default setovanjima, ce vam fajl prikazati kao profaktura014.pdf (sklonice .exe jer je to "poznat tip fajla") i dvoklikom na taj fajl startovacete program (tj. virus) misleci da otvarate PDF dokument.


btw
cela ta papazjanija sa file.extenzijama je stara koliko i sam hijerarhijski fajl sistem.
ne znam kojem je to moronu palo na pamet da meta-podatak o tipu fajla stavi u naziv fajla ali znam da se to vicini tadasnjih IT "strucnjaka" ucinilo kao dobra ideja i da je taj koncept zaziveo i ostao do dana danasnjeg kao neupitan deo racunarskog sveta.

Je li, a cemu inace sluzi Total Commander? Pa izmedju ostalog da vidim i ekstenzije fajlova bez dodatnih klikova.

 

[MIB]

Ako pise npr.

ostrvo
setup
lista_potrepstina
profaktura.pdf
EasyBCD 2.2

valjda znas koliko je sati?

 

[__zevs__]

Vidis ako si bas skoncentrisan. Iako me ovo ne dotice (kod kuce nemam windows, a na poslu je to tudja briga), moram da dodam +1 na to koliki je *****luk ta odluka o sakrivanju poznatih (znaci ne svih) ekstenzija bila. Ne znam kako bira koja je ekstenzija poznata, ali pretpostavljam da u tvom primeru ovo moze biti i pravi pdf, samo je ekstenzija nepoznata, pa samim tim i prikazana.
Drugi primer *****luka je autorun na prenosnim uredjajima, je l' razmislja neko u MS uopste?

 

[Logen]

Po defaultu se ekstenzije ne prikazuju ali mozete lako da namestite da ih prikazuje.

 

[__zevs__]

TheCya, nisu problem napredni korisnici koji to znaju iskljuciti.
Verovatno bi se mali broj upecao i da ostane ukljuceno, vec sto je nekom uopste palo na pamet da ulozi trud (i novac) i napravi tako nesto beskorisno, a opasno.
I jos da to stavi da bude ukljuceno po defaultu. :wall:

 

[Kimins]

Tako je lepše, a oni koji padaju na foru njima sve jedno nema spasa.

 

[Yot]

Jedini način da se zaustave plimu cryptowall - da ne plaćaju razbojnika.

 

[IgorHW]

drugar je platio i dobio je kljuc ali nije uspeo da dekriptuje fajlove.
mozda se i on javi ovde sa dodatnim informacijama.

Da nije kojim slučajem više puta pokrenuo virus? Teoretski bi moglo biti da je toliko puta rađena enkripcija svakog fajla što dalje znači da isto toliko puta mora da dekriptuje da bi došao do originala.

@Yot
Eh, al' ko nije pravio redovan backup maltene nema drugog izbora nego da plati (mada i to naravno ne garantuje da će dobiti podatke).

 

[kovacm]

btw
cela ta papazjanija sa file.extenzijama je stara koliko i sam hijerarhijski fajl sistem.
ne znam kojem je to moronu palo na pamet da meta-podatak o tipu fajla stavi u naziv fajla ali znam da se to vicini tadasnjih IT "strucnjaka" ucinilo kao dobra ideja i da je taj koncept zaziveo i ostao do dana danasnjeg kao neupitan deo racunarskog sveta.

Lepo je kad sa danasnje visine tako nesto izjavis a nista nisi ucinio da nesto bolje napravis, niti da razmislis zasto je tada to bilo korisno.

Taj problem je poznat 20 godina - a uhvatio te je. Ti si admin, deal with it. Your fault.

sad sam se setio da ti nisam odgovorio...

dakle imamo fajl (gomila naizgled nepovezanih bajtova koje pravilno mogu da interpretiraju odredjene aplikacije) i imamo meta-podatke o fajlu (podatke koji nisu sastavni deo podataka vec ga opisuju. kao sto su ime, datum kreiranja, prava pristupa, fizicka lokacija na disku, pozicija u hijerarhiji...)

neke od tih meta-podataka korisnik moze da promeni i ima smisla da promeni. to su npr. naziv fajla, permissions...

dok postoje i metapodaci koje nema smisla da korisnik menja npr. vreme kreiranja fajla jer u suprotnom taj podatak gubi smisao. Isto vazi i za ekstenziju. Promenom ekstenzije fajla od strane _korisnika_ podaci unutar fajla se naravno ne menjaju. Problem je sto korisnici ocekuju da ce se to desiti jednostavnom izmenom ekstenzije (upravo zbog ovoga je Microsoft i odlucio da sakrije ext. po defaultu ekstenziju). Dakle ekstenzija, odnosno tip fajla, ne treba da bude metapodatak koji korisnik moze da promeni jer time nece nista postici.

TOTALNO DRUGI problem je sto je neko hteo pomocu ekstenzije da napravi vezu za startovanje programa (usled manjkavosti tadasnjih fajl sistema, hallo to Microsoft). Apple je pokusao da resi ovaj problem, buduci da je od samog starta jasno razdvojio data i resource fork, dodavajuci meta podatak o kreatoru i tipu fajla sto nije bilo moguce u slucaju npr. FATa pa je ekstenzija morala da se koristi i kao veza za startovanje programa (i otuda cela papazjanija).

Poenta je da je neko razmisljao a neko bio glup. I meni je kao klincu bilo jednostavnije da koristim ekstenzije na Atariju ST nego data creatore na Mac OSu ali upravo iz tog razloga, sto je nekome naizgled "lakse" (jer ne razume svu problematiku) i imamo ovaj kupus od interneta (ali necu da ulazim ponovo u tu temu; nemam vremena da pisem eseje)

I za kraj, Apple danas nudi UTI (Uniform Type Identifier) koji, za razliku od mime-typea, nudi mogucnost da se jedan fajl klasifikuje pomocu tagova a da ne bude posadjen u strogo definisanoj, rigidnoj formi.

 

[rango1]

Koji je najbolji software za bekap? Backup and Restore?

P.S. ne pamtim kad sam poslednji put uradio bekap a sad videh da je ssd rizican sam po sebi

 

[Ilion]

Probaj fbbackup.
Nemam licno iskustvo ali sam čitao opis u sk-u i deluje ok. Nikako da ga probam.

 

[kovacm]

Reko da dignem temu na prvu stranu jer vidim da se i na benchu malo, malo pojavi nova tema u kojoj je neko pokupio neku vrstu ransomware-a (vidim da je TeslaCrypt popularan :d).

Nova verzija se siri preko web reklama: http://www.theguardian.com/technolo...es-new-york-times-bbc-ransomware-malvertising

a kazu da koristi "Angler exploit kit"; nisam se udubljivao ali evo ga pojasnjenje: https://blogs.sophos.com/2015/07/21/a-closer-look-at-the-angler-exploit-kit/

ovo su linkovi kako bi vas motivisali da preventivno, i na vreme, napravite backup-e!

---

u mojoj okolini su ga dve firme fasovale u poslednje dve nedelje.

---

ukoliko imate Mac OS X: originalni Transmission torrent klijent je bio zarazen!

 

[mitar1982]

Zar na meku ima virusa!?

 

[smith_bre]

Ček, pa kako se onda braniti od ovoh čuda, ako virus napada preko weba, tj od kirisnika se ne znahteva ništa da pokreće, dovoljno je da ode na "legalnu" stranicu koja je zaražena sa ovim čudom i da ga pokupi...(tako sam ja razumeo)

 

[faex]

Ček, pa kako se onda braniti od ovoh čuda, ako virus napada preko weba, tj od kirisnika se ne znahteva ništa da pokreće, dovoljno je da ode na "legalnu" stranicu koja je zaražena sa ovim čudom i da ga pokupi...(tako sam ja razumeo)

I mene zanima.

 

[milanbb]

Niste čitali ceo tekst, samo onaj senzacionalistički deo

Da, moguće je da odeš na "legalnu stranicu" i da pokupiš virus. Da bi se to desilo moraš da imaš sledeće:

- potpuno bušan IExplorer

ili

- matori flash plugin

 

[kovacm]

Ček, pa kako se onda braniti od ovoh čuda, ako virus napada preko weba, tj od kirisnika se ne znahteva ništa da pokreće, dovoljno je da ode na "legalnu" stranicu koja je zaražena sa ovim čudom i da ga pokupi...(tako sam ja razumeo)

da ne filozofiram sta je sve naopako sa danasnjim web-om i zasto imamo ovakve situacije,
najbolja zastita je backup i to po principu "parni i neparni dani": dva externa harddiska koja koristite za backup, jedan parnim, drugi neparnim danima.


nisam siguran kako rade ovi virusi na Windowsu ali pretpostavljam da samo pokrenu ugradjene (legalne) Windowsowe servise za enkripciju, sto traje delic sekunde, i dalje Windows sam radi posao za njih. Virus nakon toga mozete i obrisati ali ako ne resetujete racunar ili ne ubijete proces za enkripciju zavrsicete sa zakljucanim fajlovima na vasem racunaru. Mozda je resenje onemoguciti Windows servis za enkripciju koji ovi virusi koriste? U svakom slucaju treba ispitati metode rada virusa kako bi nasli najbolju zastitu...


zarazeni Transmission na Mac-u je kod drugara enkriptovao samo fajlova na Windows SMB sharovima, nije dirao fajlove na MacBooku (?!?) ali i to je dovoljna muka. Neko je pitao zar nema virusa na Mac-u: ovo nije virus; hackeri su uspeli da na zvanican sajt Transmission ubace link ka Transmission aplikaciju koju su oni modifikovali za njihove potrebe.

 

[Space Beer]

Jutros na linuxu posle silnog update-a vidim ne radi flash u Operi. Ne znam da li je to dobro ili loše

 

[kovacm]

Niste čitali ceo tekst, samo onaj senzacionalistički deo

Da, moguće je da odeš na "legalnu stranicu" i da pokupiš virus. Da bi se to desilo moraš da imaš sledeće:

- potpuno bušan IExplorer

ili

- matori flash plugin

naravno ali nikada ne znas kada ce iskoristiti neki novi exploit u javi, windowsu, OpenSSLu, legalnom websajtu (kao u slucaju www.transmissionbt.com) ili necem trecem. Osnovna stvar je da sav software treba updatovati dok se ne desi da upravo taj update otvori rupu za virus (npr. hackeri nadju nacin da preko updatea nekog programa uvale virus).

Po meni je jednako bitno onemoguciti virus da radi cak i ako ga dobijes (a prva stvar je backup).

Problem sa ovim virusom je sto i npr. TimeMachine backup na Mac-u postaje beskoristan (kao sto i na Windowsu virus pobrise sve "previous versions" fajlova).
Sledeca stvar koju virus treba da uradi je da preko svih slobodnih sektora na disku upise "0" tako da ni sa "file recovering" ne mozete da vratite svoje podatke (virus kad enkriptuje fajl, brise originalni fajl).

 

[ironmanbg]

Jel virus prolazi i kod limited usera?

 

[milanbb]

Ako user ima pristup fajlovima i moze da pokrene exe - sve prolazi.