Šta je novo?
Od:
Filteri

OPREZ! CryptoWall virus koji enkriptuje fajlove

Da li bi UAC mogao da spreci automatsko pokretanje virusa, tj. da da korisniku upozorenje da "taj i taj" program pokusava da se pokrene sa sistemskim privilegijama i da se tako zaustavi?
 
Poslednja izmena:
btw

ovi Crypto virusi napokon liče na one prave viruse iz 80tih, viruse koji su hteli da ti nanesu štetu, brisali fajlove... :)
sve ovo sto smo imali od virusa u poslednjih deceniju ili dve nije pravilo gotovo nikakvu stetu po pitanju korisnikovih fajlova; mislim pravo cudo je da se ranije nije pojavio ovakav neki virus, pogotovo sto su stariji windowsi bili daleko pogodniji za sirenje virusa, ali kao da su cekali pravo vreme tj. da se pojavi mehanizam (skoro) anonimne naplate... ;)
 
Da napisem i ja svoje iskustvo:

Ja sam ransomware zaradio instalacijom Minecrafta. Klinac iz komsiluka svratio kada ja nisam bio tu i keva ga pustila na komp. Skinuo i instalirao Minecraft (pirat). Ja sam ga posle izbrisao normalno. Posle nekih mesec dana, sedam na racunar i doceka me poruka da platim 0.1 BTC da bi mi otkljucali fajlove. POtrazim na netu o ovome i vidim da je ransomware bio napravljen da se svima automatski pokrene u odredjeno vreme i da su svi imali verziju Minecrafta koju sam i ja imao. Zakljucao je fajlove na svim particijama koje sam imao i probao je da isto to uradi i na NAS particijama ali je namesteno da samo NAS moze da pise a svi ostali mogu samo da citaju (read only). Na racunaru je zakljucao neke besmislene stvari, npr instalaciju Qt ali i stvari koje su mi bile bitne (doc, pdf, cak i c/cpp fajlove iz projekata). Sva sreca pa sam sve bitne stvari povezao sa Google Drive-om. Posto Drive ima version control koji cuva prethodne verzije fajlova 30 dana lako sam ih vratio.

Velika preporuka za Google Drive.
 
TheCyA je napisao(la):
bitne stvari povezao sa Google Drive-om. Posto Drive ima version control koji cuva prethodne verzije fajlova 30 dana lako sam ih vratio.

Velika preporuka za Google Drive.
Kliknite za proširenje...
Ajde ako ti nije cimanje, objasni ukratko kako se koristi taj "version control"...
 
Odes na web verziju google drive-a (drive.google.com). Odes desni klik na fajl i manage versions. Tamo ce da budu sve izlistane promene u poslednjih 30 dana i na svakoj promeni ima dugme gde mozes da izaberes da je skines, izbrises ili zauvek sacuvas.

Ovako izgleda:

L114tzh.png
 
Poslednja izmena:
falaaa :)

Nisam do sada koristio Drive, ali mogao bih da vidim to, za svaki slučaj.
 
^ isto ima i npr. DropBox. Cloud resenja su u svakom slucaju super a uglavnom ne kostaju nista...


Resenje za lokalni backup (ali zahteva drugu (linux) masinu):

napravis Cron job na Linuxu koji ce se konektovati na tvoj racunar i sa Rsyncom napraviti backup. Na ovaj nacin tvoj racunar NEMA pristup linuxu vec linux pristupa tvom racunaru tako da cak i da tvoj racunar dobije virus ne moze da ode na Linux i zakljuca fajlove u backupu.

Ovo je mozda i najelegantnije resenje za backup ali zahteva, ne externi disk, vec ceo racunar (Pine ili Rpi?)...
 
Ja sam jednom sa IT Sveta dobio virus preko Opere i Chrome-a, zbog exploita u Javi ;)
Jedina zastita je ostala izgleda totalni sandboxed browsing. Ili Virtual Machine za browsing iskljucivo :)

Nazalost, kada je Transmission client i slicni slucajevi (da je trusted app zarazen, a ni autori ne znaju) jedino heuristic anti-virus moze da pomogne.
 
Poslednja izmena:
kovacm je napisao(la):
Resenje za lokalni backup (ali zahteva drugu (linux) masinu):

napravis Cron job na Linuxu koji ce se konektovati na tvoj racunar i sa Rsyncom napraviti backup. Na ovaj nacin tvoj racunar NEMA pristup linuxu vec linux pristupa tvom racunaru tako da cak i da tvoj racunar dobije virus ne moze da ode na Linux i zakljuca fajlove u backupu.

Ovo je mozda i najelegantnije resenje za backup ali zahteva, ne externi disk, vec ceo racunar (Pine ili Rpi?)...
Kliknite za proširenje...


Mislim da ne moze na taj nacin da odradis sa windows masinom, moras da startujes rsync klijent sa strane windowsa koji inicira rsync job, ali u svakom slucaju nije ni bitno, rsync server se ne vidi iz windowsa pa ne postoji sansa ni da se fajlovi zaraze na linux masini. Sto se hardvera tice, moze RPI sa usb hard diskom ali je za vecinu jednostavnije resenje neki NAS.
 
Nama je u firmi uleteo pre nekih mesec dana, ne znam po kom principu se sirio po mrezi, ali od 10ak racunara, otisao je na "samo" 4.
Srecom nista toliko nije bilo bitno na njima, pa smo reinstalirali masine i resili se problema.
 
MD5 ce biti tacan u tom slucaju!
 
Ne razumem.

Kako checksum može biti isti u slučaju zaražene i nezaražene aplikacije?

Jedino, ako je algoritam provaljen.
 
Poslednja izmena:
lab310 je napisao(la):
Mislim da ne moze na taj nacin da odradis sa windows masinom, moras da startujes rsync klijent sa strane windowsa koji inicira rsync job, ali u svakom slucaju nije ni bitno, rsync server se ne vidi iz windowsa pa ne postoji sansa ni da se fajlovi zaraze na linux masini. Sto se hardvera tice, moze RPI sa usb hard diskom ali je za vecinu jednostavnije resenje neki NAS.
Kliknite za proširenje...

ne treba ti rsync na windowsu.
tacnije: na windowsu ne treba nista da diras osim da napravis nalog preko koga ce linux pristupati.
 
Bekap je i otac i majka!
Nego me dve stvari zanimaju:
Kako se danasnji free antivirusi odnose prema ovoj napasti (pruzaju li ikakvu zastitu),
I je li moguce zastiti ostale particije (osim sistemske) nekim read only fazonom?
 
milanbb je napisao(la):
Niste čitali ceo tekst, samo onaj senzacionalistički deo ;)

Da, moguće je da odeš na "legalnu stranicu" i da pokupiš virus. Da bi se to desilo moraš da imaš sledeće:

- potpuno bušan IExplorer

ili

- matori flash plugin
Kliknite za proširenje...

Nisam video da se odnosi samo na IE.
Ono što sam video je da exploit traži rupu, a sve mu je jedno da li je to java,flash,html... tako da ne vidim razlog zašto bi se to odnosilo samo na IE
Sećam se da su exploiti za nove verzija browsera(firefox,opera,chrome) prodavali za velike pare, a ovima je to leba, tako da mogu da kupe sve što se pojavi na tržištu



kad ste već spomenuli cloud, evo zanimljive ponude
SkyHub Cloud 2TB Backup: Lifetime Subscription 40$
 
Poslednja izmena od urednika:
sam633 je napisao(la):
Ne razumem.

Kako checksum može biti isti u slučaju zaražene i nezaražene aplikacije?

Jedino, ako je algoritam provaljen.
Kliknite za proširenje...

Kako kako, pa dace ti lazni checksum cim uspeju i laznu aplikaciju da te ubde da skines?
 
Pa to su i uradili, tesko da ce neko da hakuje server, zameni file, a ne promeni MD5 i stranicu :)

Da skidas sa levih sajtova, to je vec nesto drugo..
 
Ako vam radi system restore onda mozete sa shadow explorerom da izvucete file-ove iz restora (sa onih particija koje su stavljene u restore).
 
Plus jeste MD5 krš koji ne treba koristiti za verifikaciju.
 
Preacher je napisao(la):
Ako vam radi system restore onda mozete sa shadow explorerom da izvucete file-ove iz restora (sa onih particija koje su stavljene u restore).
Kliknite za proširenje...
Ransomware gasi i brise sve to tako da nema vracanja.
A backup obavezno proverite na nekom drugom racunaru, neke vrste enkriptuju nedeljama/mesecima pre nego sto zatraze isplatu, a u medjuvremenu dekriptuju po pokretanju pa ni ne znate da ste odavno zarazeni.
 
linux je napisao(la):
Ransomware gasi i brise sve to tako da nema vracanja.
A backup obavezno proverite na nekom drugom racunaru, neke vrste enkriptuju nedeljama/mesecima pre nego sto zatraze isplatu, a u medjuvremenu dekriptuju po pokretanju pa ni ne znate da ste odavno zarazeni.
Kliknite za proširenje...
Ja sam pomocu shadow explorera na 3-4 racunara izvukao podatke. Naravno useri koji su radili nisu imali admin privilegiju.
 
Kako otkriti zarazu?
 
alfaunits je napisao(la):
I onda ti nestane taj bekap, jer oni nece moci sa 40$ stvarno da toliko dugo odrze 2TB na netu, pa propadnu. Kao i neki pre njih na slicnim fazonima.
Kliknite za proširenje...

slaže se, niko ne garantuje da će oni biti tu za 5godina, ali sa druge strane, nije ovo regularna cena, nego neki popust tj akcija :D
takav je ceo sajt, pogledaj ostale ponude
 
Poslednja izmena:
Preacher je napisao(la):
Ja sam pomocu shadow explorera na 3-4 racunara izvukao podatke. Naravno useri koji su radili nisu imali admin privilegiju.
Kliknite za proširenje...

najverovatnije si imao srece jer si imao verziju koja nije brisala verzije fajlova...

trebalo bi stvarno staviti virus na test masinu i videti na koji nacin radi: da li trazi od korisnika u nekom trenutku admin privilegije ili se tiho pokrece bez UAC dijaloga... sta tacno pokrece od servisa i na koji nacin...tako bi dobili odgovor i na SOCOMovo pitanje: kako ga otkriti?

slucaju sledeci nivo za virus :d je da upisuje nule preko dela harddiska koji je prazan tako da ne mozes ni sa 'file recovery' programima da eventualno izvuces neke fajlove...

---

majsta je u jednom threadu o ovim virusima napisao da je najbolje ostaviti enkriptovan disk za 'bolja vremena'
sad citam na https://en.wikipedia.org/wiki/CryptoLocker "CryptoLocker was isolated in late-May 2014 via Operation Tovar—which took down the Gameover ZeuS botnet that had been used to distribute the malware. During the operation, a security firm involved in the process obtained the database of private keys used by CryptoLocker, which was in turn used to build an online tool for recovering the keys and files without paying the ransom." - dakle definitivno nije losa ideja 'ostaviti disk za bolja vremena'...
 
Poslednja izmena:
Morate se prijaviti ili registrovati da odgovorite ovde.
Nazad
Vrh Dno