Što se mene tiće eto, vidim da je ovo postao svojevrsni "hub" informacija pogođenih, pa sam pokušao i svojim informacijama pridonjeti. Naravno još uvijek čekam potvrdu da je uplata uspjela, iako ako uspijem svog šefa nagovorit da odriješi kesu, bit će te prvi koji će te znati :)
Nitko ne zna. Neki kažu mailovi, neki drive-by download sa naših portala a ja sam poprilično uvjeren da je riječ o nekom sleeperu jer je problem nastao oko 14h u srijedu kod manje-više svih...
Obično se pojavi na jednom ili dva stroja i ne širi se dalje (sam ransomware) - dovoljno je da se pokrene na jednom PCju i onda enkriptira fajlove na shareanim diskovima (kojima ima pristup taj user kod kojeg je malware).
Jučer kod mene zaražen server i 2 računala na mreži. Oba imaju pristup na internet ali na njima rade starije gospođe koje nemaju mail niti ga znaju koristiti tako da nisam siguran da je preko maila. Pretpostavljam da je surfanje u pitanju...Server se zarazio točno u 13:30.
Meni je sumnjivo da se baš u ovoj temi nalazi 9 novoprijavljenih kolega na forumu i nigdje više! 
Drago mi je da ima ljudi koji ne čitaju što drugi pišu i hoće od sveg srca pomoći :)
da, ja sam platio.
nazalost nekad se dogodi da neke stvari zaboravis da postoje dok te ovako nesto ne podsjeti
i da, racunica je jasna
kolko kosta da se ono sto je krptirano napravi ponovo, a kolko kosta da se plati, a sto se tice etickih rasprava o tome treba li ili ne, siguran sam da trebas poceti od toga ko ti je sastavio mobitel koji koristis i za koje novce.
Šišaš ti etička pravila, ja ti hoću reći da ćeš sutra platiti opet kad ti to naprave, a ti samo plaćaj.
Ista politika zašto ameri ne pregovaraju s teroristima...
btw. Jesi uspio otključat podatke nakon plaćanja?
Shadow explorer pomaže, ova varijanta ne briše datoteke (tkz previus version) i to je jedino što vas spašava. Osim backupa koji nije zakačen na to računalo ili ima neobičajenu ekstenziju.
imam par zaraženih računala u mreži no;
1. nigdje nije ostavljena poruka kako se plaća "otkupnina" (kod nekih drugih slučajeva na desktopu je tekst sos@anointernet.com)
2. oni koji su platili, jesu li im se fajlovi vratili
3. u ESET-u kažu kako nakon "udara" virus uništava sam sebe, tako da je teško doći do uzorka samog virusa, to mogu potvrditi, računala sam skenirao nakon problema, nigdje nema ništa za naći od malware-a bilo koje vrste, ostale su samo posljedice
Prema zadnjim informacijama koje su mi informatičari rekli, u ovom trenutku bi svi antivirusni programi trebali biti sposobni prepoznati i spriječiti napad i širenje virusa koji se jučer oko 13-14 aktivirao po računalima diljem Hrvatske. Dakle, napad je prošao, tko je stradao-stradao je. Širenje je išlo uglavnom preko Java exploita. Da li je se je neki novi cryptolocker začahurio negdje po računalima i serverima i opet će se aktivirati - to nije sigurno ali ovo je bilo upozorenje svima koji nemaju adekvatnu zaštitu i ne rade backupe da se uhvate posla.
Upravo mi rece kolega iz italije da su danas dobili zarezeni fajl u mejlu od dobavljaca. Zipana su bila 3 falja (.step) i jedan je odma prepoznat kao ransomware virus. Tako da se cini da je globalno :S
nije mi problem nista, htio sam zavrsiti dekpripciju i backup kao sto sam ti vec jednom napisao
ko hoce primjer krptiranog filea, dekiptiranog filea, dekripter, user i pass molm na pm mejl sa imenom i prezimenom.
tolko od mene, hvala na pomoci
nije mi problem nista, htio sam zavrsiti dekpripciju i backup kao sto sam ti vec jednom napisao
ko hoce primjer krptiranog filea, dekiptiranog filea, dekripter, user i pass molm na pm mejl sa imenom i prezimenom.
tolko od mene, hvala na pomoci
Kakav troll hahahahahahahaha
nije mi problem nista, htio sam zavrsiti dekpripciju i backup kao sto sam ti vec jednom napisao
ko hoce primjer krptiranog filea, dekiptiranog filea, dekripter, user i pass molm na pm mejl sa imenom i prezimenom.
tolko od mene, hvala na pomoci
Kakav troll hahahahahahahaha
Definitivno! Valjda bi u dva dana našao 1 minutu i 17 sekundi da pošalje nešto da to uopće ima.
poslao sam i tebi misko, ne moras se ispricavati :)
da, ja sam platio.
nazalost nekad se dogodi da neke stvari zaboravis da postoje dok te ovako nesto ne podsjeti
i da, racunica je jasna
kolko kosta da se ono sto je krptirano napravi ponovo, a kolko kosta da se plati, a sto se tice etickih rasprava o tome treba li ili ne, siguran sam da trebas poceti od toga ko ti je sastavio mobitel koji koristis i za koje novce.
Šišaš ti etička pravila, ja ti hoću reći da ćeš sutra platiti opet kad ti to naprave, a ti samo plaćaj.
Ista politika zašto ameri ne pregovaraju s teroristima...
btw. Jesi uspio otključat podatke nakon plaćanja?
pregovaraju sa putinom :)
da, jesam
Ne znam u čemu je problem postati ovdje... Mislim da će netko drage volje dati lovu tebi ako upali neko rješenje koje zajedno smislimo (iako su malene šanse)...
S obzirom da se tiđe ove teme (drive by zaraza i java exploita) ovo ja koristim u firmi i pokazalo se učinkovito:
Hitman Pro alert
Ghostery
TrafficLight
Malwarebytes anti exploit
Edit: Meni koriste nekih 50Mb rama više u firefoxu tako da nr bi trebalo bit gušenja
poslao sam i tebi misko, ne moras se ispricavati :)
Ipak se ispričavam. Dobio sam, testiram. Tnx!
Vidim da su neki fulali point kako se to smeće proširilo...
1. Malware se skinuo na PC na neki način (drive-by, exploit, zaraženi attachment) ili je otprije tamo, samo se u srijedu oko 14h aktivirao. Moguće je da se nalazi i na više PCja ali tamo je došao uvijek na isti način. Malware se nije kopirao niti na jedan PC unutar mreže!
2. Pokrenut je scan za fileovima iz popisa (Office dokumenti, ZIP fajlovi, PDFovi i slike te PSTovi) na dijeljenim diskovima.
3. Skupio je popis datoteka na mreži i počinje kriptiranje.
4. Kriptiranje gotovo, malware se briše sa PCja sam odakle je obavio popis (i kriptiranje) te ostavlja ili txt ili fud.bmp sa uputama za otkupninu.
Dakle, zaraženi su PCji koji su skinuli zaraženi file (ili neki drugi način naveden gore) i nakon kriptiranja, malware se obriše! Mi ga nismo nigdje našli a nulti PC smo pronašli prema kriptiranom fajlu u mapi kojoj imaju pristup samo admin i taj domenski user. Svi ostali useri i PCji su čisti.
http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
Mala pomoć nesretnicima.
http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
Mala pomoć nesretnicima.
Ovo nije crypto locker ovo je neko hrvatsko đubre smislilo,cryptolocker je glup i ne briše se automatski s hosta.
Meni je na jednom zaraženom računalu avg jučer prepoznavao virus ga kada sam vraćao datoteke sa shadow explorerom. Dio datoteka sam pronašao sa data restore aplikacijom.
Baš me zanima (mada čisto sumljam) dali je netko tko je pokupio zarazu imao instaliran neki oblik web zaštite kao što su AdGuard, BitDef.Traffic-Light ili možda namještene OpenDNS-ove adrese?
Netko je reko da je zaraza došla i sa Comodo AV-om, pa me također zanima kako se zaraza uspjela provući pored njegovog HIPS-a i Sandboxa? Ili su ti moduli u tom slučaju bili isključeni ili su bila ignorirana upozorenja pa se samo klikalo na "Allow"?
Baš me zanima (mada čisto sumljam) dali je netko tko je pokupio zarazu imao instaliran neki oblik web zaštite kao što su AdGuard, BitDef.Traffic-Light ili možda namještene OpenDNS-ove adrese?
Netko je reko da je zaraza došla i sa Comodo AV-om, pa me također zanima kako se zaraza uspjela provući pored njegovog HIPS-a i Sandboxa? Ili su ti moduli u tom slučaju bili isključeni ili su bila ignorirana upozorenja pa se samo klikalo na "Allow"?
to ti je 0 day ransomware kako će ga adguard prepoznati ako ga nema u bazi.Slučaj je najvjerojatnije izoliran samo na Hrvatsku i tu niti napredna heuristika ne pomaže.
A true man is not how much liquor he can drink,nor how much asses he can whip,a true man is how he takes care of his family and handles himself in crisis.
Mali dodatak na cijelu priču,
znači pored samog crypto malwarea primjetih na zaraženom računalu i brontok crvića upakiranog u neke kriptirane datoteke. Sam brontok je uz nas godinama, nisam siguran koja varijanta. Vjerojatno je sa zaraženih računala poslao i mailove na kontakte s primjerkom crypto gamadi...
i ja sam se registrirao na forum tek sada jerbo je i nas pogodilo, a ovo je začudo jedino mjesto na kojem se o ovome govori ovih dana. Kako sam u komunikaciji s ljudima shvatio da je jaaaako puno firmi nadrljalo nije mi baš najjasnije da o tome nema niti retka u javnim medijima.
Nisam nikakav stručnjak i nemam ništa pametno za reći nego samo ukratko opisati našu situaciju pa možda netko iščita nešto korisno iz ovoga.
Dakle startalo je u srijedu u 13.30 i to, najvjerojatnije s mog stroja. Trend micro nije ništa skužio. Ja, uglavnom ne idem na portale a i oprezan sam s mailovima. (U vezi s mailovima bila mi je sumnjiva jedna stvar da mi je od ponedjeljka 16.3. Outlook kod searcha inboxa prikazivao samo mailove dospjele tamo negdje do 20.12.2014.)
U svakom slučaju od 6 računala na mreži tri su bila uglavnom rasturena. Na onom koje je najbolje prošlo bilo je oko 6.000 fajlova (samo jpg i doc), na sljedećem oko 40.000 (jpg i doc) (na oba su dečki ne baš osobitog odnosa prema sigurnosti - jedan surfa po portalima, a drugi nerezonski klika po gmailovima), a na mom svi fajlovi unutar share foldera (ali samo foldera u koje sam taj dan pristupao).
Srećom pa imamo backup jer su dečki s ova dva stroja druga pokrenuli restore point i popušili sve fajlove (koji su naravno na kraju imali ekstenziju com). Ali nije velika tragedija jer se bavimo DTP-om, pa u konačnoj pripremi ne koristimo jpg već tif datoteke, a tif nije dirao (ili stigao dirati).
Na svom stroju sam prvo pokušao preimenovati datoteke ali nakon toga se nisu dale otvarati. Međutim shvatio sam da kad se preimenuje datoteka u pravi naziv da se može vratiti previous version i onda stvar hoda.
Sa shadow explorerom sam uspio vratiti većinu stvari na zadnji datum 25.2. međutim negdje oko 3 u noći, vjerojatno sam pokušao restorati public folder, shadow explorer je vrisnuo (i nije imao više niti jedan stariji datum za povrat fajli - a zanimljivo opcionalno je imao datume za povrat 25.2., 18.2. i 3.11.2015. (!?!). Usput vraćene su i neke fajle koje imaju novije datume /ili te možda niti nisu bile zaražene/.
Uglavnom na mojem su stroju i folderi dobijali nastavak sos@anointernet.com. Jedine datoteke koje sigurno nije dirao (unutar zaraženih foldera) su bile InDesign fajle.
Nakon svega smo prošli s cc cleanerom i kod čišćenja registryja naletjeli na brdo invalidnih java zapisa.
Usput to me je natjeralo da se zapitam je li moguće problem s pristupom na banku (kojoj sam jedinoj taj dan pristupao) pa me baš zanima čiji su klijenti pogođene firme (znam da je jednoj firmi stvar krenula iz računovodstva).
Eh da, mi smo na Windows 7, ali jedno računalo je ostalo netaknuto, kao i još jedno koje je na Windows 8.
Jel ovo napadalo svaki OS ili su neki ostali sigurni
