Ransomware napada
- poruka: 743
- |
- čitano: 185.696
- |
- moderatori:
pirat, Lazarus Long, XXX-Man, vincimus
ima dvije, ok, jel mogu drugu participaciju pregledati sa običnim antivirusnim/antimalwarom ili?
i drugo pitanje, na koji se način preventivno zaštiti od ransomwarea?
ima dvije, ok, jel mogu drugu participaciju pregledati sa običnim antivirusnim/antimalwarom ili?
i drugo pitanje, na koji se način preventivno zaštiti od ransomwarea?
ima dvije, ok, jel mogu drugu participaciju pregledati sa običnim antivirusnim/antimalwarom ili?
i drugo pitanje, na koji se način preventivno zaštiti od ransomwarea?
a dobro, mali zajeb 
Možeš provjeriti. No ovakvi pametni komadi koda obićno ne ostavljaju ništa za sobom :)
ima dvije, ok, jel mogu drugu participaciju pregledati sa običnim antivirusnim/antimalwarom ili?
i drugo pitanje, na koji se način preventivno zaštiti od ransomwarea?
Mozes provjerit sa AV alu i sa HitmanPro, Zemana Anti-malware, Norton Power Eraser...
Takodjer podaci na toj drugoj particiji su kriptirani i nema im pomoci (zasad, mozda jednog dana izadje dekripter) pa ako nisu biti obrisi i njih.
Zastita od ransomware-a....
Od koristenja brain.exe do dobrog backup-a do nekih "naprednijih" alata.
Ne otvaranje att iz mail-a (osim u sandboxu ili virtualnoj masini), pametno surfanje i zastita na browseru te takodjer Sandboxa browsera do neki ne bas user-frendly programa kao Comodo, Voodooshield, NVT Exe Radar...za nekog n00ba mozda stavit Kaspersky Anti-Ransomware Tool i AppCheck + Avast ili Bitdefender Free antivirus.
http://av-gurus.blogspot.com/ | http://www.facebook.com/antivirusna.ekipa | http://www.youtube.com/user/TheDjigibao/videos
Probaj ovo...
"CERBER decryption must be executed on the infected machine itself (as opposed to another machine) since the tool needs to try and locate the first infected file for a critical decryption calculation.
Due to the method of decryption for CERBER, the tool may take several hours (average is 4) to complete decryption on a standard Intel i5 dual-core machine. In addition, the encryption logic for CERBER also is built in such a way that the more cores a CPU has, the lower percentage chance of success for the decryption because of its complexity.
Similar to some other types of ransomware encryption, some files may be only partially decrypted and may require a subsequent file repair."
Pozz. Kakva je situacija sa freenas serverima za backup. Oni rade preko samba protokola u wins okruženju. Da li su i oni izloženi u istm razmjerima ili ne? Jel netko imao kakva iskustva?
Spija
Pozz. Kakva je situacija sa freenas serverima za backup. Oni rade preko samba protokola u wins okruženju. Da li su i oni izloženi u istm razmjerima ili ne? Jel netko imao kakva iskustva?
Ja svoj koristim tako da radi backup na nekih 10-ak servera, jednostavno mount rsinc unmount
s tim da imam snapshot od 3 i 7 dana i to je to
Zastita od ransomware-a....
Od koristenja brain.exe do dobrog backup-a do nekih "naprednijih" alata.
Ne otvaranje att iz mail-a (osim u sandboxu ili virtualnoj masini), pametno surfanje i zastita na browseru te takodjer Sandboxa browsera do neki ne bas user-frendly programa kao Comodo, Voodooshield, NVT Exe Radar...za nekog n00ba mozda stavit Kaspersky Anti-Ransomware Tool i AppCheck + Avast ili Bitdefender Free antivirus.
- ponavljaš 'pravila' koje biflaju npr banke.. =besmisleno. (posljednja reklama-upozorenje, da su beskontaktne kartice = rizik.. wtf, što korisnik s time može, tko to riješava?... brain.exe .. me zaboli od takvih upozorenja korisnicima)
- juzer se ne može zaštititi, može se samo zavaravati i nadati se da će AV obaviti posao, da su rupe pokrpane itd.
- brain.exe pri tome ne pomaže. Backup da.
... neovisno što je (već nekoliko godina) ransomware/crypt popularan (za razliku od prastarih 'običnih' virusa..), backup (kvalitetan) je imperativ, nezamijenjiv.
.. jer, nevažan je virus, jednako može crknuti disk ili lopov ukrade računalo.. odgovarajući backup je jedino rješenje, no nikad 100% ako se prisjetimo npr dinosaura i k-t granice :))
Pozz. Kakva je situacija sa freenas serverima za backup. Oni rade preko samba protokola u wins okruženju. Da li su i oni izloženi u istm razmjerima ili ne? Jel netko imao kakva iskustva?
- Situacija je ista kao posljednjih 20..? godina, razlika je sad, što znaš za SMB (ver.1).. dok za druge 'sitnice' ne znaš (ne znamo.. .. za sad).
- npr smb nema veze s OSom-win.. osim što je autor MS, to je OS independet stvar, protokol.
- nema sigurne mreže-komunikacije, nema zamjene za (pravi) backup. (osim ako se izoliraš na pusti otok, bez mreže i bilo kojeg nepoznatog komada HW+SW zapravo.. sve je soft osim nešto žice-plastike.)
edit: razlika između PCja i 'kutije' (kao router-nas-mediaplayer..) je što se na PCju 'lako' instalira novi soft (kodec, protokol itd.. pa i OS) dok je kutija ograničena, firmware.. i daleko teže je npr kad pogledaš firme s npr kopirkom na mreži (smb-v1) i sva mrežna oprema.. koju što..? u smeće? Biz.
edit2: ništa mrežnog/telekomunikacijskog, ne može na tržište ako nema 'blagoslov' nadležnih (državne agencije kao NSA..) i njima osiguranog backdora-ključa... (par godina se provlači vijest o npr iphoneu, otključavanju za fbi, izrael itd.. to je samo površinska santa leda, igrokaz za mase.. ispod je stanje 'stabilno'-nepomijenjeno, oduvijek i nema naznaka da će sutra biti drugačije, da će takva praksa biti promijenjena. Naprotiv, zbog 'hackera', terorizma.. to se želi još pojačati, +sopa-pipa akti koji bi to dozvolili bez sudskog naloga.. a od tog je prošlo već.. 5g? .. samo se ne piše o tome pa izgleda kao da je sve OK).
Pozz. Kakva je situacija sa freenas serverima za backup. Oni rade preko samba protokola u wins okruženju. Da li su i oni izloženi u istm razmjerima ili ne? Jel netko imao kakva iskustva?
Ma kakav god ti uređaj staviš da backupiraš na mrežni disk, ransomware će enkriptirati i taj mrežni disk. Moraš razumjeti da svi korisnici su potencijalna prijetnja i svi oni pristupaju tome backupu. Dakle, čak i ako uređaj je otporan na određene propuste, propust na strani korisnika može rezultirati enkriptiranim fileovima na NASu. Bilo kojem nasu koji koristi SMB/Samba.
Pozz. Kakva je situacija sa freenas serverima za backup. Oni rade preko samba protokola u wins okruženju. Da li su i oni izloženi u istm razmjerima ili ne? Jel netko imao kakva iskustva?
Ma kakav god ti uređaj staviš da backupiraš na mrežni disk, ransomware će enkriptirati i taj mrežni disk. Moraš razumjeti da svi korisnici su potencijalna prijetnja i svi oni pristupaju tome backupu. Dakle, čak i ako uređaj je otporan na određene propuste, propust na strani korisnika može rezultirati enkriptiranim fileovima na NASu. Bilo kojem nasu koji koristi SMB/Samba.
Čekaj malo... jel mi tu pričamo o NAS-u ili freenas-u sad sam malo zbunjen jer ako pričamo o freenas-u onda korisnici nit imaju veze nit pristupa njemu (bar nebi trebali imat)
-da. malo zbunjujuće.. :)
Da o freenas-u, no medutim zar princip nije vise manje isti na svim Nas sustavima. Koliko se sjecam (proslo je podosta vremena kad sam konfigurirao), backup se postavi automatski sa korisnickih racunala preko Ip adrese/domene na nivou mreže, ali mozes i mapirat diskove pa korisnici vide Nas diskove i mogu direktno pristupiti.
Mene je najviše zanimalo da li je SMB/Samba otporan na ransomware. Bilo bi super da je. U tom slucaju ne mapirat diskove i rokaj dok ide. Ali....
Spija
Kod mene je drukčije napravljeno. znači imam user-a koji ima samo pravo čitanja, on u zadano vrijeme
mounta file/folder/disk koji želim backup-at provijeri šata ima novog (rsync) napravi backup odmounta disk
i kraj. znači prisup backup serveru imam samo i jedino ja u firmi za vratit podatke.
Da ne kompliciramo evo ti moje komande za jedan stroj:
mount_smbfs -N -I ip-uređaja -E UTF8:CP852 //user@ime-pc-a/folder_koji_backupam /mnt/mjesto_di_radim_backup
rsync -arvz /mnt/mjesto_di_radim_backup
umount /mnt/mjesto_di_radim_backup
Šta se same sambe tiče to ti pak ovisi o tvojim postavkama koliko je ona ranjiva na ransom
Tnx
Spija
Za one koji su zainteresirani, ovdje su najnovije vijesti: Cyber-attack was about data and not money, say experts 
Povremeno, obično pri početku rada sa računalom pojavi mi se nešto "poruku sustava" na njemačkom i kao piše vaše je računalo zaraženo nekim virusom i ako želite rješiti problem uplatite neki iznos i pojavi se ono korisničko ime i lozinka, i ne može se nikako ukloniti osim gašenjem računala. Mislio sam napraviti screenshot,ali kako moram ugasiti računalo to je onda problem. Može li mi netko reći je li ovo jedna vrsta ovoga, samo što ne mjenja ništa na datotekama.
Kompjutee mi je zarazen virusom, ne mogu ni jedan file više otvoriti, svi file (xls, doc, jpeg, itd.) na hardu su kriptirani sa sljedećim nastavkom:
id_4726902404_sos@anointernet.com
Molim Vas za pomoć, kako vratiti file na staro da se mogu otvoriti. (restor i backup nije uspijelo)
Da li postoji neki program koji moze izvrsiti dekripciju.
Hvala puno.
Kompjutee mi je zarazen virusom, ne mogu ni jedan file više otvoriti, svi file (xls, doc, jpeg, itd.) na hardu su kriptirani sa sljedećim nastavkom:
id_4726902404_sos@anointernet.com
Molim Vas za pomoć, kako vratiti file na staro da se mogu otvoriti. (restor i backup nije uspijelo)
Da li postoji neki program koji moze izvrsiti dekripciju.
Hvala puno.
Format C čuda čini
I ja sam sinoć imao problema sa ovim Ransomwareom. Većina podataka je zahvaćena,ali ima i oni koji nisu ili su samo djelomično. Kod svakog piše LETO datoteka. interesira me je li se možda virus negdje pritaijo i hoće li se opet aktivirati. Ne pada mi na pamet da bilo šta plaćam,jer i nisu neki važni podaci,ali ipak mi je žao, posebno nešto što sam imao u pdf-u. U početku nisam znao o čemu se radi pa sam odmah pokušao sa reinstaliranjem sustava i to sve dok nisam pročitao poruku.Sad mi se trenutno skenira računalo antivirusnim programom i trenutno je našlo 25 nečega,e sad kako prepoznati Ransomware i pokušavam sa povratom podataka da mi je barem doći do ovoga u pdf-u.
ransom tj kriptiranje je obavio svoj posao, uzaludno je tražiti jer se nakon kriptiranja sam ukloni (oteža dekriptiranje..) tj kad se to desi prekasno je, jer to traje par sekundi (izuzetno brzo, možda gašenje struje...).
-sve ostalo što pronađeš ne mora imati nikave veze s ransomom, tj to su samo trojanci preko kojeg ga možda pokupiš ali ugl se to desi surfanjem-pokretanjem neke skripte/cracka i sl. dok sve ostalo smeće-malware ne nači baš ništa. Jedini način za biti siguran je format+clean.. i ne ponoviti istu stvar, + ne koristiti sumnjiv soft koji može imati trojance i sl.
ili ostaviš .. jer dokumente si već izgubio.
-ništa nećeš ti kao korisnik prepoznati, tj ni ja to ne mogu :) nego to radi soft klase antivirus-čitstač-skener.. + ponekad uspješno više-manje, mbam-s&d i ostali. Da te antivirus štiti efikasno tad bi te zaštitio, odnosno, ako si imao upozorenje i dozvolio rizičnu skriptu tad to nema nikakve veze s AV tj jednako možeš sam kriptirati file kao što možeš npr zipirati file s passom i to av zapravo ne može prepoznati-zaustaviti jer je legitimna operacija. S jednom razlikom, kad ti staviš pass na nešto, tad ga ti znaš, kad to obavi malware, tad ne znaš pass-key tj onaj dio koji služi dekriptiranju i bez kojeg ne možeš dalje ili bruteforce koji može trajati godinama dok ga razbiješ.
-kako će koji soft-av nešto nazvati ne mora biti jednako, kao i to da za neke rupe možda godinama nećemo znati dok će ih neki malware koristiti.
-zato je bar teoretski poželjno update sysa, av i izbjegavati neprovjerene izvore, softa-hrane-svega.. tj računati s tim rizikom prije klika, kasnije je kasno. Zaštite realno nema.
00
kako se pokazao ovaj windows sandbox u desetki? jel' pušta ili su ga dobro napravili?
Negdje sam ovdje pročitao da je neko uspio povratit podatke u pdf-u tako što je to uradio kroz linux live, je li mogaća ta opcija,ima li itko iskustva s tim. i ako mi je računalo bilo zaraženo virusom ransom wareom koji mi je enkriptirao podatke, značili to da je neki haker imao pristup mojim podacima ili to radi neka programirana skripta.
-linux nema veze ni sa čime, najmanje s pdfom.. tj ljudi svašta pišu, dok su činjenice nešto deseto.
-file da bi bio čitljiv, ako je kriptiran moraš dekriptirati, tad ne pomaže neki čudotvorni napitak nego key-kojim je nešto zaključano, može bruteforce ako imaš par tisuća godina života viška, može i plaćanje ransomwarea možda otključaju, može i neki od alata za dekript jer sve je to već staro 'dežavu' tj za neke već postoji dekripter-fix no to ovisi o sreći tj koji ključ je u twom slučaju a 99% da nema veze s nekim s yt klipića od prije par mjeseci ili nekim đoom u usa koji je dobio neki deseti malware-kriptić key .. tj mogućnost da su isti keyevi je kao mogućnost da na lotu izvuću iste kuglice na hr i eu jackpotu.. ili da istu osobu dva put pogodi grom (i preživi oba puta).. :)
-ljudi u nevolji vjeruju-pokušavaju svašta, no jedini pravi način je prevencija, ne pokupiti malware-ransom i imati backup svega što je važno (u definiciji, ako nemaš backup, nije važno tj razumjet ćeš prvi puta.. kad se desi upraov ovako nešto tj jednako može i kvar diska ili lopov odnese računalo.. što tad?).
-kraće, nije linux čudotvorni lijek, nema nikakva čudotvorna svojstva, a otvoririti pdf dokumnet možeš na bilo kojoj platformi jer je na svima dostupan (ali naravno, to se ne radi s zaraženim računalom jer samo omogućuješ širenje zaraze-problema.. pa je npr live boot pametniji način, ali ne zato jer je linux nego malware u pitanju).
-za utjehu, nije neki haker, nego soft-kod, skripta ili blo što što može izvršiti niz naredbi a to je danas sve, jer file je file i može biti bilo što i napraviti bilo što dok je enkripcija stvar koju možeš i sam kao korisnik napraviti, izuzetno brzo (skoro trenutno) i jedina razlika je što tad ti kao korisnik imaš key dok kad to napravi malware nemaš. Problem je taj key. Zaštita ne postoji kao što ne postoji zaštita koja bi spriječila da ti kao korisnik nešto npr zipiraš i staviš pass dok je jedina razlika što ovo radi 'maliciozna' skripta ali ti si u nekom trenutku to dozvolio kao vlansik-šef računala, tj nešto na npr internet stranici si kliknuo i naravno ta poruka nije bila u stilu '' ja sam virus ..'' nego nešto za naivne iz kategorije enlaređement penisa ili klikni me.. a kad to nešto klikneš tad je samo stvar sreće što se desi, tj upraov ovo je moguće. Zaštita? ne koristiti internet (kao ne voziti auto pa nema sudara..) ali internet i auti su nam potrebni a to znači da moramo naučiti pravila, sigurnost.. i računati na to da se nešto može desiti pa imati backup.
-da imaš backup važnih podataka bi li to sad bio strašan problem? Izgubio bi možda par sati za clean install i vraćanje iz backupa.. ovako možeš samo 'plakati' ili u očaju pokušavati s pdf-linuxom ili nekim trećim čudotvornim receptom.. šanse su skoro nikakve, manje nago na lotu i ako baš imaš sreće, tad igraj loto u suprotnom, počni brinuti o backupu i pripaziti što klikaš, što instaliraš, iz kojeg izvora nabavljaš potrebne sadržaje itd.. jer uvjek može biti nešto ovakvo, internet nije dječji vrtić, internet je divlji zapad i greške mogu biti skupe.
(ovo je manje odgovor tebi, više ostalima kao upozorenje, jer ovakve stvari su sve češće... a kad dođu na mobitel-anrdoid bit će katastrofalno).
Ej, evo i mi se u firmi od jučer borimo s ovime.
Danas smo otkrili jednu stvar što se tiče kriptiranih fileova.
Kriptirani PDF dokument otvorite u nekoj Linux distribuciji (probano na openSUSE i Gentoo) i izbrišite ono sve iza pdf extenzije od ransomware-a, .id-xxxxxxxxxx_sos@anointernet.com.
Nakon toga će pdf dokument biti kao i prije enkripcije.
Probali smo i sa doc, xls, txt, jpg fileovima ali na njima nažalost to ne prolazi. :-(
Eto nadam se da je ovo nekima pomoglo.
Javite ako je i vama ovo uspjelo.
Evo ovo sam pročitao.