Ransomware napada

Mi imamo Trend Micro i nije pomogao...

Ide i na domenske korisnike, podosta ih je pobralo sa Indexa...barem kazu da nisu otvarali mail i da nisu bili na nijednom drugom portalu...

Mda,

i meni index.hr spada među prve sumnjivce. Mada je na zaraženom računalu pristupano na 24sata i net.hr, zdravakrava.hr express.hr... (ne i na index). Ne treba vjerovat korisnicima, nego provjerit history...

Korisnicima sam savjetovao minimalno surfanje u narednim danima... Frak, najradije bi im zabranio net kao takav ZAUVIJEK!

Zato što su datoteke enkriptirane pod imenom "originalni-naziv.doc.id-XXXXXXXX_sos@anointernet.com" plus fud.bmp s opisom gdje i kako platit...

Ta crypt**** sranja su sva na isti kalup. J*beš takav AV koji nije sposoban zaključiti da je to jedno te isto...

Ali ni antivirus ne pomaže kad tipična Štefica™ klika ko sumanuta....

- vjerojatno.. razni portali, flash/java.. do sad mail nije izvor (osim kriptiranja dokumenata pa i .pst-a), tu bi AV uspješno blokirao ili bi user znao da je otišao na neki link.. (ali Štefice uvjek kažu 'nisam'..).

- spavač ili portali, index.. pa nebi isključio ni bug.

btw ima li netko link na decrypter? Može li se skinuti/shareati osim njihov link s otkupninom? Dali je samouništavajući? itd..

Onaj što kaže da je platio i dobio ključ laže

Ako imate priliku kod nekog nesretnika pogledati datoteke s hexeditorom vidjet ćete da je prvih 2kb kodirano, a ostatak nepromijenjen. E sad, problem je što

sve datoteke imaju istovjetne headere tako da nema šanse da je tu nešto kodirano, a što bi se moglo dekodirati natrag.

Nisi bas dobro razumio sto kaze: ROT13 nece dati isti rezultat na 2 razlicita stringa od 2KB. Ako je u pravu (a mislim da nije za vecinu ransomwarea, jer koliko sam cuo, neki su uspjeli vratit), matematicki je nemoguce da postoji ikakav kljuc s kojim mozes nesto dekriptirat...

Ajd me molim te uputi kako da pokrenem Visual Studio 2014 pod OSXom. Ili MSSQL 2014. A i ovaj Office 2013 mi nešto đubre neće pod Archom.

Smartass... Ako nemaš ništa pametno za reći ili pomoći ljudima, odabij.

Meni je sumnjivo da se baš u ovoj temi nalazi 9 novoprijavljenih kolega na forumu i nigdje više!

Mali update:

Trend Micro/Web reputation kad je ukljucen blokira odlazak na zarazene stranice...to nismo imali upaljeno...

 da, ja sam platio.

nazalost nekad se dogodi da neke stvari zaboravis da postoje dok te ovako nesto ne podsjeti

i da, racunica je jasna

kolko kosta da se ono sto je krptirano napravi ponovo, a kolko kosta da se plati, a sto se tice etickih rasprava o tome treba li ili ne, siguran sam da trebas poceti od toga ko ti je sastavio mobitel koji koristis i za koje novce.

Pa to bi obavezno moralo bit upaljeno, dakle po defoltu uključeno ako se radi o nekom plačenom Tend Micro AV programu.Ako to po defoltu nije omogučeno(a to nema nikakve logike), onda je taj Trend Micro smeče od programa i to prve klase.Mislim da je ovo ipak najvjerojatnija situacija, dakle neko je to kod vas isključil i eto dogodilo se to kaj se dogodilo.No ipak za ubuduče eto preporuke, obavezno u browser nabacite ovaj besplatni Bitdefender alat za blokiranje loših stranica.

http://www.bitdefender.com/solutions/trafficlight.html

http://www.techsupportalert.com/content/how-harden-your-browser-against-malware-and-privacy-concerns.htm

1) Ne surfati Internet Explorerom. Surfati firefoxom kojem dodaš dodatke: NoScript, Ghostery, AdBlockPlus, BetterPrivacy

2) Ne otvarati sumnjive mailove od nepoznatih ljudi niti sadržaja koji izgleda kao kopiran bot-om. Npr. frend iz ulice ti pošalje nešto na lošem engleskom i ima privitak za izvršiti.

3) Imati backup koji je OFFLINE. Znači usb disk koji nije stalno spojen. FreeFileSync i BeyondCompare se tu pokazuju korisnim.

4) Account "Administrator" preimenuj u nešto drugo što nije u riječniku (niti je ime ni godina) i taj admin account ne koristi za redovan rad, nego samo kod instalacija (a to je rijetko). Za redovan rad kreiraj drugi account koji nema dovoljna prava za išta instalirati, pa ni addon za browser. Ali može otvarati i mijenjati dokumente itd, znači redovni rad. Cilj je da se malware ne uspije instalirati jer nemate dovoljna prava.

Moja sućut onima koji su stradali. Trebalo bi se skupiti u udrugu online i pokrenuti tužbu protiv nepoznatog počinitelja. To je svakako posao za policiju i to međunarodnu. Ovo je na razini oružane pljačke banke i to masovne.

 Dobro, a zašto ti je onda teško zipati sa passwordom par kriptiranih txt datoteka i njihove originale zajedno sa decryptorom i ključem koji si dobio pa da probamo vidjeti da li se šta da napraviti?