CryptoLocker

**cvetkoc** · 26-12-15, 13:59

Originally Posted by developer

Kao sto ti rekoh, nisi nista bolji od njih kad na tudjoj nesreci profitiras.

Sto sam trebao da uradim? Da danima lomim glavu da bih napokon povratio podatke prijatelju, tada nisam ni razmisljao o zaradi. I onda da izbacim oglas kako bih nasao tebe da te molim da ti vratim podatke za dzabe? I da sam to uradio siguran sam da bi imao nekih zamjerki. Mozda bi ti smetao parfem koji sam koristio taj dan. Ti uporedjujes mene sa nekim ko ti je poslao virus, nevjerovatno.

**Martin Mcfly** · 26-12-15, 14:29

Cvetkoc vidis li da te developer provocira ne bi li ti rekao na kraju kako si uspio napraviti kljuc.

**.:.** · 26-12-15, 15:54

Elem, kome su zakljucani podaci ima opcije:
1. Da plati vise
2. Da plati manje
3. Da ne plati nista i sam pokusa da otkljuca podatke
4. Da ne plati nista i zaboravi na podatke

Izbor ima svako za sebe. A drugi put pamet u glavu i cak i kupiti licencirani antivirus nije skupo (naspram "otkupnine").

**Martin Mcfly** · 26-12-15, 19:04

Najbolje je ne koristiti windows.

**LINK servis** · 26-12-15, 23:22

Ajme oko čega se ova dvojica svađaju...

Ovako, ovaj virus je problem zbog dvije stvari: Nesigurnosti Telekonja i needukovanosti korisnika. E sad, svako sa bar malo osnovnog znanja iz upotrebe kompjutera je do sada trebao da nauči da ne otvara atačmente sa mailova koje ne zna od koga su.
Što se Telekonj problema tiče, ukoliko izuzmemo predavanja određenih idiota koji su sa pašnjaka došli da predaju na UCG, i tvrdili da je za posao neprofesionalno koristiti "Gmail" i "Yahoo" koji su na ove probleme 100% otporni (jer imaju server koji je sposoban da provjeri što je u zipovanom atačmentu), telekonj je dosta manjim procentom odgovoran za problem ovog virusa (iako je došao sa njihovog servera) najviše jer je ovo osnovno znanje prilikom bilo koje upotrebe računara, bilo kućne bilo poslovne. Ako ne znaš od koga je atačment, ne otvaraj. Ako ti stigne mail da si dobio milion eura kao nasledstvo, ne znači da je istina (a imao sam klijente koji su me zvali da me pitaju kako da podignu te pare).

Inače, kolega "cvetkoc" mi je bio sumnjiv u početku dok nije naveo da ovo nije RSA enkripcija, i ima smisla, jer RSA nije ovoliko brz da enkriptuje sve fajlove za par sekundi ni na SSD. Mada se nisam kanio da dalje istražujem o problemu dekripcije ovog virusa jer je pomalo došao kao hladan tuš, sve više poslova se obavlja preko kompjutera i interneta a korisnici su sve siromašniji sa znanjem; došlo je do tačke gdje većina nema osnovno znanje. Cijena je više nego adekvatna, ako nećeš da plaćaš mogao si osnovno do sada naučiti zar ne?

Jedino pojma nemam kako je iskopana mail lista Telekonja, jer s obzirom da stari exploiti za čupanje mail liste više ne rade; ili je neko iskopao novi exploit, ili je neko prodao mail listu...

**Sandor Kolar** · 26-12-15, 23:49

Ako neko pokupi ransomware preko attachmenta, velika je sansa da se radi o ransomwareu starije verzije, za koji mozda postoji enkripcija.
''Pravi'' Cryptowall se tesko nalazi na crnom trzistu i ako se nadje, cijena mu je paprena. Ljudi, koji to koriste, nijesu amateri i vjerujte mi, spreadovanje preko mass mailera im je zadnja opcija. Oni koriste neke druge, mnogo efektnije metode. Payload, zero-day attack etc..

**LINK servis** · 27-12-15, 00:14

Originally Posted by Sandor Kolar

za koji mozda postoji enkripcija.

Dekripcija valjda

Payload i zero-day attack obično nisu metode za masivne random napade, više za precizne napade, ako se ne varam.

**Sandor Kolar** · 27-12-15, 01:14

dekripcija, naravno.

Nuclear exploit kit je nesto sto se koristi u zadnje vrijema za masovno spreadovaje ransomwarea.

**.:.** · 27-12-15, 07:23

Originally Posted by LINK servis

Telekonj

Hahaha

Pricamo li o istom telekonju (tm) za koji kazes da je neprofesionalno za posao koristiti gmail - nego treba telekonj mail koristiti za posao - koji inace svaka 2-3 mjeseca ti pobrise sve mailove (iako imas jos prostora; tj. Nisi presao limit inboxa? Mail koji dosta cesto ne moze da se otvori? Mail koji je nesiguran po pitanju exe fajlova? Mail server koji ce prodati tvoju mail adresu drugima?

**Sandor Kolar** · 27-12-15, 10:00

I naravno, cijena za dekriptovanje tesla i ostalih ransomwarea, koji se mogu dekriptovati, je korektna. Moraju ljudi naplacivati svoje vrijeme i usluge. Ne mislite valjda da ce to neko dzabe da vam odradi.

**Njivice_Orano_Nepreorano** · 27-12-15, 10:08

Treba koristiti telekonj server kad hoces da dobijas ostecene attachment ili zarazene mjelove. Druge svrhe nema.

**LINK servis** · 27-12-15, 20:08

Ođe ja ispadoh kriv xD

ne propagiram ja Telekonj servere, baš naprotiv, svakom preporučujem Gmail za poslovne potrebe (imaju besplatan pop3), ali sam slušao određene profesore sa UCGa (računarski smjer) gdje navode da je neprofesionalno koristiti ova dva, i da je bolje koristiti t-com.me.

Inače, od sad, na ovom forumu "Telekonj" je stvar.

**cvetkoc** · 27-12-15, 21:19

Originally Posted by Sandor Kolar

I naravno, cijena za dekriptovanje tesla i ostalih ransomwarea, koji se mogu dekriptovati, je korektna. Moraju ljudi naplacivati svoje vrijeme i usluge. Ne mislite valjda da ce to neko dzabe da vam odradi.

Pogotovo kad do rješenja dođeš sam, dok na Internetu nema mnogo informacija o virusu tj. kad je gotovo jedina informacija na Internetu da se podaci ne mogu vratiti. Možeš mislit koja upornost ti treba dok pokušavaš da vratiš podatke dok svi govore da je nemoguće. Uzmeš fino virus, puštiš ga na virtuelnu mašinu pa fino pratiš što će da uradi.... Ponavljam, danima sam lomio glavu oko njega.

Nažalost, virus se širio i preko ostalih mail servera a ne samo preko Telekomovih tako da mislim da ste malo nepravedni prema njima.

**nedjon** · 27-12-15, 21:25

Pozabavih se i ja ovim vvv cudom. Proces zahtijeva bas dosta vremena pokusaja i greski, ali se srecom moze vratiti.
I slazem se sa cvetkoc, ovo bi samo nekom bliskom zavrsavao za dzabe. Ko cijeni trud i znanje, neka plati.

**LINK servis** · 19-02-16, 17:23

Izgleda se nova verzija pojavila "TeslaCrypt v3", ovaj promijeni ekstenzije fajlova u .mp3, naravno uz enkriptovanje.

i ne izbaca onu ransome stranicu, bar ne ovima što su mi prijavili problem. Takođe nisam siguran da li još uvjek dolazi sa .js maila, jer nisam našao ništa sumnjivo u atačmente.

**Sidewinder** · 20-03-16, 07:41

!!! IMPORTANT INFORMATION !!!!

All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advance...ption_Standard

Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. -----
2. -----
3. -----

If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar:-----
4. Follow the instructions on the site.

!!! Your personal identification ID-------

.locky ekstenzija,dosao kao .js

**radja** · 13-04-16, 11:21

Napisan je generator ključeva za ransomware Petya o kojem smo nedavno pisali. Korisnik Twittera pod imenom "leostone" (@leo_and_stone) uspio je pronaći ranjivost za navedeni ransomware te je napisao web aplikaciju koja generira ključ potreban za dešifriranje šifriranog MBR sektora i MFT datoteke. Kako bi se dobio potreban ključ korisnici zaraženih računala trebaju izvaditi šifrirani disk iz zaraženog računala jer to računalo više ne može podići operativni sustav. Izvađeni disk treba priključiti na drugo računalo te s njega pročitati određene podatke. Fabian Wosar iz tvrtke Emsisoft napisao je jednostavan program koji čita te podatke koje onda treba kopirati u web aplikaciju koja generira ključ. Nakon što se dobije ključ, disk treba vratiti u računalo te ga ponovno pokrenuti. Kad se pojavi poruka o šifriranom disku treba unijeti dobiveni ključ nakon čega će ransomware tražiti ponovno pokretanje računala nakon kojeg će računalo normalno raditi.

More...

Poslato sa Huawei P8 lite

**LINK servis** · 04-05-16, 14:51

Evo kako izgleda nova pošast:

Mislim da ovo nije "Petya" jer je disk i dalje butabilan (bilo virtuelni bilo fizički), i samo enkriptuje određene tipove fajlova na određenim lokacijama. Moja predpostavka je da je i dalje TeslaCrypt, vjerovatno neka unaprijeđena verzija.

E sad, ono najbitnije - odaklen dolazi:

"[email protected]". Sva ova pizdarija dolazi sa Telekonjovih mailova i zbog toga što njihov server ne može da provjeri šta je u atačmentu arhive. Fajl je i dalje .js, scremblovan da ga većina antivirusa ne detektuje.
Kako zaobići ovaj problem? Ne koristi telekonjove mailove. Ili su nesposobni da dodaju skript na server koji provjerava sadržaj atačmenta, ili je neka interna pizdarija.

**LINK servis** · 04-05-16, 16:00

A ovo je VirusTotal analiza .js fajla.

https://www.virustotal.com/en/file/0...is/1462371705/

**cvetkoc** · 05-05-16, 14:45

Po izgledu desktopa rekao bih da se radi o Locky Ransomware.

Pozdrav :-)

**LINK servis** · 05-05-16, 21:55

Izgleda da će Telekonj popit neku tužbu...

**BlackVelvet** · 05-05-16, 22:21

Ne stize samo na mailove koji se hostuju kod Telekoma. I preko drugih mail servera stize.

**radja** · 06-05-16, 06:58

Kojih još napr?

Poslato sa Huawei P8 lite

**BlackVelvet** · 06-05-16, 09:25

Mislim na privatne mail servere korporativnih preduzeca koji imaju solidnu antivirus i antispam zastitu na svom smtp serveru.
Jednostavno mail stigne do korisnika, obican .zip fajl sa java skriptom unutra, i retardiran korisnik ne samo sto otvori zip fajl nego otvori i java skript.
I kaze ja sam otvorio nista se ne desava

**heliumht** · 06-05-16, 10:09

I naravno, koristiti AVG

Thread: CryptoLocker

Thread Tools

Display

Thread Information

Users Browsing this Thread

Bookmarks

Bookmarks

Posting Permissions