CryptoLocker

**napalm** · 10-12-15, 19:46

server je dostupan, samo http deamon ne radi (citaj: web server je ugasen)

**LINK systems** · 10-12-15, 19:49

Originally Posted by Njivice_Orano_Nepreorano

Ne moze t-com (cg) nista da uradi brzo, moraju da mjenjaju cijelu e-mail arhitekturu i av engine sa as enginem. Ozbiljne pare se ulazu u zastitu ozbiljnih e-mail sistema, dok kod t-coma mi se cini da je baziran na OS, kome nema ko da se posveti 24h. Kazem, cini mi se.

Ja sam samo pitao, da li ste prepoznali izvor zaraze kao mejl klijenti koji preuzimaju mejlove sa t-com e-mail naloga? Vidio sam neuobicajenu aktivnost u zadnjih 10 dana sa e-mailovima koji stizu na t-com me, pa zato pitam.

koristi netqmail, bog sami zna koju verziju xD

**LINK servis** · 10-12-15, 19:53

Originally Posted by napalm

server je dostupan, samo http deamon ne radi (citaj: web server je ugasen)

e jbg, nisam pinga da provjerim, zaboravio sam

Mada ne mora da znači da je isti vlasnik adrese, tj. zavisi od provajdera.

**remark** · 10-12-15, 20:00

Originally Posted by Njivice_Orano_Nepreorano

Ja sam samo pitao, da li ste prepoznali izvor zaraze kao mejl klijenti koji preuzimaju mejlove sa t-com e-mail naloga? Vidio sam neuobicajenu aktivnost u zadnjih 10 dana sa e-mailovima koji stizu na t-com me, pa zato pitam.

Koliko sam ja vidio samo kod t-com mailova stiže ovo, sad me psihički ubijaju, imam neopisivu želju da kliknem open haha.

**napalm** · 10-12-15, 20:04

najbolje da nadjete neki .js , .vb ,.hta , ... fajl ili ga/ih napravite sami (prazan je dovoljno),

Potom desni klik, pa properties, pa change i promjenite program koji otvara tu/te ektenzije.Notepad je dovoljno da stavite/kliknete,pa OK.

P.S. Slika u pozadini otkida. Direktno sa ISS-a. Ako imate Operu, nadjete temu "ISS" ;-!!!)

**napalm** · 10-12-15, 20:06

T-COM nema podesen/instaliran spam filter & AV software pa zato dobijate ovoliko skarta. Inache njihov smtp server je davno bio na crnim listama. Ne znam kako je sad stanje.

**LINK servis** · 10-12-15, 20:17

Originally Posted by napalm

najbolje da nadjete neki .js , .vb ,.hta , ... fajl ili ga/ih napravite sami (prazan je dovoljno),

Potom desni klik, pa properties, pa change i promjenite program koji otvara tu/te ektenzije.Notepad je dovoljno da stavite/kliknete,pa OK.

P.S. Slika u pozadini otkida. Direktno sa ISS-a. Ako imate Operu, nadjete temu "ISS" ;-!!!)

e jbg ja koristim vbs i bat fajlove za posao, ne mogu xD

ali ozbiljno, predlog ti uopšte nije loš, ovo mi nije palo na pamet...

**LINK servis** · 10-12-15, 20:20

Originally Posted by napalm

T-COM nema podesen/instaliran spam filter & AV software pa zato dobijate ovoliko skarta. Inache njihov smtp server je davno bio na crnim listama. Ne znam kako je sad stanje.

spam filter imaju koji ugl. zaturi pravi mail povremeno u spam, ništa drugo. AV vidimo se, netqmail se ne ažurira od 2007. smtp server je davno bio na crnim listama zbog nekog propusta koji je omogućavao da se spam šalje sa njihovih servera, fantazija xD

**napalm** · 10-12-15, 20:27

Originally Posted by LINK servis

e jbg ja koristim vbs i bat fajlove za posao, ne mogu xD

ali ozbiljno, predlog ti uopšte nije loš, ovo mi nije palo na pamet...

A .js ? Nju mozes ako je ne korstis. Inache mozes i vbs i bat ili neku drugu, ali onda bi ih morao rucno pokretat.
Npr., u konzoli kucas cscript neki_provjeren_vbs_skript.vbs ili cscript neki_provjeren_js_skript.js

**LINK servis** · 10-12-15, 20:56

Originally Posted by napalm

A .js ? Nju mozes ako je ne korstis. Inache mozes i vbs i bat ili neku drugu, ali onda bi ih morao rucno pokretat.
Npr., u konzoli kucas cscript neki_provjeren_vbs_skript.vbs ili cscript neki_provjeren_js_skript.js

sve je to super dok ne naprave virus koji će se iz atačmenta instalirati sa scr ili bog pita kojeg fajla (a već ih ima). Najbolje da stavim sve ekstenzije da se otvaraju u notepad, a onda će neko da nađe i vulnerability u njega... muka xD

Ali, ako išta drugo, mogu napraviti .reg koji, kad završim sve na korisnički komp, pokrenem i on sredi ekstenzije tj. način kako se otvaraju (uključujući i .reg fajlove, i to je rupa xD)

***Bugi*** · 10-12-15, 23:23

Šta bi se desilo ako bi radio sa user profilom?
A za ono što želim da instaliram i pokrenem išao na "run as different user"?

Mislim da sa user profilom ne može ništa da se instalira iako se skine...

Poslato sa tranje

**^^0LIvEr_QuEeN^^** · 10-12-15, 23:44

Kako napraviti preko group policy ili System Center Configuration Manager-a, da je svim korisnicima u domenu notepad default program za otvaranje .js fajlova? To bi bila dobra zastita

**Djoks** · 10-12-15, 23:59

Originally Posted by ^^0LIvEr_QuEeN^^

Kako napraviti preko group policy ili System Center Configuration Manager-a, da je svim korisnicima u domenu notepad default program za otvaranje .js fajlova? To bi bila dobra zastita

http://www.grouppolicy.biz/2011/09/h...-associations/

**napalm** · 11-12-15, 10:35

Originally Posted by napalm

A .js ? Nju mozes ako je ne korstis. Inache mozes i vbs i bat ili neku drugu, ali onda bi ih morao rucno pokretat.
Npr., u konzoli kucas cscript neki_provjeren_vbs_skript.vbs ili cscript neki_provjeren_js_skript.js

Obican korisnik (u smislu da nema administratorske privilegije) nije neka pomoc osim ako nije uvedena dodatna zastita kao pomenuta zabrana izvrasavanja exe fajlova iz
c:\users\...\temp\ foldera.
Cryptowall se skine preko js fajla, koji onda izvrsi skinuti EXE fajl. Isti onda pristupa fajlovima kojima moze. E sad ako su ti svi dokumenti sa privilegijama obicnog korisnika takvi da ih ne moze (obican korisnik) mijenjati onda je OK. Znachi mozes ih samo otvarat/citat.
Kao obican korisnik, instalirati program (u smislu instaliranja: kopiranje u program files,neke \windows\* foldere, prckanja po HKLM,HKCR,.. hive-ovima u registru) se ne moze. ALI TO NIJE NI POTREBNO. BITNO JE DA SE CWall JEDNOM UPALI/IZVRSI I DA KRIPTUJE FAJLOVE. IGRA JE (ZA TEBE) GOTOVA, osim ako NE PLATIS

**LINK servis** · 11-12-15, 12:26

Originally Posted by napalm

Obican korisnik (u smislu da nema administratorske privilegije) nije neka pomoc osim ako nije uvedena dodatna zastita kao pomenuta zabrana izvrasavanja exe fajlova iz
c:\users\...\temp\ foldera.
Cryptowall se skine preko js fajla, koji onda izvrsi skinuti EXE fajl. Isti onda pristupa fajlovima kojima moze. E sad ako su ti svi dokumenti sa privilegijama obicnog korisnika takvi da ih ne moze (obican korisnik) mijenjati onda je OK. Znachi mozes ih samo otvarat/citat.
Kao obican korisnik, instalirati program (u smislu instaliranja: kopiranje u program files,neke \windows\* foldere, prckanja po HKLM,HKCR,.. hive-ovima u registru) se ne moze. ALI TO NIJE NI POTREBNO. BITNO JE DA SE CWall JEDNOM UPALI/IZVRSI I DA KRIPTUJE FAJLOVE. IGRA JE (ZA TEBE) GOTOVA, osim ako NE PLATIS

čak i shitcom blokira exe atačmente, ne znam mogu li se poslati ako su zipovani doduše (ako jesu, još par poena sramote za njih)

ovo ja svima govorim, koji će vam **** t-com mail kojem redovno zebava pop3, puca webmail i sl. sranja? Ima stotina besplatnih, gmail završava sve moje potrebe, plus imam i masu dodatnih korisnih stvari (veći storage, gdrive, etc).

**LINK servis** · 11-12-15, 16:00

Ajme JBT ovi ne odustaju, ima da se zebavam doklen god mogu (mada vjerovatno niko ne čita, već je u pitanju autoreplay)

Inače sve ovo je stiglo sa mailova čiji hostovi/provjadjeri dozvoljavaju svašta spakovano u zip/rar arhive (najčešće tcom)

**LINK servis** · 11-12-15, 16:20

ovo i dalje radi cryptowall, sad sam probao, evo rezultati posle pokretanja .js na nezaštićen komp (tj. virtuelnu mašinu):

Nakon pokretanja .js, doklen se virusi instaliraju i pokreću u pozadini sistema:

Nakon inficiranja, izlazi ovo:

Kriptuje fajlove relativno brzo (mada sam imao samo dvije slike, od koju su jednu sjebali/kriptovali, a druga se otvara normalno)

E sad, ovaj exe što skida se i dalje ne detektuje na VirusTotal, a .js samo na neke AV, mada je detekcija sve veća i veća.

Smeće je dosta agresivno, gasi Task Manager, hijacka registry i bog pita što još. I da, dolazi samo sa t-com i nezaštićenih mailova (zavisno od provajdera).

**LINK servis** · 11-12-15, 16:23

A ako koga zanima ovo je suma koju traže za dekriptovanje:

**.:.** · 11-12-15, 18:40

Vidis, svakome traze razlicit iznos otkupnine. Na slici sto sam postovao traze 700 (tj. 1400 €/$).
Tebi 500/1000....

**LINK servis** · 11-12-15, 18:49

Originally Posted by .:.

Vidis, svakome traze razlicit iznos otkupnine. Na slici sto sam postovao traze 700 (tj. 1400 €/$).
Tebi 500/1000....

Provalio sam al nemam pojma sa čim to odlučuju... brojem word i excel dokumenata? ili je random xD
nije bitno, od mene će dobiti penis.

**.:.** · 11-12-15, 18:56

Takodje hahaha

**BiTrAtE** · 14-12-15, 08:25

Je li moguce da jos uvjek AV kompanije nemaju resenja za ovo? i JEDINI nacin da se korisnik zarazi ovim virusom je da otvori mail je li tako? Moze li screenshot maila mozda neko da postavi? Da li je problem samo t-com mail ili i gmail & ostali? gmail bi valjda trebao da ga blokira?

**ILEW** · 14-12-15, 10:10

Originally Posted by BiTrAtE

Je li moguce da jos uvjek AV kompanije nemaju resenja za ovo? i JEDINI nacin da se korisnik zarazi ovim virusom je da otvori mail je li tako? Moze li screenshot maila mozda neko da postavi? Da li je problem samo t-com mail ili i gmail & ostali? gmail bi valjda trebao da ga blokira?

za ove racunare sto ja znam zarazeni su na taj nacin, zip, txt, js... niko mi nije pominja da su ga pokupili drugacije.

**Tivatech** · 14-12-15, 16:27

E da Bog da ih u apoteku trošili p im m smrdljiva.

**.:.** · 14-12-15, 16:36

Trose, trose u apoteci.....na cialis, viagru i sl.

Thread: CryptoLocker

Thread Tools

Display

Thread Information

Users Browsing this Thread

Bookmarks

Bookmarks

Posting Permissions