CryptoLocker

[Sandor Kolar]

Ransomware je pravo ime za taj opsti fenomen Kojim sam ja odusevljen.
A najbolja stvar od svega je sta su sad napravili,
vjerovali ili ne, da kod Cryptowalla svaki fajl ima posebnu enkripciju. Pojma nemam kako to rade.
Ali ovo sto si pomenuo za fragmente koda je istina. Toga vise nema kod novog ransomwarea.

[LINK servis]

Ransomware je pravo ime za taj opsti fenomen Kojim sam ja odusevljen.

Sve me podsjeća na neki video sa bestgorea gdje će jadnog Enrikea da vrate na djelove zajedno sa snimkom operacije jer roditelji nisu mogli da plate iznudu... Ransomware je stari termin jer odavno postoje... Samo su ga sad usavršili u tri lijepe. I dalje u nekim slučajevima povratak obirsanih originalnih fajlova rešava problem, ne znam jesu li i ovo riješili. Isto ponekad i NTFS hardlink zajebe enkripcioni softver (u stvari obratno, ali ugl. fajlovi ostaju netaknuti)

Usput, zvučiš kao seriski ubica koji se vraće na mjesto zločina da se divi svojoj kreaciji... xD

[Sandor Kolar]

I jos jedna stvar. Ova vrsta cyber napada nije toliko bila aktuelna koliko zadnjih dana, sto se tice CG. U toku sam, i to dobro. Mislim da je ovo tek pocetak. Sve malo zdravije firme su napadnute. To mi nije slucajnost.

[Gandalf_White]

Stisli Albanci. Imali su problem prosle godine, pa kad su tamo pocistili prebacili se na nas.
Kosovari i Albanci su magovi

[starovaroshki]

Drugari, jako mi je drago sto je ovaj topic bio aktuelan danas. Posebno hvala kolegama sa foruma koji su ovo malo detaljnije objasnili. Ja sam trazio, puna 4h po interenetu, bilo kakvo rjesenje, upadao s foruma na forum. Jednostavno RJESENJA NEMA.

Nisam najbolje ukapirao sad dio, postoji li neka preventiva za ovo ? Koristim licencirani Kaspersky godinama vec, na windowsu imam programe koji su provjereni godinama vec, i koristim PC za produkciju muzike i skladistenje iste, i ponekad photoshop. Da li postoji nesto da se odradi da se unaprijed sprijeci ovo zlo ?

---

Imam podatke da su 2 jace firme iz Nk napadnute prije 10ak dana i da su podatke izgubili. Takodje par ljudi iz Pg su prosli ovako.

- - -

Ukoliko se taj neko vec pozdravi s podacima, pise da je pozeljno odradi low level format diska, prije instalacije novog sistema.

[Bugi]

Ja sam imao slučaj u jednoj državnoj instituciji još ljetos. Podaci se nisu mogli vratiti osim plaćanjem.


Ono što mene zanima je sledeća stvar, ako radiš backup on cloud, odnosno sync on cloud (primjer Dropbox), onog momenta kada ti fajlova postanu zaključani, a originali se uklone, automatski se takvi isti kopiraju na cloud

Poslato sa tranje

[Sandor Kolar]

Rjesenje je prevencija, tj. apdejtovani AV i Browser, ali kao sto rekoh, cim malware postane detectable, spreaderi kriptuju malware i opet ga naprave nevidljivim za AV.
Do sad znam da su bila 3 razlicita napada u CG. Phishing mail (Cryptowall 3.0) , drive-by-download ( cryptowall 4.0).
Ovaj drive-by-download je problem, jer neki sajtovi imaju exploit sa java apletom i onda kad nekon sa neapdejtovanim browserom udje na taj sajt java aplet pokrene .exe fajl sa neke lokacija na clientovom racunaru ili mu ubaci kod pomocu kojeg client postane BOT.
Bot nije ni virus, ni worm niti nesto slicno, nego je skoro pa nemoguce ga provaliti. Botovi se koriste za ddos napade. Mozete da budete dio ddos mreze a da nijeste ni svijesni. Pa kad neko ddosuje ,ne radi to 5k ljudi odjednom namjerno nego se aktiviraju botovi preko irc servera i onda "spamuju" neku adresu.
Isto tako se botovima moze "narediti" da otvore neki port, prime ili pokrenu neki fajl isl..
Dakle, od phishing maila ima zastite. To su .exe ili .scr fajlovi, najcesce, koje nijedan mail server ne propusta bez ako su zipovani, a ni to ne pustaju vise. Nekad je moglo ako su zasticeni passwordom, ali sad google ni to ne da.
Problem je taj drive-by-download , surfovanje nesigurnim sajtovima, dje su i napredni korisnici nemocni. To je advanced hackovanje koje koristi slabosti browsera i zato je bitno uvijek imati apdejtovan browser, koji ima zakrpljene te rupe.

[Billy Hills]

Ovaj drive-by-download je problem, jer neki sajtovi imaju exploit sa java apletom i onda kad nekon sa neapdejtovanim browserom udje na taj sajt java aplet pokrene .exe fajl sa neke lokacija na clientovom racunaru ili mu ubaci kod pomocu kojeg client postane BOT.

Može li on da pokrene .exe, a da ja ne znam?

[Sandor Kolar]

I jos jedna stvar...
Cijena Bitcoina je skocila skoro pa duplo u zadnja 2 mjeseca, sto znaci da je potraznja drasticno skocila.
Ne mora nuzno da ima veze sa ransomwareom, ali sigurno je doprinio tom skoku. Pricamo o milijardu eura ransoma na godisnjem nivou

[.:.]

Ja sam imao slučaj u jednoj državnoj instituciji još ljetos. Podaci se nisu mogli vratiti osim plaćanjem.


Ono što mene zanima je sledeća stvar, ako radiš backup on cloud, odnosno sync on cloud (primjer Dropbox), onog momenta kada ti fajlova postanu zaključani, a originali se uklone, automatski se takvi isti kopiraju na cloud

Poslato sa tranje

Ja sam npr na par racunara radio ovo: napravim .bat fajl koji mi iskopira folder sa svim podforlderima u:
D:\backup\2015.11.28\
D:\backup\2015.11.29\
D:\backup\2015.11.30\
D:\backup\2015.12.01\
D:\backup\2015.12.02\
D:\backup\2015.12.03\
D:\backup\2015.12.04\

i tako imam backup po danima kompletan folder. Ovo je prakticno ako imas relativno manje kolicine podataka u tom folderu (znaci - ne gigabajte).

A taj .bat fajl ubacim da u startup da se aktivira prilikom podizanja windowsa (tj. logovanja).

[Sandor Kolar]

Može li on da pokrene .exe, a da ja ne znam?

Moze, ako imas slabost u browseru ili ako ti je kompjuter "zombie".
Ja non-stop visim po tim sajtovima, imam nelicenciran av, piratski windows, browser update ne pratim i nikad mi se nije desilo da imam problem sa tim, sto nije iskljuceno da ce se desiti.

I da, cak je i .pdf imao neku rupu koju su koristili hackeri da bi injectovali kodove i pravili botove od kompjutera.

[smfilip]

Nisam najbolje ukapirao sad dio, postoji li neka preventiva za ovo ? Koristim licencirani Kaspersky godinama vec, na windowsu imam programe koji su provjereni godinama vec, i koristim PC za produkciju muzike i skladistenje iste, i ponekad photoshop. Da li postoji nesto da se odradi da se unaprijed sprijeci ovo zlo ?

ja ti dadoh link do programa,ali ocigledno nisi bas pazljivo gledao...

Ja sam npr na par racunara radio ovo: napravim .bat fajl koji mi iskopira folder sa svim podforlderima u:
D:\backup\2015.11.28\
D:\backup\2015.11.29\
D:\backup\2015.11.30\
D:\backup\2015.12.01\
D:\backup\2015.12.02\
D:\backup\2015.12.03\
D:\backup\2015.12.04\

i tako imam backup po danima kompletan folder. Ovo je prakticno ako imas relativno manje kolicine podataka u tom folderu (znaci - ne gigabajte).

A taj .bat fajl ubacim da u startup da se aktivira prilikom podizanja windowsa (tj. logovanja).

nece te ovo spasiti ako ti D:\ nije eksterni disk koji nije non stop prikacen na racunar,jer ce ti onda prosto kriptovati i podatke unutar tih foldera...

[zoster]

Ja sam imao slučaj u jednoj državnoj instituciji još ljetos. Podaci se nisu mogli vratiti osim plaćanjem.


Ono što mene zanima je sledeća stvar, ako radiš backup on cloud, odnosno sync on cloud (primjer Dropbox), onog momenta kada ti fajlova postanu zaključani, a originali se uklone, automatski se takvi isti kopiraju na cloud

Poslato sa tranje

Dropbox ima history, tako da se mogu vratit prethodne verzije vjerovatno tih enkriptovanih podataka

[starovaroshki]

[QUOTE=smfilip;4259579]ja ti dadoh link do programa,ali ocigledno nisi bas pazljivo gledao...


smfilip, vidio sam tek sad. ostadoh zabezeknut posle ovoga sto procitah, pa mi je promaklo Hvala !

[Djoks]

Bilo bi, vala, za očekivati da T-Com ima ikakvu antivirus/antispam zaštitu (ili iole kvalitetnu) jer kroz mail.t-com.me može proći i ebola ... Evo se nakon 100 godina ulogovao u moj T-Com nalog neki dan i Inbox prepun raznog opasnog smeća ...

Potpuno normalno prolaze e-mail poruke s' ZIP arhivama u kojima je EXE fajl ...

[Kaz]

Kako se racunar zarazi ovim cudom? Dobije li se preko maila neki exe fajl cijim pokretanjem dolazi do zakljucavanja?

[^^0LIvEr_QuEeN^^]

Ne mora biti samo exe file, moze pdf, moze java preko site-a...

[Bugi]

Dropbox ima history, tako da se mogu vratit prethodne verzije vjerovatno tih enkriptovanih podataka

Kako radi Dropbox file history? Dnevno? Po promjeni?
Ima li neđe malo više o tome?

Poslato sa tranje

[LINK servis]

Drugari, jako mi je drago sto je ovaj topic bio aktuelan danas. Posebno hvala kolegama sa foruma koji su ovo malo detaljnije objasnili. Ja sam trazio, puna 4h po interenetu, bilo kakvo rjesenje, upadao s foruma na forum. Jednostavno RJESENJA NEMA.

Nisam najbolje ukapirao sad dio, postoji li neka preventiva za ovo ? Koristim licencirani Kaspersky godinama vec, na windowsu imam programe koji su provjereni godinama vec, i koristim PC za produkciju muzike i skladistenje iste, i ponekad photoshop. Da li postoji nesto da se odradi da se unaprijed sprijeci ovo zlo ?

---

Imam podatke da su 2 jace firme iz Nk napadnute prije 10ak dana i da su podatke izgubili. Takodje par ljudi iz Pg su prosli ovako.

- - -

Ukoliko se taj neko vec pozdravi s podacima, pise da je pozeljno odradi low level format diska, prije instalacije novog sistema.

Preventiva je jednostavna, bilo koji AV će zaustaviti 99.9% sra*a... ostatak je jbg na korisnicima (što je najgori dio), do sada bi svi trebali biti bar toliko pametni da ne otvaraju *.exe atačmente, znam da ih Gmail blokira a isto i Facebook (sem ako su arhivirani sa password protected arhivom). Širenje ovakvih virusa uzrokovana je više nestručnim korištenjem računara, sjećam se kad su svi padali na sl. glupost na FB kad bi virus slao u chat link ka exe fajlu koji je imao ikonicu da izgledaa kao thumbnail slike oskudno odjevene ženske. Ovaj virus nije ništa opasniji niti noviji, sličnih pošasti pamtim već 6-7 godina, stvar je što je sve više korisnika sa minimalnim znanjem na socijalnim mrežama, koji instalirajo sve živo što im sajt i linkovi ponude.

E sad, ne mogu da nađem link ka Cryptowall-u ili nekom fajlu koji je već inficiran, bio bih zahvalan da neko ostavi link da ga stručniji korisnici testiraju. Koliko sam razumio, ovaj virus i dalje radi istu proceduru kao predhodni (napravi enkriptovanu kopiju fajla, obriše originalni fajl, i izgleda u ove nove verzije koristi neku purge metodu da se obrisani fajl ne može vratiti nazad sa programima za povratak izbrisanih fajlova). Fora koju sam ja koristio sa NTFS junction je da čim virus pošalje komandu za brisanje originalnog fajla, link pukne tako da obično enkriptuje jedan (najčešće nebitan) fajl (link puca na nekim delete komandama, obično prema folderima). Imam VM spreman da vidim šta se događa (ako ko testira ovo istom metodom, samo neka ukloni shared foldere).

[LINK servis]

Ne mora biti samo exe file, moze pdf, moze java preko site-a...

Exe je najlakša metoda (pod uslovom da nema AV na kompjuteru); preko PDFa - samo ako nije updejtovan zadnjih 5 godina (sem ako ne misliš na PDF atačmente?), java opet ako nije updejtovana, a i sajtovi brzo popiju blacklist ako imaju svašta...

Ugl. updejt, malo znanja i backup za svaki slučaj i to je to.

[LINK servis]

Bilo bi, vala, za očekivati da T-Com ima ikakvu antivirus/antispam zaštitu (ili iole kvalitetnu) jer kroz mail.t-com.me može proći i ebola ... Evo se nakon 100 godina ulogovao u moj T-Com nalog neki dan i Inbox prepun raznog opasnog smeća ...

Potpuno normalno prolaze e-mail poruke s' ZIP arhivama u kojima je EXE fajl ...

Ko normalni još koristi shitcomov email? XD
ili im pukne pop3, ili im pukne sajt pa ne možeš ni preko webmaila, ili pukne sve zajedno, 100MB inbox?!

Mada mislim da ovo crypto smeće ne stiže mailom, već vjerovatno sa torrenta i sumnjivih sajtova koji traže da instaliraš neke njihove kodeke da bi gledao film ili šta već

[LINK servis]

Ja sam npr na par racunara radio ovo: napravim .bat fajl koji mi iskopira folder sa svim podforlderima u:
D:\backup\2015.11.28\
D:\backup\2015.11.29\
D:\backup\2015.11.30\
D:\backup\2015.12.01\
D:\backup\2015.12.02\
D:\backup\2015.12.03\
D:\backup\2015.12.04\

i tako imam backup po danima kompletan folder. Ovo je prakticno ako imas relativno manje kolicine podataka u tom folderu (znaci - ne gigabajte).

A taj .bat fajl ubacim da u startup da se aktivira prilikom podizanja windowsa (tj. logovanja).

Možda da staviš da se disk mountuje po potrebi u taj .bat? Mada opet kad virus "vidi" da se mountovao novi drajv opet sve ode... Možda bolje da praviš inkrementalni bekap na eksterni disk po potrebi sa nekim butabilnom alatom (norton, acronis, paragon...) tako da se ne može desiti da izgubiš bekap?

[starovaroshki]

Preventiva je jednostavna, bilo koji AV će zaustaviti 99.9% sra*a... ostatak je jbg na korisnicima (što je najgori dio), do sada bi svi trebali biti bar toliko pametni da ne otvaraju *.exe atačmente, znam da ih Gmail blokira a isto i Facebook (sem ako su arhivirani sa password protected arhivom). Širenje ovakvih virusa uzrokovana je više nestručnim korištenjem računara, sjećam se kad su svi padali na sl. glupost na FB kad bi virus slao u chat link ka exe fajlu koji je imao ikonicu da izgledaa kao thumbnail slike oskudno odjevene ženske. Ovaj virus nije ništa opasniji niti noviji, sličnih pošasti pamtim već 6-7 godina, stvar je što je sve više korisnika sa minimalnim znanjem na socijalnim mrežama, koji instalirajo sve živo što im sajt i linkovi ponude.

E sad, ne mogu da nađem link ka Cryptowall-u ili nekom fajlu koji je već inficiran, bio bih zahvalan da neko ostavi link da ga stručniji korisnici testiraju. Koliko sam razumio, ovaj virus i dalje radi istu proceduru kao predhodni (napravi enkriptovanu kopiju fajla, obriše originalni fajl, i izgleda u ove nove verzije koristi neku purge metodu da se obrisani fajl ne može vratiti nazad sa programima za povratak izbrisanih fajlova). Fora koju sam ja koristio sa NTFS junction je da čim virus pošalje komandu za brisanje originalnog fajla, link pukne tako da obično enkriptuje jedan (najčešće nebitan) fajl (link puca na nekim delete komandama, obično prema folderima). Imam VM spreman da vidim šta se događa (ako ko testira ovo istom metodom, samo neka ukloni shared foldere).

Jasno ! zahvaljujem !

Sent from my SM-N910C using Tapatalk

[siraj]

Preventiva je jednostavna, bilo koji AV će zaustaviti 99.9% sra*a... ostatak je jbg na korisnicima (što je najgori dio), do sada bi svi trebali biti bar toliko pametni da ne otvaraju *.exe atačmente, znam da ih Gmail blokira a isto i Facebook (sem ako su arhivirani sa password protected arhivom). Širenje ovakvih virusa uzrokovana je više nestručnim korištenjem računara, sjećam se kad su svi padali na sl. glupost na FB kad bi virus slao u chat link ka exe fajlu koji je imao ikonicu da izgledaa kao thumbnail slike oskudno odjevene ženske. Ovaj virus nije ništa opasniji niti noviji, sličnih pošasti pamtim već 6-7 godina, stvar je što je sve više korisnika sa minimalnim znanjem na socijalnim mrežama, koji instalirajo sve živo što im sajt i linkovi ponude.

E sad, ne mogu da nađem link ka Cryptowall-u ili nekom fajlu koji je već inficiran, bio bih zahvalan da neko ostavi link da ga stručniji korisnici testiraju. Koliko sam razumio, ovaj virus i dalje radi istu proceduru kao predhodni (napravi enkriptovanu kopiju fajla, obriše originalni fajl, i izgleda u ove nove verzije koristi neku purge metodu da se obrisani fajl ne može vratiti nazad sa programima za povratak izbrisanih fajlova). Fora koju sam ja koristio sa NTFS junction je da čim virus pošalje komandu za brisanje originalnog fajla, link pukne tako da obično enkriptuje jedan (najčešće nebitan) fajl (link puca na nekim delete komandama, obično prema folderima). Imam VM spreman da vidim šta se događa (ako ko testira ovo istom metodom, samo neka ukloni shared foldere).

Mozda radi encryption na fajlu u real time, a ne na kopiju. Lakse je tako, a i brze. Ja ne koristim AV, pa eto jos uvijek mi je cist kompjuter. Mozda je iz zbog cinjenice sto ga formatiram cesto i radim back up. Sto se tice drive-by download, to ce addoni za google chrome srediti. Uglavnom, samo malo paznje, malo znanja i ne treba ti AV-a. A to sto pola Crne Gore koristi krekovane igrice i programe je druga stvar, tu uvijek postoji mogucnost da bude inficiran fajl,iako ga mnogi ljudi smatraju cistim. Zato samo legalan software,malo opsteg znanja o racunarima i otvaranje tih exe fajlova ili instaliranja plugin-a kako bi gledali filmove, browser opremljen dobrim addonim-a(extensions), no java, i eto ti je bolja zastita nego bilo koji antivirus. Kao sto je neko naveo, mnogi virusi mogu biti FUD, i antivirus ga nece prepoznati, pa dzaba je on tu, ali zato malo pameti i mozes sam prepoznati kad je nesto sumnjivo. Jedino ti zero-day exploits za npr pdf, ili broswer, su opasni, a tu ce ti tesko antivirus pomoci. Kome antivirus ne usporava sistem, neka ga instalira naravno.

[LINK servis]

Mozda radi encryption na fajlu u real time, a ne na kopiju. Lakse je tako, a i brze. Ja ne koristim AV, pa eto jos uvijek mi je cist kompjuter. Mozda je iz zbog cinjenice sto ga formatiram cesto i radim back up. Sto se tice drive-by download, to ce addoni za google chrome srediti. Uglavnom, samo malo paznje, malo znanja i ne treba ti AV-a. A to sto pola Crne Gore koristi krekovane igrice i programe je druga stvar, tu uvijek postoji mogucnost da bude inficiran fajl,iako ga mnogi ljudi smatraju cistim. Zato samo legalan software,malo opsteg znanja o racunarima i otvaranje tih exe fajlova ili instaliranja plugin-a kako bi gledali filmove, browser opremljen dobrim addonim-a(extensions), no java, i eto ti je bolja zastita nego bilo koji antivirus. Kao sto je neko naveo, mnogi virusi mogu biti FUD, i antivirus ga nece prepoznati, pa dzaba je on tu, ali zato malo pameti i mozes sam prepoznati kad je nesto sumnjivo. Jedino ti zero-day exploits za npr pdf, ili broswer, su opasni, a tu ce ti tesko antivirus pomoci. Kome antivirus ne usporava sistem, neka ga instalira naravno.

Kako misliš u "real time"? pod windowsom, tj. NTFS i FAT fajl sistemom ti radiš zamjenu sadržaja sektora diska (mislim da ovo čak nema ni veze sa fajl sistemom). ako program (tipa crypter) enkriptuje fajl, ne može (tj. bar mislim) da zamijeni postojeće sektore sa enkriptovanim? Svaka promjena fajla ti se na disku ogleda kao označavanje nekog niza sektora na hard disku kao obrisanim dok se na drugim sektorima upisuju novi podaci... Ti kad premještaš fajl u Windows, ako je na istoj particiji, fajl se ne mijenja samo MFT ažurira lokaciju sektora od tog fajla; tj. njegov put. Kad recimo otvoriš neki fajl u program, izmijeniš ga i sačuvaš, u pozadini Windows obilježi sektore koji je originalni fajl zauzimao kao obrisane, dok se novi fajl upisuje na nove sektore; naravno pod Windowsom sve izgleda kao jedan fajl. Naravno, nekad se ne mijenja cijeli fajl, samo djelovi njega, a u MFT se obilježi koji sektori čuvaju sadržaj toga fajla. Zato meni nije jasno kako ovaj cryptowall sprečava da se originalni fajl izvuče kao obrisan... da li prepisuje postojeće sektore sa enkriptovanim? Ili vrši purge starih sektora? Ili ja nešto brkam u načinu na koji radi fajl sistem? Znam da sam prije spašavao kriptovane fajlove tako što sam u stvari čupao obrisani originalni fajl koji je softver koji ih kriptuje obrisao... ne znam kako se sad to rešava.

Inače sam bio postavio thread "Koji je najbolji antivirus" čisto u nadi da će se desiti situacija kao kod par mojih kolega koje sam morao da razdvajam nakon par minuta kad sam im postavio isto pitanje xD ni ja ne koristim AV, ako što treba da testiram i eksperimentišem tu je virtuelna mašina, u ekstremnijim slučajevima DeepFreeze ili klon cijelog diska. FUD se danas teško pravi, mada jedno vrijeme nijedan AV nije detektovao silent instalaciju TightVNCa i učitavanja registra iz SFX RAR arhive, a većini koji se bave ovim stvarima ne treba objašnjavati šta se tačno radi sa ovim xD. Ali slažem se, za današnje korisnike AV ne pomaže dovoljno, adware i bloatware AV često ne smije da detektuje iz zakonskih razloga, a ovo je najčešće problem koji 90+% prosječnih korisnika ima. "zero-day exploits", stvarno nisam toliko vrijedan da neko baš mene nanišani za napad xD "Kome antivirus ne usporava sistem", svakome usporava za neki procenat, aktivan proces koji rovari po disku/fajlovima i provjerava šta ima normalno mora da guta sistemskih resursa.