Ako smijem pitat administratore u tvrtkama koje su pobrale cryptolockera, koje av-e imate?
kod nas je Trend Micro...nije pomogao...
Trendmicro i kod nas :/
Mirno more nikad nije stvorilo dobrog mornara
ESET bi trebao pomoci, ako je pri instalaciji (ili naknadno) ukljuceno da skonta unwanted apps and programs (ili tako nesto)
Prvi puta, na jednoj dislociranoj lokaciji smo pobrali virus. No međutim, samo na tim vanjskim lokacijama nemamo proxy. U glavnoj firmi imamo proxy te je zabranjen ikakav download izvršnih datoteka sa weba te ondje nismo imali problem. E sad, koliko je to dovoljno i hoće li se ipak provući u budućnosti...
Moze li se netko docepati primjerka virusa ?
Ili barem zna odakle je dosao tj. ima taj mail ?
Ili je neki java drive by ?
Svabe spominju office exploit (ali macro, ne onaj žešći)
edit: pardon, da nadodam i link
Tog sam svabu i zamolio da mi posalje primjerak ako ima jos.
Jednostavno rješenje smo iznašli na Antivirusnoj Temi šta se tiće zaštite od criptovirusa...
Izgleda da ga Comodo Sandbox uspješno izolira a također i jedan programčić imena SecureAplus koji blokira i pita za korisničku interakciju za svaki program koji nema uredan certifikat...
EDIT: Evo i programčić imena VoodoShield ga blokira ( on radi na sistemu PC lokota za sve što se po prvi puta pokušava pokrenuti )
Nadam se da će nekome pomoći što se tiče buduće zaštite da se ne desi havarija izgubljenih podataka!
Prvi puta, na jednoj dislociranoj lokaciji smo pobrali virus. No međutim, samo na tim vanjskim lokacijama nemamo proxy. U glavnoj firmi imamo proxy te je zabranjen ikakav download izvršnih datoteka sa weba te ondje nismo imali problem. E sad, koliko je to dovoljno i hoće li se ipak provući u budućnosti...
mi imamo proxy, ali imamo i superusere koji sve znaju i mogu :)
ako kome treba primjer viruva tj zarazenog file-a neka mi se javi na ivanpavlek@yahoo.com
ako kome treba primjer viruva tj zarazenog file-a neka mi se javi na ivanpavlek@yahoo.com
Nemoj ni slučajno staviti fajl negdje na box pa ovdje objaviti link. Jer to je potpuno nepraktično. Bolje je da te ljudi moljakaju pa da im taj zaraženi fajl šalješ mailom. Preslika rodnog lista i potvrda o nekažnjavanju iz nadležnog suda obavezni...
E pa stvarno su se rano sjetili reagirati. A priopćenje je kao da ga je složio mali Ivica. Izgleda mi kao da su letimično pročitali Bagov forum pa ajmo i mi nešto napisat.
Jeli taj HitmanPro alert djelotvoran kontra ovog ransomwarea?
Jeli taj HitmanPro alert djelotvoran kontra ovog ransomwarea?
Djelotvoran je ali samo 30dana dok ti ne istekne "Trial", onda ga moraš kupiti ako želiš produžiti zaštitu na još godinu dana 
Jeli taj HitmanPro alert djelotvoran kontra ovog ransomwarea?
Djelotvoran je ali samo 30dana dok ti ne istekne "Trial", onda ga moraš kupiti ako želiš produžiti zaštitu na još godinu dana
- upitno, jer (hajd napokon..) i na gornjem CERTovom linku spominju flash i javu (java je najsumljivija, banke.. ili posjet portalu u trenutku dok je zaražen, oboje se relativno brzo počisti). Eko je exploit+cert +postavke koje dozvoljavaju npr javu (a postavke zbog eporezne, ebanking, fina itd. moraju biti takve), tad AV propušta.
+svaki av može relativno lako počisititi zarazu, problem su ''samo'' posljedice.
- upitno, jer (hajd napokon..) i na gornjem CERTovom linku spominju flash i javu (java je najsumljivija, banke.. ili posjet portalu u trenutku dok je zaražen, oboje se relativno brzo počisti). Eko je exploit+cert +postavke koje dozvoljavaju npr javu (a postavke zbog eporezne, ebanking, fina itd. moraju biti takve), tad AV propušta.
+svaki av može relativno lako počisititi zarazu, problem su ''samo'' posljedice.
Evo ti malo štiva za proučit vezano uz HitmanPro.Alert koji doista dobro štiti od ovakve gamadi...
Molio bih vas ako nije problem da mi posaljete adresu BTC novcanika ako ste uplacivali za povratak podataka. Bavim se analizom cijele te industrije.
Moze ovdje na thread ili kao privatna poruka.
Pozdrav dečki, evo par linova s domaćih portala, skoro svaki veći portal linka, na ovo, forum.hr, coolinarka, tportal, na ovaj ads.emg-network.com... Dakle, ovo odmah blokirati. Pun ih je log!
Evo i nekih još linkova koje sam zapazio s Kasperskyim, ako možete blokirajte svima. Prvi dio je inficirani objekt, drugi dio, na kojemu siteu je linkan. Ovo je zadnjih 7 dana kod mene. Nisam imao infekcija.
Result: Detected: HEUR:Trojan.Script.Generic
Object: http://ads.emg-network.com/www/delivery/ajs.php?zoneid=330&cb=51006989972&charset=utf-8&loc=http://www.coolinarika.com/recept/738213/&referer=http://www.coolinarika.com/tag/banana-bread//www.coolinarika
Result: Blocked: HEUR:Trojan.Script.Generic
Object: http://adsvc.tportal.hr/www/delivery/spc.php?zones=banner_728x90%3D6|banner_300x250%3D1|banner_940x75%3D7|banner_floater%3D2|banner_billboard%3D89|banner_300x250_3%3D272|banner_300x100_3%3D352|banner_146x85_1%3D353|banner_146x85_2%3D354|banner_300x100%3D3|&nz=1&source=&r=22758473&charset=utf-8&loc=http://www.tportal.hr/
Result: Blocked: HEUR:Trojan.Script.Generic
Object: http://oglasi.antenazagreb.hr/www/delivery/ajs.php?zoneid=42&cb=81237621240&charset=utf-8&loc=http://www.narodni.hr/
Critical event
Result: Blocked: http://ebay.of.by/catalog/show/121378162931/ (analysis by using the database of phishing URLs)
Object: http://ebay.of.by/catalog/show/121378162931/
Critical event
Result: Blocked: http://cemwr4qtiz9tgghxnfvt5fj.authorityturbo.com/index.php?v=anM9MSZraWlybmc9eGFqcm9lYWsmdGltZT0xNTAzMjcwNzA0MjI0NDcxMDA3NiZzcmM9MzI1JnN1cmw9YWRzLnNsb2JvZG5hZGFsbWFjaWphLmNvbSZzcG9ydD04MCZrZXk9QUNFMDJCREUmc3VyaT0vcmV2aXZlL3d3dy9kZWxpdmVyeS9zcGNqcy5waHAlM2ZpZD0z (analysis by using the database of malicious URLs)
Object: http://cemwr4qtiz9tgghxnfvt5fj.authorityturbo.com/index.php?
Također da podijelim listu svih reklama koje blokiram, ako već možete blokirati:
ripway.com
ads.emg-network.com
adsvc.tportal.hr
authorityturbo.com
doubleclick.net
24sata.hr/banneri
index.hr/indexrotator
ad.net.hr
iprom.net
adserver.iprom.net
tie.iprom.net
m1.emea.2mdn.net
m1.2mdn.net
ad.doubleclick.net
ads.livesport.eu
hr.search.etargetnet.com
ads.vecernji.hr
creative.ak.facebook.com
engine.xclaimwords.net
oddbanner.bet-at-home.com
techspot.com/openxads/
images.intellitxt.com
pages.etology.com
ads.ephdev.com
data.ero-advertising.com
delivery.adyea.com
ads.ero-advertising.com
s0.2mdn.net
ad.hr.doubleclick.net/adj/jutarnji.hr
dd.connextra.com
ads.monitor.hr
br.fling.com
aka-cdn-ns.adtech.de
rya.rockyou.com
infoblock1.city24.hr
ad.net.hr
adserving.cpxinteractive.com
oglasnikhr.adocean.pl
static.oglasnik.hr
banner.sweetmedia.org
ad.vecernji.hr
static.nacional.hr/banners
ad.slobodnadalmacija.com
angelina.globalnet.hr
ads.moj-posao.net
dynamic1.anandtech.com
ad.adperium.com
hrgde.adocean.pl
ads.tportal.hr
admeta.vo.llnwd.net
static.flixstercdn.com/static/ads/
index.hr/indexrotator/
hr.search.etargetnet.com
banners.cams.com
ad.yieldmanager.com
resources.infolinks.com
uk.ads.hexus.net
adnethr.adocean.pl
i.ligatus.com
banners.getiton.com
ds.serving-sys.com
autonet.hr.dedi1113.your-server.de
img.techpowerup.com/images/bnnrs
hsthr.tradedoubler.com
media2.netrefer.com
oddbannerint.bet-at-home.com
outils.acf-webmaster.net
livexscores.com
ads.cc
cachewww.affutdmedia.com
adserver.itsfogo.com
ads.njuskalo.hr
spe.atdmt.com
static.ads.crakmedia.com
graphics.alt.com
cs.adxpansion.com
photos.pop6.com
Nadam se da i administratori naših portala čitaju ovaj forum
Pozdrav svima, premda ovaj put sam izbjegao metak, već 28.1. sam bio u situaciji kao dosta vas. Cryptolocker je došao u .zip privitku maila. Djevojka koja je nanovo počela raditi u Nabavi je kliknula i otvorila mail, u 13.55, za kratko vrijeme njezin user folder i share na fileserveru kojemu je imala prava je bio kriptiran. Svaki folder je i u sebi imao i sliku s uputama za plaćanje.
Srećom, imamo shadow kopije na korisnicima i backup svih servera svaku noć 15 dana, pa nije bilo nekog većeg gubitka.
No i ja sam se tada pozabavio malo više analizom. Moji korisnici imaju Kaspersky, uredno je bio ažuriran, ali je update zakasnio možda 4 sata. Da smo dobili sutra mail, ne bi se ništa dogodilo. Ukoliko se desi novi virus-outbreak, jednostavno nema pomoći prije updatea. Možda nekad heurestika i pomogne, ali ne uvijek.
Na uređaju za forenziku mreže sam otkrio da je s računala pokrenuta ssl sesija prema nekome ovh serveru, neki provider u Francuskoj, s čega se virus downloadao i započeo započeo enkripciju.
Prvo što sam napravio je automatsko uklanjanje .exe i .scr extenzija na mail serveru. Najviše sam susrećao .scr, i ljudi je olako preskoče. Predlažem da isto napravite kao kod sebe.
Kod Kasperskog ima jedna dobra stvar, zove se SystemWatcher, u biti služi za pregled što aplikacije rade po vašemu računalu. Kod mene nije bila upaljena, neka računala su imala problema s performansama zbog toga, ali sam i to rješio.
Zadnja stvar koju sam omogućio je Application Control, kako ju točno postaviti za kritpolockere, pogledajte ovdje. Dakle, ovdje postavljate da sve nove aplikacije idu u grupu onima kojima se ne vjerujete, dodate u tu grupu zaštićene ekstenzije, i to je to. Također, za ovo treba dosta vremena, dok definirate Word, Excel, Reader, itd, da mogu editirati ove zaštićene fileove koji imaju navedene ekstenzije, međutim, Kaspersky radi heurestiku nad njima i čak provjerava reputaciju u cloudu, tako da većinu standardnih aplikacija su po defaultu u grupi kojima vjerujemo.
Također vam skrećem pozornost na vaše baze podataka, jer će se bi se i one mogle kriptirati, pripazite gdje i kako radite backup, da li možete koristiti neke druge ekstenzije prilikom backupa, itd.
Kod mene je sve virtualizirano, pa je jako teško doći do backupa kad je sloj ispod OSa.
Pitajte ako što vas zanima.
Samo da se nadovežem na temu, ovo je i najbolji ako ne i jedini način da se zaštiti od takvih napda.NIKAKAV, napominjem, NIKAKAV antivirus vas neće zaštititi ako je zero day infection.Ja sam nedavno isto pronašao jedan takav virus bio je u obliku .cab (eugne_baud_sa.cab a unutra eugne_baud_sa.scr), kojeg je jedna tajnica dobila mailom i pokrenula..Kaspersky ga nije detektirao, i cjeli VirusTotal pokazivao da je čisto.Submito sam ga Kaspersky na analizu i bio je u update za par sati.Al problem je tih prvih par sati dok se virus ne otkrije, jel i taj sam autor virusa naravno provjeri svoj virus prije puštanja na NET dali ga svi vodeći antivirusni programi detektiraju ili ne.
Ako bi netko htio analizirati još, evo, pazite da ne uključite "prelomi tekst" u notepadu, kako bi vam prikazivalo sve kako treba.
https://dl.dropboxusercontent.com/u/34568258/block.txt
hvala na listi. no je li jedno od rješenja za reklame/banere i adblock, onda jednostavno nemam 99% bannera i reklama na samom siteu?
hvala na listi. no je li jedno od rješenja za reklame/banere i adblock, onda jednostavno nemam 99% bannera i reklama na samom siteu?
Da, ali dok svakome korisniku instaliraš adblock,pa ovaj ima IE, ovaj Chrome,pa podesiš liste, pa se promjene... Ako imaš neki uređaj, gateway, proxy, ili slično, najlakše. Onda blokiraš svima, na svim browserima.
jasno ko' dan
hvala na listi. no je li jedno od rješenja za reklame/banere i adblock, onda jednostavno nemam 99% bannera i reklama na samom siteu?
Da, ali dok svakome korisniku instaliraš adblock,pa ovaj ima IE, ovaj Chrome,pa podesiš liste, pa se promjene... Ako imaš neki uređaj, gateway, proxy, ili slično, najlakše. Onda blokiraš svima, na svim browserima.
Mozes im stavit Ad Fender ili AdMuncher ili ubacit svima u HOSTS
Ako bi netko htio analizirati još, evo, pazite da ne uključite "prelomi tekst" u notepadu, kako bi vam prikazivalo sve kako treba.
https://dl.dropboxusercontent.com/u/34568258/block.txt
kod recepti-svijeta, adsvc.tportal, tportal je zajedničko to što imaju outdated web server, tako da ne iznenađuje što se upravo preko tih stranica širi malware.
4 malware sites ( eset i kaspersky ih prepoznaju kao malicious URLs)
1 pishing site
25.2. 2015 je izašao Kaspersky Endpoint Security 10 for Windows Workstations: Service Pack 1 (version 10.2.2.10535), pa bi bilo dobro da nadogradiš na zadnju verziju
Pozdrav dečki, evo par linova s domaćih portala, skoro svaki veći portal linka, na ovo, forum.hr, coolinarka, tportal, na ovaj ads.emg-network.com... Dakle, ovo odmah blokirati. Pun ih je log!
Evo i nekih još linkova koje sam zapazio s Kasperskyim, ako možete blokirajte svima. Prvi dio je inficirani objekt, drugi dio, na kojemu siteu je linkan. Ovo je zadnjih 7 dana kod mene. Nisam imao infekcija.
Jel ovo znači da čim se ode na ove portale postoji opasnost ili samo ako se ide na reklame i također, je li to opasnost i za privatne korisnike ili samo za firme?
Isprike ako je pitanje glupo.
1 pishing site
25.2. 2015 je izašao Kaspersky Endpoint Security 10 for Windows Workstations: Service Pack 1 (version 10.2.2.10535), pa bi bilo dobro da nadogradiš na zadnju verziju
Hehe, ne brini za Kaspersky, samo nemam razloga da ga upgradam, ni nema nekih novosti, većinom bugfixevi. Još ima bug kad se prilikom ažuriranja na KSC 10 SP1 baza ne ažurira pa ništa ne radi...
Jel ovo znači da čim se ode na ove portale postoji opasnost ili samo ako se ide na reklame i također, je li to opasnost i za privatne korisnike ili samo za firme?
Isprike ako je pitanje glupo.
Mislim da je drive-by infekcija, ne trebaš ništa klikati i da se svejedno zaraziš. Opasnost je za sve ista.
1 pishing site
25.2. 2015 je izašao Kaspersky Endpoint Security 10 for Windows Workstations: Service Pack 1 (version 10.2.2.10535), pa bi bilo dobro da nadogradiš na zadnju verziju
Hehe, ne brini za Kaspersky, samo nemam razloga da ga upgradam, ni nema nekih novosti, većinom bugfixevi. Još ima bug kad se prilikom ažuriranja na KSC 10 SP1 baza ne ažurira pa ništa ne radi...
ne brinem ja
kako je tema cryptor spomenio sam samo zbog ovog :)
What's new in SP1
i eventualno zbog ovog
Application Startup Control:
ne brinem ja
kako je tema cryptor spomenio sam samo zbog ovog :)
What's new in SP1
i eventualno zbog ovog
Application Startup Control:
U pravu si, budem još danas. Čitao sam changelog, ali dočim sam vidio enkripciju, mislio sam da je taj dio za enkripciju podataka koje može raditi i Kaspersky, npr. ukraden laptop, nemogućnost uzimanja podataka.
