Ransomware napada

 Skenirao sam sve s MBAM-om, ništa nije pronađeno, s AV programom također...postoje li još kakvi načini da se provjeri čuči li što na računalu?

SecureAPlus, to je kombinacija nekoliko CloudAV rješenja+lista sigurnih procesa i aplikacija.U praksi to je najelegantnije rješenje, dakle ako eventualno Cloud AV ne detektira gamad opet nema frke.Pošto Malware nije na sigurnoj listi programa, odma je direktno blokiran i eto problem je rješen.

http://www.secureaplus.com/Main/what_is_the_difference.php

VoodooShiled je zapravo klasičan HIPS program(kao i Comodo), ali on uz to još ima i neke druge vrlo korisne dodatke.U praksi takav alat je sam po sebi i više nego dovoljan za zaštitu Windowsa, i uz njega ti ne treba/nema smisla nikakav klasičan Realtime Antivirus, koji često puta zakaže i eto sranja.No opet kao i kod svakog HIPS rješenja, opet ide napomena da to nikako nije alat za prosječnog korisnika.Takav korisnik se ne snalazi baš najbolje, pa kad nekaj zabrlja sa HIPS alatom eto problema preko glave.Kaj se tiče zaštite tokom surfanja, ovakav alat je odličan pod uvjetom da korisnik zna koristit takav alata.No ako korisnik nekaj zezne, može shebat i Windowse jer če blokirat ili dozvoli ono kaj treba i ne treba tak to obično ide.

https://voodooshield.com/

Kaj se tiče zaštite tokom surfanja, za normalnog korisnika najbolje rješenje je klasično blokiranje loših stranica, koje ide preko raznih alata za tu namjenu.Ako prosječan korisnik hoče bit još sigurniji, onda je bolje da se uhvati browser dodatka kao več puno puta spomenuti"NoScript".S njime nikako ne može smrdat Windowse, jer takav alat postavi štit samo u Browseru i ništa drugo.

http://www.bug.hr/forum/topic/sigurnosni-softver/ultimativna-antivirus-tema-po/12723.aspx?page=1006&jumpto=4129302&sort=asc&view=flat

Večina korisnika traži zaštitu koja šuti i radi, i ne pita ništa previše dakle to je onaj klasičan Antivirusni program.No takva zaštita obično ima dosta rupa, i onda eto problema kad navali gamad jer AV ne izbacuje nikakva upozorenja a Windowsi su u banani.Ali to je tako realnost u praksi, večina če i dalje koristit klasičnu zaštitu zato jer je HIPS alat prekompliciran i greške mogu bit fatalne.

HIPS alati svakave vrste i kombinacija, to se u praksi nikada ne preporuča/a pogotovo ne instalira na Windowse za kojima sjedi prosječan korisnik.Iako možda na prvi pogled to nisu komplicirani alati, u praksi kaj se tiče prosječnog koirsnika, to su sve samo ne jednostavni sigurnosni programi.

Vi ste sad tu nabacali jedno 50 tih programa koji bi mogli pomoći a nikom ne pada na pamet da su pogođene firme sa 50+ zaposlenika od kojih ni 10% nije ni približno dovoljno sposobno da se služi tim alatima. Sysadmini bi imali pune ruke posla oko slučajnog brljanja po postavkama, disableanja svega i svačeg te glavnog problema - ako je (ab)user naumio da otvori PDF koji mu je poslan sa domene pbz@krfmljvhuvljbuv.com, on će ga otvoriti jer će svaki put kliknuti na "Allow" i "Confirm exception". Džabe sva ta zaštita - jedino rješenje je dnevni offsite/offline backup.

A da ne govorim koliko bi koštale silne licence, problemi sa nekompatibilnosti (jedna naša app se mora dodavati kao exception u DEPu i whitelistati na antivirusima jer zbog silnih P/Invokeova svakom HIPSu izgleda kao virus....

 Slažem se, nažalost je to tako kako veliš ali dobro je da ljudi znaju da ipak postoje načini kako se zaštititi i ukazali smo im na njih pa ko voli nek izvoli!

Kroz temu su ljudi dobili dojam da ih ništa ne može zaštititi od takvih napada i da je backup jedino rješenje ali želim/mo ukazati na neka rješenja koja su ipak učinkovita i u prevenciji.

Nek ljudi znaju pa neka si odluče za ubuduće da li žele ili ne instalirati dodatnu zaštitu i naučiti se koristiti njome!

Ima li netko zivi uzorak i moze ga poslati, uploadati ili whatever ?

 -svaki ključ ima neku formulu.. više uzoraka može pomoći kod dekripcije. Ako ništa drugo (jer je bruteforce nedostižan juzerima), zbog samog tipa ključa.

 -po mojim izvorima (i feelingu..) izvor je java, banke, certifikati (manje mail) naravno i surfanje po portalima ali skripta se nebi ni izvršila da npr nema jave... Tad nikakva sigurnost ne pomaže, jer je certifikat upravo osnova takve sigurnosti, prolazi.. + zero day. Naravno, nedopustivo je ako oni nemaju npr odgovarajući backup (tad nečije dupe mora napustiti fotelju, zapravo u svakoj firmi tako treba biti..). Svatko za sebe trba znati procijeniti rizike i odgovarajuću zaštitu, redundanciju, downtime.. i imati (ili nemati) odgovor kad se to desi. Poplava, požar, udar komete, rat, nestanak struje ... i virus. Ista stvar. Vjerujem da je unazad mjesec dana znatno skočila prodaja diskova (HDD). Ljudima često treba udarac (u dupe, jer tamo mozak spava) da bi se trgnuli. Institucije djeluju jednako jer su na kraju ipak ljudi oni koji to odrađuju.

Jedan moj "privatni korisnik" je jucer spusio ransomware. Nakon sto je virus upao na komp, sve office dokumente + pdf + jpg je kriptirao i dodao im .ecc ekstenziju. Korisnik se pomirio s gubitkom podataka. Dio datoteka na NAS-u je takodjer stradao, ali ni one nisu bile od neke prevelike vaznosti.

Ono sto moze pomoci u prevenciji je svakako edukacija korisnika. Ne otvarati sumnjive mailove. Nikako ne otvarati zip datoteke unutar sumnjivih mailova.

Mi u korporativnom okruzenju koristimo "proxy + antispam u oblaku" rjesenje, konkretno od barracude, i takva je prevencija izuzetno ucinkovita i rijesava problem na izvoru, ne dajuci mu da se priblizi racunalu. Na zalost takva rijesenja dolaze sa visokom cijenom, ali ipak kosta manje nego slati po 400eur po racunalu za otkljucavanje datoteka.

- izbjegavajte forum.hr.. par sati, virus. Axpergle.W

Može netko iz prve ruke potvrditi da ovo radi?

http://www.engadget.com/2015/04/14/kaspersky-releases-decryption-tool-that-unlocks-ransomware/?ncid=rss_truncated

Naravno, ako imate sreću u nesreći da vas pogodi baš ta verzija Cryptolockera. Nije to univerzalni alat koji uvijek pomaže ali dobro je znati da ponekad ima nade.

Inače baš me zanima da li administratori Tportala prate ovu stranicu, ako je Smooth objavio izvod iz loga gdje se vidi sa kojih adresa (banner sevica) dolazi mogući exploit onda bi to trebali i oni pratiti.

By the way Smooth, u cijeloj ovoj nesretnoj priči sa cryptolockerima koja se vuče zadnjih mjesec dana tvoji postovi su bili korisniji i informativniji od www.cert.hr

DalmacijaNews...

Result:   Blocked: HEUR:Trojan.Script.Generic
User:    (Active user)
Object:   http://ads.emg-network.com/www/delivery/ajs.php?zoneid=330&cb=99883356244&charset=utf-8&loc=http://www.dalmacijanews.hr/&referer=http://www.google.hr/url%3Fsa%3Dt%26rct%3Dj%26q%3D%26esrc%3Ds%26source%3Dweb%26cd%3D1%26sqi%3D2%26ved%3D0CBsQFjAA%26url%3Dhttp%253A%252F%252Fwww.dalmacijanews.hr%252F%26ei%3DZrQvVcu3O4rkaO_wgOgO%26usg%3DAFQjCNGQW8nDwTXCHGP_t0HQdK3YV8Wp0g//url%3Fsa%3Dt%26rct%3Dj%26q%3D%26esrc%3Ds%26source%3Dweb%26cd%3D1%26sqi%3D2%26ved%3D0CBsQFjAA%26url%3Dhttp%253A%252F%252Fwww.dalmacijanews