Evo malo o tom novom malwareu
http://www.reddit.com/r/techsupport/comments/373wk0/locker_virus_similar_to_cryptolocker/
Koja je to komponenta u pitanju? Vidim da masa AV-a ne misli da se radi o nečem opasnom.
Evo malo novosti vezano za taj malware koji smo danas rijesavali - KLIK
A new ransomware called Locker has been discovered that once installed lay dormant until midnight local time on May 25th when it would activate and encrypt your data files. Once your files were encrypted it would demand .1 bitcoins in order to decrypt your files. If payment was not made within 72 hours, the ransom price would then increase to 1 bitcoin. This ransomware is currently widespread with global targeting.
jučer i ja pobrah smeće - na kućnom računalu, doduše, ništa čudno, jer na kompu nemam ni AV, ali nije tolika šteta jer sve što je nužno uredno je backupirano
prošao sam malvarebytesom i našao ga je, ali budući da mi je sve backupirano, formatirao sam odmah komp, za svaki slučaj, da se gamad nebi ponovo aktivirala....
Spy hunter ga je detektirao i izbrisao je i sad se vise ne pojavljuje popup prozor. A malwarebytes je isto detektirao i stavio u karantenu
The campaign began on May 24th. We are seeing victims in the following countries:
UNITED STATES
ROMANIA
UNITED KINGDOM
NETHERLANDS
INDIA
CANADA
PHILIPPINES
HUNGARY
SLOVENIA
NEW ZEALAND
NORWAY
PANAMA
PERU
INDONESIA
LATVIA
MACEDONIA
MALAYSIA
CROATIA
EGYPT
GREECE
AUSTRALIA
BRAZIL
BULGARIA
SOUTH AFRICA
SWEDEN
TURKEY
SERBIA
SLOVAKIA
VIETNAM
POLAND
Danas i kod nas u firmi prošao cryptolocker ...
kriptirao je sa zaraženog računala od 9:22 do 9:48 cca 500 foldera na shareu.... i komplet sve datoteke na samom računalu.
sve datoteke sa share spašene sa shadow copy-a, računalo ide na format -> reinstall
Da li znaš kako ste ga pokupili ?
kolegica je dosta sudržana oko toga da otkrije što je radila u datom trenutnku.
Uglavnom dobra stvar je da je McAfee skužio HTML datoteke koje Ransom radi, pa je počeo izbacivati poruke. (nažalost nije znao spiječiti izvor ili samo kriptiranje)
Također nije mijenjao imena datoteka sa onim nastavkom 7w3how, tako da tko zna koliko bi štete napravio dok bi primjetili da se nešto događa i da nismo na vrijeme isključili to računalo iz mreže.
kolegica je dosta sudržana oko toga da otkrije što je radila u datom trenutnku.
A ni dildo koji viri iz ladice ne govori njoj u korist...
kolegica je dosta sudržana oko toga da otkrije što je radila u datom trenutnku.
Uglavnom dobra stvar je da je McAfee skužio HTML datoteke koje Ransom radi, pa je počeo izbacivati poruke. (nažalost nije znao spiječiti izvor ili samo kriptiranje)
Također nije mijenjao imena datoteka sa onim nastavkom 7w3how, tako da tko zna koliko bi štete napravio dok bi primjetili da se nešto događa i da nismo na vrijeme isključili to računalo iz mreže.
Tvojoj kolegici objasni da bi bilo dobro da to otkrije, možda već sutra netko u tvojoj firmi (ne daj Bože) može otvoriti istu stranicu ili pročitati sličan mail... A i nama ostalima bi mrvicu pomoglo.
kolegica je dosta sudržana oko toga da otkrije što je radila u datom trenutnku.
Mora da je političarka.
kolegica je dosta sudržana oko toga da otkrije što je radila u datom trenutnku.
Uglavnom dobra stvar je da je McAfee skužio HTML datoteke koje Ransom radi, pa je počeo izbacivati poruke. (nažalost nije znao spiječiti izvor ili samo kriptiranje)
Također nije mijenjao imena datoteka sa onim nastavkom 7w3how, tako da tko zna koliko bi štete napravio dok bi primjetili da se nešto događa i da nismo na vrijeme isključili to računalo iz mreže.
-virus je zapravo mačji kašalj.. problem ako se pokrene kriptiranje nema veze s AV, jer to je normalna 'legitimna' operacija... usporedivo s copy ili zipiranjem.. + trenutna.
-problem su postavke (koje često moraju biti takve), npr java/flash i automatika ispod toga. Blokiranje izvršavanja rezultira nefunkcionalnim bankingom ili prikazom polovice weba..
-jučer opet slobodna i fashion.hr (nisam ni tipkao u temi jer više nema smisla)... tako da juzer nije pretjerano kriv.
-nebi bilo zgoreg, ograničiti web samo na par mjesta potrebnih za posao, ali (nepotvrđeno, jer ne žele dati podatke osim besmislenih upozorenja da korisnik pazi i na font/boju njihove stranice i sl.) i oni koji ne smiju biti zaraženi, bili su.. pa ostaje samo smanjenje rizika blokiranjem ostalih portala kao mogućeg izvora, pa s mailovima gdje spamfilter možda pomaže itd..
umjesto obrane, jedino je sigurno backup (ne oslanjati se na shadow i sl.)...
(kolegicu pusti meni i Fridayu.. izvučićemo iz nje i taj podatak osim za dildač 
)
Otprilike joj ovako izgleda log zadnjih 60 dana (dakle datoteka od cca 35 MB)
Svakih par sekundi neka stranica sa reklamama. Sad ili se to njoj nije bilo vidljivo (i događalo se negdje u pozadini) ili je pokušavala skupljat pare od reklama (ono 0.000001 cent po kliknu) :)
25.5.2015. 18:56:13 105 Internet Explorer 10
http://ib.adnxs.com/tt?id=4220651&cb=&pubclick=&referrer=ilovearcade.com 25.5.2015. 18:56:44 55 Internet Explorer 10
http://ib.adnxs.com/tt?id=4569185&referrer=http%3A%2F%2Fkitchendine%2Ecom%2F 26.5.2015. 9:06:39 5 Internet Explorer 10
http://ib.adnxs.com/tt?id=4236877&cb=BWXqN6mgFTNHNxk3P&referrer=simplerhythmgames.com&pubclick=[INSERT_CLICK_TAG] 26.5.2015. 9:07:34 1 Internet Explorer 10
http://ib.adnxs.com/tt?id=4236859&cb=Uxz6pTAYRsEmAugqv&referrer=boxtoon.com&pubclick=[INSERT_CLICK_TAG] 26.5.2015. 9:08:34 1 Internet Explorer 10
http://ams1.ib.adnxs.com/if?e=wqT_3QKdBPBCFAIAAAIA1gAFCPO3kKsFEOWZm4bu2oPnDxijzPnBkPn6vyIgASotCTvfT42XbpI_EZbK2xFOC44_GXsUrkfhepQ_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_ICEAoFQ1BfSUQSBzMyMTcyMDSAAwCIAwGQAwCYAwCgAwGqAwCwAwC4AwDAA6wCyAMA2AOiijTgAwDoAwDwAwD4AwGABAA.&dlo=1&referrer=http%3A%2F%2Fboxtoon.com%2F 26.5.2015. 9:08:35 1 Internet Explorer 10
http://ams1.ib.adnxs.com/if?e=wqT_3QLFAqg8AQAAAgDWAAUI9beQqwUQjJTp69TurZBiGKPM-cGQ-fq_IiABKi0JAAAABQIAEQUGMAAAABnTTWIQWDnEPyEBDgEBACkBBQEB8PAwoZT-ATjNCkDNCkgCUMbUzAtYlckOYABo2dYBcAB4AIABAZIBA1VTRJgB2AWgAVqoAQCwAQC4AQLAAQLIAQDQAQDYAQDgAQDwAQDYAu4C4AKf5x7qAmdodHRwOi8vaWIuYWRueHMuY29tL3R0P2lkPTQyMzY4NTkmY2I9VXh6NnBUQVlSc0VtQXVncXYmcmVmZXJyZXI9Ym94dG9vbi5jb20mcHViY2xpY2s9W0lOU0VSVF9DTElDS19UQUddgAMAiAMBkAMAmAMAoAMBqgMAsAMAuAMAwAOsAsgDANgDp50k4AMA6AMA8AMA-AMBgAQA&dlo=1&referrer=http%3A%2F%2Fib.adnxs.com%2Ftt%3Fid%3D4236859%26cb%3DUxz6pTAYRsEmAugqv%26referrer%3Dboxtoon.com%26pubclick%3D%5BINSERT_CLICK_TAG%5D 26.5.2015. 9:08:37 1 Internet Explorer 10
http://cdn.turn.com/server/ddc.htm?uid=3733563119467354927&rnd=3517390337353571119&fpid=12&nu=y&t=&sp=n&purl=&ctid=3&cyid=22 26.5.2015. 9:08:40 1 Internet Explorer 10
http://ib.adnxs.com/tt?id=4236826&cb=yGezr1wYL7nVbGKxQ&referrer=freeaddictinggames.com&pubclick=[INSERT_CLICK_TAG] 26.5.2015. 9:09:04 1 Internet Explorer 10
http://ams1.ib.adnxs.com/if?e=wqT_3QKpBPBCIAIAAAIA1gAFCJG4kKsFEL2o0r-G3bbKCRijzPnBkPn6vyIgASotCZ-bUDN8_pE_EYp4cSCSVI0_GXsUrkfhepQ_IRESBCmeDSSoMJrMggI4oRJAqQtIAlCK5ZMGWKTYI2AAaLhScAB4j-wDgAEBigEDVVNEkgUG8EaYAawCoAH6AagBALABALgBAsABBcgBANABANgBAOABAPABAIoCOnVmKCdhJywgMTI5NjIwLCAxNDMyNjI0MTQ1KTt1ZigncgkcFDA3MTQ2LDIeAPDAkgKxASFKU2I4RVFpeHJzUUJFSXJsa3dZWUFDQ2syQ013QURnQVFBQklxUXRRbXN5Q0FsZ0FZR05vQUhBQWVBQ0FBUUtJQVFDUUFRR1lBUUdnQVFHb0FRT3dBUUM1QVo2YlVETjhfcEVfd1FHZW0xQXpmUDZSUDhrQkp2TXRFS0lkN0RfWkFRQUFBQUFBQVBBXzRBRUE2Z0VQTVRZNU9EZzVOU3d5TXpJM09EWTM5UUVBQUFBQZoCHSFIQVlqT1FpeC60APB3cE5naklBQS7YAoEJ4AKdoSDqAh5odHRwOi8vZnJlZWFkZGljdGluZ2dhbWVzLmNvbS_yAhAKBUNQX0lEEgczMjE3MjAxgAMAiAMBkAMAmAMAoAMBqgMAsAMAuAMAwAOsAsgDANgD9Y4D4AMA6AMA8AMA-AMBgAQA&dlo=1&referrer=http%3A%2F%2Ffreeaddictinggames.com%2F 26.5.2015. 9:09:06 1 Internet Explorer 10
http://ams1.ib.adnxs.com/if?e=wqT_3QLRAqhIAQAAAgDWAAUIlriQqwUQhMvx99G1jdQoGKPM-cGQ-fq_IiABKi0JAAAABQIAEQUGMAAAABnTTWIQWDnEPyEBDgEBACkBBQEB8PwwoZT-ATjNCkDNCkgCULfUzAtYlckOYABo2dYBcAB4AIABAZIBA1VTRJgBrAKgAfoBqAEAsAEAuAECwAECyAEA0AEA2AEA4AEA8AEA2ALuAuACn-ce6gJyaHR0cDovL2liLmFkbnhzLmNvbS90dD9pZD00MjM2ODI2JmNiPXlHZXpyMXdZTDduVmJHS3hRJnJlZmVycmVyPWZyZWVhZGRpY3RpbmdnYW1lcy5jb20mcHViY2xpY2s9W0lOU0VSVF9DTElDS19UQUddgAMAiAMBkAMAmAMAoAMBqgMAsAMAuAMAwAOsAsgDANgDp50k4AMA6AMA8AMA-AMBgAQA&dlo=1&referrer=http%3A%2F%2Fib.adnxs.com%2Ftt%3Fid%3D4236826%26cb%3DyGezr1wYL7nVbGKxQ%26referrer%3Dfreeaddictinggames.com%26pubclick%3D%5BINSERT_CLICK_TAG%5D 26.5.2015. 9:09:10 1 Internet Explorer 10
http://googleads.g.doubleclick.net/xbbe/pixel?d=CMbJCxDj9hcYr6K0BA&v=APEucNUO9DetZ55VB3kN66LtQPWOGlVywnqF8lG3MWrif04XvT0qGemqOF3BhcA9CNy96qRfn6LBByNWuK94Bq24kpuYlG3dEb27nEBvvuixBlRN2ds2ia8 26.5.2015. 9:09:12 1 Internet Explorer 10
http://ib.adnxs.com/tt?id=4236877&cb=qnXNYwYW9pyW5HWWv&referrer=yoob.com&pubclick=[INSERT_CLICK_TAG] 26.5.2015. 9:10:06 1 Internet Explorer 10
http://ib.adnxs.com/tt?id=4236877&cb=6FJw3uwvOpgbRlenf&referrer=mousecity.com&pubclick=[INSERT_CLICK_TAG] 26.5.2015. 9:10:47 1 Internet Explorer 10
http://aktrack.pubmatic.com/AdServer/AdDisplayTrackerServlet?operId=1&pubId=60133&siteId=60162&adId=126186&adServerId=165&kefact=0.050000&kaxefact=0.050000&kadNetFrequecy=1&kadwidth=160&kadheight=600&kadsizeid=10&kltstamp=1432624250&indirectAdId=128382&adServerOptimizerId=1&ranreq=0.30854103210452277&kpbmtpfact=0.000000&dcId=3&tldId=821399&passback=3&imprId=A0E866BD-401D-48C0-8050-74B15C67E094&oid=A0E866BD-401D-48C0-8050-74B15C67E094&domain=mousecity.com&pageURL=http%3A%2F%2Fib.adnxs.com%2Ftt%3Fid%3D4236877%26cb%3D6FJw3uwvOpgbRlenf%26referrer%3Dmousecity.com%26pubclick%3D%5BINSERT_CLICK_TAG%5D 26.5.2015. 9:10:53 1 Internet Explorer 10
http://bcp.crwdcntrl.net/5/c=2095/rand=674660939/pv=y/rt=ifr 26.5.2015. 9:10:58 1 Internet Explorer 10
http://ib.adnxs.com/tt?id=4710486&referrer=dailyfreegames.com 26.5.2015. 9:12:34 19 Internet Explorer 10
http://ams1.ib.adnxs.com/if?e=wqT_3QL9A6j0AQAAAgDWAAUI5LmQqwUQiZ3T9aOhlsAyGKPM-cGQ-fq_IiABKi0JAAAABQIAEQUGMAAAABm6SQwCK4eWPyEBDgEBACkBBQEBqDCnjOQBONwUQNcGSAJQieetDljCgyBgAGi4RnAAeJfwAoABAYoBA1VTRJIFBvBvmAGsAqAB-gGoAQCwAQC4AQLAAQXIAQDQAQDYAQDgAQDwAQCKAld1ZignYScsIDQxMjg1MiwgMTQzMjYyNDM1Nik7dWYoJ2MnLCA4ODc1ODU2LCAxNDMyNjI0MzU2KTt1ZigncicsIDMwMTEwNjAxLDI7APBgkgKdASFxeURIRlFqUTNwMEVFSW5uclE0WUFDRENneUF3QXpnQVFBRkkxd1pRcDR6a0FWZ0FZR05vQUhBQWVBQ0FBUUNJQVFDUUFRR1lBUUdnQVFLb0FRQ3dBUUM1QVFBQRECCHdRRRELkEFBTWtCd2VPcV9yTnM5al9aQWRlamNEMEt4MDlBNEFIam1RcjENPCgumgIdIU1RWUhQQTagAPBCd29NZ0lBRS7YAgDgAti_HYADAIgDAZADAJgDAKADAaoDALADALgDAMADrALIAwDYA_uoFOADAOgDAPADAPgDAIAEAA..&dlo=1 26.5.2015. 9:12:36 1 Internet Explorer 10
http://aktrack.pubmatic.com/AdServer/AdDisplayTrackerServlet?operId=1&pubId=60133&siteId=60162&adId=126186&adServerId=165&kefact=0.050000&kaxefact=0.050000&kadNetFrequecy=2&kadwidth=160&kadheight=600&kadsizeid=10&kltstamp=1432624385&indirectAdId=128382&adServerOptimizerId=1&ranreq=0.7448868149073675&kpbmtpfact=0.000000&dcId=3&tldId=818310&passback=3&imprId=A809DCD8-69DC-4ADB-8AEB-5FC4D23398A0&oid=A809DCD8-69DC-4ADB-8AEB-5FC4D23398A0&domain=899games.com&pageURL=http%3A%2F%2Fib.adnxs.com%2Ftt%3Fid%3D4737129%26referrer%3Dhttp%3A%2F%2F899games.com%2F 26.5.2015. 9:13:06 1 Internet Explorer 10
http://ams1.ib.adnxs.com/if?e=wqT_3QKyBKgpAgAAAgDWAAUIn7qQqwUQvqz-pMb6meUYGKPM-cGQ-fq_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-ACwMkG6gIUaHR0cDovL2dhbWVzaG90Lm9yZy-AAwCIAwGQAwCYAwCgAwGqAwCwAwC4AwDAA6wCyAMA2AO9qS7gAwDoAwDwAwD4AwGABAA.&dlo=1&referrer=http%3A%2F%2Fgameshot.org%2F 26.5.2015. 9:13:35 1 Internet Explorer 10
http://ib.adnxs.com/tt?id=4569185&referrer=http%3A%2F%2Ffunflashgames%2Ecom%2F
Čini mi se da je ovo bio trenutak kada su se počeli vrtjeti ti oglasi negdje u pozadini
haruki murakami trčanje - Google Search 4.5.2015. 16:07:31 1 Firefox n5n19ywr.default
http://www.google.hr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CBwQFjAA&url=http%3A%2F%2Fwww.mvinfo.hr%2Fclanak%2Fharuki-murakami-o-cemu-govorim-kada-govorim-o-trcanju&ei=I31HVfKlH8LbU6TZgdAF&usg=AFQjCNGHQWC_ptdGeefC6vM3H3O0u_X8Tw&bvm=bv.92291466,d.d24 4.5.2015. 16:07:41 1 Firefox n5n19ywr.default
http://www.mvinfo.hr/clanak/haruki-murakami-o-cemu-govorim-kada-govorim-o-trcanju Moderna Vremena :: Haruki Murakami : O čemu govorim kada govorim o trčanju 4.5.2015. 16:07:42 1 http://www.google.hr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CBwQFjAA&url=http%3A%2F%2Fwww.mvinfo.hr%2Fclanak%2Fharuki-murakami-o-cemu-govorim-kada-govorim-o-trcanju&ei=I31HVfKlH8LbU6TZgdAF&usg=AFQjCNGHQWC_ptdGeefC6vM3H3O0u_X8Tw&bvm=bv.92291466,d.d24 Firefox n5n19ywr.default
http://ib.adnxs.com/tt?id=4236859&cb=aCiU4SrOoCkMKpoUV&referrer=abroy.com&pubclick=[INSERT_CLICK_TAG] 5.5.2015. 9:11:02 1 Internet Explorer 10
http://nym1.ib.adnxs.com/if?e=wqT_3QKWBKgNAgAAAgDWAAUIpNqhqgUQ7oPEhq_JjKweGL_V78X3t8LjIyABKi0JAAAABQIAEQUGMAAAABmiRbbz_dToPyEBDgEBACkBBQEBqDD2wJ8COIgMQNcGSAJQsZbCDVjhsidgAGjv8QNwAHiABoABAYoBA1VTRJIFBvBvmAGsAqAB-gGoAQCwAQC4AQLAAQXIAQDQAQDYAQDgAQDwAQCKAld1ZignYScsIDQxMjg1MiwgMTQzMDgwOTg5Mik7dWYoJ2MnLCA4MjU4NTQ5LCAxNDMwODA5ODkyKTt1ZigncicsIDI4MzQ3MTg1LDI7APBgkgKdASFUU0FjTGdqMWhfZ0RFTEdXd2cwWUFDRGhzaWN3QXpnQVFBRkkxd1pROXNDZkFsZ0FZRWRvQUhBQWVBQ0FBUUNJQVFDUUFRR1lBUUdnQVFLb0FRQ3dBUUM1QVFBQRECCHdRRRELkEFBTWtCV0hhSnMtR1c4VF9aQVQwSzE2Tnd6VTlBNEFIam1RcjENPCQumgIdIW1RYkhQOqAA8Fs0YkluSUFFLtgC9wPgAsDJBuoCGGh0dHA6Ly9wbGF5ZWRvbmxpbmUuY29tL4ADAIgDAZADAJgDAKADAaoDALADALgDAMADrALIAwDYA6r1AeADAOgDAPADAPgDAQ..&dlo=1&referrer=http%3A%2F%2Fplayedonline.com%2F 5.5.2015. 9:11:32 1 Internet Explorer 10
http://nym1.ib.adnxs.com/if?e=wqT_3QKdBKgUAgAAAgDWAAUInNuhqgUQkKD4yqSb_v0sGL_V78X3t8LjIyABKi0JAAAABQIAEQUGMAAAABmiRbbz_dToPyEBDgEBACkBBQEBsDD2wJ8COIgMQNcGSAJQsZbCDVjhsidgAGjv8QNwAHiI3wKAAQGKAQNVU0SSAQEG8G-YAawCoAH6AagBALABALgBAsABBcgBANABANgBAOABAPABAIoCV3VmKCdhJywgNDEyODUyLCAxNDMwODEwMDEyKTt1ZignYycsIDgyNTg1MjksIDE0MzA4MTAwMTIpO3VmKCdyJywgMjgzNDcxODUsMjsA8GCSAp0BIUhSOXNDd2poaF9nREVMR1d3ZzBZQUNEaHNpY3dBemdBUUFGSTF3WlE5c0NmQWxnQVlFZG9BSEFFZUFTQUFRU0lBUVNRQVFHWUFRR2dBUUtvQVFDd0FRQzVBUUFBEQIId1FFEQuQQUFNa0Jrek1NY0dHODV6X1pBVDBLMTZOd3pVOUE0QUhqbVFyMQ08KC6aAh0haFFhYlBRNqAA8GE0YkluSUFFLtgC9wPgAsDJBuoCHmh0dHA6Ly9mcmVlYWRkaWN0aW5nZ2FtZXMuY29tL4ADAIgDAZADAJgDAKADAaoDALADALgDAMADrALIAwDYA_WOA-ADAOgDAPADAPgDAQ..&dlo=1&referrer=http%3A%2F%2Ffreeaddictinggames.com%2F 5.5.2015. 9:13:32 1 Internet Explorer 10
http://ib.adnxs.com/tt?id=4242416&size=160x600&cb=Wx19tE7Cm034cV2vQ&pubclick=[INSERT_CLICK_TAG]&referrer=boxtoon.com
Otprilike joj ovako izgleda log zadnjih 60 dana (dakle datoteka od cca 35 MB)
Svakih par sekundi neka stranica sa reklamama. Sad ili se to njoj nije bilo vidljivo (i događalo se negdje u pozadini) ili je pokušavala skupljat pare od reklama (ono 0.000001 cent po kliknu) :)
Sličnu stvar sam kod šogora na routeru u birtiji vidio. Lik se spojio laptopom na fejs i ništa ne radi. A log eksplodirao! Imao je u prosjeku više od 5 "klikova" u sekundi. Nekakav pozadinski proces nabija statistiku...
Pozdrav,
mislim da će uskoro biti opet veselo.
Dakle pola firme je dobilo mail od Mirjana Prgomet iz firme Focus Medical, naslov "Uplata po pon 43421" sa Word attachmentom.
detekcija virusa 1/56
https://www.virustotal.com/en/file/a64081c8a05aa155408582dbee923c6b431c631834a2ffcff9e9e4edf9dad1f2/analysis/1433155029/
Koliko vidim po defaultu attachment iz maila se otvori u protected view gdje je računalo još uvijek sigurno, ali naravno da su moji poklikali "enable editing"...
Eto pa da znate što vas čeka.
http://myonlinesecurity.co.uk/uplata-po-pon-43421-mirjana-prgomet-fokus-medical-word-doc-or-excel-xls-spreadsheet-malware/
http://blog.dynamoo.com/2015/06/malware-spam-uplata-po-pon-43421.html
Uplata po pon 43421 pretending to come from Mirjana Prgomet <mirjana@fokus-medical.hr> with a malicious word doc or Excel XLS spreadsheet attachment is another one from the current bot runs which try to download various Trojans and password stealers especially banking credential stealers, which may include cridex, dridex, dyreza and various Zbots, cryptolocker, ransomware and loads of other malware on your computer.
EDIT: evo i slike ...prazan boy maila, naizgled prazan word
2/56 - napreduju antivirusi :)
Bit će i kod mene veselo, šef je kliknuo: Pa što, to je wordov dokument.
Bez obzira što sam svima (muškima) rekao da, ako piše Samanta Fox, to sigurno nije Samatha Fox (ekipa je malo starija).
Najbolja stvar je što mu je to došlo u mail-u od kolegice koja je rekla NE OTVARAJ!
Sutra je dugačak dan...
Pozdrav,
mislim da će uskoro biti opet veselo.
Dakle pola firme je dobilo mail od Mirjana Prgomet iz firme Focus Medical, naslov "Uplata po pon 43421" sa Word attachmentom.
detekcija virusa 1/56
https://www.virustotal.com/en/file/a64081c8a05aa155408582dbee923c6b431c631834a2ffcff9e9e4edf9dad1f2/analysis/1433155029/
Koliko vidim po defaultu attachment iz maila se otvori u protected view gdje je računalo još uvijek sigurno, ali naravno da su moji poklikali "enable editing"...
Eto pa da znate što vas čeka.
http://myonlinesecurity.co.uk/uplata-po-pon-43421-mirjana-prgomet-fokus-medical-word-doc-or-excel-xls-spreadsheet-malware/
http://blog.dynamoo.com/2015/06/malware-spam-uplata-po-pon-43421.html
Uplata po pon 43421 pretending to come from Mirjana Prgomet <mirjana@fokus-medical.hr> with a malicious word doc or Excel XLS spreadsheet attachment is another one from the current bot runs which try to download various Trojans and password stealers especially banking credential stealers, which may include cridex, dridex, dyreza and various Zbots, cryptolocker, ransomware and loads of other malware on your computer.
EDIT: evo i slike ...prazan boy maila, naizgled prazan word
https://www.virustotal.com/en/file/a64081c8a05aa155408582dbee923c6b431c631834a2ffcff9e9e4edf9dad1f2/analysis/1433159904/
2/56 - napreduju antivirusi :)
Jep, počelo je
evo analize
hybrid-analysis report20520159260[1](5).doc
Kad krenu lažna plaćanja svi gledaju Uplata po pon 43421,....
Opet, u drugačijem obliku (bez attachmenta):
This is a multi-part message in MIME format.
------_=_NextPart_001_01D092CE.4A39EE41
Content-Type: multipart/alternative;
boundary="----_=_NextPart_002_01D092CE.4A39EE41"
------_=_NextPart_002_01D092CE.4A39EE41
Content-Type: text/plain; charset="US-ASCII"
Content-Transfer-Encoding: quoted-printable
=20
------_=_NextPart_002_01D092CE.4A39EE41
Content-Type: text/html;
charset="US-ASCII"
Content-Transfer-Encoding: quoted-printable
<html xmlns:v=3D"urn:schemas-microsoft-com:vml" =
xmlns:o=3D"urn:schemas-microsoft-com:office:office" =
xmlns:w=3D"urn:schemas-microsoft-com:office:word" =
xmlns:m=3D"http://schemas.microsoft.com/office/2004/12/omml" =
xmlns=3D"http://www.w3.org/TR/REC-html40"><head><META =
HTTP-EQUIV=3D"Content-Type" CONTENT=3D"text/html; =
charset=3Dus-ascii"><meta name=3DGenerator content=3D"Microsoft Word 14 =
(filtered medium)"><style></style>
</head><body lang=3DHR link=3Dblue =
vlink=3Dpurple><div class=3DWordSection1><p =
class=3DMsoNormal><o:p> </o:p></p></div></body></html>
------_=_NextPart_002_01D092CE.4A39EE41--
------_=_NextPart_001_01D092CE.4A39EE41
Content-Type: application/msword; name="report991023.doc"
Content-Transfer-Encoding: base64
Content-Description: report991023
Content-Disposition: attachment; filename="report991023.doc"
0M8R4KGxGuEAAAAAAAAAAAAAAAAAAAAAPgADAP7/CQAGAAAAAAAAAAAAAAACAAAAKgAAAAAA
AAAAEAAALAAAAAMAAAD+////AAAAACkAAAB/AAAA////////////////////////////////
////////////////////////////////////////////////////////////////////////
////////////////////////////////////////////////////////////////////////
////////////////////////////////////////////////////////////////////////
///////////////////////////////////////////
<izbrisao sam tu hrpu slova>
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAA=
------_=_NextPart_001_01D092CE.4A39EE41--
Hehe, apropos onog prijašnjeg lockera...
Hehe, apropos onog prijašnjeg lockera...
http://it.slashdot.org/story/15/06/01/209224/ransomware-creator-apologizes-for-sleeper-attack-releases-decryption-keys?utm_source=slashdot&utm_medium=facebook
-dokaz da se kriminalom bave najviše oni koji ga trebaju spriječiti..
Evo prave adrese pa im predložite suvisle prijedloge :
Obzirom da nisam iscitavao sve postove, nisam siguran da li je tko napisao rješenje...ja imam jedno koje baš i nije savršeno, ali se datoteke po mom iskustvu mogu spasiti...pa evo da doprinesem ako će kome ovo pomoći... kolegici sam uspio spasiti veci dio bitnih dokumenata na ovaj način...uglavnom, pokrenuo sam čišćenje antivirusom (može panda cloud ili avast) nakon toga obzirom da je datotekama korumpiran header i promijenjena ekstenzija, headeri se srede pomoću freeware-a photorec_win... problem je jedino što taj alatić daje neko random ime za recovery datoteke, pa onda fino ručno otvoriš i snimiš datoteku pod određenim imenom... mozda ima neki bolji nacin, a i mozda u ovom alatu i postoji nacin da se zadrži orginal ime, ali nisam to istražio...možda bi se dalo pronać nekakav alatić koji nebi zaznuo imena datotekama... tipa na google upisati "freeware file header recovery" ili tako nešto i nadati se naqjboljem... i da naravno mjesto gdje ste poslali recovery datoteke opet proći sa AV-om i tek onda otvarati datoteke i snimati ih po pravim imenom...jbg ima posla, ali bar su podaci tu ;) eto, ljudi sretno
Evo kratko vezano uz Mariju, znači Trend Micro office security ga uredno blokira (suspicius activity) ali neki korisnici su uporni na ignore tipki,
za sada se nije niš desilo i nadam se da će tako i ostat. Velika većina korisnika mi je poslala fwd maila sa pitanjem šta je ovo, ali
naravno uvijek ima iznimaka. Najbolja prevencija je edukacija
LP
Obzirom da nisam iscitavao sve postove, nisam siguran da li je tko napisao rješenje...ja imam jedno koje baš i nije savršeno, ali se datoteke po mom iskustvu mogu spasiti...pa evo da doprinesem ako će kome ovo pomoći... kolegici sam uspio spasiti veci dio bitnih dokumenata na ovaj način...uglavnom, pokrenuo sam čišćenje antivirusom (može panda cloud ili avast) nakon toga obzirom da je datotekama korumpiran header i promijenjena ekstenzija, headeri se srede pomoću freeware-a photorec_win... problem je jedino što taj alatić daje neko random ime za recovery datoteke, pa onda fino ručno otvoriš i snimiš datoteku pod određenim imenom... mozda ima neki bolji nacin, a i mozda u ovom alatu i postoji nacin da se zadrži orginal ime, ali nisam to istražio...možda bi se dalo pronać nekakav alatić koji nebi zaznuo imena datotekama... tipa na google upisati "freeware file header recovery" ili tako nešto i nadati se naqjboljem... i da naravno mjesto gdje ste poslali recovery datoteke opet proći sa AV-om i tek onda otvarati datoteke i snimati ih po pravim imenom...jbg ima posla, ali bar su podaci tu ;) eto, ljudi sretno
Možda sa Recuva programom?
