Hrvati opet žrtve ransomwarea

Zbog, Sigurnosne. Rupe.

Ako se nešto/netko dohvati domenskog admina, sve će biti enkriptirano tako da je podešavanje r/w beskorisno u svrhu obrane od enkriptera. O tome govorim.

Hoćeš reć da je nemoguće da zbog ukradenog certifikata ili nekog trećeg vektora domenski admin ne postane žrtva enkodera?

*Obrisano od strane korisnika*

Guess who's back?

 Također, srećom uspješno su dekriptrirani fajlovi.

S ovim utilitijem od kasperskog:

http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.exe

Mozda nekom pomogne...

Kaspersky Releases 14K Private Decryption Keys for CoinVault Victims

https://noransom.kaspersky.com/static/CoinVault-decrypt-howto.pdf

 Radi samo promjeni ekstenziju u .locked

Probijanje sa kasepersky alatom radi ok, ali je dugotrajn proces, kombinaciju od 1000000 treba vrtiti u nekim slučajevima od 1 dana na više sve ovisi o CPU.

Svi podaci su uspješno otključani.

Edit: nemoraš sve file-ove mjenjati dovoljno je samo jedan jer on probija samo jedan zaključani file onda nakon toga kad izvuče koji je ključ otključava ostale file-ove.

ne renejmati.. nego npr ne podržava .txt (mora biti veći dokument s poznatom strukturom, npr .pdf-.doc.. .jpeg itd. Tad krene pokušaj proboja.. ali onak 2% šanse uz potrošenih par dana.. sigurniji je loto ili potrošit bitkoine..

+ ako pokušavaš testirati.. pripremi PC, podatke.. + uzorci kao kod svih virusa mutiraju, pošto je selfdestruct ne znači puno ako pronađeš neki za test.. ispadne beskorisno i vremenski problem.

-Ali, ako imaš volje, hobistički.. navijam, lajkam.. i čekam rezultate :)

edit: ah, nisam rekao, ako u filteru (extenzija) nije podržan 'tvoj' kriptirani filename.. staviš * .. tad ti izlista za kliknuti željeni dokument.

edit:2 .. nova tema i MUP.. :)

Nema koristi, jer kao što kaže ihush, nije podržan tip datoteke. Znači teoretski .doc bih mogao, al .txt ne mogu. Zgodno. 

 -najveće šanse su recimo soft za otključavanje mobitela i ignoriranje svih upozorenja, na DL mp3-ca, igara i sl.., (to često vodi na popupove, redirecta stranice reklame, fly..)

- ne znam ni jedan mail da je bio prolaz, tj AV blokira ako je attačment zaražen ako ulaz mail je lako kontrolirati, ali ako neki trojan-coctail prođe, možda donese i crypt, enivej, čini mi se da i takav mail 99% redirecta na neki site.. i tad uđe. Tak da nešto od activexa, jave.. za pokretanje skripte. Ne file.. (ali, to je 'čini mi se').

Kakva je situacija sa programima za izolaciju kao npr. Sandboxie kojeg i sam koristim kada sumnjam u sigurnost stranice. Može li se ransomware provući i napraviti štetu? Koliko uopće štiti Sandboxie u tome slučaju?

 Evo par linkova i citata: Link1

 "When we talk to people that have been infected, they often ask how it happened. In a growing number of cases, they have been doing nothing more than reading a news website or browsing for some online shopping. They haven’t clicked a bad link, visited a risky website or installed anything strange. However, next thing they know their credit card details have been stolen, Facebook account hijacked or the pictures on their laptop are being held to ransom.

This kind of experience is increasing amongst everyday computer users because of the growing threat from Exploit Kits."

Link2

"People nowadays are aware of practices that look or feel ‘wrong’ on the Internet, be it odd-looking links, requests to download strange programs or posts on social media which set the alarm bells ringing. The real danger with malvertising is that user judgement isn’t involved at all. People don’t have to click anything, visit a strange website or follow any links.

Rather, you go to a website you trust (like a news site or similar) and the adverts are secretly injecting criminal software onto your computer. This means infections can happen just by browsing the morning headlines, visiting your online dating profile or watching a video."

Link3

"Malvertising is a silent killer because malicious ads do not require any type of user interaction in order to execute their payload. The mere fact of browsing to a website that has adverts (and most sites, if not all, do) is enough to start the infection chain."

Naravno može biti i ono što su drugi gore naveli, da je preko nekog downloada tipa piratske aplikacije ili čega već zaraženo, ali malvertising tj. exploit kitovi do kojih vode maliciozne reklame su sada zaslužne za oko dvije trećine (prema Malwarebytesu) svih novih zaraza malwareom.

Dakle kao što je već u prijašnjim postovima navedeno i linkano, Malwarebytes Anti-Exploit - lagani program koji ne zahtjeva podešavanja i uBlock Origin dodatak za browsere (ili samo ovaj drugi ako su tvrtke u pitanju jer bi inače morao platiti licencu za business verziju Malwarebytesa) i nemaš više briga sa novim infekcijama, osim ako sami ne skinu sr*nja 

 Po meni ti je sigurnije u backup folder staviti read-only za sve korisnike

a samo backup programu dati write

to bi trebalo biti dovoljno da bloka crypter, bar ja tako mislim

Znam da email nije, jer se radi o google apps. Mislim da tu ne bi prošao googleov sken. I vjerovatnije je da bi smeće završilo u spam mapi. Ne sjećam se u 7-8 godina korištenja da je prošao spam. Ne vjerujem da bi popularni portali mogli biti zaraženi duže od dan-dva bez da itko primjeti. 

Zapravo kako ne koristim Facebook, to mi nije palo niti na pamet, ali sad sam pročitao @njonjijev post, uvjeren da kroz poruku na Facebooku ili kroz link na objavi vjerovatno dođe, jer radnici će na poslu otići na Facebook, rjeđe na pr0n ili skidanje neke igre/filma itd. Jednom se desilo na XP-u s MSE (MS Essentials), a drugi put na 7-ici sa MSE. Tamo gdje je NOD32 nisam još imao. Google me s ovom viješću o napuštanju Chromea za XP nije razveselio. Samo da me ESET ne napusti :)