Nova poruka

Ransomware napada

poruka: 743
|
čitano: 207.944
|
moderatori: pirat, Lazarus Long, XXX-Man, vincimus
prethodna
1
2
3
4
5
6
7
...
23
24
25
sljedeća
+/- sve poruke
ravni prikaz
starije poruke gore
Ikarus01 
13 godina
neaktivan
offline
sub 21.3.2015 13:45
Odgovori Citiraj
Re: Ransomware napada
Irregular kaže...

Jel ovo napadalo svaki OS ili su neki ostali sigurni

 samo windows jbga malware je rasist.

A true man is not how much liquor he can drink,nor how much asses he can whip,a true man is how he takes care of his family and handles himself in crisis.
 
trajni link nadporuka
5 0
ihush 
16 godina
offline
sub 21.3.2015 15:06
Odgovori Citiraj
Re: Ransomware napada
dtonka kaže...

.. shvatio da je jaaaako puno firmi nadrljalo nije mi baš najjasnije da o tome nema niti retka u javnim medijima.

Nisam nikakav stručnjak i nemam ništa pametno za reći nego samo ukratko opisati našu situaciju pa možda netko iščita nešto korisno iz ovoga.

Dakle startalo je u srijedu u 13.30 i to, najvjerojatnije s mog stroja. Trend micro nije ništa skužio. Ja, uglavnom ne idem na portale a i oprezan sam s mailovima. (U vezi s mailovima bila mi je sumnjiva jedna stvar da mi je od ponedjeljka 16.3. Outlook kod searcha inboxa ..

 

Nakon svega smo prošli s cc cleanerom i kod čišćenja registryja naletjeli na brdo invalidnih java zapisa.

Usput to me je natjeralo da se zapitam je li moguće problem s pristupom na banku (kojoj sam jedinoj taj dan pristupao) pa me baš zanima čiji su klijenti pogođene firme (znam da je jednoj firmi stvar krenula iz računovodstva).

..

 

-BUGovci bi mogli, vjerojatno i hoće.. ali za sad ne reagiraju. Vikend i nema ključne riječi iApple, možda ako renejmamo temu u iRansom/iVirus?

-najsumljiviji je java exploit, od početka tjedna nadogradnje i manji zastoji s bankama, tad su vjerojatno korsnici pokupili neku nepoćudnu javu ako su updateali kad im je neki portal izbacio popup(malware) ili suprotno ako su zakasnili s updateom na ver.40. Tako da trigger od 24-48 sati zvuči najvjerojatnije.

-mail nije, jer neka od pogođenih računala uopće ne koriste mail/client i sl. (ali može biti link/attachment na neki web gdje se može inicirati malware..).

-napadaju 'najpopularnije extenzije', kao jpg-pdf-doc-txt.. (cca 40tak), tako da je tif i sl. vjerojatno miran.

 

C64/TurboModul-OpenSourceProject.org.cn.部分作品为网上收集整理,供开源爱好者学习使用
Poruka je uređivana zadnji put sub 21.3.2015 15:22 (ihush).
 
trajni link nadporuka
3 0
donesko 
15 godina
neaktivan
offline
ned 22.3.2015 8:53
Odgovori Citiraj
Ransomware napada

uglavnom i kod nas je zarazio par računala, analizom fw loga ustanovili smo poveznicu da su svi prije toga bili na tportalu, znači vjerojatno kroz reklame

 

zaštita jedino applocker (ali zahtjeva windows enterprise verziju), antivirusi 0-bodova, kad sam prvi sample stavio na virustotal, samo ga je 4/50 otkrivalo,

al to je i očekivano za 0-day napad, za heuristiku nisam siguran dali ga je našla, jedino što je uspjelo stavit u karantenu je fireeye, al ko to ima, preskupo

 

sherane foldere je spasio file screening koji zabranjuje executable na shreovima, kako su ovi extenzije .com, nije dao kriptirat share

 

Moj PC  
trajni link
1 0
Diablo86 
16 godina
offline
ned 22.3.2015 9:13
Odgovori Citiraj
Ransomware napada

Čovjek bi pomislio, da su pokupili virus samo oni, koji pod radnim vremenom surfaju po portalima

 
trajni link
4 0
Keso 
16 godina
neaktivan
offline
ned 22.3.2015 9:13
Odgovori Citiraj
Re: Ransomware napada
donesko kaže...
sherane foldere je spasio file screening koji zabranjuje executable na shreovima, kako su ovi extenzije .com, nije dao kriptirat share

 

 Ne kužim. Možeš malo pojasniti? File share server sam po sebi ne bi trebao pokretati viruse. Međutim, ako je zaraženo bilo koje klijentsko računalo (dovoljno je jedno) koje ima read-write pristup na file share može izvršiti eknripciju datoteka na toj dijeljenoj mapi. Tako da ne kužim kako bi tvoj "screening" spriječio štetu u dijeljenoj mapi.

 
trajni link nadporuka
0 0
donesko 
15 godina
neaktivan
offline
ned 22.3.2015 9:28
Odgovori Citiraj
Re: Ransomware napada
Nije server zarazen, nego virus kriptira i ako korisnik npr. Ima mapiran share. Ako imas na serveru takav policy da nemogu korisnici postavljat executable filove na share a kriptoloker renejma fajlove u npr india.com ovaj filescreen ga odjebe i jos ti posalje mail
Moj PC  
trajni link nadporuka
0 0
Sum_of_all_fears 
16 godina
odjavljen
offline
ned 22.3.2015 10:18
Odgovori Citiraj
Ransomware napada

Jeste vi pri sebi? Nijedan od onih kriptiranih fajlova nije executable, imaju .com nastavak samo zato jer su koristili onaj anointernet.com u renameanju fajlova, nastavak je mogao biti i .tk ili ne znam, .hr...

My name is Legion... For we are many!
Moj PC  
trajni link
1 0
CapetanNemo 
10 godina
neaktivan
offline
ned 22.3.2015 10:44
Odgovori Citiraj
Re: Ransomware napada

Ono što mene, između ostaloga, brine u cijeloj priči su konfuzne informacije, čini mi se da je  jedino Sum_of_all_feras   pokušao analizirati problem.

 

Zanima me :

 

Da li je svima napad započeo u srijedu oko 13:30 ? To bi potvrdilo da je malware (koji god da je) preuzet u nekom trenutku prije toga i aktiviran u datom trenutku. Termin je vjerojatno izabran jer je tvorac malwarea  pretpostavljao da će u tom trenutku računala biti uključena

 

Koliko sam razumio malware se nakon obavljenog posla briše sa računala pa ga zbog toga vjerojatno naknadna provjera sa antivirusnim alatima ne pronalazi iako postoji mogućnost da je  razlog u zero-dayu

 

Na www.cert.hr za kojeg bi očekivao da će biti centralno mjesto gdje bi mogao pronaći informacije nema niti slova o ovome

 

Da li su svi na zaraženim računalim dobili obavijest o plaćanju otkupnine ? Da li je netko platio otkupninu i uspio dekriptirati datoteke ?

 

 

 

 

 
trajni link nadporuka
0 0
donesko 
15 godina
neaktivan
offline
ned 22.3.2015 10:58
Odgovori Citiraj
Re: Ransomware napada
Pa mogo je al nije. A screening negleda jel to stvarno executable file nego samo ekstenziju.
Moj PC  
trajni link nadporuka
1 0
macorak 
10 godina
neaktivan
offline
ned 22.3.2015 11:59
Odgovori Citiraj
Ransomware napada

Samo jedan info :

 

Na analizi 100 PC pronašli smo da je u razmaku od 13.3 - 16.03 putem e-maila i jave na webu slano više različitih trojan.script.xxxxx (xxxxxx mi djeluje kao id ili dio id-a) (malware koji pokušava s drugih lokacija skinuti file i izvršiti ga lokalno, s lokalnim ovlastima). Nakon toga je krenuo napad e-mailom sa Worm:Win32/Nimda, a kulminacija je bila 18.3 kad je aktivacija krenula za cripter.

 

LP

 
trajni link
1 0
ihush 
16 godina
offline
ned 22.3.2015 13:39
Odgovori Citiraj
Ransomware napada

dali ne netko ovih dana od banke (telefonom ili mailom) upućen na str.antibot-cert-a?

C64/TurboModul-OpenSourceProject.org.cn.部分作品为网上收集整理,供开源爱好者学习使用
 
trajni link
0 0
dtonka 
10 godina
neaktivan
offline
ned 22.3.2015 14:32
Odgovori Citiraj
Ransomware napada

Hajmo jedno pitanje: je li moguće da su stradala samo računala poslovnih subjekata? Ako je to točno onda mora postojati neka poveznica. Od 20 osobnih računala zaposlenika i obitelji niti jedno nije stradalo, iako su neka u data vremena bila online. Ja sam, ako je ovo prethodno točno, opet najskloniji sumnjati na banke i telebanking poslovnih subjekata... Jedina vijest u novinama - večernji list - je bila da u Osijeku nisu isplatili socijalnu pomoć zbog napada virusa na računalo. Isto sam čuo da su administratori jednog dnevnog lista brisali sadržaje share foldera na serveru na kojem su imali pristup svi novinari (što ništa, doduše ne znači). Usput, najviše smeća u registryju je bilo na stroju koji je najmanje stradao (6000 datoteka), pa je možda moguće i da je krenulo ne sa prvog, već sa zadnjeg stroja u mreži prema prvom zaraženom.

 
trajni link
0 0
djigibao 
17 godina
offline
ned 22.3.2015 14:49
Odgovori Citiraj
Re: Ransomware napada
ihush kaže...

dali ne netko ovih dana od banke (telefonom ili mailom) upućen na str.antibot-cert-a?

 

Mogu ja pitat: zasto/koja je poveznica?

http://av-gurus.blogspot.com/ | http://www.facebook.com/antivirusna.ekipa | http://www.youtube.com/user/TheDjigibao/videos
Moj PC  
trajni link nadporuka
0 0
ihush 
16 godina
offline
ned 22.3.2015 15:35
Odgovori Citiraj
Re: Ransomware napada

zato jer inače postoji pravio da banka telefonom/mailom ne obavještava korisnike, tj obično je tad netko drugi. U ovom slučaju nije prevara (netko drugi tko bi se predstavljao kao banka). To je neobično. Indirektna potvrda da je problem veći i da 'druga strana' (banke/institucije) znaju da se nešto dešava, ali svejdno ništa javno ne iznose, nemaju odgovor.. osim 'generičkih' helpova koji ne pomažu ničemu kao ova CERTova str. ali je bar neko mjesto gdje korisnik na hrpi ima npr antiviruse i kratka objašnjenja/upute...

ŠBBKBB, ako je inicijalno širenje preko jave povezano s bankama?

C64/TurboModul-OpenSourceProject.org.cn.部分作品为网上收集整理,供开源爱好者学习使用
Poruka je uređivana zadnji put ned 22.3.2015 15:35 (ihush).
 
trajni link nadporuka
0 0
rambox 
17 godina
offline
ned 22.3.2015 16:28
Odgovori Citiraj
Re: Ransomware napada
ihush kaže...

zato jer inače postoji pravio da banka telefonom/mailom ne obavještava korisnike, tj obično je tad netko drugi. U ovom slučaju nije prevara (netko drugi tko bi se predstavljao kao banka). To je neobično. Indirektna potvrda da je problem veći i da 'druga strana' (banke/institucije) znaju da se nešto dešava, ali svejdno ništa javno ne iznose, nemaju odgovor.. osim 'generičkih' helpova koji ne pomažu ničemu kao ova CERTova str. ali je bar neko mjesto gdje korisnik na hrpi ima npr antiviruse i kratka objašnjenja/upute...

ŠBBKBB, ako je inicijalno širenje preko jave povezano s bankama?

 A šta če drugo nego šutit jel, jer nemaju nikakvih konkretnih odgovora niti rješenja, zato jer su hakeri obično uvijek deset koraka ispred.

 

Tako to ide i u daleko bogatijim i razvijenijim državama, u kojima je služba za ovakav kriminal minimalno deset puta veča/sposobnija od "Hrvatskih internet specijalaca".

 

 

http://www.radiocrash.net/category/category/ekipa
Moj PC  
trajni link nadporuka
3 0
Sum_of_all_fears 
16 godina
odjavljen
offline
ned 22.3.2015 16:42
Odgovori Citiraj
Re: Ransomware napada
donesko kaže...
Pa mogo je al nije. A screening negleda jel to stvarno executable file nego samo ekstenziju.

Executable je sve ono što ima odgovarajući header, a kako je malware ekriptirao datoteke i mijenjao headere (primjer gore sa PSTovima), možda izgleda kao executable, ali nije. Probali smo...

My name is Legion... For we are many!
Moj PC  
trajni link nadporuka
0 0
RedRocco 
12 godina
neaktivan
offline
ned 22.3.2015 16:57
Odgovori Citiraj
Ransomware napada

Da je sve na linuxu ne bi bilo problema.

 
trajni link
2 4
CapetanNemo 
10 godina
neaktivan
offline
ned 22.3.2015 17:38
Odgovori Citiraj
Ransomware napada

Možda je problem bio u flash playeru

 

http://www.computerworld.com/article/2899702/new-attacks-suggest-timeline-for-patching-flash-player-is-shrinking.html

 
trajni link
0 0
macorak 
10 godina
neaktivan
offline
ned 22.3.2015 17:59
Odgovori Citiraj
Re: Ransomware napada

  

Poruka je uređivana zadnji put ned 22.3.2015 18:01 (macorak).
 
trajni link nadporuka
0 0
macorak 
10 godina
neaktivan
offline
ned 22.3.2015 18:00
Odgovori Citiraj
Re: Ransomware napada
RedRocco kaže...

Da je sve na linuxu ne bi bilo problema.

 

Pa, nije to baš točno .... :)

 
trajni link nadporuka
0 0
macorak 
10 godina
neaktivan
offline
ned 22.3.2015 18:01
Odgovori Citiraj
Re: Ransomware napada
dtonka kaže...

Hajmo jedno pitanje: je li moguće da su stradala samo računala poslovnih subjekata? Ako je to točno onda mora postojati neka poveznica. Od 20 osobnih računala zaposlenika i obitelji niti jedno nije stradalo, iako su neka u data vremena bila online. Ja sam, ako je ovo prethodno točno, opet najskloniji sumnjati na banke i telebanking poslovnih subjekata... Jedina vijest u novinama - večernji list - je bila da u Osijeku nisu isplatili socijalnu pomoć zbog napada virusa na računalo. Isto sam čuo da su administratori jednog dnevnog lista brisali sadržaje share foldera na serveru na kojem su imali pristup svi novinari (što ništa, doduše ne znači). Usput, najviše smeća u registryju je bilo na stroju koji je najmanje stradao (6000 datoteka), pa je možda moguće i da je krenulo ne sa prvog, već sa zadnjeg stroja u mreži prema prvom zaraženom.

 

Koliko sam vidio, nema neke poveznice između tvrtki (recimo to ovako - od 20 tvrtki, samo je jedna stradala) tj. od 100 računala samo jedno prijenosno računalo.

Sad banke s tim nemaju skoro sigurno ništa, ali java apleti koji se koriste za pristup recimo Fini ili PBZ-u ako je krivo konfiguriran, može biti uzrok (što se već događalo), a koliko mi je poznato najmanje 2 bootneta se i šire java scriptom. 

 
trajni link nadporuka
0 0
macorak 
10 godina
neaktivan
offline
ned 22.3.2015 18:03
Odgovori Citiraj
Re: Ransomware napada
ihush kaže...

zato jer inače postoji pravio da banka telefonom/mailom ne obavještava korisnike, tj obično je tad netko drugi. U ovom slučaju nije prevara (netko drugi tko bi se predstavljao kao banka). To je neobično. Indirektna potvrda da je problem veći i da 'druga strana' (banke/institucije) znaju da se nešto dešava, ali svejdno ništa javno ne iznose, nemaju odgovor.. osim 'generičkih' helpova koji ne pomažu ničemu kao ova CERTova str. ali je bar neko mjesto gdje korisnik na hrpi ima npr antiviruse i kratka objašnjenja/upute...

ŠBBKBB, ako je inicijalno širenje preko jave povezano s bankama?

 


Skoro sigurno to nema veze s bankama, više sa java apletom koji svi koristimo i za pristup bankama i Fini ...

 
trajni link nadporuka
0 0
pro stella 
10 godina
neaktivan
offline
ned 22.3.2015 19:14
Odgovori Citiraj
Ransomware napada

Dobro,raširilo se ,mene zanima ima li nade da se šifrirani dokumenti otključaju? Ikada?

 
trajni link
0 0
andi.cro 
15 godina
offline
ned 22.3.2015 19:41
Odgovori Citiraj
Re: Ransomware napada
pro stella kaže...

Dobro,raširilo se ,mene zanima ima li nade da se šifrirani dokumenti otključaju? Ikada?

 Ili da im platiš ali ni tada nisi ziher da ce ti poslati stvari za dekripciju ili da povučeš stvari iz backupa!

 

Tko ima važne stvari na pc-u a nema backup na drugom mjestu (drugi disk, cloud storage itd.) je jako ..... osoba!

Some people are so poor... all they have is money!
Moj PC  
trajni link nadporuka
0 0
quickr 
14 godina
offline
ned 22.3.2015 19:51
Odgovori Citiraj
Re: Ransomware napada

Da se izvući na windowsima 7 koje rade shadow copy dokumenata. 

 

Plaćanje kriminalcima je kontraproduktivno pošto ih se tako samo potiče na još veći kriminal. Da su dokumenti zbilja bili od životne važnosti, trebali su biti backapirani, ako nisu, shvatite ovo kao životnu lekciju. 

Mirno more nikad nije stvorilo dobrog mornara
Moj PC  
trajni link nadporuka
10 1
pro stella 
10 godina
neaktivan
offline
ned 22.3.2015 20:01
Odgovori Citiraj
Re: Ransomware napada

Pošto se pojavilo samo na poslovnim kompjuterima za pretpostaviti je da je došlo s nekim alatom kojeg koristiš samo u poslovne svrhe(npr za ulaz na finu ili e poreznu,e mirovinsko).

A ako je prošlo njihove kontrole onda su oni i odgovorni,te bi oni trebali i platiti ključeve.A vidim da se nitko od njih ne javlja kao da se ništa nije dogodilo....

 

 
trajni link nadporuka
0 3
ihush 
16 godina
offline
ned 22.3.2015 20:13
Odgovori Citiraj
Re: Ransomware napada
pro stella kaže...

Pošto se pojavilo samo na poslovnim kompjuterima za pretpostaviti je da je došlo s nekim alatom kojeg koristiš samo u poslovne svrhe(npr za ulaz na finu ili e poreznu,e mirovinsko).

A ako je prošlo njihove kontrole onda su oni i odgovorni,te bi oni trebali i platiti ključeve.A vidim da se nitko od njih ne javlja kao da se ništa nije dogodilo....

 

-stvar je da 'moraju' šutjeti (ne biti odgovorni..). Svrha jave je upravo banka/fina.. (na kućnom Minecraft..). Dal je odgovoran Oracle, MS, .. problem je u sistemu i to se čak nebi trebalo stavljati na teret bankama. No bez te poveznice nebi ni postojala java/rupa/razlog.. Dali je u ovom slučaju uopće bitna odgovornost u smislu kazne ili jednostavno da se smanji šteta i spriječi ponavljanje iste stvari za mjesec.. Sistem je problem, više dijelova od kojih svaki viče 'nisam'. Poslovica tko je jamio = tko je fasovo.. i idemo dalje.

 

C64/TurboModul-OpenSourceProject.org.cn.部分作品为网上收集整理,供开源爱好者学习使用
 
trajni link nadporuka
1 0
quickr 
14 godina
offline
ned 22.3.2015 20:19
Odgovori Citiraj
Re: Ransomware napada
pro stella kaže...

Pošto se pojavilo samo na poslovnim kompjuterima za pretpostaviti je da je došlo s nekim alatom kojeg koristiš samo u poslovne svrhe(npr za ulaz na finu ili e poreznu,e mirovinsko).

A ako je prošlo njihove kontrole onda su oni i odgovorni,te bi oni trebali i platiti ključeve.A vidim da se nitko od njih ne javlja kao da se ništa nije dogodilo....

 

Isto tako su mogli gledati IP adresu računala. Tipa ako je javna adresa računala t-com/iskon/bnet mogli su zaključiti da se radi o low priority meti, ako je javna adresa pak pbz.hr, fina.hr, allianz.hr... itd...mogli su doći do zaključka da se radi o poduzeću sa važnim dokumetima za koje će vjerovatnije dobiti otkupninu. 

 

Ništa ne garantira da taj crv ne sjedi na vašem računalu upravo sada, samo što im niste odveć zanimljivi. 

Mirno more nikad nije stvorilo dobrog mornara
Moj PC  
trajni link nadporuka
2 0
pro stella 
10 godina
neaktivan
offline
ned 22.3.2015 20:27
Odgovori Citiraj
Ransomware napada

Danas je sve uvjetovano radom preko interneta,pa ako je došlo od neke institucije npr.porezne ili fine onda su svakako oni odgovorni jer nemaš izbora nego komunicirati internetom.A ako im ja nisam od interesa neka mi daju ključ da otključam e.

 
trajni link
0 1
prethodna
1
2
3
4
5
6
7
...
23
24
25
sljedeća
Nova poruka
Pronađi
Prijava korisnika
E-mail:
Lozinka:
 
Aktivne teme
vrh stranice
Copyright © 2008 - 2025 Bug d.o.o. sva prava pridržana.