Ransomware napada

poruka: 743
|
čitano: 195.862
|
moderatori: pirat, Lazarus Long, XXX-Man, vincimus
+/- sve poruke
ravni prikaz
starije poruke gore
15 godina
odjavljen
offline
Ransomware napada

Dakle, danas se dogodio jedan "zgodan" napad. Prema informacijama sa kojima raspolažem(o), pogođen je veći broj firmi u RH. Počelo je oko 14h - najvjerojatnije od prije "instalirani" ransomware se aktivirao i kriptirao hrpetine datoteka (doc, docx, xls, xlsx, ppt, pptx, mdb, bak, zip i još neke). Promijenio im je i nazive - tako je npr. dokument.doc postao dokument.doc.id-xxxxxx-sos@anointernet.com (ne otvarajte taj sajt ako imate mozga niti datoteke na diskovima). Fileovi su kriptirani i još nismo vidjeli niti jedan zahtjev za "otkupninom" - obično ide bitcoinima uz slanje ovog seeda (xxxxx u primjeru). Kad im uplatitie 300-500$, šalju key i program za dekripciju mada to ne možete biti sigurni.

 

Taj malware je prošao mimo updateanih NOD32 i Win7 SP1 i voli se širiti po shareanim diskovima. Ako vam je mreža zaražena, iskopčajte sve PCje iz mreže, očistite ih od raznog smeća onda vratite backup uništenih fajlova. Ako nemate backup, žao mi je. Nema pomoći.

 

Unatoč poprilično strogoj security politici, antivirusima, updateima i relativno educiranim korisnicima, ovo smeće se ipak provuklo. Toliko o važnosti offline backupa...

My name is Legion... For we are many!
12 godina
neaktivan
offline
Re: Ransomware napada

Istina! 

zna li netko uzročnika???

Nikakvih info nigdje! 

 

preporuka, uključiti applocker, to je sve što pomaže zasad!

15 godina
odjavljen
offline
Ransomware napada

Ako je ovo smeće od jučer nekome ostavilo "upute", molim da ih posta ovdje...

My name is Legion... For we are many!
11 godina
neaktivan
offline
Ransomware napada

Pozdrav,

 

evo ja sam kontaktirao ekipu koja stoji iza ovoga i razmijenio par riječi ... prvo sam poslao email na sos @ anointernet sa molbom koja je bila naravno pucanj u prazno, odgovor je bio da platim 1.8 Btc iliti 450 EUR. Nakon druge poruke da sam student(malo sam izmislio naravno) koji nema 450 EUR, dobio sam odgovor da onda mogu uplatit 200 EUR u Btc-ima , a ako mi to ne paše da "im" se više ne javljam. Da ne povjeruješ.

 

Stvar je relativno nova jer niti jedan antimalware ili antivirus mi ne nalazi ništa. Ako netko uspije detektirati sa konkretnim programom nešto, nek spomene.

Poruka je uređivana zadnji put čet 19.3.2015 9:55 (Zeljko9r).
12 godina
neaktivan
offline
Ransomware napada

evo borimo se cijelo jutro!

 

zadnje što smo skužili, na*ebali su svi share-ovi ili mapirani diskovi do kojih zaraženo računalo ima R/W pristup unutar istog subneta!

nismo još našli da se širi van subneta inficiranog računala!

 

info (neprovjereni) koji imam, pokupi se ga ne nužno kroz attachment, navodno i kroz flash skripte na određenim sajtovima!

 

tek danas su se počele pojavljivati šture informacije online, povratka kriptiranih datoteka (osim iz backupa) još nema!!

 

ako netko ima neki dodatni info, svakako je dobrodošao!! :)

9 godina
neaktivan
offline
Re: Ransomware napada

meni su se javili i hoce 2 btc. dekriptirali su jedan file koji sam uploadao na sendspace. posto nemam izbora jer neke stvari nemam friski backup platit cu.

zanimljivo je da nisam uspio naci racunalo koje na sebi ima kriptirane fileove vec samo mrezni shareovi tako da jos ne znam sto je zarazeno.

 

9 godina
neaktivan
offline
Ransomware napada

Ajd onda barem javi jel nakon uplate ima koristi. Doduše i ja bi to evo na "firmin novac" pokušao, no problem je što nisam dobio odgovor s maila, niti nikakav drugi kontakt od ekipe...

 

Od informacija koje smo mi našli, na jednom stroju sa Windows Defenderom pronađen Ransom:Win32/lsda.A

Poruka je uređivana zadnji put čet 19.3.2015 10:53 (Total13).
15 godina
odjavljen
offline
Ransomware napada

Ja iskreno sumnjam da će dati ključ... Ali opet, ako su "pošteni" lopine...

My name is Legion... For we are many!
9 godina
neaktivan
offline
Re: Ransomware napada

hocu, ja sam slao jutros u 7, trebalo je 3 sata da odgovore, provjeri junk jasno :)

11 godina
neaktivan
offline
Ransomware napada

Ako sam dobro skužio ovaj XXX. broj iz xxxxxx-sos@anointernet.com (u imenu svake datoteke) je na svakom PC-u drugačiji. Iz toga ispada da bi za svaki PC trebalo iznova platit ako ih imate više u mreži.

15 godina
neaktivan
offline
Re: Ransomware napada

Da.. Cryptolocker. Prije 2 tjedna i jučer opet. Mislio sam da babe tamo klikaju što stignu, ali očito se radi o problemu većih razmjera. Isto nod32 - 0 bodova. S malwarebytes-om sam imao više sreće. Otkupnina 400 eur. Ha-ha..

 

9 godina
neaktivan
offline
Ransomware napada

Ej, evo i mi se u firmi od jučer borimo s ovime.

Danas smo otkrili jednu stvar što se tiče kriptiranih fileova.

Kriptirani PDF dokument otvorite u nekoj Linux distribuciji (probano na openSUSE i Gentoo) i izbrišite ono sve iza pdf extenzije od ransomware-a, .id-xxxxxxxxxx_sos@anointernet.com.

Nakon toga će pdf dokument biti kao i prije enkripcije.

Probali smo i sa doc, xls, txt, jpg fileovima ali na njima nažalost to ne prolazi. :-(

Eto nadam se da je ovo nekima pomoglo.

Javite ako je i vama ovo uspjelo.

11 godina
neaktivan
offline
Ransomware napada
9 godina
neaktivan
offline
Re: Ransomware napada

meh, to je prvo sto je gugl izbacio jutros, ne pise nista korisno osim da vratis fajlove iz bekapa :)

jel netko moze postati sto mu je av / antimalware program nasao uopce na kompjuteru koji je bio zarazen?

ja ne mogu otkriti di se smece skriva.

tnx.

15 godina
odjavljen
offline
Re: Ransomware napada

Problem je u tome što se smeće vjerojatno izbrisalo kad je obavio "posao"... Da se oteža reverzni engineering i povrat podataka.

My name is Legion... For we are many!
11 godina
neaktivan
offline
Re: Ransomware napada
Sum_of_all_fears kaže...

Problem je u tome što se smeće vjerojatno izbrisalo kad je obavio "posao"... Da se oteža reverzni engineering i povrat podataka.

 To bi čak bilo i kolko tolko dobro, ne bi se širilo nakon povrata podataka

9 godina
neaktivan
offline
Ransomware napada

 

Malware se skida s dinamičkih domena koje se nalaze na IP adresi 104.238.176.102

Popis domena:

aepahphahv.co.vu
aisohcaehi.co.vu
anothertembr.cf
anothertembr.ga
anothertembr.gq
anothertembr.ml
chughaiquu.co.vu
eewujoopai.co.vu
faeceedaba.co.vu
iewohpotae.co.vu
kladara.ml
meicashala.co.vu
rooniebohl.co.vu
sheibohchu.co.vu
sootateiso.co.vu
taxonprofits.com
xooseishoh.co.vu
.co.vu
.ml
.gq
.ga
.cf

 

Nakon što se malware skine on se spaja na domenu taxonprofits.com s koje se pokreće php skripta za razmjenu ključeva.

 

15 godina
offline
Re: Ransomware napada
Sum_of_all_fears kaže...

Dakle, danas se dogodio jedan "zgodan" napad. Prema informacijama sa kojima raspolažem(o), pogođen je veći broj firmi u RH. Počelo je oko 14h - najvjerojatnije od prije "instalirani" ransomware se aktivirao i kriptirao hrpetine datoteka (doc, docx, xls, xlsx, ppt, pptx, mdb, bak, zip i još neke). Promijenio im je i nazive - tako je npr. dokument.doc postao dokument.doc.id-xxxxxx-sos@anointernet.com (ne otvarajte taj sajt ako imate mozga niti datoteke na diskovima). Fileovi su kriptirani i još nismo vidjeli niti jedan zahtjev za "otkupninom" - obično ide bitcoinima uz slanje ovog seeda (xxxxx u primjeru). Kad im uplatitie 300-500$, šalju key i program za dekripciju mada to ne možete biti sigurni.

 

Taj malware je prošao mimo updateanih NOD32 i Win7 SP1 i voli se širiti po shareanim diskovima. Ako vam je mreža zaražena, iskopčajte sve PCje iz mreže, očistite ih od raznog smeća onda vratite backup uništenih fajlova. Ako nemate backup, žao mi je. Nema pomoći.

 

Unatoč poprilično strogoj security politici, antivirusima, updateima i relativno educiranim korisnicima, ovo smeće se ipak provuklo. Toliko o važnosti offline backupa...

.. recimo, sve dokumente, txt, jpg.. za sad primjećeno nije dirao .png, .db, .ini.. dakle ima neku listu extenzija.

-updateovi/zakrpe i AV klasično ne pomažu u prolazu.

Zeljko9r kaže...

Pozdrav,

 

evo ja sam kontaktirao ekipu koja stoji iza ovoga i razmijenio par riječi ... prvo sam poslao email na sos @ anointernet sa molbom koja je bila naravno pucanj u prazno, odgovor je bio da platim 1.8 Btc iliti 450 EUR. Nakon druge poruke da sam student(malo sam izmislio naravno) koji nema 450 EUR, dobio sam odgovor da onda mogu uplatit 200 EUR u Btc-ima , a ako mi to ne paše da "im" se više ne javljam. Da ne povjeruješ.

 

Stvar je relativno nova jer niti jedan antimalware ili antivirus mi ne nalazi ništa. Ako netko uspije detektirati sa konkretnim programom nešto, nek spomene.

 -čistaći čiste bez problema (mbam, s&d, spyhunter itd.) ali problem je kriptirani dokumenti.. Tko ima backup, tko nema može plaćati ransom (a bilo bi interesantno vidjeti da netko dobije ključ).

irv kaže...

evo borimo se cijelo jutro!

 

zadnje što smo skužili, na*ebali su svi share-ovi ili mapirani diskovi do kojih zaraženo računalo ima R/W pristup unutar istog subneta!

nismo još našli da se širi van subneta inficiranog računala!

 

info (neprovjereni) koji imam, pokupi se ga ne nužno kroz attachment, navodno i kroz flash skripte na određenim sajtovima!

 

tek danas su se počele pojavljivati šture informacije online, povratka kriptiranih datoteka (osim iz backupa) još nema!!

 

ako netko ima neki dodatni info, svakako je dobrodošao!! :)

 -backup, restore/shadovcopy i sl., dekript za sada (očekivano ni idućih godina) nema..

 

bed kaže...

Da.. Cryptolocker. Prije 2 tjedna i jučer opet. Mislio sam da babe tamo klikaju što stignu, ali očito se radi o problemu većih razmjera. Isto nod32 - 0 bodova. S malwarebytes-om sam imao više sreće. Otkupnina 400 eur. Ha-ha..

 

 -nisu babe krive, ako te to tješi...

C64/TurboModul-OpenSourceProject.org.cn.部分作品为网上收集整理,供开源爱好者学习使用
13 godina
neaktivan
offline
Ransomware napada

Uglavnom ESET ga je prepoznao ali kasno... Zanimljivo da nitko drugi od relevantnijih kompanija ga još ne prepoznaje.

https://www.virustotal.com/en/file/09c2ca5226f83b2d04e7fc43877cdba27ffab5ed72faf6e71df5bb8989f2a2d2/analysis/1426709021/

 

Ovo mi je također uletilo nakon fud@india.com samo što je ovaj enkriptirao i backupove tako da vjerujem da postoji veza jer ovaj mail fud@india.com više ne radi.

 

Enkriptira prvih 30k. Uspio sam popraviti PST file, ali drugo ništa.

15 godina
neaktivan
offline
Re: Ransomware napada

Ne bih rekao da se izbrisalo, a mislim da privatni ključ niti nije na kompu. Ono što sam ja shvatio iz te priče (ne znači da je tako), da govno ima neku a/v zaštitu. Vidim da generira neke random *.exe daoteke, pobrišeš jedne drugi se pojave. Znači u safe mode i krljaj.. S time da obratiš pažnju na HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce, obzirom da ukoliko postoji nešto u tom ključu, to će se startati i u safe modu..

 

15 godina
odjavljen
offline
Re: Ransomware napada
ihush kaže...

.. recimo, sve dokumente, txt, jpg.. za sad primjećeno nije dirao .png, .db, .ini.. dakle ima neku listu extenzija.

-updateovi/zakrpe i AV klasično ne pomažu u prolazu.

Nije dirao ništa od VSa (.sln, .cs, .resx..), .dll, .exe, .sql, .ocx...

 

Uglavnom je udarao po dokumentima (Office) i slikama te PDF fajlovima.

My name is Legion... For we are many!
9 godina
neaktivan
offline
Ransomware napada

Pst fajlove popravlja dobri stari scanpst. Kriptirani su definitivno samo headeri.

9 godina
neaktivan
offline
Re: Ransomware napada

Dirao je dbf i db.

9 godina
neaktivan
offline
Ransomware napada

PDF se popravlja, jedino mi se čini da se gubi prva stranica.

 

15 godina
neaktivan
offline
Re: Ransomware napada
Qbrilium kaže...

Pst fajlove popravlja dobri stari scanpst. Kriptirani su definitivno samo headeri.

Nije slučaj kod mene. Ako i popraviš header, sadržaj je i dalje kriptiran..

 

9 godina
neaktivan
offline
Re: Ransomware napada

Uredno vidim sadržaj, zanimljivo, s čime si popravljao? Možda su različite verzije virusa u igri.

13 godina
offline
Ransomware napada

Ja sam se sa 2 tipa ransomwarea susreo: Cryptowall 3.0 i fuds@india.com. U oba slučaja nisam uspio spasiti podatke a rok za uplatu je prošao. Osobno se slažem da ni u kojem slučaju ne treba plaćati otkupninu jer se na taj način potiče i financira razvoj takvih malicioznih programa. Isprobao sam nekoliko solucija koje sam surfanjem pronašao, ništa nije pomoglo, u oba slučaja je bio isključen system restore pa to nisam mogao isprobati, a shadows explorer isto radi samo ako postoji prijašnja točka vraćanja. Svi za ovu pošast čuju tek nakon što im se dogodi da im se računalo zarazi a onda je već kasno. Još jedan pokazatelj važnosti izrade offline backupa! Najviše me zabrinjava što se sve više pojavljuju slučajevi u našoj okolini... nije mi samo jasno kako i gdje ljudi to nađu i pokupe?!

9 godina
neaktivan
offline
Re: Ransomware napada

Meni je Windows Defender našao i javio: Ransom:Win32/lsd.A

Nakon čišćenja/karantene se više ne javlja problem iako nemogu odrediti da li je to bilo "jednokrani encode" ili se stvar periodički ponavlja/budi...

 

Sa čime "popravljate" te fajlove? PDF?  pst vidim sa scanpst-om...

Poruka je uređivana zadnji put čet 19.3.2015 13:30 (Total13).
9 godina
neaktivan
offline
Re: Ransomware napada

SCANPST.EXE - PST, PDF malo GOOGLE-a

9 godina
neaktivan
offline
Ransomware napada

Kolika je opasnost da su zaražena i druga računala u mreži. 

Tu kod mene je zaraženo jedno, ali bojim se da i druga nisu pokupila istu stvar. Za sada nisam kod nikoga primjetio slične datoteke, ali opet možda se ransomware kod njih aktivira naknadno.

Zaraženo računalo je iskopčano sa mreže.

Nova poruka
E-mail:
Lozinka:
 
vrh stranice