Ransomware napada

Evo moja "2 centa":

"Zaraženo računalo" je kriptiralo samo podatke na shareanim diskovima, a lokalno nije ništa dirao, što je možda i odgovor da su uglavnom pogođene "tvrtke i državne institucije". Tj oni koji uglavnom imaju shareane diskove. Enkriptiranje je počelo cca 15:30 - 16:33, naknadno nije dirao nove datoteke koje smo snimili na shareane diskove da vidimo da li je još koje računalo eventualno zaraženo ili se čeka da se ponovno okine.

Definitivno ne kriptira TIF fajlove, ali zanimljivo da ne kriptira niti fajlove sa konkretno "č" i "ć" hrvatskim slovima, niti direktorije sa tim slovima u imenu (š,ž i ostali prolaze), neznam za đ.

 sve

bili su neki sistemski fajlovi od po 1 kb koji se nisu vratili ali nebitno i xlsx se buni kada ga se otvori da je popravio header ili sto vec ne ali su podaci svi unutra...

mislim da ima problema sa dijakritickim znakovima, jer ti dobri ljudi sto su to napravili u emailu sa uputama za dekripciju kazu da ako nesto nece dekriptirati da se promijeni naziv filea u engleski  :)

makar u mom slucaju su i ti fileovi bili kriptirani

Evo ja danas zaprimio prvi poziv od jednog korisnika upravo radi ovoga.

Odem na lokaciju, pogledam što se dogodilo, skužim da su svi podatci zaključani i onda ide prića što se dogodilo, što ste učinili itd...

I kaže jedan djelatnik, dobio sam mail sa ove adrese pbz365@36g.net  i ja ga otvorio jer sam mislio da je banka poslala (mislim se mulac jedan). Mail je otvorio u četvrtak 19.03. i danas su zvali da su ostali bez svih podataka. Mailove su skidali lokalno na računalo, ostali su bez njih... slike, ponude, fakture, sve izgubljeno...

Još su od četvrtka pa sve dok ja nisam došao sa tim računalom uredno bili na mreži, čak su uzeli USB stick, kopirali par datoteka, otišli na drugo računalo i pokušavali otvoriti jer su mislili da je računalo neispravno Na ostalim računalima se za sada nije ništa dogodilo ali sam preventivno napravio backup podataka na disk.

Sada mole za rješenje i vraćanje podataka, naravno rekao sam im da na to zaborave, nema povrata podataka, pogotovo ne na XP mašini.

Sada ću im složiti exchange mail za 15kn mjesečno (tako da imaju uvijek backup maila), dobiti će cloud (tako da imaju backup datoteka) i sve će ih lijepo koštati pa će bolje razmišljati ubuduće

sve to stoji, i uvijek kažem ljudima da ne brzaju, samo nek stavi miš na taj link, bez klikanja, nek mu u oblačiću pokaže kamo zapravo vodi...

ali ne...

također, obavezno je imati arhiver (7-zip) jer oni uvijek pokažu puni naziv, s ekstenzijama, svih datoteka u ZIPanim prilozima poruka, za razliku od Windows Explorerovog prikazivanja ZIPova kao mapa...

i obavezno ukopčati mozak..

ali i opet ne: pa lijepo su napisali da sam dobila 200.000 funti i onda sam kliknula i... sve je nestalo... ali nisam ja kriva...

Detalji o ovome malware-u:

http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPFUD.A

.. za sad beskorisno

NOTES:

Restore the encrypted files by this malware from backup. Note that the encrypted files have the extension .id-{id}_sos@anointernet.com.

-eh, da backup. Čišćenje nije problem, problem su podaci ako nema backupa.

Panda decrypt pronalazi RSA key (ako se ima originalan file) ali beskorisno, tool je neupotrebljiv (već je abandan) tj treba pronaći neki dekripter koji radi, tad je možda key iskoristiv. Kasperski ima nekoliko (3?) ali nema rezultata.

za sad jedino shadow...

Zanima me da li ima tvrtki koje placaju posebno nekome da se brine oko zastiti njihove IT infrastrukture, jer koliko najvise s*anja se dogodilo zbog neadekvatne zastite

 A koja je to adekvatna zastita kad zaobilazi sve antivirusne softvere. Jedino istekati RJ45 i eventualno USB na disable. Jer kako ces znati da tvoj korisnik klijent nece traziti svojih 200 K funti (Kako je jedan kolega vec spominjao u nekom postu) jer na web stranici ili u mailu lijepo pise da je bas on/a odabran za glavni zgoditak. A od takvih ili slicnih klikova nema zastite osim navedenih u pocetku posta.

Večeras vidio okružnicu IT službe jedne jako velike i značajne domaće tvrtke, koja je isto popušila, koji glasi u stilu "sorry zaposlenici, napao nas je virus i vaši fajlovi su skriptirani i nepovratno izgubljeni", pa toliko o IT službi.

Mene u stvari najviše ždere od dana D to, da sam se u proteklih 30 godina ponašao izuzetno oprezno i konzervativno (viseći i po 18 sati dnevno što na poslu što doma na kompu) i da sam do sada uspio izbjeći i detektirati sve što me je moglo sj...

Sad si samo mogu čupati kosu što mi genijalci prije 30 godina u ondašnjem Velebitu nisu uspjeli utrapiti Mac (jer nisu tada znali i mogli riješiti "naše" znakove). Jest da bi danas plaćao 600 kuna tastaturu, al bih bar ovo izbjegao.

Evo žderem se, a sudeći po svemu nisam baš i najgore prošao. Čak sam uspio vratiti veći dio fajlova i bez backupa...

I ježim se na pomisao da će se dogoditi opet, a to me vraća u ona divna vremena kad nit je bilo mreže, nit je bilo interneta, a u tom smjeru idu i sugestije (nema share foldera, ili ima ali samo R not W, trošite masu vremena na provjere, zaštitu itd...)

Meni je još debela i sreća što je država u komi pa i nema nekog velikog posla u prva tri mjeseca. Da se to dogodilo pred desetak godina, recimo oko 15.12. gotovo sam siguran da bih se ubio... (ili platio ransom?)

 Ja sam "zaradio" nekih 50 prekovremenih sati, neplačenih, naravno 

nažalost ne znamo svi na isti način raditi posao, a neki nisu obučeni uopće za se nositi s ovakvim stvarima (nisu svi informatičari isti, puno je različitih područja unutar informatike), bitno je naći dobro obučene i iskusne ljude.

Oprosti, nisam mislio generalizirati. Daleko od toga. Hvala Bogu na pametnim i obučenima, al mož se frigat kad mi je situacija takva da sada nemam ni za platiti ransom (zaštitu i backupove platio dok je bilo šuške), a kamoli uposliti nekog informatičara. Niti ja ne dobijam plaću već neko vrijeme...

Usput malo povlačim i onaj svoj stav o Macu - naime sve što nam je svojevremeno arhivirano na DVD-ima s prvih Apple pržilica možemo mirno baciti jer se pola toga (kad nam zatreba) ne može u Zagrebu nigdje očitati /ili se može parcijalno/... K tome imam pun podrum magnetooptičkih diskova sa starom arhivom, pa mi taj backup isto više ne pomaže, a ionako je Bogu svejedno jer je manje-više sve rađeno na programima koji više ne postoje (srećom držimo u podrumu i stare kante na Win3.11). Valjda je jedina pozitivna stvar što su danas postavljeni neki standardi pa u komp možeš bilo kaj uštekati - a isto ti ga tako može bilo tko uštekati.

Pozdrav svima, premda ovaj put sam izbjegao metak, već 28.1. sam bio u situaciji kao dosta vas. Cryptolocker je došao u .zip privitku maila. Djevojka koja je nanovo počela raditi u Nabavi je kliknula i otvorila mail, u 13.55, za kratko vrijeme njezin user folder i share na fileserveru kojemu je imala prava je bio kriptiran. Svaki folder je i u sebi imao i sliku s uputama za plaćanje.

Srećom, imamo shadow kopije na korisnicima i backup svih servera svaku noć 15 dana, pa nije bilo nekog većeg gubitka.

No i ja sam se tada pozabavio malo više analizom. Moji korisnici imaju Kaspersky, uredno je bio ažuriran, ali je update zakasnio možda 4 sata. Da smo dobili sutra mail, ne bi se ništa dogodilo. Ukoliko se desi novi virus-outbreak, jednostavno nema pomoći prije updatea. Možda nekad heurestika i pomogne, ali ne uvijek.

Na uređaju za forenziku mreže sam otkrio da je s računala pokrenuta ssl sesija prema nekome ovh serveru, neki provider u Francuskoj, s čega se virus downloadao i započeo započeo enkripciju.

Prvo što sam napravio je automatsko uklanjanje .exe i .scr extenzija na mail serveru. Najviše sam susrećao .scr, i ljudi je olako preskoče. Predlažem da isto napravite kao kod sebe.

Kod Kasperskog ima jedna dobra stvar, zove se SystemWatcher, u biti služi za pregled što aplikacije rade po vašemu računalu. Kod mene nije bila upaljena, neka računala su imala problema s performansama zbog toga, ali sam i to rješio.

Zadnja stvar koju sam omogućio je Application Control, kako ju točno postaviti za kritpolockere, pogledajte ovdje. Dakle, ovdje postavljate da sve nove aplikacije idu u grupu onima kojima se ne vjerujete, dodate u tu grupu zaštićene ekstenzije, i to je to. Također, za ovo treba dosta vremena, dok definirate Word, Excel, Reader, itd, da mogu editirati ove zaštićene fileove koji imaju navedene ekstenzije, međutim, Kaspersky radi heurestiku nad njima i čak provjerava reputaciju u cloudu, tako da većinu standardnih aplikacija su po defaultu u grupi kojima vjerujemo.

Također vam skrećem pozornost na vaše baze podataka, jer će se bi se i one mogle kriptirati, pripazite gdje i kako radite backup, da li možete koristiti neke druge ekstenzije prilikom backupa, itd.

Kod mene je sve virtualizirano, pa je jako teško doći do backupa kad je sloj ispod OSa.

Pitajte ako što vas zanima.

Jel negdje ima definitivan popis ekstenzija koje su u opasnosti od enkripcije? Konkretno, zanima me da li su mi fajlovi od virtualki u opasnosti. Odosno da li je moguće da mi virtualka (koja je off u trenu napada) postane neupotrebljiva? VMWare konkretno...