Ultimativna antivirus tema - P&O

djigi

Hvala na slikama i testu

sophos free home

Zauzece ram-a i previse, ali ipak se ne osjeti na kompu, nema zapinjanja kao kod nekih drugih sa manje ram-a.

Prilicno detekcija dobra ali sophos ti preuzima  kontrolu nad racunarom potpuno, neda se manipulirati sa desnim klikom, niti brzo konfigurisati, niti iskljuciti,  dok odes na browser account prodje voz.

Sve zajedno meni ovo odgovara jer sam ranije koristio ove proizvode tako da znam kako rade i sta tu treba..

Ova verzija sophos av free je jos u BETA pa mozda se nesto uskoro i promjeni, nadopuni .

Ipak Sophos UTM free je druga prica, predobar za mrezu i endpoint.

1.Backup/sistem image pa vadi disk van

2.Virtualka

3.Pokretanje criptolokera kojeg si negdje uspio nabaviti ili znaš gdje se nalazi zaraženi sajt 

Pa to znaš i sam ili ja nisam skužio pitanje?

Pa niti ne možeš klasičnim načinom, jer to je zapravo štit koji je večinom orjentiran na Browser napasnike. Realno gledano browser napasnici  danas su najopasniji, fučkaj ga pa nema goreg scenarija od pobiranja Ransomware samo običnim pregledavanjem neke stranice.

http://www.bug.hr/forum/topic/komentari-it-vijesti/hrvati-opet-zrtve-ransomwarea/232314.aspx?page=0&jumpto=4835979&sort=asc&view=flat

Obično otvaranje exe datoteka nema previše smisla, jer MBAE večinom štiti browser liniju sadržaja kao Java/Flash/PDF to je zaštičeno ili pokriveno.Ovaj dio zaštite za Media Playere, to je opet zapravo vezano na Browser. Sve ove požutjele aplikacije sa foto popisa, oni se mogu otvorit kroz browser(browser iz zove na suradnju) radi konzumacije nekog audio-video sadržaja.

@Djigi

Ne dolazi Criptolocker SAMO kroz browser, kaj je sa PDF,Office,Media Player files,Javom i kak u MBAE vele "Others"...

Znači vrlo je vjerojatno da bi zaustavio malciozno djelovanje nekog criptolockera kojeg si downloadao na PC u nekom obliku.

Ako imaš već skinuto npr cryptolocker.exe na desktopu i pokreneš ga, mbae ga neće zaustavit.

On je tu da štiti od exploit tehnika, pomoću kojih se iskorištavaju rupe u postojećem softwareu kao npr browser i pluginovi ili drugi software u plaćenoj verziji (recimo media playeri ili office programi koji mogu macro skripte izvršavati) kako bi se na kraju ubacio malware ili izvršio maliciozni code.

Opseg njegove zaštite nije nadzirati sve postojeće exe programe na kompjuteru, nego samo štititi one koji su definirani po defaultu ili user ubaci (u plaćenoj verziji) kako nebi postali ulaz za malware. Kao što znamo preko malvertisinga ili malicioznih skripti direktno na stranicama se sve samo u pozadini izvrši i maliciozni code onda radi što hoće, uključujući downloada i pokrene malware. mbae štiti od tog koda, ne od malware.exe kojeg si već spremio na pc

btw. na onom današnjem malwarebytes blogu što sam gore postao, ima na dnu lista redirectora, ne znam hoće li te preusmjeravati do exploita ako im tako direktno pristupiš jer kriminalci filtriraju tko će biti proslijeđen dalje, najbolje preko IE na virtualki i možda sa starom verzijom flasha.

Kakav ooowebhost? 000webhost je. Ahahahahaha :)

Da bi testirao specifično kako mbae štiti pdf reader, media player ili recimo word (sve u plaćenoj verziji odnosno možeš koristiti trial za potrebe testa) trebaš imati maliciozni pdf dokument, maliciozni fajl za media player (ne znam što može biti tamo maliciozno, playlist datoteka ili pjesma?) ili maliciozni .doc (ili docx) dokument koji u sebi imaju code koji će iskoristiti neki propust i onda raditi svašta, recimo skinuti i pokrenuti cryptolocker.

Odakle nabaviti takve fajlove ja ne znam, najbolje pitati one koje se bave time ili pratiti njihove twitter accountove.

Možda na stranici http://malware.dontneedcoffee.com  , ima se za skinuti fiddler fajlove pa možda možeš rekreirati napad, vidi recimo pri dnu ovdje ili ovdje

Kao što sam napisao u ovom postu prije 2 stranice, maliciozni code tj. link do njega može biti ubačen direktno na stranicu u njegov source code, bez potrebe za reklamama.

Također par postova prije one vijesti na malwarebytes blogu kako određene poznate stranice koje koriste wordpress su tako inficirane, čim ju posjetiš izvrši se javascript koji spaja dalje do exploit kita. Dakle nema veze sa reklamama u tom slučaju.

Ovaj dio mi je isto zanimljiv: "Infected machine performing ad fraud (via injected notepad.exe process)"

Naravno da uz neki adblocker i updateane browsere i pluginove se rizik prilikom surfanja svede na minimum, ali kada je mbae već neprimjetan na resurse i štiti od onih situacija koje drugi sigurnosni software ne pokriva, zašto ne.

Pa da, kao što sam napisao ovdje post prije tvog rezultata

Recimo HitmanPro.Alert ima cryptoguard, ali samo njegova plaćena verzija naravno.

Tko bi rekao da je danas teško se inficirati onda kada to želiš

Možda je najlakše tako da dodaš staru verziju flasha i jave u taj IE i onda guglaj torrente, crackove i ostalo ilegalno pa idi po tim raznim stranicama bez ikakvih adblockera ili url filtera.

Zanimljiv način za koji do sada nisam znao...

When CryptoWall 3.0 encrypts a file it first makes a copy of it, encrypts the copy, and then deletes the original.Due to this you can use file recovery software such as: Racuva,EaseUS Data Recovery Wizard Free,R-Studio...

Ajd probaj Djigi jel možeš vratiti neke kriptirane fajlove kroz neki od gore spomenutih programa?

Btw: Imam MBAE Premium i dodao sam još i Windows Explorer.exe, Flash ActiveX i Flash Player u zaštitu...ako je Win.Explorer zaštičen,criptomalware ga ne može hijackad da obriše Shadow Files pa se u ovom slučaju i tako mogu vratiti fajlovi.

Ne znam šta bih mogao još dodati da MBAE štiti cijeli PC od kriptiranja jer vidimo da se Djigi ipak uspio zaraziti 

EDIT: Dobri savjeti MalwareTips link