CTB Locker :(
 

Curi mi se zakačilo ovo govno, naravno dok se skontalo bacio je enkripciju na komplet jpeg i txt dokumente po cijelom računalu. Ne znam iz kojeg mutavog razloga nije bio upaljen System restore tako da ne mogu ni s time spasiti. Čitajući po internetu jednostavno zasad nema metode s kojom bi se mogla skinuti enkripcija sa dokumenata. Imate vi forumaši iskustva s ovime?

ako je to ono kaj traže bitcoinove, nemaš sreće jednostavno i ako platiš dobiješ sve nazad.

Da to je to, 610 dolara samo mi traži za to ;).

No našao sam ipak backup podataka na eksternom disku tako da se 95% spasilo. Gadna stvar nema šta, nisam vidio još u svojoj karijeri da baš tako sve zarazi.

jep, tu baš i nema neke borbe... znam dva frenda koji su se bezuspješno sa tim poborili, a i u firmi je jedna ženska to pobrala.

ne pomaže ni format ni ništa, baš ih zakriptira gadno.

opa, na ovo još nisam naletio. Da li netko zna da li kriptira samo sistemske diskove/particije ili sve diskove u računalu? Šta sa mrežnim diskovljem, NAS i slično?

Ma da gadno, ni ne krivim nju, pojavio se kao update za adobe reader, kliknula update i eto dogodilo se...No srećom da je ipak postojao backup

Kriptira ti sve jpeg, txt, rar fileove na svim particijama i bilo kojem vanjskem uređaju, vanjski hdd, usb flash sve zakači...

Ime meni, pa to je ancient news, vec su i makli jedan cc server za cryptolocker npr, a klonova kao u prici.
Anywho, kako je i receno ako nemas backup mos se...

Da ilustriram point

http://www.coindesk.com/ransomware-b...eriffs-office/

pa jel moze to probit nod32+ malwaebytes kombinaciju?

Imao sam nedavno slični napad. Avast ga detektirao (srećom), počupao komp iz struje za svaki slučaj. Pošto imam dualboot podigno drugi OS i sve pročešljao. Sve prošlo OK.

Razmišljam da ponovo instaliram http://www.sandboxie.com/.

pitanje: Jel bi to bilo pravi odgovor za tu gamad (Avast+Zone alarm+Internet preglednik pustim preko Sandboxie )

Delivery vector je isti kao i kod vecine gamadi.

Koliko ja znam bar locker nije imao nikakvu sofisticiraniju metodu. Samo scam/phishing/social engineering da ga sam instaliras.

Od tada su sigurno i AV napredovali u prepoznavanju. Vjerujem da bi vecina pce bar s tehnicke strane trebala biti dovoljno zasticena.

Da li kriptira ovo cudo i datoteke na google disku? Jasno je da ce lokalnu kopiju spizdit i onda ce google aplikacija to izsinhronizirati sa online storageom?

vidiš, vidiš... dobro pitanje.

Naravno da hoce, sam si dao odgovor iako to je do autosynca cloud drajvova, a ne do samih lockera

No, mozes kao i na dropboxu recoverati verziju fajlova prije no sto si pokupio lockera. Doduse ovisi o njima koliko revizija zadnjih cuvaju.

Evo mozda nekome pomogne ova vijest. :)

http://www.zdnet.com/article/fireeye...er-ransomware/

Sad mi dođe da pokupim to govno i probam radi li stranica! :D

pa dobar njuz moram priznati. Ajd nek neko pobere pa javi jel šljaka :D

Izgleda da sam ja nesretni koji je pobrao Cryptlocker.

Link gore neradi tj kaže da nema ključa.

Ekipa trebam hitnu pomoć,ta stvar je tolko napredovala da okupira skoro sve tipove datoteka od .exe do .pdf..

:/

šteta..a mozda znas kako si pobrao to cudo? pr0n? :D

Susreo sam se i sa ovim i sa decode@india.com lockerima, i nazalost mislim da rijesenja nema.
Sam "virus" se jos da ukloniti, ali dekriptirati fajlove ne, barem ja jos nisam dosao do saznanja kako.

Jel si pokupio nesretnika surfanjem ili si "nešto" instaliravao,
i kakvu si zaštitu koristio!?

Koliko se sjecam, momci su uspjeli recoverat keyeve koje su cryptolocker krimosi koristili za enkripciju. Mozda i otkrili kakav exploit unutar samog lockera pa poceli pruzati tu uslugu enkripcije no.... (see below)

Sam cryptolocker je vec dugo na zalazu, cc serveri su ugaseni. Tako da si najvjerojatnije pokupio neku noviju varijantu/klon. Nazalost, sanse da ti sajt s online dekripcijom moze pomoci su u startu bile dosta niske :(

EDIT: Tl,dr ukoliko ne platis, a nemas backup, najvjerojatnije se mozes pozdraviti s podacima

Jel to čudo kači i podatke ako su na NAS-u?

Za cryptolockera nisam siguran. Za CTB lockera kaze

"CTB Locker will encrypt data files on network shares only if that network share is mapped as a drive letter on the infected computer. If it is not mapped as a drive letter, then CTB Locker will not encrypt any files on a network share."

Tako da je NAS valjda ok, not sure

EDIT: iako tbh, da je to moj creation. Nebi mi vrag dao mira da ne napravim varijantu koja ce specificno targetat najpopularnije NAS-ove. Ipak su tamo podaci :D

Ima ih mali milijun vrsta no mene je zahvatio PClock Cryptolocker
Najnovija verzija "izašla" 7.1 i zahvača extenzije poput .avi .mp4 .mp3 .doc .jpg


Kod mene se dogodilo nakon skidanja preko TOR Browsera..
Zaštita je Malwarebytes+Microsoft Essential Security..


Navodno da ima rješenje:
http://www.bleepingcomputer.com/foru...covered/page-6

Uglavnom "Nathanov" decrypter uspjeva uplatiti 1BTC ali server je ugašen stoga nemogu "zaprimiti" uplatu


@Dooks
Kod mene je zakačilo podatke na Google disku,tj backupe

Obrisalo system restore pointove..

I kako si rjesio taj problem?

Dogodilo se jednoj teti u ministarstvu. TrendMicro su tada trošili i nije pomogao baš ništa. Općenito mi je taj TM ostavio gorak okus jer je 90% stvari propuštao. Jednostavno je taj crypt pojelo sve dokumente i slike. Sreća pa je to bila relativno friška migracija sa XP na 7 pa smo i srećom u nesreći još imali backup jer je sve bilo kriptirano i nismo ni nakon par dana ništa uspjeli. Nismo ni saznali kako je pokupila, vjerovatno nije ni htjela priznat što je i kako otvorila i kliknula jer uglavnom svi tvrde da nisu ništa... a na kraju se ispostavi da im se nešto pojavilo i onda su išli klikat 50/50 umjesto da su nas zvali...

neće ti ni jedan av ovo zaustavit ;)

Ma znam, to je korisnik kriv, ali TM je propuštao stvari što bi drugi bez problema počistili, štoviše nije ni detektirao zarazu, ali moguće da je tu i kriva firma koja je konfigurirala centralni TM.

evo da nisam ovdje pročitao nebi ni znao za ovo...svi se plašili onog Y2K i sličnih "I love you" a ovaj koji napravi veće sranje nigdje niko ne spominje...

idem sad napravit par bek-apa....:D

To će nas naučiti da radimo regularno osiguranje
Još jedan članak: http://soft2secure.com/knowledgebase/ctb-locker

Sad moramo cekati da netko proba ovo.

Da se pohvalim da je kod nas jedna "teta" jutros pokupila viruščinu. Dobila na mail attach pa je malo otvorila....
Trenutni stanje: njen komp je u procesu reinstalacije, a na mreži imamo 13159 zaraženih dokumenata :zdero2:

Radimo listu pa iz backupa vući podatke nazad.... :hitthewal::hitthewal:

This is some serious bullshit.. od sad još malo oprezniji biti.. damn

A čuj, svaki mjesec šaljemo obavijest da se takvi mail-ovi ne otvaraju, no opet uvijek imaš pojedince... Sreća pa je stalo samo na jednom serveru, s obzirom da imamo na još 3 share-ane foldere.

Frend pokupio ovo smeće. Some very serious shit :(

Imao licencirani najnoviji sophos + antimalware + mse
Kolko vidim po netu, ima vrlo sofisticiranih varijanti ovog smeća koja prolaze kroz gotovo sve.

antimalware je nakon updejta maknuo to smeće, ali ne može dekriptirati.
zarazio je sve dokumente, većinu slika, pdf, čak i outlookov pst file

također:
- ne pomaže system restore
- usb backup mu je bio spojen pa je i on zaražen
- ovaj gore link za dekripciju također ne pomaže

jedino što preostaje:
- shadow copy probat izvuć (možda se nekaj i nađe obzirom da je system
restore bio upaljen)
- recovery tools ala r-studio

U 15 godina mog sistem administriranja, što u firmi, što u obitelji i frendovima, što u fušu, nijesam imao ovakvo sranje pred sobom :D

Jel netko od vas to pobrao na linuxu? Ili je ovo striktno orijentirano samo na win masine :)

Vjerojatno ne jer se podrazumijeva da je *nix korisnik ipak malkice mudriji, a imas i problema s eksplicitnim pokretanjima executable datoteka i tako dalje.

Ali da bi se moglo, o, bi, i te kako.

Sto bi se reklo, ne smijem javno, ali stvar je zapravo vrlo trivijalna i izvediva neovisno o sustavu. Jedini "trigger" koji ju je potaknuo tek sada je cinjenica da vrlo "transparentno" mogu traziti "otkupninu" na takav nacin.

Zato sam ja super zadovoljan kako je jedan Thinkpad T43 prodisao na Mint XFCE, a najveća briga je rješena - šta i kako sa virusima i ostalim napastima koji najviše stižu na USB stickovima u ovom slučaju. :D

Ima li itko više informacija iz prve ruke, gdje i šta je otvarano, skinut neki .exe ili neki addon za browser, iskreno ne bi se htio susresti sa ovim. :D

kolko god da to stoji za linux korisnike (upitno :D), sad sam na brzaka tražeći info o virusu negdje naišao i da ga korisnici linuxa imaju :D
Nisam u detalje istraživao.


Brijem da je neko masno zaradio na cijeloj priči, nek svaki deseti od spomenutih 200.000 zaraženih uplati 600 dolara, lova samo takva :D

@tota, ak osam dobro uspio rekonstruirati priču, frend je ovo dobio putem maila, od nekog ''talijana'',a taman je rebao dobiti mail od nekog iz Italije pa je kliknuo, otvorilo mu se par popupova u browseru i dok je to zatvarao, valjda je nekaj kliknuo. Sat vremena kasnije mu je izbacio poruku, plati jer smo te ''enkriptirali'' :D

kako kaže bubba, trivijalna stvar u pozadini, a nemreš se toga riješit. zapravo bolje rečeno, riješiš se virusa, ali ne i njegovih posljedica :D

http://youtu.be/GoVDZC_z5-I?hd=1

Windows VirusTotal (dva false positiva i jedan "skoro pogodjen")

http://youtu.be/G6QncyYibZ8?hd=1

Linux VirusTotal (0 bodova)

S time da je ovo vrlo primitivno napravljeno, s jos par linija koda i malo obfuskacije i optimizacije, dobijes jos manji i jos "gadniji" file. Eh, da, u jednom je i enkripter i dekripter, pa je fajl jos i veci...

Ako nekog zanima kako radi u zivo NA VLASTITU ODGOVORNOST, u attachmentu je ZIP s 32 bitnim Windows executiveom i 64 bitnim Linux executiveom. Password za otvaranje ZIP-a mozete dobiti na PM. :)

Privitak 14465

Mhm. Jako "dobra" prica. I jaaaako masna para.