CTB Locker :(

[Max Rockatansky]

U ovom kontekstu, optički mediji opet postaju zanimljivi, bar za trajne arhive iako ni za neki periodični backup ne bi bilo na izmet štogod zapržiti .
Vodim računa o backupu, ali prvi "layer" (dnevni) mi je zbog praktičnosti i dalje read/write odnosno izložen riziku od razne locker-gamadi. Drugi je nešto bolji, Linux makina koja interno radi inkrementalni backup sa mrežno vidljivih (share) na nevidljive diskove, ali mi se čini da je pitanje vremena kad će i to razvaliti.

Da ne duljim, da li je netko probao M-disc DVD/BD medije ? (www.mdisc.com)

[Brko]

Još jedan slučaj zabilježen kod mene.

Laptop privatni a mail je @optinet.hr
Mail klijent je onaj Windows Mail iz Essentials paketa.

Dobila je mail od "svoje firme". Adresa je accounts@njenafirma.hr , dakle domena je ta koja je.
Optimin mail server je to pustio a email klijent nije skužio šta je u atačmentu.

Attachment se zvao "2016-03-13-report.zip". unutra je bilo nešto.
Naravno da je na to nešto kliknula 2 puta.

Šteta minimalna, nešto slika sa babskih gableca a to sve ima po fejsbukovima i mobitelu.

Eto, još jedan način kako si nabaciti probleme na grbu jer neko šalje reporte...

[Gilbert5]

I kod mene u firmi danas sranje pronaslo put. Locky verzija.

[syss]

sad i mene natjeralo da pregledam reporte... sve čisto, tj. zmazano sa gluparijama, nisu lockeri.

[Dooks]

Citiraj:

Autor Gilbert5

I kod mene u firmi danas sranje pronaslo put. Locky verzija.

Ja sam prošli tjedan u firmi imao locky verziju

[Roso]

Da li se ovo pokupi samo ako se pokrene nekakav .exe ili se može dobit "pasivno", preko usb sticka, ili samo surfanjem?

[Gilbert5]

Moja korisnica je pokupila preko maila, otvorila je privitak - "word dokument".
Uspio sam spasiti par datoteka, pošto ipak treba vremena da kriptira sve filove.

Može doći preko jave/flasha, sticka i preko maila. Update-ana java i flash navodno pomažu, ali svi navode da je backup jedino riješenje.

[Pupo]

Citiraj:

Autor Gilbert5

Moja korisnica je pokupila preko maila, otvorila je privitak - "word dokument".
Uspio sam spasiti par datoteka, pošto ipak treba vremena da kriptira sve filove.

Može doći preko jave/flasha, sticka i preko maila. Update-ana java i flash navodno pomažu, ali svi navode da je backup jedino riješenje.

I edukacija korisnika.


Situacija od negdjeprije. Kažem čovjeku oko 9 sati ujutro. Nemojte otvarat nikakve sumnjive mailove, brišite ODMAH, pogotovo ako je kakav zip file u mailu. Odem od njih, zovu me za 15 minuta, mi smo otvorili zip, šta da radimo?!

meni zipovi dolaze stalno, naravno ne otvaram. sad cu ih prebacit na neki komp koji nema veze s internetom bas da vidim kak to radi

[Princ288]

Meni upravo na mail od faks dosao mail s privitkom naziva document1.zip, a kao da sam si ju sam proslijedio. Jel itko otvorio na mobitelu takav mail pa da zna sta se desi. Ja sam ovo odmah delete.

evo i meni su počeli non stop slati glupoti

evo primjer http://prntscr.com/ag1v6u

[kopija]

Vektor infekcije se širi:
http://www.pcper.com/news/General-Te...ted-Ad-Servers

Lupa nepatchirane Javu (onu za browsere), Silverlight, Flash, IE. The usual suspects.
Ovi šta dolaze mejlovima iskorištavaju stare rupe u Wordu, Adobe PDF-u i sličnima, ili jednostavno iskorištavaju činjenicu da ljudi nemaju uključenu opciju prikaza ekstenzija u Exploreru pa blaženi rade dvoklik na "neki_dokument".pdf.exe.

Moliću da me netko ispravi/nadopuni da malo demistificiramo tu gamad.

[Deamon101]

Pomama ovih dana na poslu. Najzanimljivije od svega što službeni antivirus ne prepoznaje, tj. imao sam samo jedan detection(pisalo je locker, napravili full scan ali ništa..). O razmjerima potencijalne štete ne mogu ni pomišljati jer cca 300 ljudi ima mapirani shared. Ovo je samo jedan od mailova moguće da locker nije u ovom konkretno, sutra ću istražiti još nije žurba

[potemkin.hr]

Evo vam kraćih uputa koje napisao zdravoseljački za štefice u firmi da im tutnem, dosta pomoglo u mojoj firmi i već godinu i pol nismo imali niti jedan incident.
Dobro sam ih istrenirao

Kako prepoznati štetne mailove

Citiraj:

Autor Deamon101

Pomama ovih dana na poslu. Najzanimljivije od svega što službeni antivirus ne prepoznaje, tj. imao sam samo jedan detection(pisalo je locker, napravili full scan ali ništa..). O razmjerima potencijalne štete ne mogu ni pomišljati jer cca 300 ljudi ima mapirani shared. Ovo je samo jedan od mailova moguće da locker nije u ovom konkretno, sutra ću istražiti još nije žurba

Skoro pa dajem ruku u vatru da je. Pokrene se skripta koja pravi payload si uzme sa kineskih/ruskih servera i onda u pozadini ordinira, na taj način zaobilazi skeniranja od strane ISP-a i nekih AV-a.

[Sam Fischer]

Citiraj:

Autor potemkin.hr

Evo vam kraćih uputa koje napisao zdravoseljački za štefice u firmi da im tutnem, dosta pomoglo u mojoj firmi i već godinu i pol nismo imali niti jedan incident.
Dobro sam ih istrenirao

Kako prepoznati štetne mailove


Skoro pa dajem ruku u vatru da je. Pokrene se skripta koja pravi payload si uzme sa kineskih/ruskih servera i onda u pozadini ordinira, na taj način zaobilazi skeniranja od strane ISP-a i nekih AV-a.

Hvala puno na ovome!

Odmah sutra šaljem svim svojim "Šteficama" u firmi, i na kraju dana im šaljem upitnik sa 10 pitanja, ako failaju, uvodimo restrikcije.

Već nas je pokosio gadan locker, glavni backup je tu, ali opet hrpu toga smo morali nadoknađivati, i bili offline sa ERP-om cijeli dan...

[dzajko]

Uvik radim backup na više mjesta, uključujući i optičke medije, još da mi je skupit koju kunu za BD

[Brko]

Potemkin, svaka čast na uputi.
Budem podjelio svojim kolegicama uz malu dopunu za bannere na sajtovima tipa Filmovita i tako to

[coconut]

Može li se taj file skinuti negdje? Ovdje traži registraciju i sl. pa mi se ne da zahebavati s time.

[emmeritus]

Citiraj:

Autor coconut

Može li se taj file skinuti negdje? Ovdje traži registraciju i sl. pa mi se ne da zahebavati s time.

Copy -> paste i doradi tekst (i slike) po želji. Maksimalno 10 minuta posla.

[potemkin.hr]

Citiraj:

Autor coconut

Može li se taj file skinuti negdje? Ovdje traži registraciju i sl. pa mi se ne da zahebavati s time.

Na vam ga

Mediafire

Citiraj:

Autor Drug Brko

Potemkin, svaka čast na uputi.
Budem podjelio svojim kolegicama uz malu dopunu za bannere na sajtovima tipa Filmovita i tako to

Ovaj vodič je za kako naslov kaže, za štetne mailove. Morao bi valjda napraviti vodič i za sigurno surfanje, ali su dosta disciplinirani na poslu pa ne otvaraju gluposti i nikad problema oko toga. Još im i jučer lupio uBlock Origin sa dodatnim filter listama, manje vektora za ulazak gamadi, brže loada stranice i ne opterećuje krampove od kompova

[coconut]

thx

[Cuky]

Daj i te filter liste za ublock stavi please. Hvala

[Tihomir111]

malo nade za neke

http://www.cert.hr/node/27988


https://www.dropbox.com/s/n4lfdv9ti8..._keys.csv?dl=0

[alengrosevic]

ima li kakve nade za Locky-a? Korisnica ga pokupila (otvorila mail koji je kao poslan od same sebe i neki .zip file je otvorila) i sve je dobilo ekstenziju .locky
Koliko sam tražio po netu nema lijeka za to ali ne škodi pitati ovdje.

[potemkin.hr]

Citiraj:

Autor čuks

Daj i te filter liste za ublock stavi please. Hvala

Nisam eksterne liste nikakve dodatne loadao, samo popalio blokiranje adova i malware domena.



Također, napisao sam si batch skriptu za remote push Chrome instalacije na računala u domeni koja također adda uBlock Origin addon koji se automatski updatea. Zašpara vrijeme par klikova na 50+ mašina, ali se svejedno moram remoteati da enableam addon i popalim dodatne filtre, to nisam skužio ako se kako da preko commandlinea.

Jedini dependency je PsExec i jasno treba skinuti .msi installer zadnjeg Chrome builda.

Code:

set /p ver="Chrome verzija (1=x86) (2=x64): "
If %ver%==1 goto :32bit
If %ver%==2 goto :64bit
:32bit
set /p pc="Hostname PC-a za instalaciju Chromea: "
xcopy "\\source\ChromeStandaloneX86.msi" "\\%pc%\c$\temp\"
PsExec.exe \\%pc% -h msiexec /i "c:\temp\ChromeStandaloneX86.msi"
PsExec.exe \\%pc% -h reg add HKEY_LOCAL_MACHINE\Software\Google\Chrome\Extensions\cjpalhdlnbpafiamejdnhcphjbkeiagm /v update_url /t REG_SZ /d https://clients2.google.com/service/update2/crx /f
msg /SERVER:localhost * /TIME:0 “Instalacija ChromeaX86 na racunalu %pc% je zavrsena.”
goto end
:64bit
set /p pc="Hostname PC-a za instalaciju Chromea: "
xcopy "\\source\ChromeStandaloneX64.msi" "\\%pc%\c$\temp\"
PsExec.exe \\%pc% -h msiexec /i "c:\temp\ChromeStandaloneX64.msi"
PsExec.exe \\%pc% -h reg add HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Google\Chrome\Extensions\cjpalhdlnbpafiamejdnhcphjbkeiagm /v update_url /t REG_SZ /d https://clients2.google.com/service/update2/crx /f
msg /SERVER:localhost * /TIME:0 “Instalacija ChromeaX64 na racunalu %pc% je zavrsena.”
goto end
exit

U skripti se samo promijeni source na mjesto gdje je .msi, a može se promijeniti i da si vuče hostnameove iz fajla pa onda samo piješ kavu i gledaš kako se Chrome sam deploya na domeni.

[Chuxonja]

yup neka masovnjača je u igri, neki dan na poslu stiglo:

Citiraj:

Thank you for your order. Your Invoice - F-158155 - is attached. As agreed this invoice will NOT be sent via post. King Regards. Hilario Gallegos Director Inst/Medical Practice/GPO Marketing

payment_document_158155.zip

[E-mil]

Traje to već mjesecima, sa manje ili više intenziteta.

[buljo]

Evo i meni na službeni mail došao povrat love

[Chuxonja]

ja sam bolje prošo, upravo $9861.61 od MANDARIN ORIENTAL INTERNATIONAL

[Mr.Ex.President]

Govori meni danas jedna korisnica, ma nama često dođe neki zanimljivi mail, ali mi to ne može kliknit, neka zaštita, može li se to nama omogučit bude zanimljivih kataloga, akcija i to.
Prije 10 godina cca oden na razgovor za posa skladištara preko student servisa nešto i skoro padnen na testu "rada na računalu" kolko je jeben bija, a mi u firmi koja ovisi o računalima imamo djelatnike koji su tolko informatički nepismeni da to nije strašno nego ne postoji riječ za takvo nešto...