CTB Locker :(

[Srdan]

Free Avast Business

[BUG]

Blokiranje svih izvršnih datoteka u %UserProfile%

[partwish]

Citiraj:

Autor BUG

Blokiranje svih izvršnih datoteka u %UserProfile%

A šta ako džubre napravi zaseban folder i u njemu se detonira?

[The AC]

najs

[BUG]

U %UserProfile% može kreirati koji god želi folder, i dalje će GP blokirat pokretanje.
Dosadašnjim iskustvom s ransomwareom i proučavanjem ovako, svi su bili pokrenuti u temp folderima unutar tog korisničkog foldera. Čak blokira i extract zip/rar/.. arhiva iz e-mail klijenata, konkretno Microsoft Outlook.

Ali jbg, naravno da je moguće da se locker detonira negdje drugdje na disku, ali zato GroupPolicy omogućava da se stavi bilo koja lokacija na block listu. Međutim treba paziti da se ne onemogući rad samog OS i pokretanje korisničkih aplikacija..

[syss]

ste bili danas na king-ict radionici?

imaju jako dobro rješenje koje ćemo brijem morat debelo uvažit i implementirat... hebiga.

malo je dublje od gp settingsa nažalost...

[buljo]

Pa no, o cemu se radi?

vjerojatno traze masne pare...

[syss]

šta znače masne pare?

koliko ti košta 10g nečijeg diska ili network share-a kojeg će ti crypto srediti u par minuta?

sanboxing - https://www.fireeye.com/index.html

ak ne nude rijesenje vec enkriptiranog materijala, to je sviranje kurcu

[NTN]

Citiraj:

Autor alengrosevic

ima li kakve nade za Locky-a? Korisnica ga pokupila (otvorila mail koji je kao poslan od same sebe i neki .zip file je otvorila) i sve je dobilo ekstenziju .locky
Koliko sam tražio po netu nema lijeka za to ali ne škodi pitati ovdje.

Sto se tice "locky-a" ja sam uspio povratit dokumente x.doc(deklaracije), pdf i pojedine x.jpg fileove s shadow explorerom. Neki x.jpg su bili osteceni i poluvidljivi. Meni je bilo najvaznije bilo povratit poslovne dokumente, slike mi nisu bile toliko vazne jer ih je bilo malo.

[Nick7]

Citiraj:

Autor syss

sanboxing - https://www.fireeye.com/index.html

Jedini problem te kutije - ako je ganc novi malware, proci ce (preko weba)... i korisnik ga moze okinut, a tek za par minuta dodje obavjest da je to malware.
No, kad jednom postoji hash po kom ga kuzi, onda blokira. Ili ako mu je vec u bazi, naravno.

[syss]

da, to je problem jer ima taj period dok ga upogoni i vidi o čemu se radi, čovjek je rekao da se radi oko 5min za unknown objekt... ali ajde-de svakako brže od apdejta definicija bilo kojeg av rješenja.

btw. meni je na gmail u zadnjih tjedan dana stiglo jedno 15ak mejlova sa cryptom... prije ono kapne tu i tamo... jel to neka nova navala?

[Mario92]

Znači full updejtani Win10, SmartScreen, Malwarebytes, Defender (i enroll u MAPS... zanima me i ATP), Sandboxie i, najbitnije, standardni account.

I maknuti Javu, Flash i te pizdarije kad god je moguće.

[syss]

pa to je i bio neki zaključak... user acc u većem okruženju život spašava skupa sa pravima pristupa.

[Mario92]

Znam, samo što se rijetko tko toga drži jer misle da su pametniji od MS-a i pravila infoseca.

[syss]

mi se držimo

[Roy]

Za one koji su imali problema sa fudx@nešto varijantom moguća pomoć je na ovom linku

U mom konkretnom slučaju (ne moj konkretno, radim uslugu) nije pomoglo u povratu kriptiranih fajlova, ali oni podaci koji su bili zapakirani u .zip su bili vraćeni sa nekih odokativno 80% uspjeha.

BTW, slijedio sam link sa ovog foruma.

[coconut]

Citiraj:

Autor Mario92

I maknuti Javu, Flash i te pizdarije kad god je moguće.

Bilo bi to lako da 90% netbanking aplikacija ne koristi Javu.

[syss]

da samo netbanking... pol svijeta je natom govnu.

[D1viry]

Citiraj:

Autor coconut

Bilo bi to lako da 90% netbanking aplikacija ne koristi Javu.

A koriste ju i e-porezna, e-carina, hzzo i hrpa servisa.

[Srdan]

Locky također skidaju Bitdefender i AVG, oba u free verziji.
Bitdefender ga blokira pri pokretanju, AVG ga obriše čim se klikne na zaraženi mail u Outlooku. Ako se skine s webmaila, pri pokretanju ga blokira i briše.

[syss]

i dokle tako? mislim što se tiče definicija i verzija lockera?

[Bono]

Vidim da su neki spremni zbog 200kn godisnje riskirati sve filove na kompjuteru. Ova zadnja verzija se nece aktivirati ako je antivirus instaliran, kako bi se produzio rad bez detekcije.
Probajte prebaciti jezik na srpski, mislim da crypto locker onda nece kriptirani kompjuter, a idealno je jos koristiti vpn u Srbiji.

E-mail kampanja i ad serveri su se raspistoljili na cca 1000 korisnika svakih dan skinem bar pet Angler exploit pokusaja infekcije.

[dzajko]

Kakav se windows defender pokazao s ovom gamadi, mislim do sad nisam ima problema s ovim *ranjem, da kucenm o'drvo. Bas sam jucer kupova DVD DL za backup, kaze zena uhvatila nam ih je prasina u skladistu

[Wuchko]

Neki dan je kolega na poslu pokrenuo taj locky. Stigao kao privitak u mailu s nazivom "invoice #......". Rezultat su zaključani praktički svi fajlovi na mapiranom disku u folderima u koje je imao pristup. Što je najgore, ne znam niti kako je pacijent/debil/idiot/slobodno-umetnuti-pridjev to uspio pokrenuti jer Gmail kojeg koristimo u firmi meni npr. ni ne dopušta da to čudo otvorim. Na moju izjavu da je napravio sranje dobijem odgovor "A stari kako ja znam da je to virus". Sva sreća pa mu Gmail vrištećim crvenim slovima nije javljao "Virus found" Šlag na tortu svega toga je da je antivirusna zaštita (Sophos kojeg plaćamo ohoho) bila out-of-date, tipa je valjda gnjavila nadogradnja definicija pa je pauzirao Praktički ništa nismo uspjeli spasiti, a budali sam preporučio odlazak na godišnji budući da će ostatak kolega vrlo brzo saznati tko im je uništio podatke

[Srdan]

Citiraj:

Autor dzajko

Kakav se windows defender pokazao s ovom gamadi, mislim do sad nisam ima problema s ovim *ranjem, da kucenm o'drvo. Bas sam jucer kupova DVD DL za backup, kaze zena uhvatila nam ih je prasina u skladistu

MSE
Zaustavio ga je, ali je za razliku od drugih par fileova kriptirano.

[partwish]

Kako uopće funkcionira to kriptiranje? Pretpostavljam da on taj file kriptirani zapiše negdje na disk, a onaj koji nije kriptiran obriše? To bi značilo da bi se pretragom diska možda moglo i doći do tih podataka koji su obrisani? Znam da je to "long shot" ali ono...

Bok,

molio bih da mi velite osim solidne antivirusne zaštite i zdravog razuma
što još trenutno mogu poduzeti da ne bi bilo nismo znali ?

Trenutno imam Malwarebytes Anti-Malware Premium i COMODO Internet Security.

dal da instaliram neki drugi antivirusni ili je dovoljno ?

određene bitne podatke imam online i na usb sticku,

hvala

[Kal-EL]

Mi u firmi koristimo eset smart sec i normalno ga pronađe u mailu. Stavio sam da odmah briše zaražene fajlove. cca 500 kn + pdv za 3 računala.