Forumi


Povratak   PC Ekspert Forum > Računala > Problemi > Softverski problemi
Ime
Lozinka

Odgovori
 
Uređivanje
Staro 03.07.2023., 13:06   #1
Colop
Premium
 
Datum registracije: Sep 2011
Lokacija: Split
Postovi: 954
Phising e-mail skinuo virus

Desilo mi se sranje.
U žurbi kliknuo na phising email od e-računa, skinuo neki zip file.
Ne razmišljajući double klik, otvorio mi se pdf i neki html pomoć.
Kliknem na pdf, pdf zbluran.
Taj tren mi kroz Glavu prolazi da nešto ne štima.
Skeniram sve sa kasperyskim on ne javlja ništa.
Zovem IT službu od e računa, oni mi javljaju da im pošaljem attachment. Attachment šaljem, gmail javlja da postoji virus.

Ištekao sam računalo trenutno iz lana.
Gdje vidjeti koji virus i koje su posljedice?


attachment sa virusom se nalazi na ovoj web stranici :


www.serverhrhosting.hr/e-dostava/index.html (dodati između serverhr i hosting -)


Što da radim ?

Zadnje izmijenjeno od: Colop. 03.07.2023. u 13:49.
Colop je offline   Reply With Quote
Staro 03.07.2023., 13:48   #2
coconut
Premium
Moj komp
 
coconut's Avatar
 
Datum registracije: Mar 2006
Lokacija: Opatija
Postovi: 33,313
Html link te možda navodio na fake site banke gdje bi ti tražili podatke pa usput skinuli lovu s računa. Ako nisi išao toliko daleko, vjerojatno se ništa nije dogodilo.
Lošija varijanta je da si klikom na 'pdf' aktivirao ransom modul koji sve fileove na kompu pretvara u fileove s čudom extensijom i onda te traže x BTC-a za vraćanje fileova nazad u normalu.
__________________
"Dvije stvari su beskonačne - svemir i ljudska glupost. Za svemir nisam siguran." A. Einstein
coconut je offline   Reply With Quote
Oglasni prostor
Oglas
 
Oglas
Staro 03.07.2023., 13:53   #3
Colop
Premium
 
Datum registracije: Sep 2011
Lokacija: Split
Postovi: 954
Citiraj:
Autor coconut Pregled postova
Html link te možda navodio na fake site banke gdje bi ti tražili podatke pa usput skinuli lovu s računa. Ako nisi išao toliko daleko, vjerojatno se ništa nije dogodilo.
Lošija varijanta je da si klikom na 'pdf' aktivirao ransom modul koji sve fileove na kompu pretvara u fileove s čudom extensijom i onda te traže x BTC-a za vraćanje fileova nazad u normalu.

Nije me navodilo na banku, nego na zip file unutar kojeg su se nalazili pdf i html file.
Kada sam otvorio pdf vidio sam da je zlubran i skužio da nešto ne štima.
Taj tren sam izvukao kabel iz lan porta.
Kaspersky ništa ne pronalazi.
Kada sam pokušao attacment poslati ovim iz e -računa, javilo mi je da ima virus.


jel postoji netko tko ima linux ili nešto tako da klikne na ovo čudo, i vidi o čemu se radi ?


Najviše me zbunjuje što google kada sam išao poslati službi za korisnike javlja da je u attachmentu virus, a kada skeniram taj isti zip file kaspersky ništa ne javlja.

Plaćam pivu, uslugu ili što god treba


ili me uputite na web stranicu gdje mogu uploadati privitak da se skenira od virusa ?

Zadnje izmijenjeno od: Colop. 03.07.2023. u 14:03.
Colop je offline   Reply With Quote
Staro 03.07.2023., 15:17   #4
Colop
Premium
 
Datum registracije: Sep 2011
Lokacija: Split
Postovi: 954
Update I.


Maknuo sam NAS iz mreže, i sad ću prekopirati na eksterne HDD-ove u read only modu dokumentaciju.


Skenirao sam sumnjivi file sa 5-6 antivirusa, i svi javljaju da je čisto, osim googla koji kaže da je virus.


Phising neki sigurno je bio.


Što da radim
Colop je offline   Reply With Quote
Staro 03.07.2023., 16:34   #5
kopija
DIY DILETANT
 
kopija's Avatar
 
Datum registracije: Jan 2009
Lokacija: Čistilište
Postovi: 3,053
Uploadaj tog sumnjivca na Virustotal.
Skini Kaspersky Rescue Disk pa napravi scan.
kopija je offline   Reply With Quote
Staro 03.07.2023., 23:12   #6
Colop
Premium
 
Datum registracije: Sep 2011
Lokacija: Split
Postovi: 954
Evo ga što kaže virus total



Cyren
CHM/Powlod.B.gen!Eldorado


Fortinet
JS/Redirector.QBU!tr






Google
Detected


NANO-Antivirus
Trojan.Script.Heuristic-js.iacgm


Ostalih 56 antivirusa ne kaže ništa pametno.
Sad mi je pitanje dal se virus nalazio u pdf file-u ili u html pomoć file-u.
Jer html file nisam klikao.


edit:


gledam sada malo detalje:
bill_eB2B_5030475198-285-4_5030475198_202305_B.pdf - 0/60 detekcija
pomocx86.chm je drugi file, i kod njega po pitanju detekecija piše samo upitnik

Zadnje izmijenjeno od: Colop. 03.07.2023. u 23:25.
Colop je offline   Reply With Quote
Staro 04.07.2023., 05:38   #7
kopija
DIY DILETANT
 
kopija's Avatar
 
Datum registracije: Jan 2009
Lokacija: Čistilište
Postovi: 3,053
False positive očito.



Uplašilo te što je Gmail počeo vrištat kad si poslao taj "sumnjivi" pdf.
Gmail koristi Virustotal engine i ako samo jedan od trideset AV-a kaže da je nešt sumnjivo, Gmail po principu "better safe than sorry" fino ni kriv ni dužan attachment proglasi virusom.

Moj kriterij za te 3/30 detekcije na Virustotal je: ako Kaspersky kaže da nije virus onda nije virus
kopija je offline   Reply With Quote
Staro 04.07.2023., 06:25   #8
Colop
Premium
 
Datum registracije: Sep 2011
Lokacija: Split
Postovi: 954
Citiraj:
Autor kopija Pregled postova
False positive očito.



Uplašilo te što je Gmail počeo vrištat kad si poslao taj "sumnjivi" pdf.
Gmail koristi Virustotal engine i ako samo jedan od trideset AV-a kaže da je nešt sumnjivo, Gmail po principu "better safe than sorry" fino ni kriv ni dužan attachment proglasi virusom.

Moj kriterij za te 3/30 detekcije na Virustotal je: ako Kaspersky kaže da nije virus onda nije virus
Mene je uplašila kombinacija phishing email+ phising web+ sumnjivi privitak koji je skinut, zato sam mislio da je 100% virus.
Na računalu imam plaćeni kaspersky total security koji je updejtan

Poslano sa mog SM-N770F koristeći Tapatalk
Colop je offline   Reply With Quote
Staro 04.07.2023., 06:42   #9
kopija
DIY DILETANT
 
kopija's Avatar
 
Datum registracije: Jan 2009
Lokacija: Čistilište
Postovi: 3,053
Meni samo nije jasno zašto Gmail propušta phishing email u inbox a kad ne propušta u outbox.
kopija je offline   Reply With Quote
Staro 04.07.2023., 07:23   #10
Colop
Premium
 
Datum registracije: Sep 2011
Lokacija: Split
Postovi: 954
Citiraj:
Autor kopija Pregled postova
Meni samo nije jasno zašto Gmail propušta phishing email u inbox a kad ne propušta u outbox.
Zato što je attachment skinut sa phising web sitea.

Poslano sa mog SM-N770F koristeći Tapatalk
Colop je offline   Reply With Quote
Oglasni prostor
Oglas
 
Oglas
Staro 04.07.2023., 09:20   #11
Colop
Premium
 
Datum registracije: Sep 2011
Lokacija: Split
Postovi: 954
Radim neku check listu stvari koje bi trebao napraviti



-Pokrenut? virus oko 13:30 03/07/2023



-Računala se nalaze u mreži, i postoji server sa sheranim diskom. Na sherani disk se svi mogu zakačiti, tako ako sam pokupio neki ransomware, to je kompromitirano.


-Iza servera se nalazi NAS koji se svakog dana u 1-2 ujutro spoji na server sa username/password računom i napravi backup podataka koji su se promjenili.


-Na NAS nitko nema pristupa osim mene, na NAS-u se nalazi cca 30 zadnjih dana automatskog backupa



-Kad se ovo sranje desilo, odmah sam disejbalo svog usera na NAS-u, stavio da ima mogućnost read only.


-Zadnjih 30 dana automatskog backupa sam uplodao na Synology C2 cloud preko hyper vaulta.





-Disejblao automatski backup na NAS.


-Kopirao na eksterni disko u read only modu zadnjih 30 dana backupa.


Koliko mogu vidjeti, ako je ransomware mogu proći i mjeseci prije nego se aktivira.
Ja svejedno moram raditi backup novih podataka nastalih nakon 03.07.2023 koji su možda zaraženi.
Na koji način da to radim, tj gdje da to radim a bez da ugrozim "čiste" backupe.
Colop je offline   Reply With Quote
Staro 04.07.2023., 09:29   #12
kopija
DIY DILETANT
 
kopija's Avatar
 
Datum registracije: Jan 2009
Lokacija: Čistilište
Postovi: 3,053
Skinuo zip.

Ispravka netočnog navoda, nije false positive.

Nemogu se AV velikani odlučit dal je virus il nije.
Zajebana stvarčica, pretpostavljam da je pdf zbluran zato da bi korisnika ponukao da klikne na "help" koji je u biti maliciozni .lnk file.
IMHO, ako nisi kliknuo na taj .lnk nemaš beda.

Zadnje izmijenjeno od: kopija. 04.07.2023. u 09:39.
kopija je offline   Reply With Quote
Staro 04.07.2023., 09:30   #13
Colop
Premium
 
Datum registracije: Sep 2011
Lokacija: Split
Postovi: 954
Citiraj:
Autor kopija Pregled postova
Skinuo zip.

Ispravka netočnog navoda, nije false positive.

Nemogu se AV velikani odlučit dal je virus il nije.
Zajebana stvarčica.

Jelda.
Jesi uspio skužiti dal je virus u PDF-u ili u pomoc fileu?


edit: ja sam jučer skenirao taj isti file u Virus total i nije mi bilo pozitivnih .
Danas ujutro su 4 antivirusa dekterirala.
Sada 7 antivirusa detektira.
Dal je ovo onda neki 0 day exploit ili što ?
Colop je offline   Reply With Quote
Staro 04.07.2023., 09:42   #14
Colop
Premium
 
Datum registracije: Sep 2011
Lokacija: Split
Postovi: 954
Citiraj:
Autor kopija Pregled postova
Zajebana stvarčica, pretpostavljam da je pdf zbluran zato da bi korisnika ponukao da klikne na "help" koji je u biti maliciozni .lnk file.
IMHO, ako nisi kliknuo na taj .lnk nemaš beda.

Nisam klikao na help, jedinu stvar koju sam napravio kad mi je sve skupa počelo biti sumnjivo je da sam otvorio notepad, i onda dropao taj lnk file u notepad, jer me zanimalo jel ima išta pametno unutra.
Ako je to html file sa pomoći onda bi trebalo biti ljudski čitljivog teksta u njemu.
Kako nije bilo ništa takvog, samo sam napravio shift + del


EDIT:
Da bi spriječio izluđivanje samog sebe sljedećih par mjeseci, odlučio sam napraviti sljedeće.


1. Ovo računalo na kojem sam skinuo privitak ću format c:/ reinstall windowsa i ostaviti ga iskopčanog iz mreže.

2. Nakon što reinstallam windowse, napravit ću image diska.
3. Spojit ću se na net preko mobitela.
4. Skinut ću zip, raspakirati i kliknuti na pomoc.


Ovi iz e-računa tvrde da te nakon toga pita usernameove i passove i ništa više od toga

Zadnje izmijenjeno od: Colop. 04.07.2023. u 10:09.
Colop je offline   Reply With Quote
Staro 04.07.2023., 10:15   #15
kopija
DIY DILETANT
 
kopija's Avatar
 
Datum registracije: Jan 2009
Lokacija: Čistilište
Postovi: 3,053
Sumnjam da je zero-day, to čuvaju za high-profile mete.
Kaspersky bi odma digao paniku da si POKRENUO taj "help".
Broj crvenih hitova na Virustotalu raste zato što s vremenom raste i broj korisnika koji su actually pokrenuli "help", heuristika AV programa skuži da je maliciozan, blokira izvršenje i briše ga i javi centrali da ga ubaci u malware bazu podataka.

Uglavnom, sjedi, pet, prošao si malware test
kopija je offline   Reply With Quote
Staro 04.07.2023., 18:12   #16
medo
#erase startup-config
Moj komp
 
medo's Avatar
 
Datum registracije: Nov 2001
Lokacija: Zagreb
Postovi: 2,942
Vrijeme ti je da počneš koristiti neki od sandbox alata da ti se takve stvari ne rašire po kompu.
__________________
"It's not a bug, it's a feature!"
1N6pJsvusP7afu23qs1uBscK16wfcG7C8m
medo je offline   Reply With Quote
Staro 04.07.2023., 19:31   #17
Colop
Premium
 
Datum registracije: Sep 2011
Lokacija: Split
Postovi: 954
Citiraj:
Autor medo Pregled postova
Vrijeme ti je da počneš koristiti neki od sandbox alata da ti se takve stvari ne rašire po kompu.
A jebga, prvi put u 25 godina da sam skoro dobio virus.
Koji od tih sandbox alata da koristim.

Poslano sa mog SM-N770F koristeći Tapatalk
Colop je offline   Reply With Quote
Staro 04.07.2023., 20:03   #18
kopija
DIY DILETANT
 
kopija's Avatar
 
Datum registracije: Jan 2009
Lokacija: Čistilište
Postovi: 3,053
Windows ima integrirani sandbox, samo ga moraš uključit.
Ili digneš virtualku, easy-peasy.
kopija je offline   Reply With Quote
Staro 05.07.2023., 09:37   #19
Colop
Premium
 
Datum registracije: Sep 2011
Lokacija: Split
Postovi: 954
Ok, ali kakva je korist od toga protiv virusa kojeg sam ja skoro pokupio:





Contains medium sleeps (>= 30s)

Contains capabilities to detect virtual machines

Contains long sleeps (>= 3 min)

May sleep (evasive loops) to hinder dynamic analysis
Colop je offline   Reply With Quote
Staro 07.07.2023., 09:26   #20
Colop
Premium
 
Datum registracije: Sep 2011
Lokacija: Split
Postovi: 954
Evo, poskenirao sva računala sa AVIROM boot usb, jer Kaspersky mi nije htio loadati GUI, tj loadao je ali bi nakon toga blokirao.


U svakom slučaju, računala u mreži su čista, barem po AVIRI.
Na mom računalu je pronađeno 107 virusa , pa sam maltene pao u nesvijest dok nisam vidio da se svi virusi nalaze u outlook.pst fileu, dakle spam mailovi sa virusima.
Dakle, očekivano najčešći vektor širenja virusa je e-mail.


Pouka svima je da su phising mailovi postali jako jako dobri.
Računala koristim od 1996 godine, i ovo je prvi put da sam skoro klikao gdje ne smijem.

Ovaj konkretan virus je netko iz HRV prilagodio za naše tržište, i savršeno tempirao.
SPAM T com e-račun je stigao dan prije pravog T com računa.

Pričao sam i sa ljudima iz e-računa, rekli su mi da znaju za taj phising, i targetirana je točno jedna djelatnost.


Anyways, backup glavu čuva, dakle uložite u NAS,eksterni disk i C2 backup u oblaku, i trebalo bi biti dobro.




Backup glavu čuva, nadam
Colop je offline   Reply With Quote
Oglasni prostor
Oglas
 
Oglas
Odgovori


Uređivanje

Pravila postanja
Vi ne možete otvarati nove teme
Vi ne možete pisati odgovore
Vi ne možete uploadati priloge
Vi ne možete uređivati svoje poruke

BB code je Uključeno
Smajlići su Uključeno
[IMG] kod je Uključeno
HTML je Isključeno

Idi na