CTB Locker :(

[acer]

Sad moramo cekati da netko proba ovo.

[Dooks]

Da se pohvalim da je kod nas jedna "teta" jutros pokupila viruščinu. Dobila na mail attach pa je malo otvorila....
Trenutni stanje: njen komp je u procesu reinstalacije, a na mreži imamo 13159 zaraženih dokumenata

Radimo listu pa iz backupa vući podatke nazad....

[Mirkopoter]

This is some serious bullshit.. od sad još malo oprezniji biti.. damn

[Dooks]

A čuj, svaki mjesec šaljemo obavijest da se takvi mail-ovi ne otvaraju, no opet uvijek imaš pojedince... Sreća pa je stalo samo na jednom serveru, s obzirom da imamo na još 3 share-ane foldere.

[Roberto]

Frend pokupio ovo smeće. Some very serious shit

Imao licencirani najnoviji sophos + antimalware + mse
Kolko vidim po netu, ima vrlo sofisticiranih varijanti ovog smeća koja prolaze kroz gotovo sve.

antimalware je nakon updejta maknuo to smeće, ali ne može dekriptirati.
zarazio je sve dokumente, većinu slika, pdf, čak i outlookov pst file

također:
- ne pomaže system restore
- usb backup mu je bio spojen pa je i on zaražen
- ovaj gore link za dekripciju također ne pomaže

jedino što preostaje:
- shadow copy probat izvuć (možda se nekaj i nađe obzirom da je system
restore bio upaljen)
- recovery tools ala r-studio

U 15 godina mog sistem administriranja, što u firmi, što u obitelji i frendovima, što u fušu, nijesam imao ovakvo sranje pred sobom

[Cuky]

Jel netko od vas to pobrao na linuxu? Ili je ovo striktno orijentirano samo na win masine

[Bubba]

Citiraj:

Autor čuks

Jel netko od vas to pobrao na linuxu? Ili je ovo striktno orijentirano samo na win masine

Vjerojatno ne jer se podrazumijeva da je *nix korisnik ipak malkice mudriji, a imas i problema s eksplicitnim pokretanjima executable datoteka i tako dalje.

Ali da bi se moglo, o, bi, i te kako.

Sto bi se reklo, ne smijem javno, ali stvar je zapravo vrlo trivijalna i izvediva neovisno o sustavu. Jedini "trigger" koji ju je potaknuo tek sada je cinjenica da vrlo "transparentno" mogu traziti "otkupninu" na takav nacin.

[tOta]

Zato sam ja super zadovoljan kako je jedan Thinkpad T43 prodisao na Mint XFCE, a najveća briga je rješena - šta i kako sa virusima i ostalim napastima koji najviše stižu na USB stickovima u ovom slučaju.

Ima li itko više informacija iz prve ruke, gdje i šta je otvarano, skinut neki .exe ili neki addon za browser, iskreno ne bi se htio susresti sa ovim.

[Roberto]

Citiraj:

Autor Bubba

Vjerojatno ne jer se podrazumijeva da je *nix korisnik ipak malkice mudriji, a imas i problema s eksplicitnim pokretanjima executable datoteka i tako dalje.

kolko god da to stoji za linux korisnike (upitno ), sad sam na brzaka tražeći info o virusu negdje naišao i da ga korisnici linuxa imaju
Nisam u detalje istraživao.

Citiraj:

Sto bi se reklo, ne smijem javno, ali stvar je zapravo vrlo trivijalna i izvediva neovisno o sustavu. Jedini "trigger" koji ju je potaknuo tek sada je cinjenica da vrlo "transparentno" mogu traziti "otkupninu" na takav nacin.

Brijem da je neko masno zaradio na cijeloj priči, nek svaki deseti od spomenutih 200.000 zaraženih uplati 600 dolara, lova samo takva

@tota, ak osam dobro uspio rekonstruirati priču, frend je ovo dobio putem maila, od nekog ''talijana'',a taman je rebao dobiti mail od nekog iz Italije pa je kliknuo, otvorilo mu se par popupova u browseru i dok je to zatvarao, valjda je nekaj kliknuo. Sat vremena kasnije mu je izbacio poruku, plati jer smo te ''enkriptirali''

kako kaže bubba, trivijalna stvar u pozadini, a nemreš se toga riješit. zapravo bolje rečeno, riješiš se virusa, ali ne i njegovih posljedica

[Bubba]

Citiraj:

Autor Roberto

kolko god da to stoji za linux korisnike (upitno ), sad sam na brzaka tražeći info o virusu negdje naišao i da ga korisnici linuxa imaju
Nisam u detalje istraživao.

http://youtu.be/GoVDZC_z5-I?hd=1

Windows VirusTotal (dva false positiva i jedan "skoro pogodjen")

http://youtu.be/G6QncyYibZ8?hd=1

Linux VirusTotal (0 bodova)

S time da je ovo vrlo primitivno napravljeno, s jos par linija koda i malo obfuskacije i optimizacije, dobijes jos manji i jos "gadniji" file. Eh, da, u jednom je i enkripter i dekripter, pa je fajl jos i veci...

Ako nekog zanima kako radi u zivo NA VLASTITU ODGOVORNOST, u attachmentu je ZIP s 32 bitnim Windows executiveom i 64 bitnim Linux executiveom. Password za otvaranje ZIP-a mozete dobiti na PM.

CTB(Win+Lin).zip

Citiraj:

Brijem da je neko masno zaradio na cijeloj priči, nek svaki deseti od spomenutih 200.000 zaraženih uplati 600 dolara, lova samo takva

Mhm. Jako "dobra" prica. I jaaaako masna para.

[Cuky]

Jos ako koji pametni zapakira win + nix verziju zajedno na udaru su obje platforme. Krasno.

[The AC]

Ček, to govoriš zato jer je bubba iznad tebe linkao win+lin verziju virusa??

[Bubba]

Citiraj:

Autor The AC

Ček, to govoriš zato jer je bubba iznad tebe linkao win+lin verziju virusa??

Nisam bas ni ja skuzio sto je pesnik hteo da kaze.

@čuks sumnjam da ce se netko baviti time. Ali svaki sustav je vise ili manje ranjiv ovime obzirom da se ne radi o klasicnom "virusu". Mislim, nema nista spektakularno "maliciozno" u ovome; isto mozes reci da je iz, recimo, nekakav arhiver "maliciozan" jer ce ti zapakirati datoteke, pobrisati ih i lupiti password na njih...

Ovakve stvari se tesko otkrivaju jer u principu ne rade nikakve exploite, njihov posao je vrlo jasan i precizana.

Kao sto rekoh, tesko su mogle funkcionirati do sada (osim iz ciste "zlobe" ili kako to vec zelis nazvati) jer je i dalje novcu relativno lako uci u trag. Ovako, imas te *coine i mozes se, da prostis, jebat...

[Roberto]

Baš sam htio napisati kako klasični virusi više gotovo nigdje i ne predstavljaju problem, već ovakvi prefrigani malwarei. Ovo će se provući gotovo svim av alatima, čak i antimalwareima jer zapravo ni nije malware. Već je skovan novi pojam - ransomware

Uglavnom ništa nije pomoglo, izgleda da ova nova varijanta više ne briše originalni file nakon što stvori kriptirani, već kriptira orginal. Tri alata za backup podataka sam isprobao, nema šanse. Shadow Copy nula bodova, system restore također.

Frend će ili morat platit ili čekat tko zna kolko da netko napravi dekripter, i opet je upitno hoće li s njim moći riješiti stvar.

[acer]

Naletio na jednom forumu, mozda radi, nek netko proba.

https://www.decryptcryptolocker.com/