CTB Locker :(

[sandokan111]

Citiraj:

Autor Bono

Prosla su vremena kad se to moglo, sad su napadi sofisticirani i bez zastite samo sreca pomaze.

Nije bas tako, i nisu se vremena tako promjenila. Vecina "zaraze" se i dalje dobija na isti nacin. Evo ja vec godinama nemam nikakvog antivirusa i nemam nikakve zaraze, a nisam tako sretan, jer bi valjda vec na lotu nesto dobio.

[Valley7]

Citiraj:

Autor sandokan111

Nije bas tako, i nisu se vremena tako promjenila. Vecina "zaraze" se i dalje dobija na isti nacin. Evo ja vec godinama nemam nikakvog antivirusa i nemam nikakve zaraze, a nisam tako sretan, jer bi valjda vec na lotu nesto dobio.

Kako znaš da nema zaraze?

Baš neka gadna napast ovo

[s4vgR]

Širio se preko oglasa na portalima, čak nije trebalo ništa ni kliknuti, ako imaš staru verziju Flasha i Jave. Portali preko ad providera dobivaju oglase koji se mijenjaju i dio njih je očito bio maliciozan.

[Valley7]

Citiraj:

Autor s4vgR

Širio se preko oglasa na portalima, čak nije trebalo ništa ni kliknuti, ako imaš staru verziju Flasha i Jave. Portali preko ad providera dobivaju oglase koji se mijenjaju i dio njih je očito bio maliciozan.

Pf.

Najbolje onda imati flash ugašen osim za youtube i sve browsere etc. vrtiti u nekakvom sandboxu / virtualnom okruženju.

[sandokan111]

Citiraj:

Autor Valley7

Kako znaš da nema zaraze?

Baš neka gadna napast ovo

Znam
Al eto morao sam iz nekih drugih razloga provrtit tijekom godina pokoji antivirus i sve uvijek u redu.

Citiraj:

Autor s4vgR

Širio se preko oglasa na portalima, čak nije trebalo ništa ni kliknuti, ako imaš staru verziju Flasha i Jave. Portali preko ad providera dobivaju oglase koji se mijenjaju i dio njih je očito bio maliciozan.

Sanse za ovo su ono, 1 prema 1000000.

[Valley7]

Citiraj:

Autor sandokan111

Sanse za ovo su ono, 1 prema 1000000.

E nije istina...

Ja se sjećam prije otprilike 2 god. kad me google upozoravo da forum.hr ima viruse kad sam ga upisala u search...

I znam da su u tom razdoblju stalno iskakale nekakve obavijesti o zaraženosti istog. Cijeli rusvaj je izbio oko toga.

[syss]

ja sam mup.hp popušio na gsmareni... java u najvećoj mjeri i flash u manjoj mjeri su najveće pošasti moderne računalne povijesti.

[s4vgR]

Citiraj:

Autor sandokan111

Znam
Al eto morao sam iz nekih drugih razloga provrtit tijekom godina pokoji antivirus i sve uvijek u redu.

Sanse za ovo su ono, 1 prema 1000000.

reci to stotinama usera koji su se zarazili u HR

alat za detekciju (samo za naprednije usere):
http://digital-forensics.sans.org/bl...uctive-malware

[sandokan111]

Citiraj:

Autor Valley7

Ja se sjećam prije otprilike 2 god. kad me google upozoravo da forum.hr ima viruse kad sam ga upisala u search...

Google, kao i vecina trazilica, ce te upozoravat na raznorazne iframeove, scripte itd. Ovo je u 99 slucajeva obicni redirect oglasa ili slicno i nema veze s malwareom koji se tu spominje, tako da je to vjerojatno bila ista stvar (iako naravno neznam sta je bilo pa nemora opce bit to, samo kazem opcenito).

Citiraj:

I znam da su u tom razdoblju stalno iskakale nekakve obavijesti o zaraženosti istog. Cijeli rusvaj je izbio oko toga.

Rusvaj je izbio jer je na tako prominentom forumu tako nesto se dogodilo i korisnicima, od kojih 99% nista ne razumije, odmah stvara paniku i virusi ce im napast racunalo, izbrisat HDD, stvorit zombije i spalit kucu Admini su vjerojatno svjesni toga te znaju da ce izgubit promet i normalno da nastane panika

Citiraj:

Autor s4vgR

reci to stotinama usera koji su se zarazili u HR

Nisu se tako zarazili ja sam siguran 100%. Vecina se zarazila tako da nece priznat kako se zarazila. Klikali su sve i svasta, otvarali stvari koje nisu smjeli itd, ali nece priznat. A mozda nekad nisu ni svjesni. Ja znam doc za racunala i vidjet situaciju gdje ja pojma nemam kako su oni do tog dosli, i kad ih pitam sta si kliko da se ovo pojavi, oni pojma nemaju... Kako? Neznam ni ja, ali pretpostavka je da ljudi klikaju samo da klikaju bez ikakvog citanja, te nakon 3-4og klika vise neznaju sta su poklikali.
Ima situacija gdje znam kako se doslo do toga i kazem "nemoj ovo klikat" i oni uporno tvrde da nisu. I to oko stvari koje su bezazlene. Zamisli ako za to kazu "nisam" sta bi rekli za nesto sto ti locka komp. Svi ovi su naravno korisnici koji se ne razumiju bas u racunala.
Ili najbolje je kad si stave antivirus i onda crack Taj dio mi je najdrazi.

Al ozbiljno, da bi tebe neka outdated verzija "zarazila". Znaci da moras imat bas verziju koja je podlozne nekom RCE-u. Nakon toga, payload se u 99% slucajeva ne nalazi na stranici koja je zarazena jer vecina servera danas ipak ima neki antivirus te bi ga odma nasli i zakrpali stvar, pa se payload drzi na vanjskim stranicama. Znaci da te mora redirectat tamo. Nakon toga mora pogodit tocno verziju windowsa i sve ostale stvari koje su u vecini slucajeva potrebne da bi se payload sam pokrenuo. A u vecini slucajeva zahtjeva i nekakvi exploit u samom sistemu koji omogucuje elevaciju privilegija. Sad kad to sve skupusis u jedno, not really Vjerojatnije je da ti se dogodi nesto iz raznoraznih izmisljenih prica s defcona.

[Valley7]

Ma taj flash je gofno... Da je prošlo jedno cijelo desetljeće i da se nije iznašlo bolje/sigurnije rješenje, e to je stvarno epic fail u računalnoj povijesti.

[syss]

ne ko java.

[Hamm]

Nemojte koristiti vindofse i svi sretni.

Bude vam buba objasnio zašto je linux bolji.

[Bubba]

Citiraj:

Autor Hamm

Bude vam buba objasnio zašto je linux bolji.

http://forum.pcekspert.com/showpost....8&postcount=40

[driftwood]

https://blog.malwarebytes.org/exploi...r-exploit-kit/

[Srdan]

Da li je ključ vezan za pojedino računalo ili za ransomware uploadan na određenu stranicu, poslan u udređenom šutu mailova...
Imam kupljeni CTB-Unlocker koji je uspješno dekriptirao zaraženo računalo i sada ako su ljudi zaraženi s iste stranice, postoji šansa da im je potreban isti key?

[blackened]

Kolko si iskeširao za to čudo? I šta stvarno funkcionira?

[Srdan]

Nisam ja, ja sam se samo bavio time.
3 bitcoina, nešto iznad 4900kn.
Djeluje, ali unlocker može napraviti samo jedan pass na jednom računalu - ako su neki fileovi prebačeni drugdje za vrijeme dekriptiranja te kasnije vraćeni, unlocker ih neće naći, zapravo pretraživanje stoji na mjestu - moraju se prebaciti na drugi komp i tamo pokrenuti isti unlocker.
I naravno "ekstenzija" mora mora ostati ona koju je locker stavio jer tako prepoznaje fileove koje treba dekriptirati.
Folderi i fileovi na koja user koji ga je pokupio nema prava nisu kriptirani, a uz lokalne podatke bude kriptirano i ono što se nalazi na mapiranim diskovima kako je netko već rekao.

[Valley7]

4900 kn???

E stvarno se jedino kriminal isplati. Ostavljam se seciranja trupala i idem prekvalificirati za pisanje virusa.

[Roberto]

Citiraj:

Autor Valley7

4900 kn???

E stvarno se jedino kriminal isplati. Ostavljam se seciranja trupala i idem prekvalificirati za pisanje virusa.

jebote, zaraziš 10000 računala i možeš u pemziju
Eto ti bubba pol posla odradio par postova iznad

Inače, ako je to zadnja verzija CTB lockera, isti ključ drugima neće pomoći, u zadnjoj verziji locker je napravljen tako da za svako računalo kreira posebni ključ. Bar se tako pisalo prije dva mjeseca kad se pojavila ta verzija.

@Srdan, ako hoćeš možemo probat, ima frend i dalje zaražene fileove na računalu

Što se tiče načina zaraze, većina ekipe je ovo pokupila putem maila, u privitku s lažnom txt/fax ekstenzijom.

[Srdan]

https://drive.google.com/file/d/0Bz4...ew?usp=sharing

Evo pa probajte, sretno
btw ekstenzija zaključanih fileova je bila ekstenzija.hcbgpxc

[Roberto]

Sad vidim da u dekripteru gore piše your personal private key. Dakle neće pomoć drugima

[Srdan]

Vjerojatno je tako, ali opet baš da bi te ljude držao za riječ..

[Roberto]

Imam na kompu par kriptiranih filoova pa sam pustio scan, čisto da vidim

Eto probao kod frenda, no go.

[Xizor]

Krimos koji bi nakon cijelog tog truda da inficira ljude stavio isti key svima i nebi bio dobar krimos

Nije Locker nego Vault ali ipak nek se nadje:

http://www.coindesk.com/new-tool-hel...in-ransomware/

[Valley7]

Bitno da u zatvor idu ljudi koji su skinuli nelegalan M$ office.

[Roberto]

Citiraj:

Autor Xizor

Krimos koji bi nakon cijelog tog truda da inficira ljude stavio isti key svima i nebi bio dobar krimos

Nije Locker nego Vault ali ipak nek se nadje:

http://www.coindesk.com/new-tool-hel...in-ransomware/

Koliko sam vidio u prvim verzijama cryptolockera bio je isti ključ za sve, ali je tip evoluirao

[Valley7]

A je li ta gamad dira fajlove sa egzotičnim ekstenzijama?

[Milentije]

Dobro narode, i ja sam dobio prvi panični poziv vezan za ova govna.
Da ljudi meću ključ u bravu od firme ili ima nekog spasa? Nisam do sada posebno obraćao pažnju na ovo ali sada moram. Čitam i sa strane, ali bi bilo dobro ako neko ima svježe informacije da napiše po nešto.

[Roberto]

Za ovu novu verziju s personaliziranim ključevima, situacija je slijedeća, a ista kao i prije dva mjeseca:

Ako je popušio to smeće
A) fileove će vratiti samo backup kojeg je prije snimio i fizički odvojio od kompa (čak i network backup zarazi ako si spojen s njim u trenutku zaraze, tako bar pišu na bleeping computeru)

B) plati pa fileove vrati

Neke male nade postoje sa shadow copy/last version varijantama, ali iz mog iskustva kod frenda ovo smeće je i to pobrisalo nakon zaključavanja fileova. Zaključava ms office fileove, pdf, fotke. Video i mp3 ne.
Probijanje brute forcom bi moglo potrajat godinama, tako da... Jedino se nadat da će netko ekipu ulovit i objaviti ključeve.

[Milentije]

Koliko je sigurna ova opcija plaćanja? Koliko sam uspio uhvatiti u ovoj temi, samo je jedan forumaš to probao i uspio doći do fajlova.

Mislim da cijena neće biti problem imajući u vidu o kakvoj se dokumentaciji radi. Samo je upitna sigurnost "primopredaje".