CTB Locker :(

[Srdan]

Pogledaj u shadow copy da li imaš snapshote - negdje sam pročitao da znaju obrisati isti, no to je prvo što bi trebalo provjeriti.

Dekripter ćeš dobiti, jedino će malo potrajati jer se treba ze*ebavati s kupovinom tih bitcoina i kada preko Tor Browser-a (morat ćeš preko njega) odeš na njihovu stranicu po broj računa i daljnja uputstva, ona će biti nedostupna zbog čega ćeš morat par sati svako malo refreshati istu.
Kada dođeš do nje i uplatiš bitcoine na dani broj računa na istoj stranici dobiješ key za 20ak minuta.

Uglavnom sve je kako piše u uputstvima, jedno što stranica nije bila nedostupna 1h, već 5h i što za key nije bilo potrebno 15min, već 20.

[Milentije]

Zahvaljujem! Bitne su mi bilo kakve informacije jer do sada nisam priliku da se sretnem sa ovim (srećom).

Kako se stvari budu odvijale dalje tako ću ovde postavljati ostala pitanja.

[Valley7]

Ima na youtubu demonstracija kako sandboxie efektivno brani širenje te gamadi na ostatak sustava. Odnosno, to šifrira samo sadržaj sandboxa, ali izvan njega se ne može proširiti.

[Sam Fischer]

Kriste dragi, izgleda da smo i mi ovo pobrali. Svi fajlovi na severu su nam lockani, sve ponude, sistemski file-ovi od poslovnog informacijskog sustava. Kaos, ne mogu vjerovati.

Na serveru nam je NOD32 naravno legelan, update-an... Znači, pušiona?

Imamo backup okolo po DVD-ima...

[Tihomir111]

Citiraj:

Autor Sam Fischer

Kriste dragi, izgleda da smo i mi ovo pobrali. Svi fajlovi na severu su nam lockani, sve ponude, sistemski file-ovi od poslovnog informacijskog sustava. Kaos, ne mogu vjerovati.

Na serveru nam je NOD32 naravno legelan, update-an... Znači, pušiona?

Imamo backup okolo po DVD-ima...

Ne gasi server ili ga digni u safe mode, jel sve fajlove koje diže server u recimo mysql ostaju otvoreni, cripto ih ne zaključa. Bar nije moj cripto( .id-neki broj _sos@anointernet.com) mdf-ovi znaci su ostali živi (nisam programer tak da oprostis na pogresnim info) Zovi programera nek vidi da li imas ovakvo sta. Ako mislite plaćat otkupninu, ne diraj windowse i instalaciju opcenito. Sretno

[devil2580]

Dal ima uopće koji provjereni antivirus da prepozna taj ransomware?
Već je prošlo dosta vremena od kad su se pojavili....
Meni je rečeno da ga nod32 detektira sta nisam baš vjerovao sad sam siguran...
Nakon sta sam i ja bio zrtva instalirao sam onaj hitman proalert šta se spominjao tu na forumu, do sad je sve ok samo je pitanje do kada....

lp

[Tihomir111]

Koliko sam čuo, licencirani nod32 nije ni trznuo na criptolocker, na nekoliko računala (kolega servisirao). Isto tako kod mene avira free i avg free su prešutili napad. Ja se držim bitdefender free i Hitman pro, pa ćemo vidit...ili bolje nevidit

[Srdan]

MS Essentials isto nula.

[Roberto]

Dečki, to nije virus, neće ga AV programi detektirati u 90% slučajeva.

Ima sad već posebnih alata koji sprečavaju instalaciju tog sranja.
Ali onaj ko je popušio to smeće, backup ili paćanje, nema treće.

[Xizor]

Citiraj:

Autor Roberto

Dečki, to nije virus, neće ga AV programi detektirati u 90% slučajeva.

Ima sad već posebnih alata koji sprečavaju instalaciju tog sranja.
Ali onaj ko je popušio to smeće, backup ili paćanje, nema treće.

Heh da bar, treba se nadati i da LE neće skinuti C&C server. Onda ako i hoćeš platiti nemožeš. No srećom/nažalost za ove manje lockere se, apparently, neda ljudima intervenirati.

Backup i edukacija, iako i to ne mora paliti uvijek.

[silver_tip]

Dali je moguce to djubre izolirat da konkretno ako "sjedne" na C: particiju ne ide nikud dalje sa nje ?

Ili bar da se fizicki zadrzi na jednom hardu ako su u racunalu 2 ?

mislim da ne, koliko sam shvatio, čudo se širi i na cloudove, (gdrive).

[bukovski]

http://www.rtvslo.si/znanost-in-tehn...oveniji/280981

http://www.im-infected.com/trojan/enciphered.html

nepunih 50 sati vec vodim borbu trazeci rijesenje i nasao sam te94decrypter.exe koji se pokrece iz roota ali izbacuje mi "wrong key" poruku...

Pomagaj tko zna vise...

[Bono]

Cisco je izdao tool za decryptiranje, navodno se kljuc za dekriptiranje nalazi na c particiji.

[Srdan]

Citiraj:

Autor silver_tip

Dali je moguce to djubre izolirat da konkretno ako "sjedne" na C: particiju ne ide nikud dalje sa nje ?

Jedino ako radiš pod accountom koji nema prava na ništa osim C-a.

[Roberto]

Taj Ciscov tool je samo za teslacrypt ransomware.
Takodjer, koliko sam citao, ctb ne ostavlja master key na kompu.

[Bono]

Citiraj:

Autor Roberto

Taj Ciscov tool je samo za teslacrypt ransomware.
Takodjer, koliko sam citao, ctb ne ostavlja master key na kompu.

Da pardon Tesla skriva key lokalno, Cisco analiza im je samo pomogla da usavrse Cryptolocker. Toliko negdje kasnimo za Amerikom pola godine do godinu dana.

[Sam Fischer]

Mi smo u frimi isto imali havariju, a koliko vidim - backup, backup i jedino backup. Zaključane file-ove možete bacit u smeće.

Pokrenula ga je žena iz nabave u nekom "maskiranom" emailu. (AdriaticMedia.pdf.exe (!)).
A što da Vam kažem, to je stara garda i njima objašanjavat nešto oko računala je poštena muka...

[Roberto]

Citiraj:

Autor Sam Fischer

Mi smo u frimi isto imali havariju, a koliko vidim - backup, backup i jedino backup. Zaključane file-ove možete bacit u smeće.

Da, jedino kvalitetan backup. i to fizički odvojen od računala, il iako je već online/na mreži, zaštiti ga passwordom inače je i on jebo ježa. Pa to govno je čak i outlookov .pst file zaključalo.

Citiraj:

Pokrenula ga je žena iz nabave u nekom "maskiranom" emailu. (AdriaticMedia.pdf.exe (!)).
A što da Vam kažem, to je stara garda i njima objašanjavat nešto oko računala je poštena muka...

Eh, ne možeš ljude od njihove gluposti sačuvati. danas je naprednije korištenje računala potencijalno vrlo opasno bez korištenja zdravog razuma.

Već sam imao slučaj kolegice koja je pobrala onaj MUP virus, i od srama htjela platit, a ne prijavit što se dogodilo
No, to je bila dječja igra naspram ovog.

Uzeo sam i harderski security uređaj s AV i FW alatima te VPN konekcijom za važnija računala u firmi, ali realno, ovo nije virus i ako netko otvori takav spam mail i pokrene privitak, jao si ga nama.

[Sam Fischer]

Jako zajebana stvar... Nama je pojeo .dat, a to su sistemski fajlovi baze od poslovnog informacijskog sustava. Nevjerojatno, 2 dana smo bili u kaosu...
Pojeo je .rar backupe na serveru. A da mi najebe cijeli .pst od outlooka u kojoj mi je cca 6500 mailova i cijelo poslovanje i kontakti u zadnje 2 godine rada - potpisao bih kapitulaciju.

Idem odvrtit backup

[Roberto]

Citiraj:

Autor Sam Fischer

Jako zajebana stvar... Nama je pojeo .dat, a to su sistemski fajlovi baze od poslovnog informacijskog sustava. Nevjerojatno, 2 dana smo bili u kaosu...
Pojeo je .rar backupe na serveru. A da mi najebe cijeli .pst od outlooka u kojoj mi je cca 6500 mailova i cijelo poslovanje i kontakti u zadnje 2 godine rada - potpisao bih kapitulaciju.

Idem odvrtit backup

Vrti vrti

Kod mene slično - 6484 primljena maila, poslanih 4923

Realno, mogao bih svima instalirati neki od ovih novih alata koji sprečavaju naseljavanje cryptomalwarea, ali mi to izgleda too much, plus što žestoko sjednu na resurse i onda bi bilo svako mala poziva kako kompjutor ne radi dobro i da je usporen.

[Tihomir111]

Kako napravit inkrementalni dnevni upload na neki od cluoud-a? Napravili smo daily backup, al koja mi je svrha ga gurat na google drive, ako ga rokne cripto bude mi zasinkalo sve dane u tjednu. Da li se može na određeni backup disk stavit read only, sa admin passom ili jos koja fora?

[Sam Fischer]

A ček kako vi imate pristup drive-u? Imate ga baš instaliranog pa se prikazuje kao "fizički" drive u My Computeru?

Ja trpam sve preko browsera, sumnjam da može i onda Cryptolocker pristupiti podacima na drive-u...

[Roberto]

Da, ugroženi mogu biti i cloud storage sustavi poput drivea, dropboxa, a naravno i mrežni diskovi.

I da, što se clouda tiče, problem nije samo u pristupu nego i u syncu.
Ako i ne može pristupit driveu, nakon što zarazi lokalne fileove, ako drive napravi sync bit će i on zaražen prije nego što shvatiš što se događa.

Po meni je najbolje trpati backup u jedan file koji će biti kriptiran i onda njega syncati s cloudom.

[Tihomir111]

Citiraj:

Autor Sam Fischer

A ček kako vi imate pristup drive-u? Imate ga baš instaliranog pa se prikazuje kao "fizički" drive u My Computeru?

Ja trpam sve preko browsera, sumnjam da može i onda Cryptolocker pristupiti podacima na drive-u...

Pa hoću automatiku, po noći kad nema nikoga se okida backup. Ako ću ručno sinkat, onda mogu tak i ubost stik bekapirat i izvadit van. I to mi je izgleda najsigurnije

[Sam Fischer]

Citiraj:

Autor Tihomir111

onda mogu tak i ubost stik bekapirat i izvadit van. I to mi je izgleda najsigurnije

Ja sam trenutno na toj varijanti, poražen od strane cryptolockera zbog mojih baba na poslu

[Srdan]

Citiraj:

Autor Sam Fischer

Jako zajebana stvar... Nama je pojeo .dat, a to su sistemski fajlovi baze od poslovnog informacijskog sustava. Nevjerojatno, 2 dana smo bili u kaosu...
Pojeo je .rar backupe na serveru. A da mi najebe cijeli .pst od outlooka u kojoj mi je cca 6500 mailova i cijelo poslovanje i kontakti u zadnje 2 godine rada - potpisao bih kapitulaciju.

Idem odvrtit backup

Konfiguriraj windows server backup s usb hdd-om, sumnjam da njega moze kriptirati posto je disk na koji ide backup bez slova.

[mdodig]

Mozda bi pomoglo backupiranje s nekim softverom kao Acronis, koji radi jednu datoteku koja se moze zastititi i sifrom. Ne vjerujem da bi trojanac kriptirao i tu datoteku (extenzija .tib). A izbjegne se problem odspajanja diska nakon backupa, pa ovo moze biti pravi automatizirani backup. Napravi se task da svaku vecer backupira promjene, pa ako je rijec o dokumentima ispadne svaki dan dodatno par stotina MB.

[Tihomir111]

Citiraj:

Autor mdodig

Mozda bi pomoglo backupiranje s nekim softverom kao Acronis, koji radi jednu datoteku koja se moze zastititi i sifrom. Ne vjerujem da bi trojanac kriptirao i tu datoteku (extenzija .tib). A izbjegne se problem odspajanja diska nakon backupa, pa ovo moze biti pravi automatizirani backup. Napravi se task da svaku vecer backupira promjene, pa ako je rijec o dokumentima ispadne svaki dan dodatno par stotina MB.

Cripto ne pita dal ti je datoteka pod šifrom, on je ne otvara, on je kriptira onakvu kakva je, ista stvar je i za rar pod paswordom

[Sam Fischer]

Točno to, uzalut ti backup file zaštićen za šifrom, kad je taj .tib zaštićen prvo crypto enkripcijom