|
04.02.2015., 13:05 | #32 |
Slučajni prolaznik
Datum registracije: Mar 2010
Lokacija: Samobor
Postovi: 200
|
Da se pohvalim da je kod nas jedna "teta" jutros pokupila viruščinu. Dobila na mail attach pa je malo otvorila.... Trenutni stanje: njen komp je u procesu reinstalacije, a na mreži imamo 13159 zaraženih dokumenata Radimo listu pa iz backupa vući podatke nazad....
__________________
Video Odabrao: Đelo Hadžiselimović Preveo: Saša Kolka Tekst čitao: Miljenko Kokot Tonski obradio: Ruben Albahari |
|
|
Oglas
|
|
04.02.2015., 14:16 | #34 |
Slučajni prolaznik
Datum registracije: Mar 2010
Lokacija: Samobor
Postovi: 200
|
A čuj, svaki mjesec šaljemo obavijest da se takvi mail-ovi ne otvaraju, no opet uvijek imaš pojedince... Sreća pa je stalo samo na jednom serveru, s obzirom da imamo na još 3 share-ane foldere.
__________________
Video Odabrao: Đelo Hadžiselimović Preveo: Saša Kolka Tekst čitao: Miljenko Kokot Tonski obradio: Ruben Albahari |
05.02.2015., 13:34 | #35 |
Premium
Datum registracije: Feb 2006
Lokacija: Zagreb
Postovi: 2,560
|
Frend pokupio ovo smeće. Some very serious shit Imao licencirani najnoviji sophos + antimalware + mse Kolko vidim po netu, ima vrlo sofisticiranih varijanti ovog smeća koja prolaze kroz gotovo sve. antimalware je nakon updejta maknuo to smeće, ali ne može dekriptirati. zarazio je sve dokumente, većinu slika, pdf, čak i outlookov pst file također: - ne pomaže system restore - usb backup mu je bio spojen pa je i on zaražen - ovaj gore link za dekripciju također ne pomaže jedino što preostaje: - shadow copy probat izvuć (možda se nekaj i nađe obzirom da je system restore bio upaljen) - recovery tools ala r-studio U 15 godina mog sistem administriranja, što u firmi, što u obitelji i frendovima, što u fušu, nijesam imao ovakvo sranje pred sobom
__________________
i9-10850K / asrock z490 taichi / 64gb DDR4/ 1gb ssd / 4 tb wd hdd / Gigabyte 6600xt / Zadnje izmijenjeno od: Roberto. 05.02.2015. u 13:48. |
05.02.2015., 14:17 | #37 | |
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,608
|
Citiraj:
Ali da bi se moglo, o, bi, i te kako. Sto bi se reklo, ne smijem javno, ali stvar je zapravo vrlo trivijalna i izvediva neovisno o sustavu. Jedini "trigger" koji ju je potaknuo tek sada je cinjenica da vrlo "transparentno" mogu traziti "otkupninu" na takav nacin.
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. |
|
05.02.2015., 14:23 | #38 |
Premium
Datum registracije: Jul 2006
Lokacija: ...
Postovi: 681
|
Zato sam ja super zadovoljan kako je jedan Thinkpad T43 prodisao na Mint XFCE, a najveća briga je rješena - šta i kako sa virusima i ostalim napastima koji najviše stižu na USB stickovima u ovom slučaju. Ima li itko više informacija iz prve ruke, gdje i šta je otvarano, skinut neki .exe ili neki addon za browser, iskreno ne bi se htio susresti sa ovim. |
05.02.2015., 14:27 | #39 | ||
Premium
Datum registracije: Feb 2006
Lokacija: Zagreb
Postovi: 2,560
|
Citiraj:
Nisam u detalje istraživao. Citiraj:
@tota, ak osam dobro uspio rekonstruirati priču, frend je ovo dobio putem maila, od nekog ''talijana'',a taman je rebao dobiti mail od nekog iz Italije pa je kliknuo, otvorilo mu se par popupova u browseru i dok je to zatvarao, valjda je nekaj kliknuo. Sat vremena kasnije mu je izbacio poruku, plati jer smo te ''enkriptirali'' kako kaže bubba, trivijalna stvar u pozadini, a nemreš se toga riješit. zapravo bolje rečeno, riješiš se virusa, ali ne i njegovih posljedica
__________________
i9-10850K / asrock z490 taichi / 64gb DDR4/ 1gb ssd / 4 tb wd hdd / Gigabyte 6600xt / Zadnje izmijenjeno od: Roberto. 05.02.2015. u 14:44. |
||
05.02.2015., 15:54 | #40 | ||
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,608
|
Citiraj:
Windows VirusTotal (dva false positiva i jedan "skoro pogodjen") http://youtu.be/G6QncyYibZ8?hd=1 Linux VirusTotal (0 bodova) S time da je ovo vrlo primitivno napravljeno, s jos par linija koda i malo obfuskacije i optimizacije, dobijes jos manji i jos "gadniji" file. Eh, da, u jednom je i enkripter i dekripter, pa je fajl jos i veci... Ako nekog zanima kako radi u zivo NA VLASTITU ODGOVORNOST, u attachmentu je ZIP s 32 bitnim Windows executiveom i 64 bitnim Linux executiveom. Password za otvaranje ZIP-a mozete dobiti na PM. CTB(Win+Lin).zip Citiraj:
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. |
||
|
|
Oglas
|
|
06.02.2015., 00:44 | #43 |
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,608
|
Nisam bas ni ja skuzio sto je pesnik hteo da kaze. @čuks sumnjam da ce se netko baviti time. Ali svaki sustav je vise ili manje ranjiv ovime obzirom da se ne radi o klasicnom "virusu". Mislim, nema nista spektakularno "maliciozno" u ovome; isto mozes reci da je iz, recimo, nekakav arhiver "maliciozan" jer ce ti zapakirati datoteke, pobrisati ih i lupiti password na njih... Ovakve stvari se tesko otkrivaju jer u principu ne rade nikakve exploite, njihov posao je vrlo jasan i precizana. Kao sto rekoh, tesko su mogle funkcionirati do sada (osim iz ciste "zlobe" ili kako to vec zelis nazvati) jer je i dalje novcu relativno lako uci u trag. Ovako, imas te *coine i mozes se, da prostis, jebat...
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. |
06.02.2015., 09:21 | #44 |
Premium
Datum registracije: Feb 2006
Lokacija: Zagreb
Postovi: 2,560
|
Baš sam htio napisati kako klasični virusi više gotovo nigdje i ne predstavljaju problem, već ovakvi prefrigani malwarei. Ovo će se provući gotovo svim av alatima, čak i antimalwareima jer zapravo ni nije malware. Već je skovan novi pojam - ransomware Uglavnom ništa nije pomoglo, izgleda da ova nova varijanta više ne briše originalni file nakon što stvori kriptirani, već kriptira orginal. Tri alata za backup podataka sam isprobao, nema šanse. Shadow Copy nula bodova, system restore također. Frend će ili morat platit ili čekat tko zna kolko da netko napravi dekripter, i opet je upitno hoće li s njim moći riješiti stvar.
__________________
i9-10850K / asrock z490 taichi / 64gb DDR4/ 1gb ssd / 4 tb wd hdd / Gigabyte 6600xt / |
06.02.2015., 09:50 | #45 |
Whatever :)
Datum registracije: Nov 2002
Lokacija: Rijeka,Bulevard
Postovi: 1,744
|
__________________
|
06.02.2015., 14:31 | #47 |
Banned
Datum registracije: Dec 2013
Lokacija: ST
Postovi: 950
|
Uvijek je tako i bilo :P Al po meni su veci problem ovakve stvari koje se same pokrenu preko exploita. Ovako kad ti sam pokrenes neku aplikaciju, tko ti kriv, al kad te zarazi da nisi nista pokrenuo nego se nasao na krivom mjestu u krivo vrijeme, e onda je panika :P |
07.02.2015., 11:07 | #48 | |
Strichek Moderator
Datum registracije: Apr 2005
Lokacija: Zg
Postovi: 9,328
|
Citiraj:
__________________
žmnpp |
|
04.03.2015., 11:03 | #49 |
Whatever :)
Datum registracije: Nov 2002
Lokacija: Rijeka,Bulevard
Postovi: 1,744
|
Pojavila se neka nova verzija lockera, na prvu izgleda da fajlovi su ok ali kada ih pokusate otvoriti ne ide. Unutar direktorija se pojave datoteke help_decrypt.html i help_decrypt.png Radi se o Ransom-FOO! barem prema logu od antivirusa.
__________________
|
07.03.2015., 21:21 | #50 |
Premium
Datum registracije: Dec 2014
Lokacija: Pula
Postovi: 90
|
I ja sam imao problema sa decode@india.com i nisam nikako mogao nać riješenje.... Zanimljivo da ne enkriptita .exe nego skoro sve ostale datoteke.... Morao sam stavit Win na novo nažalost....... lp |
09.03.2015., 15:56 | #52 |
Premium
Datum registracije: Feb 2008
Lokacija: Zagreb
Postovi: 170
|
Ne pomaže to... |
18.03.2015., 19:15 | #53 |
Premium
Datum registracije: May 2010
Lokacija: doma
Postovi: 2,796
|
|
18.03.2015., 19:21 | #54 |
Premium
Datum registracije: Jul 2012
Lokacija: Petrinja
Postovi: 1,604
|
E ovog sam danas i na svoje oči vidio. Isto način zaraze: nepoznat (ili korisnik nije htio reć gdje je pokupio) - ali da ista identična poruka i mail. I to pokraj posve updejtanog (i legalnog da ne bi pomišljali) NOD32 AV.a (!). |
18.03.2015., 19:33 | #55 |
Treba kaj skurit??
Datum registracije: Jan 2004
Lokacija: Zgb
Postovi: 4,025
|
A koji je gušt kad ti stotinjak korisnika odjednom to pokupi i počne se po filesharu širiti :S Malo prije sam pobrisao jedno 400GB fileova zbog tog govna |
18.03.2015., 23:04 | #57 | |
Premium
Datum registracije: Dec 2014
Lokacija: Pula
Postovi: 90
|
Citiraj:
Ha...a meni rekli da ga nod prepoznaje bez problema... Neznam više koji da AV stavim za prevenciju ubuduće... microsoft security essential možda ili ? Baš ja danas probao vratit podatke nakon formata od tog sranja, i ništa. Probano sa get data back, recuva, undelete, remo recover, stellar phoenix, wondershare i neznam ni sam još kojim. Vrate se podaci ali ostanu kriptirani, pomislio sam da pošto virus duplira podatke kako sam čitao te briše originale da će nešto možda uspijet. Nema šanse, fajlove koje nađe (kriptirane) imaju created date original fajla zanimljivo... Tako da ništa od toga nažalost, ali to sam vraćao sa particije na kojem nije bio windows i izgleda da se virus sa zaražene particije nemože više pokrenu dalje ako ga se npr. obriše na sistemskoj particiji... lp |
|
19.03.2015., 08:25 | #58 |
Registered User
Datum registracije: Dec 2007
Lokacija: Bj
Postovi: 53
|
Da si malo pojasnim, virus ne ostaje na računalu? samo pri pokretanju napravi sranje? meni je kriptirao sve u my doc. preskenirao sam s nodom, malw i avirom i nisu ništa našli...znači da su fajle najebale a da je ostalo okej (ima još računala u mreži)? |
19.03.2015., 09:18 | #59 | |
Premium
Datum registracije: Dec 2014
Lokacija: Pula
Postovi: 90
|
Citiraj:
Probaj sa syp hunterom skenirat ili sa malware bytes (meni je on našao). Navodno se širi i mrežom da.... lp |
|
19.03.2015., 11:38 | #60 |
E Pluribus UNIX
Datum registracije: Oct 2002
Lokacija: M82
Postovi: 6,608
|
Odakle "nabaviti" ovaj zgodan komad softvera i sve njegove iteracije? Mislim da imam solidnu i lako izvedivu ideju za real time monitoring koji bi sprijecio ili minimizirao nepozeljno ponasanje, ali nemam bas vremena i volje istrazivati i zabavljati se akvizicijom predmetnog smeca, pa ako netko ima dobar link ili referencu, biljezim se sa stovanjem. Koliko vidim, postoji ovo ali mi se ne cini da je dovoljno djelotvorno i izgleda da se tesko implementira u ozbiljnija okruzenja koja imaju group policy vec implementiran s restrikcijama.
__________________
Programer
Rok od dva mjeseca u stvari znači četiri, ali nikako ispod šest. |
|
|
Oglas
|
|
|
|