CryptoLocker által titkosított fájlok visszaállítására szakosodott oldal indult

Titkosítás, biztonság, privát szféra

CryptoLocker

Azon kevésbé szerencsés Windows felhasználók számára, akik beszopták a CryptoLocker ransomware-t, jó hír lehet, hogy elindult egy oldal, amely arra vállalkozott, hogy a malware által titkosított fájlokat visszaállítja használható állapotba.

A képlet (illetve a fenyegetés) egyszerű: az áldozat beszopja a malware-t, ami aztán titkosítja a felhasználói adatokat (office dokumentumok, mp3-ak, képek stb.), majd közli az áldozattal, hogy X órája van arra, hogy fizessen és cserébe megkapja a fájlok visszaállításához szükséges privát kulcsot. Ha nem fizet, akkor a kulcs - ami az interneten egy titkos helyen tárolódik - megsemmisül és onnantól kezdve a felhasználó búcsút mondhat (elvileg, de láthatjuk, hogy nem) örökre az adatainak.

A KrebsonSecurity szerint a FireEye és a Fox-IT biztonsági cégek elindították decryptcryptolocker.com-ot, amelyre ha az áldozat feltölt egy eltitkosított fájlt a gépéről és megadja az e-mail címét, akkor kap egy linket, ahonnan letöltheti azt a visszaállító szoftvert, amivel visszaállíthatja a számítógépén az "összekuszált" fájljait.

Felmerülhet a kérdés, hogy a két cég hogyan képes erre... A hírek szerint úgy, hogy valahogy sikerült hozzájutniuk azokhoz a privát kulcsokhoz, amelyekkel a ransomware készítői - "szolgáltatásuk keretében" - visszaállították az áldozatok fájljait....

A két biztonsági cég egyéb részleteket nem árult erről el.

A részletek elolvashatók itt.

( Tsab | 2014. 08. 07., cs – 16:08 )

ertem en de javitsunk mar a nyelvezeten

( szollosiimre | 2014. 08. 07., cs – 16:55 )

A fireeye az egyik legprofibb IT security gyártó. Respect. Ugyanakkor nagy portálon valóban nem kéne...

( elod v | 2014. 08. 07., cs – 17:10 )

A CryptoLocker a régebbi változat amiben valamit állítólag elszúrtak.
CryptoWall az újabb, felénk már kinyílt a zsebe valakinek :(.

SynoLocker-ről még keveset tudni.

A CryptoLocker a régebbi változat amiben valamit állítólag elszúrtak.

Nem az volt az, amiben sima XOR kódolás használtak, úgyhogy elég volt egy 0 byte-okkal teli fájlra ráküldeni a vírust a kulcs előállításához?

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

a cryptolocker biztosan nem xor, eleg sokat szenvedtunk vele (par ugyfelunk beszopta), mindenfele statisztikai analizissel is, de remelnytelen.

viszont fejlesztettunk egy toolt, ami titkositastol fuggetlenul helyreallitja az office dokumentumokat (doc/xls/ppt/docx/xlsx/pptx stb) is, legalabbis amikor csak az elso szektor van felulirva/elcseszve (a cryptolocker csak a fileok elejet kodolta le, nem az egeszet).

A'rpi

( Imo | 2014. 08. 07., cs – 19:52 )

És mi lesz azokkal, akik linuxon szopták be a synolocker-t, ami ugyanez pepitában? Őket ki menti meg?

Azért ez a szoftver több mint egy linux... .
Van egy nagyon durva webes frontendje, amibe bele lehet zavarodni, hogyha mint linuxos ülsz le elé. Ennek következtében gondolom rengetek egymásba linkelt processzel dolgozik, és az ezeket összekötő mechanizmusokkal. Magyarul túl van bonyolítva.

"sehogy, illetve nem körültekintően tűzfalazott"

helyett inkább

"a linuxos webszerverét a netre engedve/natolva, hogy managelni lehessen és/vagy standard, netre szánt szolgáltatásait használva" szöveg közelebb lenne az igazsághoz.

"8 hónapja javított hibát tartalmazó"

vs.

"windows-on, nem biztonsági hibán, hanem saját akartból, virusos állomány kézzel való telepitésével..." vs. "linuxos szerveren, hozzá sem érve, távolról authentikáció nélkül szanaszét törni, adatokat titkositani/megsemmisiteni, bitcoint bányászni"

Ugye milyen máshogy hangzanak a dolgok, ha a teljes igazságot leirjuk, mindkét esetben...

""a linuxos webszerverét a netre engedve/natolva, hogy managelni lehessen és/vagy standard, netre szánt szolgáltatásait használva""

VPN-t használva / csak meghatározott IP-ről a megengedve a szolgáltatások elérését.

Utána következő magömlésed, amit leírtál olyasmiket állít/tagad, amit senki sem állított.

--
trey @ gépház

Synologyban még van is VPN hozzáférés. De ha olyan értelmesen van kirakva az user elé, mint pld a levelezőszervere, akkor ... .

A másik gond, az egységsugár. Az eszköz segíti abban a felhasználót, hogy ő azt a távolról el is érje, na de addig terjed a jóság mig megvan a portforward.
Hogy meg hogy normális tűzfalat tudjál otthon építeni ahhoz minimum mikrotik, de inkább egyéb vállalati szintű eszköz kell. Kevés egységsugarú user fogja levédeni a rendszerét akár így, akár úgy, mert hogy megy.

Tehát akkor most Linux vagy nem Linux.
Tökmindegy.

Kell-e érteni hozzá 2014-ben a szakmabeliek.
A szakmabelinek ahhoz kell érteni, ami a dolga. Ez kiderül a munkaköri leírásból. Tény, hogy az ő synology-ja cryptálódik, akkor a munkaszerződésben úgy is van kitétel, hogy mivel felel a károkozásáért, ha felel.

De most már kiderül, hogy nem csak a szakmabelinek, hanem a nemszakmabelinek is kellene.
Okostelefon,okostévé,nas,tablet,laptop .... . Ha már minden termék okos. Akkor lehet hülye a felhasználó?

Én egy szóval nem láttam megemlitve, hogy azokat a szolgáltatásokat amiket nyújt ez a linuxos box, csak vpn-en vagy fix ip-re leszűrve lehetne biztonságosan használni. Én errefelé mindig azt hallom, hogy windows-t ki ne tegyél a netre, csak linuxot.

Amit te magömlésnek titulálsz, azok csak az egyszerű tények összefoglalása egy linuxos titkositó féregről amihez hozzá sem kell érni és távolról felnyomják a linuxos dobozt (erről sajnos nem maradt idő/hely beszámolni a HUP-on) és egy windows-t érintő, a user által önszántából telepitett titkositó ransomware-ről, amiről a főoldalon egy féloldalt kitevő, hatalmas (egyébként értelmetlen) screenshotot tartalmazó cikket is sikerült rittyenteni.

Én csak egy picit árnyalni akartam volna a témát :)

"Amit te magömlésnek titulálsz, azok csak az egyszerű tények összefoglalása egy linuxos titkositó féregről amihez hozzá sem kell érni és távolról felnyomják a linuxos dobozt "

Amit a "szakértők" kitettek a netre és a "szakértők" 8 hónapja nem frissítettek. Rendkívül _aktuális_. -> nincs róla cikk (nyolc hónapja még hír lett volna).

"egy windows-t érintő, a user által önszántából telepitett titkositó ransomware-ről,"

Tévedés. Csak egy komplett idióta, vagy egy - én nem tudom miért, de - vérig sértett Windows fanboy nem látja, hogy a cikk nem a ransomware-ről szól (napi minimum egy tucat lát napvilágot, a faszom ír róluk), hanem egy _sokak számára hasznos weboldalról (hint: cikk címe), ami abban _segít_, hogy ne töröljék le a rendkívül fontos, eltitkosított adatukat, mert _van megoldás a visszaállításra_.

Összefoglalva: a cikk egy új szolgáltatás elindulásáról szól. A ransomware működése azért van leírva, hogy érthető legyen, hogy _mire való az újonnan indult oldal_.

HTH

--
trey @ gépház

"Rendkívül _aktuális_. -> nincs róla cikk (nyolc hónapja még hír lett volna). "

Ejjha. A synology 4 azaz NÉGY napja tud erről a féregről, igy ha te nyolc hónapja irtál volna róla, na az valóban bomba hir lett volna. De igy, hogy a piacvezető SOHO NAS vendor linux boxát szarrá hackeli milliószám egy ransomware - most a napokban -, ez tényleg nem egy nagy hir a HUP-on, szemben a windows-os ransomware-rel amit a user maga telepit, ill. annak törlése szintén életbevágó. Áldott egy lélek vagy, hogy csak ezért irtál róla cikket, jó nagy windows-os ransomware képernyőképpel a főoldalon, de tényleg.

"De igy, hogy a piacvezető"

citation needed

"SOHO NAS vendor linux boxát szarrá hackeli milliószám"

citation needed

"ez tényleg nem egy nagy hir a HUP-on,"

Legközelebb küldd be. Synology linuxos NAS-ban itthon áránál fogva messze nem piacvezető. Elterjedtségére is kíváncsi lennék.

"szemben a windows-os ransomware-rel amit a user maga telepit, "

citation needed / Vagy az OS/böngésző 0day hibáit kihasználva beszív. Amit aztán behurcol a céghez, ami onnan komplett katasztrófa:

Police computers in New Hampshire hamlet crippled by crypto-based ransomware.

"Ennak törlése szintén életbevágó"

Semmiféle törlésről nincs szó a cikkben. Nem hittem volna, hogy ennyire fogalmatlan vagy.

" Áldott egy lélek vagy, hogy csak ezért irtál róla cikket, jó nagy windows-os ransomware képernyőképpel a főoldalon, de tényleg."

Köszi. :D

--
trey @ gépház

""De igy, hogy a piacvezető"

citation needed"

The leading vendors within this segment were Synology and QNAP, with growth of +64% and +107% respectively. Between them, these two vendors held over 90% of the Western European Distribution market for August 2013, Synology having the larger share. "

EU-ban piacvezető, de felőlem lehet 2. vagy 3. is, a lényegen nem változtat. Neked nem kellett róla cikket irni, mert kellemetlen. Szerencsére a hwsw és a többi független IT portál lehozta, ők valamiért ezt a "8 hónapos" hirt érdemesnek találták ma. Fura.

"Legközelebb küldd be. Synology linuxos NAS-ban itthon áránál fogva messze nem piacvezető. "

Az meg, hogy linuxot futtat, standard linux-os csomagokat kell rajta havonta pachelni, az nyilván teljesen lényegtelen. De nyugodj bele elég elterjedt.

Tippem szerint, bár windows-t nagyságrendekkel többen használnak, de összemérhető lehet az érintett userek száma a két ransomware kapcsán.

"Semmiféle törlésről nincs szó a cikkben."

Megfogtad a lényeget.

Esetleg a lényegről valamit, hogy neked a 4 napja felfedezett féreg 8 hónappal ezelőtt lett volna ESETLEG érdemes arra, hogy irjál róla, amikor még féreg sem volt, csak egy biztonsági rés?

"Neked nem kellett róla cikket irni, mert kellemetlen."

Már akkor írtam linuxos hibákról ezen az oldalon, amikor az itteniek közül sokan még az oviban tologatták a csattogós lepkét. Azóta is rendszeresen. Valójában, ha annyi ezresem lenne, ahányszor ilyen témában írtam - sokszor egyedüliként ebben az országban -, akkor már egy középkategóriás családi autó ára lenne belőle.

Próbálkozz valami erősebb trollinggal, mert ez sovány.

Tehát akkor arról, hogy itthon milyen market share-je van és összesen hányat törtek fel belőle, továbbra sincs semmi?

"Esetleg a lényegről valamit,"

Hogyne lenne. Már korábban is javasoltam, hogy írd meg, küldd be és kiteszem. Ott még nem tartunk, hogy a te megrendelésedre írok én cikket. Illetve, ha nem említettem volna, akkor most említem.

--
trey @ gépház

Érdemes megnézni a release notes-okat, hogy képben legyen az ember, milyen hibákról is van szó általában:

http://www.synology.com/en-us/releaseNote/model/DS412+

Amint látod az esetek nagy részében nem a saját fejlesztésű web frontenddel van a gond, hanem a szokásos linuxos csomagokkal: openssl, samba, php, ntp, curl meg persze az alap linux kernelhibák

"Magyarul túl van bonyolítva."

Heartbleed sem a processzek túlbonyolitása miatt volt benne, meg a samba lyukak sem. Ezek ugyanazok a hibák amit bármelyik linuxos szerveren foltoznod kell állandóan.

És akkor ebből

Security Vulnerabilities Published In 2013

mutasd ki, légyszi, hogy milyen általános Linux-komponens tehető felelőssé, hogyan vannak veszélyben általában a Linux disztribúciók, mit kell javítani, hogy ne legyenek!
Köszi.

________________________________________
"The vision of Christ that thou dost see
Is my vision’s greatest enemy."

Mivel itt sem a Linuxot, sem a Windowst vagy bármi mást futtató gép nem a végcél, így teljesen mindegy, melyiket használod. Egy Linux mailserver-nél sem a Linuxon szopod be a szarokat, hanem a szarok végcélján, mondjuk a Windowst futtató gépeken. Mert egy ilyen NAS nem egy szimpla külső háttértár, hanem egy önállóan futó gép, saját netcsatlakozással, saját OS-sel, mindennel, ami kell. Nyilván azt nem akartad mondani ezzel, hogy a Synolocker miatt általában veszélyben lennének a Linuxot futtató gépek. Mert nincsenek. Szerintem.

________________________________________
"The vision of Christ that thou dost see
Is my vision’s greatest enemy."

A linuxok ugyanúgy veszélyben vannak, nem a synolocker miatt (mert az dsm specifikus) hanem azon sokszáz hiba miatt, amit egyébként a synology-kon is foltoznak havonta többször. Ha megnézed, ugyanazokat a linuxos csomagokat kell synology-n is frissiteni, mint linux szerveren, csak ott egybecsomagolják neked a dsm update-be.

És? Ki írta, hogy nem kell javítani a Linuxo(ka)t? Itt nem erről van szó. Hanem arról. hogy te azt állítottad, hogy emiatt a hiba miatt a Linuxok általában veszélyben vannak, "Aztán lehet ugyanazt a váltságdíjat fizetni, mint aki winen beszop ilyet." Magyarul keverted a szezont a ..szommal.
________________________________________
"The vision of Christ that thou dost see
Is my vision’s greatest enemy."

( carlcolt | 2014. 08. 08., p – 01:00 )

Annak ellenere hogy most hallok eloszor a virusrol es senki nem kapta meg a kornyezetemben, csak annyit mondok: remelem a virus keszitojet/keszitoit elkapjak, es beviszik valami brazil bortonbe ahol veresre szaggatjak a segglyukat. Ha mar ennyire tudott programozni meg ertett az RSA-hoz, annyi ezer mas sokkal kevesbe gusztustalan dologbol is tudott volna sok penzt keresni. Ez bizony valasztas kerdese volt nala hogy ekkora rohadek lesz, es ezert remelem evekig fog szenvedni a bunos!

Ugyan nezz mar utana mi ez a virus. Baromira nem valasztas kerdese volt hogy akarod-e egyaltalan titkositani a fajljaidat. Remelem a szerzo anyjat abban a korhazban kezelik majd ahol veletlen megjelenik ez a virus es letitkositja a kezeles mogotti sqlite file-t ezzel az anyja gyogyulasat akadalyozva.

( hory v | 2014. 08. 08., p – 01:03 )

Nyilvan a rendorseg elso dolga volt fagyasztani a bankszamlat es/vagy megnezni, hogy ki es honnan szedi le rola a penzt.

Aztan egy kicsit is profibb rendor kihallgato egy atlag nerd gyereket siman szetszed. Ha megvannak a kulcsok, mar mehet is a fenti.

Tanulsag: ha azt akarod, hogy IT-s analfabetak is tudjanak neked utalni, a rendorseg is kovetni tudja a penz utjat.

( Caro | 2014. 08. 08., p – 07:47 )

Szerintetek az rendben van hogy 1 USD = 1 EUR??
Szerintetek az rendben van hogy én ezen akadok fenn?? :)

( carlcolt | 2014. 08. 10., v – 09:20 )

"And where is the creator of this virus?"
"He ran somewhere"

Ba-dum-tss

( wELDER v | 2014. 08. 15., p – 15:16 )

bocs, nem olvastam el a többi hozzászólást, de szerintem megtalálták a titkos szervert és meghackelték...