Minket (engem) ... fájltitkosító ransomware.

Titkosítás, biztonság, privát szféra

nem érintett
66% (340 szavazat)
érintett (fizettem, sikerült visszaállítani a fájlokat)
1% (4 szavazat)
érintett (fizettem, nem sikerült visszaállítani a fájlokat)
0% (0 szavazat)
érintett (nem fizettem, sikerült visszaállítani a fájlokat)
1% (7 szavazat)
érintett (nem fizettem, nem sikerült visszaállítani a fájlokat)
1% (6 szavazat)
érintett (nem sikerült a fájlokat visszaállítani egyéb módon, de backup-ból vissza tudtam állítani)
3% (16 szavazat)
érintett (backup sem volt)
1% (6 szavazat)
Hogy micsoda?
19% (100 szavazat)
Egyéb, leírom.
1% (6 szavazat)
Csak az eredmény érdekel.
6% (32 szavazat)
Összes szavazat: 517

Akkor két lehetőség van:
- A Pandasecurity kinyomozta, hogy melyik titkos szerveren vannak a kulcsok.
- A Pandasecurity csinálta és terjeszti a CTB Locker Virust.
- Avagy kamu a titkos és senki számára sem elérhető szerveren tárolt kulcs, hanem ott van az a helyi gépen jól eldugva amit a Pandasecurity megtalált!
Szóval ez a kettő! :-)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

( Deiters | 2015. 01. 21., sze – 13:12 )

Az érintettek megoszthatnák személyes tapasztalataikat, hogyan (honnan) sikerült a malware-t beszerezni?

Megnéztem a header-eket. Sajnos erősen hiányosak (Outlook, az üzenet a törölt elemekben volt). Bár a felhasználó azt állítja, hogy ismeri a feladó cégét (a két cég állítása szerint kapcsolatban áll), sem a postafiókjában, sem a levelezésében nem találtam ilyen domain-ről érkező levelet. Ettől még persze lehet igaz az állítás.

Ha nem az, akkor sima vírusos e-mail. A mi esetünkben egy strobes.zip\strobes.zip\strobes.scr fájlban jött a csoda. Ez egy dropper, ami pár percen belül letöltötte, és elindította a CTB-Lockert.

Néhány screenshot a levélről: http://imgur.com/a/Ss7oj

Az ügyfélnél nincs. Nálunk van, de most próbáltam, és átjött rajta. A sandboxom egy NAT-olt VirtualBox VM, lefirewall-ozva, hogy a helyi háló irányába csak a DNS kéréseket küldhessen. A HTTP kéréseket a transparent proxy-n futó antivirus ellenőrzi (és engedi át a mellékelt ábra szerint).

A dropper által letöltött EXE maga a CTB-Locker. A dropper minden indítás után más lesz a fájl neve, mérete és az ikonja is.

Erintett, idosebb kollega rakattintott, mert hasonlitott arra a levelre amiben licenszek erkeznek.
Egyebkent tok ismeretlen cimrol erkezett, teljesen irrelevans szoveggel.
ClamAV atengedte, virusirto meg nem volt fent a gepen.
Szerencsenkre network share nem volt felmountolva, igy abba nem piszkalt bele, csak a sajat gepen levo fileokat bukta. (ket megnyitott xls kivetelevel, amit nem tudott torolni).
Teljes reinstall utan, NOD32 felismerte a level letoltesekor a csatolmanyt, ahogy fentebbi linken latszik is.

( Szenti v | 2015. 01. 21., sze – 13:15 )

Az egyik ügyfelünk (akinek mi üzemeletejük a fájlszervert) érintett. A kliensgép a felhasználó home folderét végigtitkosította. A szerveren levő fájlokat backupból állítottuk vissza.

Sajna a felhsználónak voltak privát képei a céges gépen (felhasználók fel lettek okosítva, hogy a szerveren csak a céges adatok legyenek), azok mentek a ravatalba.

( sj | 2015. 01. 21., sze – 13:16 )

valami verziokoveto file-archivalas ilyenkor nagyon jol tud jonni...

--
"Pont attól akartam megkímélni magam, hogy gondolkodni kelljen ;)" (lajos22)

( Szenti v | 2015. 01. 21., sze – 13:29 )

Most sandboxban kísérletezek vele. Szemét cucc, a titkosítás végeztével meghívja a vssadmin.exe-t. Feltehetően azért, hogy letörölje a Volume Shadow Copy által készített másolatokat is (a.k.a. korábbi verziók tab a file/folder properties-ben).

Csak mivel nem tud shadow copy-t vagy history-t törölni, nem sok kárt tud okozni a usernek, ha ezek be vannak állitva. (ha meg nincsenek, akkor ugye egy hdd elpukkanással is ugyanott lenne a user)

Lényeg a lényeg, ég és föld, hogy adsz-e a usernek admin jogot, user joggal nagyon korlátozott a támadás.

Ebből a szempontból lényegtelen az uac. Ha nincs joga a user-nek és van uac, akkor felugrik és bekéri az admin jelszót. Ha nincs uac, akkor nem ugrik fel semmi, csak dob egy exceptiont a program és csinál vele amit akar. A baj akkor van, amikor admin jogú userrel van bent a user, mert akkor ha van uac, akkor felugrik a kérdés és csak ok-t kell nyomni, amit a user úgyis lenyom. Ezért jobb, ha nem is tudja az admin jelszót, különben nem tudod megmenteni saját magától sem a usert.

Nem indul el egyébként ilyen fontos rendszerkarbantartó admin jog/uac nélkül.

"A CTB-Locker viszont remekül el tud futkározni nem-admin userrel is."

Épp egy hete hoztak nekem egy ilyen gépet, nem admin joggal. Shadow copy-ból az összeset visszahoztam 4 kattintással és 1 perc alatt.

Szóval futni fut nem adminként (miért ne futna, amihez a usernek van irásjoga azt átirhatja) de törölni nem tudja a shadow copy-t és más backupot sem tud törölni, teljesen egyszerű userszintű program, semmilyen biztonsági hibát nem tud kihasználni, azt csinál amit a usernek megengedtél, hogy csináljon.

Csak kíváncsiságból... Windows 8.x alatt nincs Shadow Copy kivezetve úgy, mint W7 alatt (meghajtóknál). W8 alatt Fájlelőzmények vannak, ami nem hogy nem fut alapértelmezetten, de még a szolgáltatás is le van tiltva. Rendszergazdai jog nélkül engedélyezni sem lehet. Ráadásul a Fájlelőzményekhez alapesetben külső adattároló vagy network share kell (vagy egyéb megoldás, amit 0.0-s user az életben nem fog beállítani, vagy ha igen, akkor az nem viszi neked vissza, mert akkor vissza is tudja állítani).

Gondolom az illető pedig olyan szinten nem értett hozzá, hogy beállítsa ezeket, különben nem neked vitte volna vissza.

Szóval a kérdés, hogy W8.x-en ezt hogyan valósítod meg?

--
trey @ gépház

Mivel az illető nem is ismerte a rendszergazdai jelszót, igy nyilván nem ő telepitette, hanem egy hozzáértő, az meg nyilván beállitotta a backup-ot (file előzmény vagy más, az mindegy) amit meg nyilván nem tudott megérinteni sem a user nevében futó kártékony kód.

(nálunk egyébként központi fileshare-en van minden 8-as gépnek a file előzménye, igy az is biztonságban van raid-en, backupolva a többi user adattal, igy hdd elkpukkanás esetén is megmaradnak a mentések, szemben a w7-el)

Vagyis ha nincs VPN kapcsolatuk, akkor a Fájlelőzmények nem ment. És ha éppen akkor indítja a ransomware-t, akkor meg is sütheti. Ráadásul a Fájlelőzmények csak a gép Dokumentumok, Zene, Képek, Videók és Asztal nevű mappájában tárolt fájlok verzióiról, valamint a gépen offline elérhető OneDrive-os fájlokról készít biztonsági másolatot.

Az ezeken kívül levő fájlokról nem.

Nekem ez nem tűnik ultimate megoldásnak. Persze bizonyos esetekben jó lehet, de semmiféleképpen nem megoldás minden forgatókönyvre.

--
trey @ gépház

Igen, ha épp nincs vpn kapcsolata, de épp akkor nyit meg egy ransomware-t és éppen módosit is valamit (mert amit régebben módositott az már rég felment vpn-en) akkor valóban gondja akadhat. De fontos dolgot eleve nem tárolnak a userek a saját gépükön, mivel azt a fileszerveren tárolják aminek meg van mindenféle mentése, amit szintén nem tud se a user se a ransomware szétbarmolni. (abba most ne is menjünk bele, hogy nyithat meg egy új ransomware-t, ha nincs vpn kapcsolata azaz directaccess-e, ami ugye azonnal van, ha netje van nem kell kitárcsázza)

Szerintem ez egy elég jó megoldás. W7-en se vagy előrébb, mert az automatikus shadow copy nem percenként ment, inkább naponta, félnaponta, igy ott is simán elvesztheted 1-2 napnyi munkád, ha olyan a csillagok állása. És akkor még ott van, hogy w7-en, ha elpukkan a hdd-d, akkor megy vele az összes mentésed is.

De akinek kevés a w8-as megoldás is, az meg vegyen egy acronis nonstop backupot és kész, de szerintem felesleges, nagyon jó a w8 backup-ja.

Nekem mindenről van mentésem szalagra, a hét minden napjáról full. Én nem szarakodok a felhasználó gépén levő dolgokkal. Amit nem ment szerverre, az pusztul, én leszarom. Nálunk ugyan nem volt ilyen ransomware, de bármikor beüthet. Attól függetlenül, hogy mindenről van többszörös mentés, nem szeretnék szervereken 100GB-okat szalagról visszaállítani ha egy mód van rá. :/

--
trey @ gépház

"Amit nem ment szerverre, az pusztul, én leszarom. "

Alapvetően nálunk ez a szabály, de a shadow copy és a file history mégis ad egy plusz védelmet, ill. nekem is könnyebb, hogy az esetek 90%-ban telefonon annyit mondok, hogy jobbklatty előző verziók fül és válogassál kedvedre. (ill. ezt is csak egyszer kell elmondani, utána általában megtanulják és már fel se hivnak, hogy "jaj rámentettem az üres xls-t a ...-ra)

Cég komplett biztonsági mentését én se biznám rá, de mégis jó, hogy van. Főleg fileszerveren, amikor a user vissza tudja szedni a tegnapi mentés shadow copy-ból, na azért tapsolnak örömükben.

( Dwokfur v | 2015. 01. 21., sze – 13:43 )

Hallom, hogy nálunk is felbukkant. A mi szervezeti egységünk szerencsére nem érintett.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( asch v | 2015. 01. 21., sze – 14:18 )

nem érintett (eddig szerencsére).

Remélem aki kiírta a szavazást nem üzleti tervet készít, hogy mennyit lehet kaszálni egy ilyennel :-).

( pehsa | 2015. 01. 21., sze – 14:42 )

Van ilyen programokból gyűjteményem. Tesztelgettem is őket, de én még nem kaptam be ilyet és ismeretségből sem találkozott senki ilyennel.

( zeli | 2015. 01. 21., sze – 14:49 )

nem érintett, de a felcsatolt WD partíciókat is megtámadja? vagy Csak Synology NAS-t titkosítja le?

( carlcolt | 2015. 01. 21., sze – 15:27 )

Engem inkabb az erdekelne, hogy volt-e virusirtoja annak aki kapott ilyen fertozest.

Szia!
Céges háló (map nem volt szerencsére), ESET corporate, user szintű ember. Benyalta (1bites). Pár fájlja még megúszta, de csak annak volt köszönhető, hogy vette a telefont mi meg mondtuk, hogy azonnal logoff. Admin belépett (a program nem is indult el) letörölte a futtatható fájlt, sok doksija ment a lecsóba, de legalább túlélte. Amúgy IPS tűzfal, hardver mailgw scanner előtte egy linus szerver amavissal, és ezeken mind hiba nélkül átjött. Állítólag úgy működik, hogy az eredeti fájlt lemásolja, a másolatot elkódolja és az eredetit törli. Lehet, hogy egy GetDataBack-el még menthető lenne, de nem igazán érte volna meg a gyötrődést. Az a progi amúgy nekem már többször bizonyult hatásosnak!

Aztán lehet, hogy hetente vagy havonta jön ki olyan variáns ami egy ideig megint büntetlenül kódol!
Remélem az Isten nem felejti ezt el neki a végső számonkérésnél! :-)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox


Return-Path: <invasion@metrocount.com>
X-Original-To: mindenki@[domain].hu
Delivered-To: informatika@[domain].hu
Received: from <SERVER> (unknown [192.168.0.240])
	by mail.[domain].hu (Postfix) with ESMTP id 62E86D98654
	for <mindenki@[domain].hu>; Mon, 19 Jan 2015 10:08:52 +0100 (CET)
Received: from ppp-225-126.25-151.libero.it ([151.25.126.225])
	by <SERVER> with mfiltro
	id hldm1p0014ruXan01ldqYe; Mon, 19 Jan 2015 10:37:57 +0100
X-VRSPAM-DESCRIPTION: legit
X-VRSPAM-SCORE: 0.00
Message-ID: <5zejtk4vwb17d@metrocount.com>
Date: Mon, 19 Jan 2015 10:08:44 +0100
From: "Suk Ioele" <invasion@metrocount.com>
X-Mailer: Toplofty v9.22
MIME-Version: 1.0
To: mindenki@[domain].hu
Subject: Fax transmission report: PEH.357788E5D.4580
Content-Type: multipart/mixed;
 boundary="--------------16arw67410mjol74kxy8sdafk6ifg67jgt"

----------------16arw67410mjol74kxy8sdafk6ifg67jgt
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: base64

TnVtYmVyOiArMDc4MjctNTEyLTE3NQ0KRGF0ZTogMjAxNS4wMS4xOCAwOTowODoxMSBDU1QN
ClBhZ2VzOiA0DQpSZWZlcmVuY2UgbnVtYmVyOiBQRUguMzU3Nzg4RTVELjQ1ODANCkZpbGVu
YW1lOiBoYXJkbmVzcy56aXANCg0KLS0NCkFidGVjaCBTYWZldHkgTHRkDQpTdWsgSW9lbGU=

----------------16arw67410mjol74kxy8sdafk6ifg67jgt
Content-Type: application/zip;
 name="hardness.zip"
Content-transfer-encoding: base64
Content-Disposition: attachment;
 filename="hardness.zip"

( carlcolt | 2015. 01. 21., sze – 15:36 )

Ja masik: talaltak mar meg ransomeware keszitot? Ha igen, vontak mar felelossegre?

( zz7 | 2015. 01. 21., sze – 15:51 )

Kb. 1 éve kapta be egy ismerősöm ezeknek valamelyik változatát otthoni gépen. Pár ezer dokumentum került átkódolásra. Biztonsági mentés persze egy darab se volt. Elsőre azt mondtam rá mikor megláttam, hogy ezeknek annyi. Aztán mégis neki álltam és kb. 2 óra munkával három lépésben sikerült visszaállítanom minden dokumentumát, kb. 4500db fájl. A megoldás harmadát valami francia nyelvű oldalon találtam meg. Lényegében a kutató munka elvitte az idő 80%-át, a visszaállítás már egyszerűbb volt. Valószínűleg fele részben szerencsém is volt. Ahogy olvasom a mostani hasonlókat, szerintem ma már nem tudnám megcsinálni. Frissített vírusvédelem volt a gépen. Köze nem volt hozzá hogy jelezze is, vagy a probléma útjába álljon.

( Lacyc3 v | 2015. 01. 21., sze – 17:05 )

(x) nem érintett, de majdnem bekaptuk mi is. Tegnap egy freemail fiókból próbálták letölteni ezt a kis dögöt, de addigra szerencsére már detektálta az ESET.

( veresh | 2015. 01. 21., sze – 20:34 )

Közvetlenül nem érintett, de van a környezetemben olyan akit igen.

( KisSzikra v | 2015. 01. 21., sze – 21:27 )

Ügyfél gépe bekerül. Indok: lassú, nem megy a falshplayer, stb szokásos rendberakás. (win7 & win vista)
Indítom, feltűnik hogy fekete a háttér. Nézem, víruskergető semmi. Próbálom felrakni a vírusirtót, semmi. De még csak a telepítő sem indul el. Oks, akkor bootolható eszköz elő. Kaspersky & avast rescue disk. Egymás után lefuttat, talál is pár dolgot. Közben nézem, hogy épp a családi fotókat vizsgálja, de várjunk csak:
\kepek\2009\karacsony\PIC0010.JPG.CWWXWAN (????)
végez, leírt, nézem: összes családi fotót (~89GB) lekódolta.
Utána kiderült hogy mást is (zip, doc, stb)
Ja és azon az adathordozón is tevénykedett, amiről a vírusirtót próbáltam felrakni.

Szóval ahol a felhasználónak írási joga volt, ott a vírus hevesen dolgozott.

Easeus Data Recovery-t ráengedtük, de sajnos az is már csak kódolt állományokat hozott vissza.

KisSzikra - TTZ Modding Csoport

( b | 2015. 01. 21., sze – 21:42 )

Windóz! Mert megérdemled!

--
GPLv3-as hozzászólás.

( end | 2015. 01. 22., cs – 10:32 )

Követem a témát és olvasok, de nem láttam, hogy valaki érintett leírta volna..,

- Windows fertőzésnél mi lehet a vírus futását követő első pillanatokban a gép megváltozott működésében, az árulkodó jel. Azaz, átlag felhasználó, miből veheti észre a vírus futását? Mennyi idő egy átlagos office gépen - (mondjuk Core2-es/2200 MHz-s), mire 50-100-300 GB-s partició v. adatmennyiség elkódoklásával végez?

Gondolom csak a titkosítás befejeztével jön a zsaroló "pop-up"...?

(Isten ments, hogy a rám bízott gépeken keresztül kelljen méricskélni, v. rekonstruálni a történteket.., de hasznos lehet másnak is :-) )

Továbbá a sikeres fertőzéshez:

  • elég csak megnyitni a vírusos csatolmányt tartalmazó levelet? vagy
  • rá is kell kattintani / le is kell tölteni a csatolmányt? és/vagy
  • letöltés után futtatni is kell a csatolmányt?

A válaszokat sejtem, de jó lenne, ha valaki megerősíti vagy megcáfolja.

Ki kell bontani a csatolmányt, és le kell futtatni a benne levő (az ügyfelünknél látott esetében) .SCR kiterjesztésű állományt (ez még csak egy dropper, nem maga a CTB-Locker). A levél arról próbál meggyőzni, hogy ő egy fax riport. A parancs futtatása után az .SCR fájl meg is nyit egy wordpad-ot, abban egy fake doksival. A háttérben azonban elkezdi letölteni a CTB-Lockert.

( WG | 2015. 01. 22., cs – 10:58 )

Az a variáns, amit én találtam Ügyfél gépén az érintett fájlok első 512 bájtját lecserélte hieroglifára, és ha jól rémlik, a fájl végéhez fűzte az eredeti tartalmat.

Egy Anti-Cryptobit 2 nevű programmal sikerült automatikusan visszaállítani a fájlok nagy részét.
A maradékra annyi idő ment volna el pluszban, hogy közös megegyezéssel leszartuk Ügyféllel azokat a fájlokat.
Mentés természetesen nem volt és fogadni mernék, hogy azóta sincs.

Van, aki saját hibájából sem tanul. :)

Megjegyzem: fizetni hajlandó lett volna a fájlokért, de előbb elhozta hozzám a gépet, hátha meg tudok valamit menteni. A megelőzésre viszont nem hajlandó költeni egy vasat sem.
Ez nem egyedi eset, felénk ez az általános...

( balintdavid | 2015. 01. 22., cs – 13:52 )

November elején sikerült belefutni egybe, 1 bitcoint kért a helyreállításért.
Win7 64bit Pro, korlátozott user, EMET belőve, MSE futott, patch keddenként frissítve és Avast is futtatva. Gyakorlatilag Steam Big picture módban indult, semmi másra nem volt használva. UFS és EXT partíciókat nem babrálta.
Életemben először elgondolkodtam rajta, hogy inkább veszek egy konzolt :D

A felsoroltakból melyiknek kellett volna megakadályoznia a fájlok titkosítását?
Az új kártevők mindig megelőzik a vírusölők védelmét, ezért ezt kizárnám. Van ilyen.
Tényleg örülnék, ha hozzáértő ember is nyilatkozna, és nem csak beszólogatnának, hogy megint megy az okoskodás.
Jelen esetben a felhasználó kitömörített egy fájlt, és azt adta "parancsként", hogy induljon el a program, és csinálja, amire ki lett találva.

Jelen esetben a felhasználó kitömörített egy fájlt, és azt adta "parancsként", hogy induljon el a program, és csinálja, amire ki lett találva.

akkor meg is valaszoltad, hogy lehetett volna megakadalyozni...

--
"Pont attól akartam megkímélni magam, hogy gondolkodni kelljen ;)" (lajos22)

LOL és +1

Rácsodálkoznak az emberek, hogy ez hú micsoda nagy trükk, milyen biztonsági hibát használhatott ki, amikor semmilyet... Irás joga volt a fileokon, miért ne titkosithatta volna be a user dokumentumait bármilyen oprendszeren. Ha nem volt adminjoga annak aki inditotta, akkor persze semmilyen rendszerfilehoz nem is tudott hozzáférni, se shadow copy-t nem tudott törölni.

Nekem ezzel nem mondasz újat. Ellenben számomra bosszantó volt a Microsoft akkori reakciója a két egymást követő buktára (linket most nem tudok adni). Kb. ilyesmi volt: az a pár vírusminta, amit a termékünk nem detektált, amúgy sem érintett sok felhasználót (utólag persze mégis felvették az ismert szignatúrák közé). Termékeink csak alapvédelmet adnak, ha valaki komolyabbra vágyik, vegyen igénybe más, fizetős terméket.

Nem tudom mit használsz Windows helyett, de Linuxon pl 5 perc alatt össze lehet dobni egy egyszerű scriptet, benne egy nyilvános kulccsal, ami "ugyanezt" tudja. Átlag ember szívatásához pont elég. Mivel Linuxon nem jellemző a vírusvédelmi szoftver használat, még abba se lehet bízni, hogy pár napon belül védve lesz a gép.
Szóval te sem értheted, mi történik.

Másnap már 80%-ban pl. Bár ez az arány is hülyeség, vannak jó irtók és nem jó irtók, a nemjók lehet, hogy ma sem fogják meg, a jók meg már aznap délután megfogták.
Linuxon vagy virusirtó nélkül meg 2 hónappal később is beszopná a user, marhára nem mindegy. Értelmes user meg ugye eleve nem szopja be, mert nem hibát használ ki, hogy csak megnyitja a levelet és már be is kapta, hanem a kezével csatolmányt nyitogat, figyelmeztetéseket ok-z le stb.