Kedves ügyfélhez megérkezett a zepto ransomware. Addig erősködött a víruskeresővel szemben, ameddig csak sikerült megnyitnia az email mellékletét, ami egy ZIP-be csomagolt javascript volt. Annyiban más, mint a Locky, hogy ez nem csak a kiterjesztést módosítja kódolás után, hanem át is nevezi a fileokat ilyesmire:
35F63DA4-A5E2-66E9-EBB1-C516DE0D691C.zepto
35F63DA4-A5E2-66E9-F9A5-44479710EE1E.zepto
35F63DA4-A5E2-66E9-E548-C8609446C927.zepto
Minden könyvtárba elhelyez egy _HELP_instructions.html -t, és beállítja háttérképnek is az instrukcióit. MS Office és kép fileokat biztosan elkódolt, de feltűnt, hogy az AutoCad DWG-ket érintetlenül hagyta.
Néhány .zepto file-t megtartok játszogatni, aztán törlés után jön vissza minden a mentésből szépen... :)
Hozzászólások
Remek, végre valakinek van mentése. :)
A fájl eleje egy random GUID.
Remélhetőleg nem titkosítva. :P
Itt ma érte el a docm, hogy bekerüljön a "kösz nem kell" kiterjesztések közé.
Ő a mai. (de még nem sikerült kipróbálni virtuális gépben, lehet új locky vagy valami más cryptor)
Szerk.: Kiprobáltam zepto, kér valaki mintát?
Gondolom, ua. vagy hasonló, mint az elődje. Azon jót röhögtem, valószínűleg ezen már csak átsiklanék, de küldjed, légy szíves, hadd nézzem meg.
Valaki megelőzött már ott van a kommentek közt a fenti linken (a payload).
Ránézésre Locky 2.0 (úgy is néz ki mint a Locky :))
A docm itt van, bár szerintem regisztráció nélkül nem engedi letölteni. :)
Az a durva, hogy ez még ma, 9 nappal később is csak 45/55 a virustotal-on.
Szégyenfal:
Alibaba (20160715), Baidu (20160715), CMC (20160714), F-Prot (20160715), Kingsoft (20160715), TheHacker (20160714), TotalDefense (20160713), VBA32 (20160714), Yandex (20160715), Zoner (20160715)
Ez vajon az a kingsoft, amit sokan annyira sz*pkodnak?
Más: hozzánk ma ez érkezett. Német nyelvű email, csatolmánya egy zip-be csomagolt docm
Virustotal szerint 0/55, azaz hófehér. Na ezt én azért nem hiszem el...
Remek, végre valakinek van mentése. :)
Ez úgy hangzik: baszod, ma már van egy informatikus Mo.-on, aki még a Windózzal is foglalkozik.
:-)
File szerveren zfs van, snapshotból visszaállok, és csókolom.
"Dehát a legfontosabb dokumentumaim az asztalon voltak." (tm) :P
Nem, nem. File szerveren van minden. Amúgy pedig virtuális terminál szerveren dolgozunk, arról a virtuális gépről van napi mentés, 1 hónapra visszamenőleg. Lokál gépeken nincs semmi fontos, enyém ráadásul ubuntut futtat. Úgyhogy ezek bekaphassák.
Azt is lehet menteni.
Igaz nálunk is az a mondás, hogy ami fontos, azt a szerverre tessék tenni, minden más illékony.
Mi egy időben párnapi rendszerességgel újra imageltük a gépeket. Eleinte nagyon fájt, aztán megtanultak meghajtókat használni :-)
Nem 600 gépetek van :D
Miért 600 gépet nem lehet imagelni? :)
Gabi
De lehet, pár év alatt :D És senkinek sincs rá ideje :D
Azért na, még a clonezilla is tud multicastot, hatszáz vagy akár hatezer gépes környezetben se tűnik lehetetlennek létrehozni egy működőképes megoldást.
Más kérdés, hogy én csak párgépeset csináltam, szóval könnyen jár a szám.
Még az MS-es Deployment Toolkit-be is beépíthető az udpcast: http://hup.hu/node/134143?comments_per_page=9999
60 géppel tesztelve, a szerver tisztán Linux (2-3 óra, az elején kell okosan ütemeznem, mert eléggé alulméretezett a (virtuális) szerver, és az image terítése előtti http[iso image]/smb[konfig, toolok és driverek] szép load-ot eredményeznek, amit az egy mag nehezen visel :)).
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Hö? (sub)
Höhö? (mi nem világos? :) )
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
Én 100 linuxos gépet húzogatok újra max 1 óra alatt automatizáltan. Nem érzem kihívásnak a 600 gépet se egy éjjel alatt ugyanígy katt-katt módszerrel.
Pont ma kapta be az egyik ügyfelünk.
Épp folyik az ellenőrzés és problémamegoldás. :D
Terjedési módja hasonló a locky hoz?
Mármint angol nyelv levelet kapsz és tömörített vagy doc file?
--
ingatlanturista.hu,
ingatlanturista.blog.hu /érdekes kísérlet ház eladásra,vicces ingalanos történetek, többit az oldalon./
Frissités: eladtunk, weboldal hasznositáson még gondolkozom.
A locky inkább tömörített javascript volt, ami ide jött ebből az sima docm (át is csúszott a filteren egyből). És a lockyval ellentétben egy deka szöveg nem volt benne csak a melléklet. Én az X-Mailer és From/To alapján kiszűrtem az utolsó 5 nap leveleit és elmozgadtam amit iPhone-ról küldtek saját maguknak.
A header:
A melléklet:
Melyik vírus kergetovel erősködött? Ha publikus...
--
ingatlanturista.hu,
ingatlanturista.blog.hu /érdekes kísérlet ház eladásra,vicces ingalanos történetek, többit az oldalon./
Frissités: eladtunk, weboldal hasznositáson még gondolkozom.
A mi ügyfelünknél Norton van és az engedte át. Bár a helyi informatikusuk nem találta meg az érintett gépet, így lehet külsős gépről került be.
NOD-ot használnak ott, ami a visszakapcsolása után szépen el is távolította :)
--
http://eVIR.hu
Elektronikus Vállalatirányítási Információs Rendszer
Ezért védem én a nod-nál jelszóval a felületét. Amit nem tudnak, így kikapcsolni se tudják. :)
--
Rózsár Gábor (muszashi)
Ha ki tudják kapcsolni, az nagyon nagy baj. Egyszer egy banki projekten dolgoztam, és az egyik fejlesztő kolléga kikapcsolta az AV-t. A biztonsági szolgálat két fegyveres őrrel kereste őt. Kicsit ijesztő volt, még akkor is, ha tudtuk, hogy nem mi csináltunk disznóságot.
Tudatosítani kell a felhasználókkal, hogy nem csak a saját, hanem a céges adataikat veszélyeztetik, majd le kell jelszavazni a NOD-ot, hogy legközelebb ne tudják kikapcsolni. A IT biztonság nem kívánságműsor, ha lassú a gép az AV miatt, lehet a vezetőségnél reklamálni gyorsabb gépért.
Nade az userek kapcsolták ki avagy maga a kártevő?
Tök mindegy mert ha aznap játszott vele nem ismerte volna fel. :D
Azért nem teljesen mindegy. Bár tény, hogy ezek a jószágok arra lőnek hogy beugrik, titkosít, követel. Nem célja a hetekig lapulás.
Az ennyire friss fenyegetések eleinte mindegyik antivírusnak nehézséget okoznak. Ennek oka az, hogy a vírusfejlesztők addig módosítgatják a vírusaikat, amíg az ismert antivírusok nem ismerik azt fel. Később persze fel fogja ismerni, de addigra már bejuthat a fertőzés a felhasználók gépére. Azt kellene megvizsgálni, melyik gyártó az, amelyik átlagosan a leghamarabb reagál.
Sziasztok. Szinte az összes képet,videót lekódolta az egyik ismerősömnél. Van esély rá hogy fizetés nélkül visszajönnek a képek,videók?
Szia!
Sajnos még nem tudok működőképes decoder-ről. Anélkül nincs esély.
Nem találtam én se semmit, igaz a szerviz nem csinált neki merevlemez képet ha esetleg lesz dekóder, vissza lehetne nyerni az adatokat.
Persze, mentésből.
Köszönöm. Van rá esély hogy lesz decoder?
Talán. Néha jó fejek és kiadják a kódokat 1-2 év múlva.
Hátrálj ki a dologból, illetve párhuzamosan próbáld meg vmi rendszeres mentésre rábeszélni. Ezt hívják tanulópénznek. Szerencsére azok az adatok, amik 1 példányban vannak meg, azok nem fontosak. Ha fontos lenne, akkor 3 példányban tárolta volna őket, úgyhogy ne törd magad nagyon.
"jön vissza minden a mentésből szépen"
Ennek komolyan örülök, ez egy jó hír. A mentés az első amit szeretnek lespórolni.
Sajnos a tucat szerviz nem nagyon foglalkozik semmivel.Egyszerűbb hamar gyorsan egy új rendszert feltenni , mert ha normális lemezképet csinál az eltart egy ideig. Elintézték annyival hogy katonai titkosítás nem lehet feltörni.
Azért cryptolockere válogatja, az xort én nem nevezném katonai titkosításnak.
Ha nagyon fontosak az adatok akkor, venni kell egy új merevlemezt és arra telepíteni a rendszert a régit meg hazaviszed és kitalálod, hogy mi legyen vele.
Otthon aztán csinálhatsz image mentést és lehet kísérletezni.
De ha előre szólsz, a szervizben hogy neked kell előtte egy image mentés, akkor vagy megcsinálják vagy el sem vállalják, vagy nagyon drágán vállalják, mert nem értenek hozzá és valakit méh szerződni kell a feladatra.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox
Hát ezzel már elkéstem mert a szerviz az egyszerűbb megoldást választotta. Mire olvastam hogy gondja van a géppel már beadta.De a sejtésem jó volt ha lenne mentés lehetne vele játszadozni. Köszönöm mindenkinek.