Locky : benyalva

Microsoft Windows

Kollégám hívott otthonról, hogy a saját gépén megnyitott egy általa megrendelőnek gondolt levelet és most az alábbi képet látja a gépén.
Pénteken kapom meg, egyelőre kikapcsoltattam. Most nézek utána, hogy miket lehet tenni. Van aki a fájlok visszaszerzésére a PhotoRec-et javasolja féregtelenítés után. Az eltitkosított fájlok visszanyerésével sehol nem is bátorítanak.

Volt már aki beleakadt ebbe a verzióba?

( andrei28-hun | 2016. 03. 09., sze – 22:22 )

Nálunk is benyalták... Windows re-install lett a megoldás.

( gemnon v | 2016. 03. 09., sze – 22:34 )

Nálunk is be akarták, de az illető nem találta, hol kell engedélyezni a makrót a libreoffice-on én meg mondtam neki, hogy nem kéne erőltetni.

A.) Backup
B.) Amúgy Shadow Copy, ha megvan még, valahol olvastam, hogy valakinek sikerült visszatörölni a shadow copy Locky által törölt fileait és utána ShadowExplorer-el visszarakni az előző állapotot.
C.) Photorec ha helyben titkosít esélytelen.

( j9x49 | 2016. 03. 09., sze – 23:22 )

1. Locky támad
2. Fájlok helyben titkosít (PhotoRec kilőve, Shadow Copy kikapcsolva :( )
3. Szomorúan kifizet 0,5 BTC-t
4. Locky Decrypter fájlokat visszakódol
5. Nem teljesen szívből örül
6. Tanulságot levon

Jo hat abban a kornyezetben meg be kell allitani a SRP meg Applocker policykat es akkor max a rendszergazdit lehet hibaztatni.

A topicban szereplo emberke meg sajat gepet emlitett ergo magat szopatja mindenki aki nem ert a szamitogephez es adminkent boklaszik a neten...

Gondolom linuxon is mindenki rootkent csinal mindent

Vagy megsem?

Nalunk foglalkozunk ezzel is de biztos mi vagyunk a hulyek.
Attol hogy van mentes nem szeretnenk 60K hulye user utan naponta/hetente backupbol visszarakni 10.x terabyte share-t csak mert senki le sem szarja a wint...

Amugy meg manapsag enterprise kozegben nem adunk futtatasi jogokat csak ugy mindenre/mindenhonnan a felhasznalonak. (be kell latni hogy ennek a korszaknak vege)

( BognarB v | 2016. 03. 09., sze – 23:26 )

Ahogy fentebb is irtak, Shadow Copy -ha van-.

Nalunk egy hibas kliens az altala elerheto osszes megosztas osszes allomanyat legyalulta, nagyjabol 5-8K db file banta. Shadow Copy + mentes szerencsere segitett, de bevallom nagy izgalmak kozepette keresgeltuk a hibas kliens(eke)t.

udv
letix

-----------------------------------------
Linux alapparancsok, kezdőknek

( kozel | 2016. 03. 09., sze – 23:39 )

En is eloszor a Shadow Copyval kezdenem, ha pedig nincs, akkor reinstall.

( radzeer | 2016. 03. 10., cs – 07:53 )

Csak winen rombol vagy Linux és Mac is érintett?

( cvk v | 2016. 03. 10., cs – 08:07 )

Szia!

Az érintett gépen volt bármilyen vírusvédelem?
Ha volt, melyik verzió, mikori definícióval?
Még az MS beépített defendere (win7-MSE?) is, már február közepe óta meg tudja fogni.

A (nekem lévő) legújabb sample-t felismeri 10-én ma (két nappal a kiküldés után, bár lehet akkor is felismerte volna eddig nem próbáltam kiszedni a doc-ból a payload linkjét :P)

A Suricata egyből sírt és blokkolt amikor le akartam tölteni:
ET TROJAN JS/Nemucod requesting EXE payload

nem számít a vírus védelem. ha ovlasod a cikkeket, nagyon ügyesen csinálják a vírusírók.
Sajnos jelenleg nem sokar érnek..

Amit lehet tenni:
- Oktatni kollégákat, gyanus emaileket főleg angol nyelvű számla nem szabad megnyitni!
- HA kérdez office program markó futattást nem engedni/ vagy akár policyval(registry) tiltani céges szinten
- Jelezni gépén soha senki ne tároljon éles adatot!
- Szerveren Napi mentés és shadow copy x óránként
- amelyik gép összeszedte reinstall

(már a sokadik titkosítóval találkozva.. de szerencsére szerver mentés mindig volt/van/lesz..)

( ncc1701 | 2016. 03. 10., cs – 08:32 )

-fizet, és reménykedik
-mentésből visszatölt

És innentől ez volt neki a tanulópénz, legyen mentés mindenről. Kis házi szerverrel zfs snapshottal ez gyönyörűen kivédhető.

( szilard_ v | 2016. 03. 10., cs – 14:52 )

Azt mondja a tulaj, hogy a progi úgy fél órát futhatott, amíg lekapcsoltattam. Mennyi időt igényel a titkosítás? Olvastam, hogy több nap is lehet a dokumentumok mennyiségétől függően.
A titkosított fájlok ugyanott maradnak, mint az eredeti?

( uid_20470 | 2016. 03. 10., cs – 16:34 )

Nalunk is a 7x eves kollega.
Termeszetesen az egyik elozo cryptolockert is benyalta korabban...
Aldozatok:
-egy kollegank open samba servere.
-A 7x-es kollega osszes gepen tarolt adata.
Ceges veszteseg nem tortent, mert nem volt felcsatolva neki halistennek semmilyen corporate disk.

( khiraly | 2016. 03. 10., cs – 17:02 )

En a virusirtokban nem hiszek, igy nalunk van mukodo backup (heti, havi).

Mi is bekaptunk egy ilyen ransomware-t (pedig fizetunk evi tobb szazezret virusirtora).

Titkositotta a sajat gepet, meg minden halozati megosztast amire ralatott (sajnos tobbre is mint kellett volna). Igazabol mindent visszaallitottam, osszesen ket napnyi utalas bizonylata veszett el.

En biztos nem fizetek ilyen ransomware gyartoknak. Igazabol virusirtok is tok feleslegesek imho:)
Kell egy heti rendszeresitett restore, aztan hadszoljon!:)

Tervbe van veve backup node-ok uzembe helyezese amik inkrementalis backupot csinalnanak naponta 3x. Igazabol egy eves virusirto dijbol kijonne a backup node. Akkor meg mar tenyleg mi ertelme a virusirtonak?:)

Igazabol az a baj, hogy tulsagosan linuxos felfogasom van.
Mindenesetre nem jo elmeny amikor eloszor elesbe teszteltetik az emberrel a backupok megletet... :-\

Kellene meg egy warning rendszert is kiepiteni, hoygha tul sok fajl valtozik a szerveren akkor jelezzen es tiltsa ki a felhasznalot egy emaillel egyetemben, amire kattintva leveheti a tiltast. Csak, hoyg tudja, hogy gaz van.

Mi a fertozestol szamitva 4 ora mulva vettuk eszre.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

en a helyi vedelemben nem hiszek.

Nalam pl. egy backup node a tuti.
Ami egyiranyu (valamit lement magaba),
es csak olvashatoan tallozhato.
Tehat a geptol (es operacios rendszertol) fuggetlen.
Kvazi egy hiteles masolat egy adott idopontban.

De ettol meg lehet group policyval bohockodni, akinek van szabadideje.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

"Kellene meg egy warning rendszert is kiepiteni, hoygha tul sok fajl valtozik a szerveren akkor jelezzen es tiltsa ki a felhasznalot egy emaillel egyetemben, amire kattintva leveheti a tiltast. Csak, hoyg tudja, hogy gaz van."

Ezt az ötletet meg lehetne lovagolni.
A linuxos auditd alkalmas lehet rá?

( Robika88 | 2016. 03. 11., p – 11:32 )

Szia.

Sajnos nálunk is benyalta egy hülye kolléga,csak itt egy retkes zip tartalmaz js-fájlt ami beindítja ezt. A megosztott mappákat ugy keresi mint a rosseb. A másik kollégám egy mappáját is hazavágta mert meg volt osztva.
Nem tudom, hogy a zip a windows intézővel hogy keltette életre a javascriptet? (direkt kimentettem a kodot is)

Nehogy fizessetek ezeknek a ******oknak.
Sajnos ami titkos lett az oda van.
Javasolt a mentés, mentés mentés.

( Tassadar v | 2016. 03. 16., sze – 12:10 )

Tudunk arra szabályt kialakítani, hogy Locky (és más ransomware-k) által kódolt fájlok kiterjesztése (vagy neve) hogyan változik?

Most nincs meg a forum neve amin naprakesz infot lehet talalni mi feladtuk es minden tiltva van a 3,14 csaba az a tuti. De ha megtalalom belinkelem neked.

Lehet patternezni de nem lesz 100% ahogy mondtam minden mindig valtozik.

Masik fele meg ha egy olyan processt fertoznek meg ami nem ezeken a helyeken tevekenykedik akkor bukta van.

Erre is erdemes lehet ranezni:

HitmanPro

( covix v | 2016. 03. 16., sze – 14:12 )

Sziasztok,

üzemeltetek egy olyan helyen ahol az erőforrások nem feltétlenül erősek, komoly backup környezet kialakítására nincs mód.
Jelenleg Cobian backup csinál a gépekről mentést.

Olvastam hogy locky megtalálja a nem mappelt share-okat is, így a megosztásra mentés kilőve.

Kérdések:

Ha Cobian helyi FTP szerverre ment, (Nem tragédia adatmennyiség, jogosultságok elvesztése elviselhető, ill. user nem tudja az ftp backup jelszavát) elégséges lehet?
Van bent egy HDD a szerverben amire a windows saját eszközével megy egy image backup naponta. Nincs betűjel hozzárendelve, a Backupban mint "Disk 1" látható. Ezt észre fogja venni, ha gáz van? Ha igen, akkor mi lehet a jó megoldás? (Network share-re mentés a fenteik miatt kilőve...)

Köszönöm szépen, ha valaki megosztja a tapasztalatait!

KoviX

A Windows Backup (win 7-től kezdve) .ZIP fájlokba teszi a mentéseket. Ha ZIP fájlokat nem támad a Locky, akkor mehet a mentés network share-re is.

Az FTP-re mentés valószínűleg kivédi ezt a támadási módot, feltéve, ha az FTP szerver fájljai nem elérhetőek windows share-ekről.

Goodnight.

Thank you, said the server you are blocked.
------------------------------------------------------------
Обращение: #877819
Статус: Answered

149.202.109.205, 51.254.181.122 ez a kettő kilőve.

A végén még kellemesen csalódok. (az angol kicsit fájt ;))

Hello!

Thank you for your mail. We forwarded your mail to the client.

С уважением,
Специалист технической поддержки ТОО "Интернет-компания PS"
Ришат Азизов.

Ez tök rendi, minden vágyam bűnözőkkel megosztani az emailem/tárgyalni.

Én meg kétszer meggondolom, hogy abuse reportot küldök. (amúgy erről a két helyről jött válasz egyáltalán).

Egyszerűen block listre teszem az IP-ket.

Egyébként itt a legújabb, de valószínűleg a C&C ipk ugyanazok máris van új a listán (amíg egy él addig meg ugyan mindegy ha van egy kettő amit sikerül megszüntetni)

( Marxs v | 2016. 03. 17., cs – 00:55 )

sub, nálunk is bejött, ahogy írták, vitte a nem mappelt hálózati meghajtókat is.

SZVSZ a jofiuknak (vagy valaki masoknak) el kellene kezdenie a netet olyan ransomware-el spammelni ami akar fizetsz akar nem, sosem oldja fel a filokat.

Amig az emberek fizetnek es a fajlok visszanyerodnek van biznisz a rosszfiuknak. Ha egy ido utan mindenhol elterjedne, hogy nem kapjak az emberek vissza a fajlokat senki sem fizetne tobbet es talan vege lenne ennek az oruletnek.

( carlcolt | 2016. 03. 17., cs – 13:56 )

Ma se valtok OS X-rol. Egyszer volt ra ransomware, par oran belul megjott az eltavolitoja mindenkinek, aki nem vette le a pipat a

System preferences -> App Store -> Install System Data files and Security Updates

rol. Hatterben telepul, eszre se veszi a felhasznalo, ujrainditani se kell hozza, igy miert is venne le barki a pipat?

Ekozben a Microsoft szarik ra hogy leteznek ransomware-ek, hadd menjen az egesz smb halozat is pocsekba. De a Win 10 update fel tud menni a hatterben, csak a security nem.

Az OS X azt nem is engedi futni GUI-bol. Csak alairt Appot enged, virusos alairokat meg szinten ezen az autoupdate platformon majdnem azonnal blacklistel, igy ezt kicsomagolni se engedi, meg az app-ot elinditani se. Terminalbol meg miert bontana ki barki barmi ilyet, hogy aztan futtassa bash-sel (azaz nem appkent)?

mint carlcot irta 1x volt osx en ransomware es orakon belul kint volt a javitas ami leszedte.
mellesleg ha az alairasa vissza van vonva apple altal, akkor el sem indul tobbet az az app.

"Aztán pistike kikapcsolja hogy felmenjen a tört ja bocs nem, app store-ban nem szereplő progija,"
egyreszt ez IJB, a rootkent futtatott rm -rf / esetevel egyenerteku.
masreszt ha pistike tudja h neki az az app tenyleg kell, akkor nem kell az egeszet kikapcsolni, el tudja inditani csak azt az egy programot.
harmadreszt meg majd visszahozza time machinebol legfeljebb az egeszet. :)

Itt ket dolog van - egyik az a "honnan mehet fel app/dmg":
-App Store
-App Store es azonositott devek
-Barhonnan

De van egy olyan blacklist-je az Apple-nek, amivel a "Barhonnan"-osok kozul is kizar bizonyos alairokat. Ide csak erosebb malware keszitoit teszi be.

Masik: rosszindulatu szoftvereket eltavolito eszkoz.
Ilyen volt mar a Microsoftnal is: Windows XP SP2 Blaster virus eltavolitoja. Ott meg tudta mar az MS is csinalni. Hozzateszem az Apple megoldasa csendesebben intezi ezt, a felhasznalo eszre sem veszi, ujrainditania se kell, etc. Es csak _tenyleg_nagyon_rosszindulatu_ kodot torol. Nem "letorli a Photoshopot mert rajon hogy warezoltad" es tarsai.

Raadasul a Transmissionbe zart keranger 3 napig lappangott. Addigra reg elpusztult gyarkolatilag mindenhonnan, kiveve ahol direkt akartak kiprobalni mit csinal.

+ Ja meg meg hozzatennem, hogy a Transmission tobbi verziojat a dev maga irta ala, ezt a malware-es verziot pedig egy masik developer (meg egyszer csak hogy tiszta legyen: ez utobbit blacklisteltek akkor is, ha "barhonnan" telepithetsz appot kb par oran belul megkuldve minden OS X usernek ezt a hatterben). Konkretan a transmission oldala mutatott egy mirrorra, es azt a mirrort tortek meg es ott csereltek ki a fajlt.

Mint fentebb irtam:

'Ilyen volt mar a Microsoftnal is: Windows XP SP2 Blaster virus eltavolitoja. Ott meg tudta mar az MS is csinalni. Hozzateszem az Apple megoldasa csendesebben intezi ezt, a felhasznalo eszre sem veszi, ujrainditania se kell, etc. Es csak _tenyleg_nagyon_rosszindulatu_ kodot torol. Nem "letorli a Photoshopot mert rajon hogy warezoltad" es tarsai.'

Amugy vicces hogy Apple-nel meg a power userek a legveszelyeztetettebbek, ok tudnak rajta egy a.out-ot futtatni egyedul ;)

Mintha nem lenne mindegy, hogy az OS X mit nem enged futni:

Pwn2Own 1. nap:

"South Korean researcher JungHoon Lee, known in hacking circles as lokihardt, demonstrated a remote code execution attack against Apple Safari on OS X with an escalation to root privileges. He also combined four vulnerabilities, earning a $60,000 prize."

--
trey @ gépház

Ha gonosz lennék, azt mondanám, hogy jól működik a linkelt kép szerint. Van egy valami.pdf.exe-t, ki van kapcsolva a kiterjesztés megjelenítése, s látjuk a valami.pdf-et. :D Jó, tudom, nem... ;) Különben hogy jön ide az Outlook? Jómunkásember letölti a mellékletet ész nélkül, rá sem pillantva akár webes felületen, vagy bármilyen mail kliensről, majd filemanagerből - Windows intéző - elindítja, mert nem látja a végét.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Talán még egy hónapja sincs, hogy próbáltuk elmagyarázni az egyik kolleginának, hogy ha egy pdf-et a Word Fájl menü Megnyitás parancsával akar megnézni, akkor nem a gép hibája, hogy csak mindenféle random karaktereket lát.
Mondtuk, hogy ott a parancsikon az asztalán a saját mappájára, tessék onnan támadni, de valahogy a kurvaéletnek sem akart lemondani róla, hogy márpedig mi javítsuk meg a gépét, mert az utóbbi 10 évben ő mindent onnan nyitott meg, és eddig még mindig működött!

De most tényleg, itt arról van szó, hogy a nagyi gépét megette a locky?

Mert azt nem hiszem el, hogy corporate környezetben vírusszűrés nélküli mailszerveren keresztül támad a felhasználó vírusvédelem nélkül a hálózatra felkötött laptopjáról. Én arra gondoltam, hogy ilyen környezet nem létezik ott, ahol zfs snapshot szóbajöhet megoldásként...

Kérdés hogy a word miért próbál megjeleníteni egy pdf fájlt, ha nem tudja valójában :)

Update: Ezt nem ide akartam :) Amit ide akartam, az az, hogy:

"majd filemanagerből - Windows intéző - elindítja, mert nem látja a végét."

Szerintem a jómunkásember nem azért indítja el intézőből, vagy akárhonnan, mert nem látja a végét, hanem mert nem érdekli, nem tud mit kezdeni vele, el se olvassa, stb.

off:

> Kérdés hogy a word miért próbál megjeleníteni egy pdf fájlt, ha nem tudja valójában

Éppenséggel... :) https://i.imgur.com/EBsQYOQ.png
Az input PDF-től függően a használhatatlan és a tökéletes közé lövi be az output minőségét, de sokszor okozott már pozitív meglepetést.

/off

( trn | 2016. 03. 17., cs – 16:43 )

Nalam is elofordult az egyik cegnel. Kedves user privat levelezes megnyit valami https://mylinux.... cimen, majd persze, hogy megnyitja az invoice.zip filet. Az egesz halozatot megfertozte, mar amihez volt joga 130Gb file. Mindenbol mp3- at csinalt. Azzal hivott fel, hogy a szokasos pdf- file mp3- nak latszik a filekezeloben. Kb. 1.5 ora mulva ujra ment minden, mentesbol. Szerencsere csak 2 oranyi munka veszett el szamukra, de volt olyan aki emiatt balhezott. Szerintem nincsenek tisztaban egy ilyen fertozes kovetkezmenyeivel. Azota kerdezgeti tolem, miert nem megy a https://mylinux...... :)

Nice :D

The ransomware's creator based their primordial malware on EDA2, a toolkit of file-encrypting sample code that demonstrates how ransomware works. Big mistake. The EDA2 author intentionally left a backdoor in his code, and had little hesitation in revealing it to undo the newbie malware slingers, security blogger David Bisson reports.

Ha jól értettem, akkor ez arra vonatkozott, hogy a kulcsokat tároló szervert elérhette, de mivel a szerver nem elérhető, így a kulcsokat sem tudja megszerezni

"Since the C&C servers have been taken down, the backdoor account is now useless. Unless the free hosting provider pulls a rabbit out of a hat and mysteriously finds a backup of the data, all Magic ransomware encrypted files are gone for good."

ha jol ertelmeztem a szerver kodot, akkor az is szar: ha ketten ugyanazt a nevet hasznaltak a pc-re, akkor kicsit osszekeveredtek a kulcsok, es az egyik kulcsa elveszett.

es (FIXME) de a backdoor is a php kodban volt: ki lehetett dumpolni az eddig elmentett kulcsokat.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( uid_20269 | 2016. 03. 18., p – 20:56 )

Nem kér valaki egy javascript-vélhetően vírust elemzésre, amit az előbb kaptam.?.?
Feladó én, címzett én, csatolmány Document2.zip, benne Document5917.js...
sid{kukkacc}cékettő{ponthu}
--
God bless you, Captain Hindsight..

( prion | 2016. 03. 19., szo – 14:07 )

hú, tök jó ennek a szálnak a hangulata. nem idegeskedés, hanem probléma megoldás. wow.

( bednarik | 2016. 04. 02., szo – 21:28 )

nincs valakinek egy müködö virusa?
szükség lenne ellenszer kidolgozáshoz egy müködö példányra :)

--
ingatlanturista.hu,
ingatlanturista.blog.hu /érdekes kísérlet ház eladásra,vicces ingalanos történetek, többit az oldalon./
Frissités: eladtunk, weboldal hasznositáson még gondolkozom.

( Cybernet | 2016. 04. 03., v – 13:26 )

Lehet hogy amator megoldas:

Emlitettek itt hogy megtamad nemfelcsatolt samba megosztast is.
Van esetleg valami modszer arra, hogy maga a samba server ismerje fel ?

PL: figyelni a fileokat watchdog szeruen, es ha talal .locky vegu filet (ez most nagyon egyeruen fogalmazva), akkor leallitja akar az egesz samba servicet, es persze ertesiti az admint.

A fo kerdesem az hogy van-e valami sema ami szerint ez felismerheto lenne. (Tudom hogy van tobbfele ransomware)

En irtam ra fae'k scriptet, miutan elso alkalommal benyaltuk..

Masodjara mikor valaki ismet futtatta, mar sokkal hamarabb eszrevettuk.
Azota kiegeszitettem 90-100db ismert kiterjesztessel/fajl nevvel.

FS szinten nem tudom mi a megoldas, raadasul a tuloldalon Windows-ok szolgalnak ki, ahhoz en nem nagyon nyulok.

letix

-----------------------------------------
Linux alapparancsok, kezdőknek

Szerintem vfs modult lehetne írni rá sambahoz.
Windows oldalt jó kérdés, gondolkodtam valami Applocker szerű megmozduláson Ariad forráskódja Public Domain, nem nagy kunszt átírni, hogy csak bizonyos path(ok)ról mehessen az execute de majdcsak minden program telepítője a user temp mappájába dobálja az installert, ha az whitelistre kerül akkor meg annyi mint halottnak a csók (a google meg azt mondta, hogy kernel modeban nincs lehetőség aláírást ellenőrizni). :)

client oldalon ilyenekre is lehet loni:

We assume the user's machine to be infected:
If the following registry key has been added to the system:

HKEY_CURRENT_USER\
Software\
Microsoft
\Windows
\CurrentVersion\
Run
“Locky" = “%TEMP%
\.exe”

HKEY_CURRENT_USER\
Software\
Locky
"id" = <
Personal Identification ID
>
“pubkey” =
“paytext” = <
Content of “Locky_recover_instructions.txt”>
“completed” = “0x1” [This value will be added after completion of encryption]


Subject: Internal Attack - Security Report #8899526

== IMPORTANT INFORMATION ==

Firewall Alarm. Security Attack Prevented.
IP: 184.298.374.98
PORT: 8600
TIME: 09:08 AM (GMT-6)
DATA: APRIL 11, 2016
PROVIDE: COMCAST CORP.
LOCATION: BOSTON, MASSACHUSETS

In order to see the additional details and take all the required actions
please check the report enclosed below.

Azt hiszem erre nem matchelne. (Mondjuk az is igaz, hogy a payload nem Lockyt töltött le hanem Teslacryptet. :))

( tmms v | 2016. 04. 08., p – 12:28 )

Aktuális a dolog, bár mi még egyelőre sikeresen visszavertük a támadásokat. A kérdés, hogy MS Exchange-nél ki milyen opciót állít be védekezés gyanánt?
Milyen opciók lehetnek még a védekezésre?

Exchange elé suricata szűrés brutálisan hangzik?

+1 ele kell tenni egy virusszurot imho.

Egyebkent meg lehet venni exchange-be epulo virusszurot (eset-nek pl. van ilyen termeke, nagyon nem olcso).

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

( ncc1701 | 2016. 04. 09., szo – 13:23 )

File szerveren héten álltam át zfs (8db hdd raidz2-ben), plusz óránkénti, naponta, havonta snapshot. Ezzel az ilyen vírusok kiküszöbölve. Hely is van a virtuális gépek mentésére.

( connor v | 2016. 04. 30., szo – 19:13 )

sub.
Egy ember nálunk benyalta. A hálózati meghajtókat nem érte el szerencsére.
A többiek figyelmesebbek voltak és törölték a gyanús leveleket.

( Hubman | 2016. 05. 01., v – 19:21 )

Sziasztok,

Remélem nem veszitek tolakvásnak, de szeretném a figyelmetekbe ajánlani a http://ransomware.hu oldalt, ahol minden fontos dolgot megtudhattok a zsarolóvírusokról, továbbá akinek fontos adatai elvesztek, találhat megoldást a fájlok visszanyerésére. Sok ügyfélnek segítettünk már. Bármilyen kérdés esetén írjatok akár PM-et, akár itt tegyétek fel. ...mert az adat érték... :)

Továbbá még: http://index.hu/tech/2016/04/21/korhazi_zsarolovirus_kiberbiztonsag_ada…

Jogos a felvetésed, már többen kérdezték ezt. Maga az eljárás nyilván cégtitok, de annyit mondhatok, ami szerepel az Index cikkben is:

"Durmics szerint nyers erővel visszafejteni irdatlan idő lenne a jobb ransomware-ek titkosítását, ezért ez általában nem járható út. Ehelyett a kártékony kód hibáit, sebezhetőségeit kell megtalálni, hogy ezen keresztül vissza lehessen állítani az adatokat: A hekker ellen csak a hekker tud védekezni."

Ezen kívül a szakmai hírnév, amit részben az NBF-nél töltött idő alapozott meg, garancia is egyben. Nem árulunk zsákbamacskát, ha bárkinek a rendszerét, fájljait titkosítja a kártevő és nem próbálkozik a leírtással, vagy egyéb művelettel, hanem rögtön elhozza hozzánk a HDD-jét, akkor az adatai az eddigi ügyfeleinknél mért statisztikák alapján legalább 90%-os eséllyel visszaállíthatóak!

Azért ez a 90% elég magasnak tűnik annak fényében, hogy publikusan talán 2-3 ransomware kódjában találtak a titkosításban hibát. Ha a kulcs már nincs a gépen akkor elég kilátástalan a dolognak tűnik szerintem...
A 40e+Áfa 90%-át is visszafizetitek, ha nem jártok sikerrel? :)

Olvass a sorok között :D Annyit írt, hogy titok. A tipikus megoldás a mentés, ottmaradt adatok előkotrása (számos ingyenes és pénzes forensics eszköz van) a diskről. Erre ugye akkor van esély, ha nem álltak neki kókányolni. És amennyire tudom, egyelőre a ransomware, cryptolocker bigyók még csak logikai törlést végeznek.

Sehol se írta hogy 90%-ban visszafejtik az elkódolt adatokat :D

Tipp: "... és nem próbálkozik a leírtással, vagy egyéb művelettel, hanem rögtön elhozza hozzánk ..."

Elég nyilvánvaló, hogy amíg a locky dolgozik, addig a kulcs ott van a gépen és hozzáférhető (diszken, memóriában). Ha végzett, akkor gondolom törli, de ha nem elég biztonságosan, még akkor is vissza lehet talán szerezni.

--

A 40.000 Ft + ÁFA összegű bevizsgálási díj minden esetben fizetendő, ugyan is az, hogy meg tudjuk határozni az adatok visszaállíthatóságát, rengeteget kell dolgoznunk az adathordozón különféle forensic eszközökkel. Ez a munka sok időt elvesz más, magasabb költségvetésű projektektől, az etikus hackereket pedig megfelelő szinten meg kell tudni fizetni.
Akinek nem ér meg ennyi pénzt az egész, annak valószínű nem is olyan fontosak az adatait, melyeket vissza szeretne állítani.

Nem titkosítási hibáról beszélünk, ilyenről nem volt szó.

+1, engem is nagyon érdekelne egy case study

Kezd egy minta kirajzolódni a fejemben a visszaállítás sikerességétől függetlenül befizetendő bevizsgálási díjjal kapcsolatban.

(Ugyanitt 30+áfáért bevizsgálok bármilyen adathordozót. Ha úgy gondolom, hogy javítható, akkor 100%-os garanciát vállalok. ;))

Csinálj egy partcíót, másolj rá rájlokat, töröld le őket, majd engedd rá a foremost-ot vagy inkább a scalpelt. Ha windows az áldozat ezt próbáld: http://www.caine-live.net/

Én dölgött pendrive-ról szedegettem vissza adatokat, igen jó hatásfokkal. Általában a fontos adatokat sikerül visszaállítani, bár ugye ez tényleg nagyon sok dologtól függ.

Nem értelek. Vagy nem tudod hogy mire való az idézőjel. Amúgy csak belegondoltam magam a helyzetükbe. Tegyük fel - csak a vicc kedvéért - hogy igazuk van. Akkor az egyik oldalon a kétségbeesett és fizető ügyfelek vannak, és a másik oldalon - ahogy írtad - a "szakmai" körök. Fájdalmasan nehéz lehet választani, hehe.

Sajnos egyelőre nincs kapacitás a Case Study véglegesítésére, mert rengeteg a munka, ami jelenleg elsődleges. Így nem ígérek konkrét időpontot, de ha meglesz, itt közzé fogom tenni azonnal. Addig is szeretnék mutatni egy videót, ahol cégünk elnöke beszél egy konferencián a ransomwarekről, íme: https://youtu.be/buo0cTrankg?t=17m33s

Biztos vagy benne, hogy logikai törlés és nem felülírás? Ha ez ennyire hétköznapi lenne és egyszerű, akkor már alkalmazás készült volna rá, nem hülyegyerekek dolgoznak az AV gyártóknál sem. Én mindenesetre büszke lennék, ha mégis valami okos ötlettel egy magyar cég megoldás kínálna, de az eddigi infók alapján ebben egyre jobban kételkedem.
Amúgy milyen kókányolás képzelhető el? Mielőtt elvinné ehhez a céghez, előtte hexeditorral nekiesik a disket? Valljuk be ez nem életszerű...

{_}>

Csak ismételni tudom magam: "...amennyire tudom, egyelőre a ransomware, cryptolocker bigyók még csak logikai törlést végeznek." Ha valaki tudja cáfolni vagy megerősíteni tegye meg. Sajnos a trend állítólag az, hogy az otthoni felhasználó helyett a céges irányba mozdulnak, ami valószínűsíti a felülírásos módszer bevezetését. Utána a következő a "nem használt" terület nullázása lesz, ott is van ám bőven limlom a múltból.

A megoldás szerintem nem új, 10+ évvel ezelőtt is használtam már ilyen toolokat, tulajdonképpen türelemjáték. Persze amíg nem írják le, hogy mit is csinálnak, addig csak találgatok. De az óvatos körülírásból még semmi ellentéteset nem bírtam kihámozni.

És hogy milyen kókányolás? Ugyanaz a recept, mint egy sérült disk helyreállításakor (bár a helyzet sokkal-sokkal kényelmesebb): a diskre írt minden bájt esélyes, hogy értékes adatot ír felül. Szuperokos víruskereső vagy -irtó, chkdsk, mittomén mit találnak ki a az adatok helyreállítására, a sokszor zéró felkészültséggel rendelkező felhasználók.

( dejo v | 2016. 05. 02., h – 09:09 )

Az Origó szerint a Kaspesky legyőzte a zsaroló vírust.
http://www.origo.hu/techbazis/20160429-van-megoldas-a-windowsos-zsarolo…
Akit elért a baj, esetleg kipróbálhatja és beszámolhat arról, hogy valóban vissza tudja fejteni a Kaspersky RannohDecryptor-a a vírus által titkosított fájlt.
A dekódolót be lehet állítani, hogy a kódolt fájlt a dekódolás után törölje. Szerintem néhány próba erejéig ezt nem kellene használni.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Az a baj, hogy az Origót is betanított majmok írják. Anno volt is hírekben, hogy a rendőrség (talán a holland, a franc se emlékszik) rátalált az egyik C&C szerverfarmra, és az ott talált kulcsokkal már nyilván vissza lehet fejteni azokat a fájlokat, amiket ők kódoltak el. Szóval nem is egy fajtára, hanem egy bizonyos cryptolocker/ranswomware variánsra működik. Kizárólag arra.