CTB-Locker

 ( 3r1c | 2015. január 21., szerda - 12:41 )

Üdv. Mindenkinek!

A probléma a következő a CTB-Locker kártevő a felcsatolt partíciókon az összes fájlt kódolta. A fájlok így nem nyithatóak meg.

Ismertek-e olyan programot vagy eljárást amivel a fájlokat újra olvashatóvá tudom tenni?

A google által adott találatok kb. az első 15oldalt végigpróbáltam mindent lépésről lépésre, de sikertelenül

Előre is köszönöm a válaszokat.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

http://www.virushirado.hu/hirek_tart.php?id=2285
"Sajnos a víruselemzők szerint a zsaroló hackerek itt is olyan alaposan valósították meg az AES-256 és az RSA-2048 algoritmusok kombinációjára épülő, hálózatos titkosítást, hogy a fájlok visszanyerésére csak más helyen tárolt adatmentésből van mód."

+1

Avagy fizetsz (és reménykedsz, hogy tényleg kititkosítja a fájlokat), vagy visszaállítod a fájlokat backupból.

Sejtettem hogy AES-256 vagy RSA-2048 titkosításról van szó. Akkor ennyit erről.

Köszönöm.

Hát igen, 254 vagy 255 még elmegy, de 256! Az azért már túl kemény.

Ez most a legújabb őrület... sajnos az irodában van egy windows-os gép, amin a kollégák szintén megnyalták eme finomságot hétfőn délután.
(nem mellesleg siet a hup 1 órát)

Hello,

Akkor azt a gépet húzzátok le a hálózatról mert ha van felcsatolva hálózati meghajtó akkor azt is végigkódolja.

Már végigkódolta...

Az szívás, én is ugyan ebben a cipőben járok

Akkor gyűjtsétek a lóvét. Most éppen mennyit kérnek érte? 6 hónapja nálunk is fizetett valaki.

És fizetést követően, újra elérhetőek lettek a fájljai?

Igen, eltartott egy darabig a kikódolás de működött.

nálunk fél órája fut a dekódolás... ami nagyon-nagyon kellett, az már megvan...

Nekem ma sandbox-ban 3 bitcoint kért, és készségesen át is konvertálta az aktuális BTC/USD árfolyamon: 630 USD.

szerk.: mai árfolyam: http://i.imgur.com/orH4zAC.png

Te mázlista... csak 3? Biztos nem volt hálózati meghajtód... :D

Én csak sandboxban vizsgálgatom a cuccot, nem vagyok érintett. :)

Talán ez lehet a megoldás?
http://malwarefixes.com/remove-ctb-locker-virus/
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Volt egy nagyon régi változat amiben ellőttek valamit, azt lehetett kikódolni. A tavaly nyári már nem ment így.

Mi arra jutottunk hogy email-en nyitott meg valamit a felhasználó, szerencsére a shared drive-ra nem volt csatlakoztatva meg arról amúgy is van backup.

Viszont az általam linkelt írás 2015. január 17.-i.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

próbálta valaki?

Hallom, hogy nálunk is felbukkant. A mi szervezeti egységünk szerencsére nem érintett.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Védekezni hogy lehet ez ellen? Megfelelő backup-on és okos email csatolmány nyitogatáson kívül? Víruskergetők, malware progik beengedik?

Védekezni? Első sorban a felhasználók oktatásával, ez a legfontosabb. A második védelmi vonal az Antivirus és az AntiMalware termék. A végső megoldás pedig a Halál. :) Vagyis nem, az a backup... ami legtöbbször csak a szerveren levő anyagokról készül.

Sajna azonban a klienseken is tárolnak a felhasználók sok privát dolgot, amit ez a szutyok pont haza fog tudni vágni. Ilyen az Outlook által használt PST fájl is, erre jó lesz figylni.

szerk: hibajavítások.

Írták már, shadow copy+ elvenni az admin jogot.

Szasztok,

Mi is benyaltuk, pedig vírusírtó, backup, de sajnos benyaltuk. Ráadásul hálózati meghajtón.
Van olyan aki fizetett és kikódolta a cucc?

Érdemes fizetni?

Köszönöm!
Cs

Kérlek, olvass! Ugyanezen topikban van válasz az első kérdésedre: http://hup.hu/node/138183?comments_per_page=9999#comment-1828333

Ez mai BTC/USD áfrolyamon 630 USD, ami 272 Forinttal számolva ~172E HUF. Ennek fényében szerintem meg fogod tudni válaszolni a második kérdésedet magad is.

Szia,

Hát igen, csak lelkisegélynek gondoltam, hátha valaki azóta fizetett.

Úgy néz ki nekünk kell.

Szólok mi lett ha érdekel valakit.

Köszönöm,
Cs

Fizettünk. Meglett minden adat.

Szia,

KÖszönöm,

Ment egy MSG.

Köszönöm!
Cs

Hasonló cipőben járok.

A fizetés után mi volt a dolgok menete?

Szia,

1) Toron keresztül meghívod az oldalt amit mondd a háttérkép,
2) Fizetsz,
3) Eltelik 15 perc KB majd frissíted az oldalt,
4) Megkapod a download linket és a kulcsodat,
5) Backupolod a kulcsodat és az unlocker progit,
6) Rendszergazdaként lefuttatot a progit ( csak úgy engedte ),
7) Vissza kapod a filejaidat,

Amit nekem nem csinált meg a hálózati meghajtót. :(
De ha onnan a filet átszedem lokaba és futtatom a progit megcsinálja,

Ezt hogy lehetne megoldani.

Nálunk nem volt ilyesmi...
A fertőzött gépet először lelőttük, lementettünk mindent, amit még lehetett.

Miután látszott, hogy a fájlok visszanyerésére nincs lehetőség, a tulajdonos úgy döntött, hogy megér egy próbát, fizet.

Visszaindítottuk a fertőzött rendszert, elzárva a többi géptől. Lelogoltuk a kimenő forgalmát, de a TOR miatt annak nem sok jelentősége volt.
Nem volt szükség TOR kliensre, a vírus megoldotta önállóan, csak le kellett lőni minden antivírust, tűzfalat, stb.

Elkezdtük keresni a lehetőséget, honnan lehetne rövid idő alatt beszerezni a szükséges BTC-t.
Az Octarine Labs-os Debreczeni Barnabást találtuk meg, Ő segített a beszerzésben, belföldi banki tranzakcióval.
http://octarine-labs.com/contact/

Ezután egy tiszta gépről átküldtük a BTC-t a megadott pénztárcára.
A blockchain.info-n néztük a BTC sorsát, a visszaigazolást követően tovább dobta egy gyűjtőre, ahová már több hasonló értékű BTC érkezett... aztán tovább nem követtük, már minek.
A gyűjtője:
https://blockchain.info/address/1ALP3hhntCUU3RZn3MM66rsYQ6AKupytwh

Miután sikeresen átdobta magának az egyedi tárcából a gyűjtőjére a BTC-t, rövidesen nekilátott visszaállítani a fájlokat a vírus, ezt ki is írta a kijelzőre.
Miután végzett, kiírta, hogy kész.
Volt szíves adni egy "rescan" gombot is arra az esetre, ha maradt még volna elkent fájl.

Ennyi a sztori.

Volt network meghajtód?

Nekünk az nem állt vissza.....

Nem keres a Hálózati meghajtón.

Nem tudom, hogy kéne rávenni, így viszont elég gáz...

Volt. SAMBA. Arról is lementettünk mindent, majd visszacsatoltuk.
Helyreállította ott is az adatokat.

Sambán nem hajlandó visszaállítani semmit.

Volt jelszava a hálózati meghajtónak?

Talán nem volt és azért tudta?

Sziasztok!

Jelezték többen, hogy megjelent itt az elérhetőségünk ezért gondoltam leírom röviden itt is amit telefonban amúgy is mondanék:

Van egy online váltónk, ahol forintért, forint utalással lehet Bitcoint vásárolni: http://www.instacoins.hu/

Az itt feladott megrendelések munkaidőben 4 órán belül teljesülnek (ez a banki átutalás átfutási ideje). Nincs regisztráció se verifikáció, az egész rendelés 2 perc.

Ezenkívül üzemeltetünk egy Bitcoin ATM-et Budapesten a belvárosban az Anker Klubban. A cím: Anker köz 1-3.

Mi nem vagyunk tárca szolgáltató, így azt érdemes külön csinálni valahol. Én a Hive Wallet-et javaslom (www.hivewallet.com), egyszerű és használható. Van webes, iphone-os és androidos változata is. Javaslom inkább az okostelefonos tárcát, hiszen egy fertőzőtt gépen Bitcoin tárcát tárolni nem túl szerencsés ötlet, mert azt a malware ki tudja könnyen üríteni.

Ha bármi segítség kell itt van az elérhetőségünk: http://octarine-labs.com/contact/

(magával a CTB lockerrel sajnos nem tudunk segíteni, mert nem ismerjük, nincs tapasztalatunk vele. Windows-t sem láttunk kb. 15 éve.)

Javaslom inkább az okostelefonos tárcát, hiszen egy fertőzőtt gépen Bitcoin tárcát tárolni nem túl szerencsés ötlet, mert azt a malware ki tudja könnyen üríteni.

Miért, az okostelefonos tárcát nem?

Offtopic, ezért ment külön helyre: http://hup.hu/node/138619

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

.

Mint bitcoin analfabéta: mi van, ha chargeback-elitek a kifizetett összeget?

-----------
"Pontban 0:00-kor nem nagyon szoktak véletlen dolgok történni"

Hogy mit csinálsz? A bitcoin mögött nincs garanciát vállaló bank, ezért nincs chargeback.

Szintén fingom nincs a BTC működéséről:

A BTC-t valahonnan megveszed, nem? Ha nem magadnak bányászod össze hirtelen a szükséges mennyiséget, akkor gondolom a neten megveszed valakitől, adott esetben bankkátyával. megveszed, befizeted, majd felhívod a bankod a chargeback miatt.

Itt nem is a konkrét működés a kérdés nekem, hanem hogy szabad-e ilyet (jogilag)? Mert a BTC tőzsde viszont legitim (illetve szerintem nem, de nem követ el konkrét bűncselekményt), így ha őket átvered, te leszel a ludas.

> "Ha nem magadnak bányászod össze hirtelen a szükséges mennyiséget"
megnézném, mennyire hirtelen tudnál összebányászni 3 vagy 8 BTC-t...

> "megveszed, befizeted, majd felhívod a bankod a chargeback miatt"
kicsit még olvasgass utána... ;)

> kicsit még olvasgass utána... ;)

Mint írtam is, a BTC működéséről (technikai értelemben) szinte semmit nem tudok, különösebben nem is érdekel egyébként, annyira legalábbis biztos nem, hogy elkezdjek utánaolvasni. :)

nagyon én sem értek hozzá, de amit fent felvázolsz, hát pont azzal ba**ol ki, aki neked segít, hogy lehessen BTC-d.
Mármint Te kártyával valakitől veszel BTC-t, hogy a vírusírótól megvedd az ellenszert.
Kifizeted a vírusírót, majd szólsz a banknak, hogy a "pénzváltótól" húzza vissza a pénzed? WTF?

a BTC-nek egyébként éppen az lenne az értelme - és ezért kéri az illető a fizetséget abban - hogy névtelen, lekövethetetlen pár tranzakció után.

Nem azért írtam, hogy ötleteket adjak, sőt:

> Itt nem is a konkrét működés a kérdés
> így ha [a BTC-tőzsdét] átvered, te leszel a ludas

Akitől a btc-t veszed, azzal gondolom erről kötsz valamilyen megegyezést/szerződést, regisztrálsz nála, akármi. Ezek után csak úgy nem táncolhatsz vissza egy fizetés után, ilyen alapon ingyen vásárolgathatnál bármit a nagyvilágban, hisz úgyis chargebackeed a pénzt a banktól.

Másodszor már nem írom le, lásd eggyel arrébb a válaszomat a hasonló kérdésre. :P

Világos, jogos. Egy darabig olvasgattam utána, de aztán idő/érdeklődés hiányában abbamaradt.

-----------
"Pontban 0:00-kor nem nagyon szoktak véletlen dolgok történni"

Nálunk is ott figyelt a McAfee, mégis bejött.

Mint hozzá nem értő: Miképp lehet elkerülni ezt a kártevőt?

Ha szeretnéd elkerülni a CTB Locker fertőzést, akkor olvasd el és alkalmazd a gyakorlatban az alábbi linken elérhető CryptoLocker “zsaroló-vírus”-ról szóló cikkemben leírtakat!

http://ludman.hu/wp-content/uploads/2015/01/CryptoLockerInfo-Ludman-2015jan21_v3.pdf

Üdv.: LT

Jaj.

Ez a cikk miert csak PDF-ben elerheto? Miert nem posztolod ki rendesen?
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Ritkán beszélek le valakit, ha tudását kívánja bővíteni, de a fenti link elolvasása nem visz előbbre.

Pl. lehet nem használni windows-t...

Nem működik, van Linux alatt futó változat is hozzá, csak nem volt meg a userbase ahoz hogy terjesszék. Ezért lett a SynoLocker.

Linux alatt sem vagy előbbre ha végiggondolod.

De, előrébb vagyok, mert könnyedén megtehetem, hogy nem futtatok random szemetet az internetről olyan jogokkal, amivel kárt lehet okozni. Ezt windowson megcsinálni minimum nehézkes.

> Ezt windowson megcsinálni minimum nehézkes.

Mi-cso-da?

Ugyan mitől lenne nehézkesebb? Az UAC nem dísznek van ott.

Mert az UAC nem oldja meg azt a problémát, hogy a felhasználó által futtatott program ne tudjon hozzáférni a felhasználó saját dolgaihoz. Ez a történet ugye arról szól, hogy a felhasználó a saját cuccait veszti el, ez ellen az UAC semmit nem véd.

> a felhasználó által futtatott program ne tudjon hozzáférni a felhasználó saját dolgaihoz

Ezt milyen oprendszeren lehet megcsinálni _értelmesen_, azaz SOHO környezetben elfogadható módon? Vagy hogy érted?

Kezdetnek Linux alatt például a /home és a /tmp mount opciói közé fel kell venni a noexec-et. Bár mindent ez sem fog meg.

+ /var/tmp
+ Továbbá az udev-nek megmondani, hogy noexec érvényes mindenre, amit automatikusan felcsatol.
+ A hálózati megosztásoknál szintén megoldható a noexec, ha oda kerülne fel egy bináris.
+ Ha böngésző bugon jönne be a mocsok, jó eséllyel elkapja a grsec.

tudsz erről r=1 linux user számára leírást mutatni?

Melyikről?

noexec mount beállításról, és grsec-ről, illetve ha még felmerül hasonló, akkor továbbiakról is szívesen fogadok (szerintem nem vagyok egyedül vele)

Idézet:
noexec mount beállításról

man mount

Q: "r=1 linux user számára leírást mutatni?"
A: "man mount"

FAIL. Sem a kerdest nem sikerult megerteni, sem korrekt valaszt adni ra.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Ezt nem ertem. Mivel irhatott volna tobbet a man oldal egy soranal? Ami raadasul az opcio neveben is benne van.

Mit lehet egy "noexec" opcion ragozni ?

--
http://www.micros~1
Rekurzió: lásd rekurzió.

El lehet pl mondani, hogy milyen ismert mellékhatásai lehetnek, ha olyan helyen használod, ahol első bliccre ugyan jó ötletnek tűnik, a gyakorlatban meg mégesm :)

Legyszives, kerj meg egy angolul tudo nem-informatikust, hogy olvassa el a mount parancs man oldalat, majd mondja el, mirol szolt. Na, annyit ert egy r=1 user a dologbol. A fogalmat nem ismeri, hogy "noexec opcio".
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

A grsec-ről és a többiekről itt olvashatsz egy jó kis összefoglalást: http://hup.hu/node/108217

A mount opciókért man mount, jobbat nem tudok. :)

Ami azt illeti, az 2-3 pontokra engem is erdekelne megoldas. Ami a grsec-et illeti, az bizony amig nem lesz az alap operacios rendszer resze, addig nem tekintheto potencialis vedelemnek. Ami itt szobajon helyette, az az apparmor, az legalabb van ubuntu-ban is, meg opensuse-ban is. Azt viszont nem tudom, hogy azt hogyan kellene beallitani ilyen esetekre.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Valami azt sugja, hogy r=1 user a fentivel meg annyira sem jutott, mint a "man mount"-tal. Legalabbis a "grsec nem jo, apparmor jo, de nem tudom hogyan kell beallitani" nekem kevesebb infot ad, mint a man mount.

--
http://www.micros~1
Rekurzió: lásd rekurzió.

Stop. Legyszives idezd be azt a reszt, ahol azt mondtam, hogy a grsec nem jo. A grsec egy nagyon jo cucc, viszont, es ezt most vastaggal fogom szedni, hogy legyel szives elolvasni nem a desktop disztribuciok alaptelepitesenek a resze. Ez nem a grsec hibaja, egyszeruen egy sajnalatos teny, semmi tobb. Amiben esely van ilyesmi beallitasokat tenni, es desktop disztribuciok alaptelepitesenek resze, az az AppArmor. Nem, ezzel nem azt mondom, hogy az apparmor jo, vagy jobb, mint a grsec. Azt sem, hogy rosszabb. Azt mondom, hogy egy r=1 user elobb fogja tudni AppArmor-ban ezt beallitani, tekintve hogy egyreszt mar fenn van a gepen, masreszt vannak hozza grafikus cuccok, mint grsecurity-ben, ahol ezek egyike sem adott.

Viszont, mivel en a sajat gepemen nem hasznalok AppArmort (sajnos nincs ra lehetosegem), illetve nem tamogatok Linuxot hasznalo r=1 usereket, igy nem tudom elmondani, hogy a grafikus toolokban pontosan hogyan lehet ezt beallitani. Meg konfig szinten is elegge utana kellene olvasnom a pontos metodusnak, de azt konkretan tudom, hogy erre van mod es lehetoseg. Gondolom, hogy a kerdezo (es nem az r=1 user) ez alapjan mar meg fogja tudni keresni a megfelelo grafikus megoldast, amivel eselye van megoldani a problemat. Ha nem banyaszna le szamomra fontos dolgokat az apparmor (van par csomag, ami explicite utkozik az apparmorral), akkor feltennem, es megneznem magam.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

noexec ekvivalens van Windows-on is

ezért nem tudom mire vélni vl posztját:
> Ezt windowson megcsinálni minimum nehézkes.

Persze, nehézkes, de az egyszeri user a büdös életben nem fogja a noexec-t sem használni, úgyhogy Linuxon sem vagyunk semmivel előrébb.

Mutatsz erre peldat, hogy pontosan mire gondolsz?
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Tegyük fel, ez általánosan (*) elterjedtté válik (ez minden homeopátia-érzés ellenére jó lenne), összesen annyi lesz a következmény, hogy elterjednek a szkriptnyelven (nem annyira shell, mint perl, python, php, stb.) írt vírusok, amire viszont az egyáltalán nem hat.

(*) Sajnos ha jobban rémlik, az r=1 felhasználóknak kitalált terjesztések alapértelmezetten nem nagyon szeretik eleve önálló fájlrendszerként kezelni a /home, /tmp, /usr/tmp, /var/tmp területeket.

A /home legtobbszor onallo fajlrendszerkent kezelodig az un. guided partitioning eseten. Legalabbis Ubuntu es OpenSUSE eseten ez igy van (a ket legtobbet hasznalt r=1 FS). A noexec kapcsolot viszont tenyleg manualisan kell beloni.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Linux. Grsecurity megvan?

> ...SOHO környezetben...

Letöltöttem a grsec quickstart doksiját. Az egyszeri user pont addig fogja elolvasni, mint én most: "Configuring the Linux Kernel"

Tehát a válasz: Linux alatt sem lehet egyszerűen és/vagy OOTB megoldani ezt. Ilyen szinten Windows-ra is van megoldás, mert GP-ből letiltod nem-whitelistelt futtatható fájlok elindítását, és megoldódott a probléma.

A gond viszont ott van, hogy jellemzően azok tudják használni a {grsecurity-t|Group policy-t}, akik amúgy is jó eséllyel csinálnak backupot a vackaikról. :)

És, a böngészőt letiltod, vagy nem tiltod? Mert ha nem tiltod, akkor nem csináltál semmit, ha meg letiltod, akkor meg kiegyenesített kaszákkal fognak fellázadni a júzerek :D

A GP a töredékét nem tudja annak, amit a grsecurity.

Mutass egy olyan desktop disztrot, ami alapbol bekapcsolt grsecurity-vel jon. Valamint mutass olyan grafikus feluleteket a grsecurity-hez, amit egy atlagos vagy egy atlagnal kicsit kepzettebb, de nem linux-specialist felhasznalo el tud kezelni.

Utana gyere vissza magyarazni, hogy mennyire jo a grsecurity desktop kornyezetben.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Windows alatt, akár csak aláírt futtatható fájlokat engedsz, mindezt GPO-ból.

Nem flame-et szeretnék: erre Ubuntu/Zentyal alatt milyen lehetőség van?

És ez hogyan fogja megakadályozni a beindított, aláírt fájlok menetközbeni, memóriában történő széthekkelését szoftverbug következtében? Pl. böngésző/flash player/haverjaikban buffer overflow?

Nincs tökéletes védelem, ezt mind tudjuk, kár ismételni. Ellenben a fenti módszer elég sok sz*rt kiszűrne.

Windowson megcsinálni sem nehézkes. Másrésztről az említett SynoLocker esetén pont teljesen mindegy, hogy mit nem futtatsz, mert a Linux alapú Synology NAS eszközöket közvetlenül támadta meg egy biztonsági hibán keresztül, felhasználói beavatkozás nélkül...

ok, de ha nincs synology eszközöm, akkor is veszélyben vagyok? reálisan, nyilván nem fogok ismeretlentől, vagy akár ismerőstől kapott futtatható fájlt csak úgy elindítani, de pl. gmail-en nem is jön át .exe (vagy linux-os futtatható sem, ha jól tudom)

Nem nyitsz meg idegen futtatható fájlokat*, miután telepítetted és konfiguráltad a gépet.

Persze, néha kivételt kell tenni, ebben az esetben:
- szoftver beszerzése csak hivatalos forrásból, amennyire megoldható
- a checksum nem viccből van kitéve a letöltések nagy része mellé
- azt telepítsd/futtasd, amiről tudod, hogy mi, és szükséged van rá

Továbbá, 2015-öt írunk, elég ritka a valódi use case .exe fájlok továbbítására emailben.
- egyik opció, hogy rule-ból kidobni minden emailt, amiben futtatható fájl van, vagy
- ha ismerőstől jön, akkor ellenőrizni, hogy tényleg ő küldte-e, ismeretlentől kuka

További biztonsági pro tippek:
- JavaScript teljes kitiltása, whitelisten azok a honlapok, amikhez muszáj használni
- ha nem kifejezetten szükséges valódi email címet megadni a weben, meltmail.com

Gyakorlatilag egy szóban összefoglalható: ésszel. A vírusirtó már csak hab a tortán.

+1

Én egy helyen üzemeltetek levelezést, ott az amavis helyből minden futtatható fájlt kidob a levelekből.

Viszont a múlt héten a fiam épp megszívott valamit, Steam chat-en a barátja küldött egy linket. Rákattintott, megnézte a weblapot, aztán a worm most már az ő nevében küldte a linket szét az összes barátjának. Meg ellopta a TF2-es tárgyait :-(

Épp tegnapelőtt lepődtem meg hogy Gmail-en keresztül nem lehet futtatható állományt küldeni még arhiválva sem.

Primitív trükkel lehet, kiveszel egy karaktert a kiterjesztésből...

> a checksum nem viccből van kitéve a letöltések nagy része mellé
Ahol nem az eredeti letölthető fájl van, ott gyanítom a checksum sem az eredeti

Hát ja, de akinek egy kis esze van ráereszti a google-t a checksum-ra.

Ehhez mát több ész és tapasztalat kell, mint idegentől, nem várt fax csatolmányt, idegen (scr) kiterjesztést,... megnyitni. Ez utóbbi nálam már kimeríti a szándékos károkozást.

Abszolút igazad van, viszont kósza emailekben és torrent oldalakon szerintem nagyságrendileg több kártevő mozog, mint a néha-néha feltört hivatalos site-okon.

tud valaki kuldeni egy kodolt doc/docx/xls/xlsx filet? anno egy korabbi verziora fejlesztettunk decryptert, megneznem, hatha ezzel is boldogulunk.

Ha segít, olyat is tudok adni, ami megvan kódolatlanul is. ODT is jó, vagy csak DOC?

csak ms office fileok jok, mas formatummal nem foglalkoztunk

Holnap tudok neked küldeni, amilyet csak szeretnél (az eredeti verzióval együtt). Miért nem mindegy a formátum egyébként? Ugyanazon eljárással kódol el minden fájlt, nem?

Árpi, ha ez AES-t használ, akkor te tudod törni az AES-t, vagy hogy van ez?

Mondta hogy volt olyan változat ami csak a file elejét kódolta.

igen, ezek nem szoktak az egesz filet kodolni csak egy reszet. az ms office fileok raadasul iszonyu redundansak, a file nagy resze a maradekbol helyreallithato altalaban.

nyilvan nem tudom torni, de...
kaptam ma par minta filet, azokban vannak ilyen ismetlodesek (neha sok 100 soron at!), valoszinuleg ott, ahol eredetileg 00-ak voltak:

00000980 99 89 8C 13 | 4C 40 98 0D | C4 04 7E EC | 69 1D CC 3C
00000990 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009A0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009B0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009C0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009D0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90

ebbol 2 dolog kovetkezik: 256 bites block kodolast hasznal, es legalabbis fileon belul vegig ugyanaz lehet a kulcs.
szerintem ennyibol a dekodolo kulcs (az adott filera legalabb) kitalalhato.

problema azokkal lesz, ahol nem ismerjuk az eredeti tartalmat reszben sem, de azert a gyakoribb tipusoknal (ms office, pdf stb) azert vannak allando reszek mindig.

vagy nem :(

With AES, or any serious encryption algorithm, even if you have the encrypted data (the ciphertext) and the original message (the plaintext), you are no closer to finding the encryption key. This is known as a known-plaintext attack, and AES is resistant to known-plaintext attacks as it should be.

Viszont elég gyanúsank tűnik a mintából, hogy az AES-t (vagy bármi mást) ECB üzemmódban használja. Ez elég ellenjavallt megoldás, mert viszonylag egyszerű dekódolni, a kulcs ismerete nélkül is.

Ha igaz a feltételezés, hogy ott ahol ezt a mintát láttad tényleg csupa 0-k vannak a plaintextben, akkor megpróbálhatod a fájlt végig xor-olni ezzel az ismétlődő mintával. Hátha valami érdekes dolog jön ki... szerencsés esetben akár a teljes plaintext. :)
---
Régóta vágyok én, az androidok mezonkincsére már!

na ne viccelj

Most mondjam azt, hogy volt dolgom olyan implementációval, ahol ez így frankón tényleg működött?! Én sem akartam elsőre elhinni... A leírtnál annyival volt bonyolultabb a helyzet, hogy nem lehetett tudni, hogy pontosan melyik byte ismétlődik, ezért végig kellett próbálni a lehetőségeket.

(Edit: ja ok, értem mire gondolsz, az ECB-t "rendesen" használva, a plaintext blokkot IV-be betöltve, nem pedig outputtal xor-olva valóban nem kéne ilyen szimplán működnie. De ha már valakinek komolyan eszébe jutott ECB-t használni diszken fájlok titkosítására, ott érdemes megpróbálni, hátha egyéb marhaságot is csinált.)
---
Régóta vágyok én, az androidok mezonkincsére már!

Engem személy szerint használati szokásaim miatt kevéssé érint :-) , de esetleg valami konkrétum, hogy melyik irtők ismerik már, illetve melyek nem?

A mai napi szavazásba dobtam két vírustotal-os eredményt. Az egyik a dropper, a másik maga a ransomware.

Köszi, megtaláltam, megnyugodtam. Ha jól értelmezem a dolgokat, ha valaki ma frissítette a vírusirtóját, és eddig nem telefonált riadt hangon, az már nem fog :-)

azert tartsd szarazon a puskaport. holnap reggelre frissitik a cryptolockert is...

Adalék a nyugalomhoz:

Az AV-Test szervezet egyik kutatása szerint 2014-ben 143 millió új malware mintát regisztráltak. (Napi több mint 390 000)

The Independent institute AV-Test issued an analysis that recorded 143 Million new malware samples in 2014 and 12 million new variants per month.
http://securityaffairs.co/wordpress/32352/malware/av-test-statistics-2014.html

Az már igen. Ha jól tippelem, lassan az informatika két részre szakad. Az egyik fele a kártevőket fogja írni, a másik fele a védelmet. Fasza, nagyon fasza.

És az utóbbiak mindig csak kullognak majd az események után.

--
trey @ gépház

Előbb utóbb majd beteszik a grsec. TPM-szerű megoldását a windowsba, ahogy a PaX-ot is valamennyire átportolták.
Addig ez lesz.

Ezzel aztán az összes EXE alapú vírust a gyakorlatban kivégzik.

Maradnak a szkript alapú cuccok. Azok meg ennyi vizet nem zavarnak.

Aki nem ismerné a dolog nagyjából úgy (is) működik, hogy van megadható egy spec. felhasználói csoport.

Aki annak a tagja, az a tulajdonában levő cuccokat nem futtathatja, és ennyi. (vagy fordítva, csak az futtathat, aki a csoport tagja). Innentől exe kilőve, bármilyen forrásból szerzi be,
- letölti, ő vagy a "nevében" egy szkript
- futtatja egy általa felcsatolt cuccról
tökmindegy,
a fájlnak ő lesz a tulajdonosa, nem pedig az Administrator, és innentől vége, megy a security naplóba a próbálkozás és kész.

Aki meg adminként használja a gépét, az megérdemli amit azért kap.

--------

Nem vezetek...Jobb így. Nekem is
meg mindenki másnak is.

"But while IT administrators generally agree that restricting users to a standard user account is the way to go, about 80 percent deploy their desktops with admin accounts, making those machines more susceptible to malware and harder to manage." - Microsoft Technet

Nagyon sokszor az IT tehetetlen, mert alulról/felülről érkező nyomás hatására a vezetés beleegyezik, hogy a polgárnak local admin joga legyen. Vannak olyan helyek, ahol személyes sértésnek veszi a bugris, hogy neki nincs joga és addig kilincsel, amíg ki nem hajtja, hogy legyen neki.

Nyilvánvaló, hogy az IT rendszergazda nem maga ellensége és 10-ből 10 támogatná, hogy ne legyen rendszergazdai joga az átlagfelhasználónak.

--
trey @ gépház

Éljenek a tapasztalt és felkészült vezetők !

Mindég mondom, hogy minden pénzt megérnek. ;-))

--------

Nem vezetek...Jobb így. Nekem is
meg mindenki másnak is.

Applocker-nek hívják, Windows 7 óta jelen van, de az alapjául szolgáló Software restriction policies-t már az XP is támogatta.

hat nemtom. azon filozom, hogy ugyfeleknel forceolni fogom a jelszovedett .rar tomoritvenyt.
mondjuk ehhez erosen v1.0+ tanithato ugyfelek kellenek.
szoval allando partnerekkel elore egyeztetett jelszo. ha nem keri, akkor gyanus. ha a mellekletet tartalmazo mailben jelszo is van mellekelve, akkor gyanus.
csak ugy beeso tomoritvenyek, futtathato fileok meg kivagva a gecibe. ( mondjuk az assp eleg hatekony bir lenni ezen a teren a hatterben virusirto nelkul is. )

Ezeket hogyan oldod meg?
- kuldo gepe virusos -> becsomagolt file is az lesz
- hogy allapitod meg a csatolmanyrol, hogy jelszavas rar vagy sem, mi alapjan dobod el a nem jelszavasokat?

---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

ezert irtam, hogy v1.0+ tanithato ugyfelek kellenek.
ugyfel csomagol - jelszavas lesz, virus csomagol - nem lesz benne jelszo.
az elore ledumalt jelszavakkal rafuttatom az

unrar t -p $password

parancsot. ha valamelyikkel ki tudja bontani, akkor ok.
mondjuk annak utana kell nezni, mit ad vissza az unrar, ha nem jelszavazott tomoritvenyt jelszoval akarok kibontani.

Ezt pontosan nem tudom megmondani, ellenben arra figyelj oda, hogy én eddig kétféle titkosított RAR-fájllal találkoztam (és nem tudom mi módon hozták létre egyiket és másikat):

- az egyiknél a titkosítási kulcs nélkül ki tudod listázni a tartalmát, de (ha jól emlékszem) minden fájlt leíró sor elején van egy - asszem - csillag, és persze ha ki akarod ténylegesen csomagolni, akkor kell a jelszó. Ekkor pl. láthatod, hogy mi van benne.

- a másiknál már a tartalomjegyzék lekérdezéséhez is meg kell adni a jelszót, azaz megnézni se tudod, mi van benne.

a test mod arrol szol, hogy kicsomagolja az egeszet.

opcionális h a fajlnevet is titkositja vagy csak a tartalmat


No rainbow, no sugar

Nem vagyok hozzaerto, de nem ezert vannak a gyanus viselkedesi mintakat figyelo megoldasok a tarrezidens vedelmekben? Ha egy futo szar elkezd fajlokat irogatni az minimum gyanus.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

De, a heurasztikus védelemmel rendelkező vírusirtónak ezt látnia kellene.
Elvileg Windows 8-tól a vele szállított Defenderben van már alapból, fertőzz ez 8-as gépeket is?

hat miutan ma also hangon bejott neki 6000$, valszeg megeri neki kicsit tovabb irni a cuccot :(

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Nálunk is volt,
futó AntiVir, Webfilter, ActiveProtection mellet is (a kellően makacs usernek) valahogy csak sikerült elindítani. Pedig nincs kiemelt joga a usernek és az AV LOG-okból látszik, hogy először karanténba rakta fertőzést. Aztán valahogy elszabadult... Szalagról álltunk vissza.

Nálunk is hasonló volt. Menthetetlen adatot nem érintett szerencsére. "Csak letöltött, de nem indította el". Elhiszem a felhasználónak, hogy nem indított el semmit, vagyok vele olyan viszonyban.
A vírusirtó (Avira) biztosan nyekergett valamit, és mégis...

Eset NOD32 esetében többször előfordult nálunk - igaz nem ezzel a vírussal -, hogy a korlátozott usernél is sikeres volt a csatolmány elindítása, benne vírussal. Majd 1-2 órával később jelezte, hogy fertőzött az outlook.exe, és benne van az autorunban, de nem tud vele mit kezdeni, mert a memóriában van. Addig ki is mentek a spamek szépen.
Szóval nem szabad bízni a víruskeresőkben, a legkisebb mértékben sem.

Sub

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

+1

+1.jpg.scr

sub

A fizetés után programot is kap az ember és kulcsot, vagy csak az eredeti gépen lehet helyreállítani a fájlokat?

Úgy emlékszem hogy kulcs is volt mellette, de már letöröltem az egés cuccot.

Köszi.

Kellene nekem egy privát meg egy publikus kulcs páros (amit beírsz az oldalon, meg amit visszakapsz).
Kezdem megfejteni a kódolást, vannak fájlok, amiket már sikerült is visszafejtenem, csak van még valami csavar az algoritmusban.

Egyébként, hogy működik ? Windows alkalmazások, ddl-eket, összetevőket használ a gépről ? Vagy már a vírusban minden benne van ami kell neki ?

a "viselkedési információk" fül alatt találod az infókat, hogy mit módosít és mit használ...
https://www.virustotal.com/hu/file/aeafa11ece87aa60410c9851f9a02b052663e73976bbf1977bce618f98037251/analysis/

Jövőbeli virus.patch-ek ellen nem lehetne pár a listán szereplő .dll vagy egyéb filét ami a titkosításhoz feltétlenül használnia kell , és nincsenek napi használatban hozzáférhetetlenné tenni ?

vssadmin delete shadows all - suxxxxxx

apropos windows szakik ! bezavar a windows lelkebe, ha atnevezem a vssadmin -t ?

Sikerult osszeszedni a 3.000.000 b-t, de meg kellene 100 b, erre nem szamitottunk hogy utalasnak is dija lesz. Valaki nem tudna kisegiteni ezzel az osszeggel gyorsan?
Elegge uj volt nekem es annak is a bitcoin dolog aki ezt csinalta. Viszont a weblap igy is csak neha neha erheto el. Felo, hogy holnap mar nem lesz.

Te befizetted az összeget amit követeltek? Ember pont emiatt terjednek ezek a vírusok! Csak bátorítod őket, hogy folytassák. Ha nincs mentésed akkor a fájlokra keresztet vethetsz. Az alapszabály minden ilyen esetben, hogy a cyber terroristákkal ugyanúgy nem szabad egyezkedni ahogy a valódiakkal sem!

Persze, a napi munkavégzéshez (így a megélhetéshez) szükséges fájlok valóban jóval kevésbé fontosak, mint az elvek.

Nem, de azért pár apróságot mérlegelni kell:
- Bűnözőkkel fogsz üzletelni: ha fizetsz, kapsz valamit? Az tényleg visszaállít mindent? Ha igen, közben hova rejti el a következő ransomware-t?
- Mennyi munka valahonnan visszaszerezni a file-okat, akár egy részüket újra megcsinálni? Azért többet kapsz, mint a váltságdíj?
- És tényleg, ha sokan fizetnek, akkor nagyon jövedelmező üzlet lesz ilyen szarokat írni, hamarosan lesz napi 2, azt nem fogod tudni megfizetni.

> Ha igen, közben hova rejti el a következő ransomware-t?
Jogos, de egy ilyen után a leghülyébb felhasználónak is eszébe jut, hogy hoppá, csinálok backupot.

> Azért többet kapsz, mint a váltságdíj?
Valószínűleg, itt azért nem olyan embertelenül magas összegekről volt szó eddig. Értsd: persze, nekem is k*rvára fájna kifizetni, de nem megfizethetetlen.

> nagyon jövedelmező üzlet lesz ilyen szarokat írni, hamarosan lesz napi 2, azt nem fogod tudni megfizetni.
Persze, de (valószínűleg) goto 1. Ha ezt egyszer valaki beszopja, annak másodjára valószínűleg lesz B terve.

>Jogos, de egy ilyen után a leghülyébb felhasználónak is eszébe jut, hogy hoppá, csinálok backupot.
Amiben már lehet, hogy ott figyel a következő ilyen cuccos, beidőzítve és szépen elrejtve az éppen frissen megvett kikódolóprogram által.

Nem azt mondom, hogy nincs az a helyzet, amiben racionális döntés fizetni, de legalábbis nagyon ritka. Mert vagy nem olyan fontos valami, hogy ennyi pénzt adjak érte, vagy ha igen, akkor nem bízom meg benne, ha már egyszer "bepiszkolódott".

Persze, paranoia rules.
Inkább tanulópénznek kell nézni az ilyet. Nálam az aki elszenvedte a támadást utána rengeteg időt fektetett be abba hogy biztonságban legyenek az adatai.

Nyugalom Bélám! :)

Elsősorban nem a befizetések miatt terjednek a vírusok, hanem a - nem megfelelően oktatott - felhasználók miatt, akik minden e-mail csatolmányt kényszeresen megnyitnak.

Ha te olyan tökéletes vagy, válaszold meg kérlek az alábbi kérdéseket:

1. Neked például van a céges gépeden levő lokális dokumentumokról (és képekről) backupod? (Gondolj csak bele: az ügyfeleknek el van mondva, hogy csak a szerveren levő fájlokról van mentés. Ezért ők hajlamosak arra, hogy a céges laptopjaikon tároljanak családi képeket - egyetlen példányban. Így pont a személyes adataik kerülnek célpontba.)
2. Ha Outlookot használsz, van archív PST fájlod? Van róla mentés? (ezt is bekódolja a CTB-Locker)

"Elsősorban nem a befizetések miatt terjednek a vírusok, hanem a - nem megfelelően oktatott - felhasználók miatt, akik minden e-mail csatolmányt kényszeresen megnyitnak."

Egy ilyen szep virus bekapasa utan lehet, hogy jobban hatnak majd a szokasos rendszergazgai mantrak. Foleg akkor ha a ceges adatok visszaallithatoak a felhasznalo meg vagy fizet vagy nem a sajat cuccaiert.

---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

>Az alapszabály minden ilyen esetben, hogy a cyber terroristákkal ugyanúgy nem szabad egyezkedni ahogy a valódiakkal sem!

de azért szavazni gondolom elmész négyévente.

Van egy dokumentumod, mely ketszazmillio forintot er. A CTB-Locker betitkositotta. A dokumentumrol nincs semmilyen masolat, annak tartalma nem reprodukalhato. Oldd meg a problemat ketto ora alatt.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Van egy dokumentumod, mely ketszazmillio forintot er.
Másolat nélkül? Önt kedvező ajánlatokkal várja a Tajgetosz Travel.

Kicsit komolyabban: persze, ilyen esetben meg lehet próbálni fizetni, leszarva, hogy ez mennyire káros amúgy. De ha cserébe nem kapsz semmit, az csak a karma működésben.

Nyilvan vagyok annyira okos, hogy tudjam, ez nem jo, viszont probaltam vadonkat realis (mert ez sajnos tenyleg az) pelda ele allitani, es megmerni az elveit. Nincs olyan, hogy "elvbol nem fizetek". Van az az ertek, aminel az ember megkockaztatja, hogy fizet, mert ha viszont visszakapja az adatait, akkor a fizetendo osszeg nem draga az adat ertekehez viszonyitva. Nyilvan ezek pont ezt hasznaljak ki, viszont vegyuk eszre, hogy ez kenyszerhelyzet: amig magat a problemat (gyak: a virus irojat) meg nem szuntetik (el nem tiltjak ketszaz evre mindenfele billentyuzet hasznalatatol), addig mindig lesz olyan ember, akinek van olyan ertekes az adata (akar realisan, akar eszmei ertekben kifejezve), mely megeri a dekodolas aranak bekockaztatasat.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

A dekódolás terén addig eljutottam, hogy az általa kiírt "Publikus kulcs" (ha törlöd a vírust, ott a háttéren, és fájlba is elrakja) kötőjelek nélküli első 144 karakteréből le lehet generálni a "privát kulcsot".

Illetve nagyon úgy néz ki, hogy megtaláltam már, hol tárolja a gépen a privát kulcsot is, csak a saját első 16 bit érintetlen benne, a többit viszont ezzel a 16 bittel kódolja (futás közben elemeztem a programot). A "távoli szerveren van a privát kulcsod" duma pedig kamu... Azt arra használja, hogy csekkolja, hogy jött-e bitcoin tőled, és indulhat-e a dekódolás.

Van, akinek megvan a privát kulcs, amit kapott, és esetleg úgy fizetett a privát kulcsért, hogy külön kellett küldeniük? (mondjuk már törölve volt a vírus)
Illetve a publikus kulcs is megvan még?
Ha lenne egy ilyen párosom, az segítene némileg, hogy merre induljak.

16 bit helyett 16 byte (AES256) lesz az, nem? Egyébként hajrá, drukkolok!

Igen, 16 byte... ☺

jol hangzik, kivancsian varom a folytatast.

+1

Köszi mindenkinek a választ!
Kíváncsian várom a végkifejletet, remélem jutsz valamire nagy_peter!

Leírok pár dolgot, amit már megfejtettem, hogy ha esetleg más is dolgozik a dekódolón, vagy van ötlete, akkor több szem többet lát alapon jól jöhet némi infó:

- A kódoló azonos adattartalmú fájlokat egyazon könyvtárban is más-más állománnyá kódolja (kódolatlanul bitre azonos fájlok kódolva teljesen máshogy néznek ki)
- Különböző könyvtárban lévő teljesen azonos fájlok (név is azonos) esetén sem egyeznek a kódolt fájlok egymással (ugyanolyan nevű fájl azonos adattartalommal más-más könyvtárban kódolva különbözik)
- A kódolás egyik lépése tömörítés (4096 bájtnyi azonos betűt tartalmazó fájlt >100 bájt méretre konvertál, tömörítet állományok esetén jelentéktelen a méretcsökkenés)
- Teljesen offline gépen (hálókártya nélkül), lefuttatva is sikeresen kódol. A weboldalon begépelve a program által a fenyegető üzenetekbe tett "publikus kulcs"-al, és a kódolt fájlal az egy ingyenesen kérhető dekódolást meg tudja csinálni helyesen a weboldal (tehát a publikus kulcs elegendő a dekódoláshoz).
- a Publikus kulcs, amit ad pl.:
APREQFO-FD3CFJK-OO56DS5-XCCGGEJ-33HD5ZV-ACQ6DGW-EPDDANB-ZLGHOIY
SSZIH56-S2Z7HWS-ZKWHSHZ-SJPVYDT-QBW4JQS-MGQDAFR-WSZQFDL-4EXGRQ6
RT3FGC2-VIG4344-WDHAMAG-H4CEZGP-ANOJ4WW-DIVR25N-EZ33TS7-22KB7JT

- Ennek a kulcsnak a végét átírva is helyes kódot kapunk, és szintén sikeresen lehet dekódolni vele.
pl. Ezzel szintén sikeresen dekódolható az a fájl, ami az előzővel:
APREQFO-FD3CFJK-OO56DS5-XCCGGEJ-33HD5ZV-ACQ6DGW-EPDDANB-ZLGHOIY
SSZIH56-S2Z7HWS-ZKWHSHZ-SJPVYDT-QBW4JQS-MGQDAFR-WSZQFDL-4EXGRQ6
RT3FGC2-VIG4344-WDHAMAG-H4CEZGP-ANOJXXX-XXXXXXX-XXXXXXX-XXXXXXX

(Minden fájlhoz viszont csak a hozzá tartozó "publikus kulcsot" fogadja el a program! - Aki nem fizetett, és nem is fog, ezt a kulcsot tegye el, mert szinte biztos, hogy kelleni fog majd)
- A kódolás folyamán a fájlok első 48 karakterét írja ki először, majd csak utána kezd neki a fájl tartalmi részét kiírni. Valószínű, hogy az első 48 bit a kulcs része.
- A kódolás megkezdésének ideje kinyerhető a fájlok kiterjesztéséből (szinte azonos időben, azonos környezetben induló két kódolás kiterjesztése hasonló vagy azonos)

További infókat tudok adni még, akit komolyabban érdekel, privátban.

És mit kezd a kódoló kártevő olyan fájlnevekkel, vagy fájlokkal, amit maga a Windows sem tud lekezelni/megnyitni/törölni/stb? Átugorja, vagy kifagy a progi?
Pl:
1.) Linux alól létrehozol kilométerhosszú fájlnevet, amibe kérdőjelet, kettőspontot, a / jelen kívül mindenfélét, meg sortörést teszel (átnevezel egy valós fájlt)
2.) egy kétbetűs könyvtár nevébe, és a végére pontot teszel: A.B. (tapasztalat, csak más betűkkel sikerült elkövetni)

Ez kicsit olyan mint az autorun virusok idejen a cegnel, meguntuk az orokos harcot, es minden gepen minden meghajtora tettunk egy "autorun.inf" nevu mappat...
(ha kikapcsoltuk volna az autorun-t akkor az userek fellazadnak :D)

--

"You can hide a semi truck in 300 lines of code"

bitcoin elmeleti reszeben van egy ilyen keplet az alairaskor:
s = (m + x * r) / k (mod q)
ahol m az uzenet, x a privkey, k egy random szam, r egy szamolt szam a k alapjan, a q meg egy fix ertek.
a signatureba az r es s kerul be, az m meg az uzenet ugye (illetve annak a hashe).
a k-nak minden alairaskor valasztanak egy szamot random, igy elkerulik hogy azonos uzenet eseten ki lehessen szamolni a szignaturabol a privkeyt.

na szerintem itt is lesz valami hasonlo moka. a fajl elejen levo 48 bajt a random lesz az "r", es azzal is kodolja a fajlt.
probald megtalalni a kepletet amivel kodol.

ha felbeszakad a bekodolas (gep reboot), folytatja?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

A kódolást folytatja, és a fájloknak ugyanazt a kiterjesztést adja megszakítás után is, viszont a fájllistájában, amiben a kódolt fájlokat tartja, csak az utolsó futtatást követően kódolt fájlok vannak benne.

Szerencsére a környékemen még nem települt sehova, csak olvasom a történteket... Az is egy kérdés, hogy hova teszi el ez a vacak, hogy dekódolta az öt ingyenes fájlt. Kell internet a teszt dekódoláshoz?

Fent irja hogy offline gepen is sikeresen kodol (igaz, azt nem irja hogy dekodol is).

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Vagy minden fontos 5 fájlt esetleg vissza lehet úgy állítani, hogy egy lefertőzött Virtuálbox-os Windows-ba bemásolni, ahol még a teszt dekódolás előtti állapot van.

A teszt dekódoláshoz sem kell net neki, azt is megcsinálja offline az 5 fájlra.

Csak azon gondolkodtam, hogy esetleg egy virtuális gépben virtualbox alatt meg lehet nézni, hogy mi van a fájlrendszerben és a registry-ben a teszt dekódolás előtt, majd ezt a teszt dekódolás utáni állapottal összehasonlítani (valahogy.. :)), és hátha le lehetne a teszt dekódolást többször is futtatni. Bár gondolom ez 300000 dokumentum esetén nem segítség.

Vagy minden fontos 5 fájlt esetleg vissza lehet úgy állítani, hogy egy lefertőzött Virtuálbox-os Windows-ba bemásolni, ahol még a teszt dekódolás előtti állapot van.

Ahham... akkor inkabb fizetek csak ne kelljen szopatnom magam.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Én biztos nem fizetnék egy ilyen f@szinak soha, aki ezt a malware-t írta... De ha az öt fájl ismételt dekódolása menne, akkor azt biztos automatizálnám...

zitev valószínűleg így értette: https://xkcd.com/1319/

A probléma ott van, hogy az előzetesen letárolt fájlokból valami algoritmussal választja ki az 5 állományt, és a kódolt fájlok listáját valahol el is tárolja.
Ugyanazon a gépen többször lefuttatva mindig ugyanazokat állította volna vissza.
A fájlok listáját pedig kódolva tárolja, ami nehezít azon, hogy beleszerkesszünk.

de ha ötöt vissza tud állítani akkor a a sec key még megvan a helyi gépen és nem a netről a fizetés ellenében kapja meg... akkor csak ki lehet nyerni valahogy ...

hol tarthatja a 'megvolt a teszt dekodolas' flaget ?

A sok hülye YouTube videók között ezt találtam:

https://www.youtube.com/watch?v=1E8uQtVu5CE

Ügyes kitömörítő.... Bár ha jól látom, akkor a régebbi verzióhoz tartozik...

--
Debian Linux rulez... :D

Sajnos valószínűtlen, hogy a felhasználó wireshark-ot futtat éppen a fertőzés pillanatában...

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Mivel csak azt a publikus kódot tudja mindenki használni, amit kapott, így gondolom a publikus kódnak és a kapott kiterjesztésnek is köze van egymáshoz. Én is küzdök az egyik ismerősöm gépével, de mivel a vírust leszedtem, így már csak a decrypterek jöhetnek szóba, ha meglenne privát kulcs amivel célt tudnék érni.
Nála ez az egyik kulcs amit kapott,de a másiknak is ugyanez az eleje. A kiterjesztés a fájljainak pedig:QHUWOUC lett.
Ez ki tudom olvasni az első sor 5. és 7. betűcsoportjából.

ZHQWECM-PWVGV3U-KVGFBAP-LU2JJSM-X6QAHUW-PP4CG7Q-AWUYGOC-MAGRVX2
4Z4Y7AW-7FG7NZP-SHMJWDV-CYUKGW5-3SN6YWJ-X7RBYMB-AH65CB6-WLFI6E4
GQKJSV7-ZANPBHS-R27ATKK-7C2DEKW-WEQD26F-VQ5BNZE-ZACK5WO-Q5I7FX5

Vagy ez csak véletlen?

Szia!

Valószínűleg csak véletlen..

Nekem a kulcs:
APREQFO-FD3CFJK-OO56DS5-XCCGGEJ-33HD5ZV-ACQ6DGW-EPDDANB-ZLGHOIY
SSZIH56-S2Z7HWS-ZKWHSHZ-SJPVYDT-QBW4JQS-MGQDAFR-WSZQFDL-4EXGRQ6
RT3FGC2-VIG4344-WDHAMAG-H4CEZGP-ANOJ4WW-DIVR25N-EZ33TS7-22KB7JT

A kiterjesztés pedig: wpdzxln

Szia Péter.

Igen engem érdekelne, hogy tudtál több fájlt is visszafejteni. Fontos doksik vannak az ismerősön gépén, jó lenne, még ha csak néhányat is, visszahozni. Elég hozzá egy decrypter program, vagy kellene hozzá egy vírusos gép is? Megköszönöm, ha privátban írsz róla többet.
E-mail:

.

Szurkolok neked, remélem nem adod fel, és megtalálod a megoldást.

Sziasztok!

Rossz hír mindenkinek, hogy sikerült az egész programot visszafejtenem, és sajnos nem sok esély van rá, hogy visszanyerjünk adatokat fizetés nélkül. (csak ha sikerül a szerverükről ellopni a privát kulcsot)

A titkosítás, amit használ, eltér az eddigiekétől.
A régebbi változatok úgy működtek, hogy a mi gépünkön generáltak egy privát és egy publikus kulcsot, majd a publikusat meghagyták nálunk, a privátot pedig elküldték a szerverre, úgy, hogy az a gépünkön sosem lett lementve. Itt azonban ezt tovább gondolták.

A privát és a publikus kulcsot egy példányban hozták létre, a privát kulcs ebből sosem került ki a kezeik közül, a publikus pedig a programba van építve.
A program a gépen lefutva a publikus kulcshoz generál egy úgynevezett "közös titkot", amellyel párban kódolja az állományokat. A dekódoláshoz pedig a privát kulcsra, és a közös titokra van szükség. A közös titok az abban a számsorban van, amit ők publikus kulcs néven emlegetnek a programban, és teljesen véletlenszerű, a gépen generált adat.

A Fájlokat szimmetrikus AES kódolással kódolja csak le, viszont mindegyik állományt egyedileg, és az AES kuclsot az állományok elejére írja. Csak hogy ne legyen könnyű dolgunk, a fájlok elején lévő AES kulcsot titkosítja csak le a publikus kulcs és a közös titok párosával, amit viszont nem tudunk dekódolni. Így két lehetőségünk van.
Vagy kitaláljuk az AES kulcsot, ami minden általa kódolt állományra egyedi, tehát minden fájlra külön kell kitalálni, vagy megszerezzük a privát kulcsot a szerverükről, amelyet a saját gépünkön letárolt közös titokkal együtt felhasználva tudjuk dekódoljuk a fájlok elején lévő AES kulcsokat, és utána az így dekódolt AES kulcsokkal dekódoljuk a fájlokat.

Szóval ezúttal tényleg érdemi kódolást használtak, és csak abban lehet reménykedni, hogy a privát kulcsuk valahogy kikerül a szerverükről.

szep munka! mi a helyzet az 5 db teszt fajllal? azt mashogy kodolja le vagy azt miert lehet dekodolni kulon?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Azt a vonalat még nem néztem végig, de az látszik, hogy az 5 fájlt, amit hajlandó dekódolni, azt még a kódolás közben dönti el. És ha két azonos gépet azonos fájlszerkezettel és fájlokkal kódolsz, ugyanaz lesz az 5 kiválasztott. De végignézem azt is, valószínűleg máshogy kódolja. (esetleg csak simán az AES kulccsal, és a kulcsot nem kódolja aszimmetrikusan náluk).

De utánajárok mindenképpen.

Milyen és hány bites asszimetrikusat használ?

Szerencsére nem vagyok érintett, így könnyen kibicelek...

Az, hogy egyetlen privát kulcs van, szerintem nem feltétlenül rossz hír, mert aki fizetett a dekódolásért, annak meg kellett kapnia valamit, amiből viszont akkor kinyerhető a privát kulcs - amivel viszont az összes többi áldozat cucca is dekódolhatóvá válna.

Vagy túlságosan leegyszerűsítem?

A privát kulcs nem lesz benne. Az itt, folyamatosan publikus kulcsnak nevezett kimenet valójában egy szignatúra, amelyet a kulcspár publikus tagjával állított elő. Feltehetően ebbe van "bezárva" vmi (felteheően az aes-hez szükséges), amelyet a szerver oldalon dekódol az ott található privát kulccsal.
De kérdőjeles a topic elején említett rsa 2048 is, mert akkor lennie kellene egy 256 bájtos szignatúrának. Ha mégis rsa, akkor kisebb a bitszélesség. De lehet más asszimetrikus, pl. ecc. Az is lehet, hogy nincs is semmiféle asszimetrikus algó, csak vmi egyedi enkódolással rejt el némi adatot a kötőjelekkel tagolt adatokban (amelynek, mint kiderült, a vége junk), majd az ebből dekódolt adatot felhasználva generál egy futtathatót szerver oldalon, amely már tartalmazza az aes? ecb alapú fájl-dekódoláshoz a szükséges információt. (Az, hogy ecb, az azért elég gáz.)

Durva így olvasni, hogy innen is mennyien szaladtak bele, meg a szavazásnál is jelentősen sokan érintettek voltak... :(

- - - - - - - - - - - -
Magyar égre, magyar ufót.
300hsz feletti topicot nem olvasok.

Menteni, menteni, menteni. Aki nem ment, és hülye, az majd fizet. Ilyen egyszerű. :)

Nyilván menteni kell. Én is mentek gyakran, de minden egyes fájlmódosításnál és mentésnél nem írja ki az ember egy másik lemezre is. Tehát ha jön egy ilyen fertőzés, akkor tuti hogy valamilyen szinten mindenkinek lesz valamennyi vesztesége. + Vírusirtás, időkiesés a munkából, stb. Tehát jobb lenne, ha az ilyen vírusírókat minél hamarabb a rács mögé dugnák.

Dughatják rács mögé, lesz helyette másik. Amíg ebből lehet jó pénzt szerezni, addig lesz rá jelentkező. Izgatottan várom az androidos verziót. Ki mennyit fizetne a saját adataiért? Vajon idén jön, vagy csak jövőre?

Lesz. De lássuk be, otthon, mezei usernek gyakorlatilag a fényképei a fontosak, meg esetleg pár doksi, az pár GB, nem varázslat több példányt megtartani belőle. Külső hdd, pendrive.

Cégnél meg legyen már rendszeres napi mentés, mondjuk egy hétre visszamenőleg minden napról előállíthatóan. És akkor x óránként esetleg snapshot.

"De lássuk be, otthon, mezei usernek gyakorlatilag a fényképei a fontosak, meg esetleg pár doksi, az pár GB, nem varázslat több példányt megtartani belőle. Külső hdd, pendrive."

Az a pág GB-t nálunk jelenleg 250 (5 év termése, de a videók miatt egyre nagyobb ütemben nő), fényképek és videók (1080p) épp azon gondolkodom, hogy hogyan tudom, ezt minél kisebb költséggel és idő ráfordítással redundánsan tárolni.
A legjobb képek papíron is megvannak, a videók egy részét a youtube őrzi.

Mondjuk most én is meglepődtem, nálunk 42G csak a fotók. Sosem néztem. :)

Sajnos a mentés, pláne az otthoni, elég vacak ügy. Optikai adattárolás halott (pedig milyen jó lenne, ha lenne 1T méretű lemez), marad a hdd.

Miért halott? A 42 GB az 2 Bluray lemez. Vagy 1. Én a mai napig használok lemezeket. Valahogy sokkal jobban megbízom bennük mint a HDD-ben. Ha esetleg mégis elveszik akkor egyszerre csak 25 GB van oda és nem 1, vagy 2 Terra. Persze kiírok mindent külső winchre is. Így 3 helyen vagyok mentve legalább. Ebből 1 csak meg marad. Ha valamelyik tönkre megy, pótolom. Manapság már elég olcsó a blu-ray lemez, és nekem már vannak 15 éves dvd adatlemezeim, melyek a mai napig tökéletesen működnek. Nem mondom, hogy az életem során nem futottam bele hibás szériába, de hát pl. az egyik ismerősöm Notebookjában is 2 x cseréltem HDD-t egy év alatt. Egyik pillanatról a másikra badszektorosak lettek.
Semmi sem tart örökké.

A HDD + papírkép mellett én a fotókat Flickr-re is szoktam szinkronizálni (pl. ezzel: https://flickrsync.codeplex.com/ ) , az ingyenes fiókhoz 1 TB tárhely jár.

A képek egy része google drive-ban is megvan, a legkisebb csomagra előfizettem, de az kezd kevés lenni.
Megnézem a Flickr-t, nem tudtam, hogy ekkora tárhelyet adnak.

A lokális Gdrive app alatt titkosítod a fájlokat és letörlöd az eredetieket, az felszinkronizálódik a Gdrive-ra. Ott is lesz másolat a titkosított fájlokról, az eredeti pedig sehol.

Én is ezt hajtogatom mindenkinek, mégis sokan vannak, akik nem teszik meg, azután pedig sírnak, hogy jaj most mit csináljak, segíts ha Istent ismersz, stb. Hát itt már valóban csak az Isten segíthet.

Azért arra még kíváncsi lennék, hogy vírus az eredeti fájlokat változtatja-e meg, vagy létrehoz egy titkosított másolatot, az eredetit pedig törli. Az ismerősöm adott egy képet ami rajta volt gépén is, de a fényképezőről még nem törölte. Elmondta hol találom a gépen, de ilyen nevű képet nem találtam rajta. A mérete pontosan egyezett a valószínűleg azonos képpel, de annak más volt a neve. Mintha át lenne nevezve. Nem tudom, mert előtte nem láttam gépét, az ismerősöm pedig már nem emlékszik rá. Bár ez túl egyszerűen lenne, ha törölné az eredetit és másolatot hozna létre kódolva. Ugyan a ShadowCopy nem tudott maradandót alkotni, de azért egy Recovery futtatást megér a gép, aztán tovább nem látom értelmét kínlódni vele.

File Recovery-vel sikerült néhány doksit és képet visszahozni a kollégámnak. Nem sokat, kb 8-10%-át, de több mint a semmi.

> de minden egyes fájlmódosításnál és mentésnél nem írja ki az ember egy másik lemezre is

Dehogynem, CrashPlan-nel. :) Még a verziókat is tudja követni.

Azt az oldalt nem tudja megtámadni az ilyen vírus? Hisz ez még a felhőn lévő adataidat is tudja titkosítani.

A Crashplan saját file history-t implementál. Így még akkor is visszaállíthatod a személyes fájljaidat, ha azt a vírus lokálisan letörölte.

Elvileg biztosan, gyakorlatilag nem valószínű, mert a CP számontartja a fájlverziókat kb. a végtelenségig, vagyis tudsz egy fertőzés előtti snapshotot csinálni az inkrementális mentésekből.

Másrészt a CP nem csak cloud, én pl. néha bedugog neki egy külső vinyót, hogy oda mentsen le mindent. A napi munka meg megy (akár saját) szerverre, titkosítva.

Mar Lenin is megmondta...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ma már egy tucat figyelmeztetést kaptam, hogy a levelező scr kiterjesztésű csatolmányok miatt leveleket blokkolt.
Most ért el hozzánk is a próbálkozás, vagy egy újabb támadási hullám lehet?

Újabb hullám látszik. Ma .cab-nak álcázott fájlokban küldik az scr-t. Vagy ilyesmi.

MIME = superframe_ltd.cab = CAB = superframe_ltd.scr

--
trey @ gépház

Most csekkoltam le:
kb 126 fiokra küldtek el mind más
CAB file és scr van benne.
Holnap lehet hogy ki kellene megint küldeni a usereknek, hogy ez is virus.
1000 fiók van ezen a szerveren.

Nem üzemeltetek ilyen nagy méretben levelező szervert, de nem lenne jó ötlet, minden, a szokványostól eltérő állománytípust tiltani? Nem hiszem, hogy olyan sok embert érintene a cab, scr, ttf, etc tiltása.

A ttf-re pl. az osszes webgrafikus raugrana. Amugy meg tippre ez terjed zipben is, azt meg nem tilthatod.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Valóban terjed, de figyelembe kell venni a lehetőségeket. Ha első körben csak mondjuk .scr-ben küldözgették, akkor kapásból megúsztad az első hullámot. Ha a legközelebbi szórás már zippben történik, akkor az lehet hogy bejön, de ha ugyanazt a .scr-t csomagolták újra, akkor van esély arra hogy az AV felismeri.

Tehát véleményem szerint nem az a lényeg, hogy ne tudjon bejönni, mert így vagy úgy de betalál. Hanem az, hogy minél később.

már .cab kiterjesztésű file-t is küldenek csatolmányban...

forrás IP: 200.150.166.240 (brazil)
From: "Annita Carosella"
Subject: COCIDIS S.A.

össz levéltartalom az olvasóablakban:
COCIDIS S.A.
Avenida Ciudad De Barcelona, 144 28007 Madrid Madrid
Madrid
SPAIN
+34 915 23 46 94

csatolmány: cocidis_sa.cab

a spamassassing nálunk 4.479 pontot adott rá.

--
Aspire E1-530
"...és micsoda zajt csapott!"

ah. akkor ezert kapunk ebbol keveset.
a 200-201.*.*.* alapbol feketelistan van. ( pontosabban a spamscore 66%-rol indulnak a filterben. )
a pif, cab es hasonlo kiterjesztest meg megfogja az attachment blocking.

Thx! :)

Tegnapi hír

--
trey @ gépház

Ki tudna vki tenni vhová egy ilyen file-t?
Szeretném kipróbálni, hogy mi fogja és mi nem? (pl. mailserveren futó clamav mit lép, ha ez szembe jön).
Thx.

Nekem a levelek kellenek, amiben terjed, eml csatolmányként a

címre. Köszi!
--
Coding for fun. ;)

Ma nálam is bepróbálkozott, immár másodjára. Trojan Downloader.Elenoocka néven fogta meg az ESET. Valami Adam Chekish volt a feladó.

Úgy látszik kevés nekik a 8 millió USD, ami forgalmat bonyolítottak az elmúlt hónapokban.

Ha egy hét munkával ennyi pénzt keresnél, te nem dolgoznál még egy hetet? :)

Úgy látszik kevés nekik a 8 millió USD, ami forgalmat bonyolítottak az elmúlt hónapokban.

Melyik szolgáltató engedi át?
Sok helyen már a csatolmány kiterjesztése miatt is eldobják, jelölik az ilyen leveleket, és a levelező szerver oldali vírusellenőrzések is jelezhetnék, ha már az ESET jelzi a kliensen.

Tegnap kipróbáltam, az upc smtp szervere már visszadobja.

Nálam a GTS engedte át.

Nálunk a clamav átengedte a .cab -os variánst. Az korábbi .scr-t megfogta viszont.
Célszerű eleve tiltani az ilyen mellékleteket mint az scr, cab, pif, bat, exe, com, msi, stb...
Futtatható állományt ne akarjon küldeni senki senkinek. Ja és az encryptelt jelszavat archivumot is célszerű tiltani. Jött már úgy vírus, hogy zip-be volt az exe, hozzá egy gyönyörű magyar nyelvű szöveg, hogy itt van a progi amit kértél meg a kód amivel ki tudod bontani. A naív user nem tudja mivan, de ha már egyszer neki jött akkor csak kinyitja... Szóval a júzerek ellen nincs védelem, akkor legalább a kockázatot minimálisra kell csökkenteni.

Az értelmes dolgok szűrve vannak (mime_header_checks), de hát doc-ot meg xls-t nem szűrhetek. :(

A cabextract csomagot dobd fel a szerverre, akkor a clamav is fogja latni szvsz.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

A most felkerült clamav már fogja a 2015-01-28-i verziót.

Irreleváns, csak a mai dátumot néztem, nem a hsz-ét.

Sziasztok!

Nálunk is beszívta egy kolléganő. Egy faxnak álcázott emailt kapott aminek a melléklete docx volt, tehát sima ms word fájl. Ennek megfelelően átment a rostán. Ki is lehetett nyitni, olvasható volt. Valami kamu angol szöveg volt benne. A csavar a docx-ben volt elrejtve. Egy összetett macrot találtunk benne, javarészt értelmezhetetlen módon encryptelve. Sajnos a kolléganő reflexből rányomott a macró engedélyezése gombra amikor a word figyelmeztette, hogy ismeretlen macró, futtatja?
A háttérben képes volt felrakni a vírus magát ebből! A windows 7 UAC-a figyelmeztette, a folyamat közben, hogy valami bele akar túrni olyanba amibe nem kéne, de persze erre is igent nyomott. Sajnos rendszergazda volt a saját gépén úgyhogy mindent bemérgezett a vírus. Szerencsére hálózati meghajtó nem volt mappelve neki de minden lokális fájla titkosítva lett és megjelent a szokásos visszaszámláló üzenet neki. A word fájlt elküldtem a sicontactnak. A nod nem vette észre ugyanis.

Szia!

Nálunk, annyi volt a különbség, hogy nálunk cab file volt, kicsomagoltad, .scr file volt benne, majd egy wordot nyitott meg. Teljesen olvasható értelmes angol szöveg volt, a háttérben már nyílt is meg egy processz, ami megkezdte az átkódolást. A kolléganő nem volt rendszergazda gépén és mégis bejött. Fel voltak mappelve a szerverek...sorsuk a már megismert státuszba került.

Kipróbáltam virtuális gépen a vírust, sem az bekapcsolt UAC, sem a korlátozott felhasználói jog nem fogta meg egy frissített win7 Enterpriseon. Frissített McAffe és Symantec sem ismerte fel még egy variánsát sem.

Ez a tegnapi ismertségi állapot:
https://www.virustotal.com/hu/file/03049c120640c38edde9aa2b1d504e8d679eb7bee10d93747c2ff7d4137d1354/analysis/1422541247/

2 napja, mikor a kolléganő beszedte, a virustotal.com-on 2db! vírusírtó ismerte fel. Még a gmail levelés sem szűrte ki.

Nem feltétlenül kell neki rendszergazda jog.
Ugyanis vagy kihasznál valamilyen még nem javított sebezhetőséget, vagy egyszerűen csak a felhasználó könyvtárába települ (mint pl a Google Chrome). A második esetben csak azokat a fájlokat kódolja, amihez "írási | módosítási | stb" jogosultsága van (nem elég az?).

Szia!

Ezt a wordot fel tudnád valahova tölteni?

Köszi

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

Ide felraktam a cab-ot. Csak saját felelősségre!
Virtuális gépben kísérletezz vele, ne legyen semmi felcsatolva a virtuális rendszerhez!

A .cabot ki kell csomagolni, lesz benne egy .scr file. Ha ezt megnyitod egy tiszta windowsban, a wordpaddal nyitja meg.
Ekkor már a háttérben dolgozik is. Újraindítás után bejön a fekete képernyő a számlálóval és figyelmeztetésekkel. (Rendes a vírustól, hogy amíg nem végez a kódolással, addig észre sem veszed, nehogy gyanút fogj...)

Privátban küldd el neki a linket. Innen kiszedtem.

--
trey @ gépház

+1

Köszönet.

Bocsánat, elnézést :)

küldd el nekem is, plz

Elküldenéd nekem is?
Előre is köszi!

Ilyen esetekre nincs védelem szerintem :)

Szia!

El tudnád kérlek küldeni privátban a kérdéses docx fájlt?
Előre is köszönöm!

Ismerősöm kérdezett, hogy mitől lettek vajon elérhetetlenek bizonyos fájlok a hálózati megosztott könyvtárban.
Mivel én még nem találkoztam ezzel a vírussal, elmondtam neki, amit itt olvastam.

Szóval van egy gép, nem teljesen értettem, hogy van-e rajta lokális víruskereső vagy nincs. Ez a gép kapott egy email-t, amiben egy cab fájl volt.
A csajszi ezek szerint megnyitotta a cab fájlt, majd bizonyára elindította a benne lévő programot, ami a hálózati megosztást titkosította (meg bizonyára a helyi gépen is).

Az ismerősöm azt kérdezte, hogy ha elgondolkozna a váltságdíj fizetésen, akkor hol találja meg az információt, ami ehhez kell.
Gondolom azon a kliens gépen, ami megfertőződött. Ugye?
De azon hol, hogyan?

Megjelenik a fertőzött gép asztalán a fekete háttér és a visszaszámlálás. A hálózati mappa tartalma is azon a gépen keresztül fejthető vissza.

Vajon kepes lenne ket, azonos alhalozaton levo, egyidoben fertozott kliens a kozos felcsatolt halozati mappaban levo fajlokat duplan kodolni, es ha igen, akkor a kikodolast sikeresen vegrehajtani (bar gondolom ez utobbi baromsag)?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Na ezt kipróbálom virtuál környezetben...

Szerintem (bár nem próbáltam) nem fog duplán kódolni, mert csak bizonyos fájlkiterjesztésekre ugrik. Mivel a kódolás után viszont a kódolt fájlokat átnevezi, ezért úgy gondolom, hogy nem fog ugrani azokra.

Egy Win XP-n (elszeparált tesztkörnyezetben) így nézett ki egy futás után: http://i.imgur.com/ElfeOqZ.png

Vagy a másik progi szerintem nem számlál vissza, hanem mellé tesz egy txt/html fájlt minden mappába

Lenne pár kérdésem azokhoz, akik beszopták, vagy tesztelik a vírus(ok)at virtuális gépben.

1. A kódolt fájlok módosítási dátuma a kódolás időpontjára változik, vagy marad az eredeti létrehozás dátuma?
2. Az eredeti fájlokat törli a kódolás után a vírus, vagy "helyben" kódolja őket?
3. Az érintett fájlok mérete megváltozik a kódolás után?

A verzió amit én találtam (mert mind a cab-os, mind a zip-es verziót eldobálta az amavis)

1.) A kép alapján úgy tűnik marad.
2.) Szerintem kódolás után törli (olvastam, hogy páran visszahoztak photorec-el képeket ami ha helybe kódolna nem lenne lehetséges).
3.) Igen, megváltozik.

KÉP: http://i.imgur.com/c7ROM2L.png

Köszönöm!

A 2. pont alapján feltételezhető, hogy ha be van kapcsolva a Samba vfs objects = recycle funkciója miatt a törölt eredeti fájlok a megadott könyvtárba kerülnének.
Ki tudná ezt próbálni valaki, aki rengeteg szabadidővel, Samba serverrel és a vírussal is rendelkezik? :)

Kipróbáltam, az XP-t úgy tűnik már a malware írok se támogatják 100%-osan (XP módba nem volt hajlandó megfertőzni a hálózati meghajtót egyik minta sem :(). De kipróbáltam Windows 7 alatt, és úgy tűnik helyben kódol, mert miután végzett a samba-n beállított recycle könyvtár üres volt, közbe futott a process explorer, a képből úgy jön le, hogy fogja az eredetit átnevezi random.tmp-ra majd elkódolja helyben és a végén visszanevezi.

http://i.imgur.com/8COnpnW.png

"Használjon XP-t fájlszerveren tárolt dokumentumokkal, ez a probléma sem érinti!"

Köszönöm a munkád és a válaszokat!

tegnap este mondta egy "áldozat" hogy semmit nem talált, ha getdatabacket ráengedte. akkor ezért. fene bele.

Ha van még időd és lehetőséged, kipróbálnád, hogy ha a vfs_full_audit be van kapcsolva, mik kerülnek a logba, amikor a vírus egy adott fájlon tevékenykedik?

Ezekre lennék kíváncsi:

chdir
chflags
chmod
chmod_acl
chown
close
closedir
connect
disconnect
disk_free
fchmod
fchmod_acl
fchown
fget_nt_acl
fgetxattr
flistxattr
fremovexattr
fset_nt_acl
fsetxattr
fstat
fsync
ftruncate
get_nt_acl
get_quota
get_shadow_copy_data
getlock
getwd
getxattr
kernel_flock
link
linux_setlease
listxattr
lock
lseek
lstat
mkdir
mknod
open
opendir
pread
pwrite
read
readdir
readlink
realpath
removexattr
rename
rewinddir
rmdir
seekdir
sendfile
set_nt_acl
set_quota
setxattr
stat
statvfs
symlink
sys_acl_delete_def_file
sys_acl_get_fd
sys_acl_get_file
sys_acl_set_fd
sys_acl_set_file
telldir
unlink
utime
write

Egy példa az smb.conf fájlba:

[audit-test]
	path = /test
	vfs objects = full_audit
	full_audit:prefix = %u|%I|%m|%S
	full_audit:success = chdir chflags chmod chmod_acl chown close closedir connect disconnect disk_free fchmod fchmod_acl fchown fget_nt_acl fgetxattr flistxattr fremovexattr fset_nt_acl fsetxattr fstat fsync ftruncate get_nt_acl get_quota get_shadow_copy_data getlock getwd getxattr kernel_flock link linux_setlease listxattr lock lseek lstat mkdir mknod open opendir pread pwrite read readdir readlink realpath removexattr rename rewinddir rmdir seekdir sendfile set_nt_acl set_quota setxattr stat statvfs symlink sys_acl_delete_def_file sys_acl_get_fd sys_acl_get_file sys_acl_set_fd sys_acl_set_file telldir unlink utime write
        full_audit:failure = none
	full_audit:facility = LOCAL7
	full_audit:priority = notice

Köszönöm

En most belottem egy szukebb muveleti keszletre (gyakoraltilag az iro/jogvalto muveletekre), ha gondolod, referalok, ha ismet eszlelunk virusaktivitast.
--
Blog | @hron84
Üzemeltető macik

dupla

dupla post.. sorry
--
http://szolarenergia.hu - A hálózat építést csak elkezdeni lehet, befejezni nem....

Jelentes az Obudai Egyetemrol:
ESXI virtualis win7, webroot es MSE komboval, nem engedte elterjedni a virust, hetfon kaptam egy peldanyt es felmasoltam szepen ide.
Kibontottam a .cab fajlt es megnyitottam worpaddal a benne levo fajlt, de semmi nem tortent, majd most neztem ra ujra es eltunk a fajl, ujra kibontottam es Microsoft Secureity Essential szolt hogy fertozes es legyalulta.... LOL :D
Igaz elso korbe a webroot fogta meg.......
Erdekes.....

--
http://szolarenergia.hu - A hálózat építést csak elkezdeni lehet, befejezni nem....

Az a LOL, hogy amit tegnap megfogott, azt ma vagy holnap korántsem biztos, hogy meg fogja. Sőt, a valószínűbb az, hogy nem fogja.

A virustotal.com-on naponta jönnek olyan minták, amit a vírusirtók fele élből nem ismer fel.

--
trey @ gépház

Hat igen... erdekes.... webroot-ot azert vezettuk be mert azt mondtak megfogja ezeket a szarokat... :) MEglassuk, 1000 user es abbol 800 R0-as... kiderul mit tud a webroot :)

--
http://szolarenergia.hu - A hálózat építést csak elkezdeni lehet, befejezni nem....

és erre legalább pénz-visszafizetési garanciát ad?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Az egy jo kerdes, nem olvastam a szerzodest :)
A fonokom irta ala nem en :)
De valszeg valami garanciat adnak ra! De hogy mit az jo kerdes....

--
http://szolarenergia.hu - A hálózat építést csak elkezdeni lehet, befejezni nem....

Jók ezek az üres, semmit nem érő garanciák, amikkel hülyítjük a vásárlót a reklámban, a szerződésben viszont már sz*rt se vállalunk be ezek közül.

WP8.x kritika: http://goo.gl/udShvC

Igen, sajnos amit egyszer megfog, masodszorra nem fogja meg.
--
Blog | @hron84
Üzemeltető macik

Fele? :D 4/45 a mai DHL Notification pdf.exe csoda :D

De fura módon most a nagy nevek ismerik fel (Eset, Kaspersky, etc.) és nem azok, amikről még sose hallottam.

azt nem tudom hogy ha a .jpg-et átnevezem .kep-re akkor azt lekódolja-e? mert gondolom nem nyalja át az összes fájl elejét és azonosítja hogy az-e ami.

PST másolatot ha jól emlékszem nem kódolta.

sejtettem. ez viszont jó, mert akkor a gépen lévő másolatokat be lehet védeni egy batchelt átnevezéssel. időigényes de valamit valamiért.
egy ismim is benyelte, kiemelt felhasználóként, vállalati környezetben win7 syamntec antivir egy szót se szólt amikor elindította a doksit.
de neki nem kezdett el azonnal dolgozni a futtatás után, hanem csak amikor másnap reggel bekapcsolta a gépet. de akkor aztán kódolt amihez hozzáfért.

Ha ez védelem, nem is kell hozzá átnevezés, mert van néhány szabály amit figyelembe vesz titkosításkor, pl ha a file Decrypt-All névre kezdődik (mint a saját txt-je) akkor azt nem titkosítja, ugyanígy létrehoztam egy "temp" és egy "Comodo Downloader" nevű mappát az asztalon és az abba helyezett mappákat/fájlokat se titkosította el. Persze lehet az új verziókból ez majd eltűnik.

A memória dump-ból ez látszik (és az is milyen kiterjesztéseket titkosítgat):
http://i.imgur.com/7eIr1gH.png

huh. elég sok fájltípus.
azt megtudnád nézni hogy ha egy "akarmi.jpg"-et átnevezel "akarmi.jpg-vedett"-re azt is lekódolja? mert akkor egy egyszerű batch-al át lehet állítani mindent gyorsan.
lehet baromság...

Nem kódolja le, csak az egyező kiterjesztéseket. Az általa titkosított (encrypted.jpg.random) állományait se kódolja újra.

hoppárépa!:D akkor lehet hogy így meglehet védeni a biztonsági másolatokat egyszerűen.

Két napig.

Elkezdett úgy jönni, hogy a csatolmány neve mail_cím.zip:

akkor a *hu.zip csatolmanyt tiltjuk.

de nem is kell, ahogy nezem a logot, az assp az elso 6-7 peldanyt meg atengedte, aztan a tobbit mar dobalta a discarded/spam ala.

lengyel upc hálózatából is érkezik a .scr, kétszer is becsomagolták zip-be.

bár spamként megjelölve került a ládába, de részemről a fő levélszerverünkön iptables -A INPUT -s 89.69.0.0/16 -j DROP

--
Aspire E1-530
"...és micsoda zajt csapott!"

Óbudai Egyetemes postafiókomba ma beesett egy ilyen :)
Kérjük vissza a pénzt! :)

Ide csak exe-t küldtek a lengyel testvérek.

Cant decompress => who cares banned

Feb  3 10:43:46 phoenix amavis[5883]: (05883-05) (!)do_unzip: p003, unsupported compr. method: 9
Feb  3 10:43:46 phoenix amavis[5883]: (05883-05) Blocked BANNED (INFORMACJE O PRZESY\303\205\302\201CE.doc.exe,UNDECIPHERABLE

De egyébként MSE úgyse lehetett ott volna, lehet azért került (vagy mert egy hétre a vírusra frissül a definíció)
Korlátozások. A szoftver nem futtatható kormányzati vagy oktatási intézmények tulajdonában lévő készülékeken

---
"Accordo Ltd. works inside Microsoft..." is an independent global provider of software licensing expertise.

A .exe-ket eleve visszavágjuk. De mondjuk olyat exim+clamd+spamassassin clamav nélkül hogy lehet összehozni, hogy nem kibontható cuccokat visszadobálja?

Itt postfix->amavis lánc van (lehet ezért nincs hozzá Exchange cal ?), már az amavisnál elvérzik a tiltott kiterjesztés miatt, akkor is ha tömörített állományban van ,akár ki tudja tömöríteni akár nem (így el se jutt a clamav-ig).
Ennek ellenére a docx-es verzió engem is érdekelne, mert sajnos azt még luxus tiltani, pedig ha rajtam múlna...

---
"Accordo Ltd. works inside Microsoft..." is an independent global provider of software licensing expertise.

Hát itt nincs a Kicserélőközpont előtt amavis+postfix és most biztos nem kezdem le lecserélni, pláne, hogy a napjai meg vannak számlálva. :)

[off]
Itt Kicserélőközpont sincs, igazából szerintem nem is tudnám beállítani , de jobb ez így legalábbis amíg Richard Stallman nem "érdeklődik" Linus nevében, hogy számoljak be használati szokásaimról meg sem kötött szerződésekre hivatkozva, elég stresszes munkakör ez anélkül is.
[on]

Kerheted. Nem azt mondtam, hogy nem esik be, a webroot nem a zimbrat vedi ;)
Amugy minden nap mas es mas verzioba jelenik meg ez a szar, tehat minden ellen valszeg ez se ved, de amit eddig kaptam azt megfogta :)

Hanzo

--
http://szolarenergia.hu - A hálózat építést csak elkezdeni lehet, befejezni nem....

Ma beköszönt hozzánk is, valószínűleg tegnap jött emailes csatolmánnyal, friss SEP és MBAM nem fogta meg, csak a fertőzött gépen futtatott MBAM találta meg.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Itt is járt, egyik freemailes kollega ellenőrizte, hogy kompatibilis-e a rendszerrel, aztán tájékoztatott, hogy megfelelően működik ("valami számol visszafelé a képernyőn"), úgyhogy tölthettem vissza a dokumentumait a reggeli mentésből. Lehet le kellene íratni vagy százszor, hogy "nem nyitok meg idegen nyelvű mellékletet tartalmazó levelet", vagy egyszerűen mellőzni a magán emailt munkahelyen.

Mi az, hogy megszabod mit csináljon és mit nem a SAJÁT (céges) gépén??? Na meg hogy nem tud majd telepíteni, mert visszaveszed a jogokat??? Miért ne szánthatna amikor a másik cigizik kint? Neki ne szabja meg senki hogy mit csinál. Ő eddig is kattintgatott és semmi baj nem volt. Biztos te rontottál el valamit, csak rá akarod kenni.
Hogy a youtube és facebook-ot tiltanád??? Hát neki ahhoz joga van!

a júzertudat fura egy valami. úgy megtudják magyarázni hogy mire van szükségük és joguk.
egyszer megállt a szerver (4-5fős fájlszerver túró raid elpukkkant tükörben) mert a júzerek oda pakoltak minden hüyeségüket mp3,avi,stb. telepítgettek mindent észnélkül, hetente reinstall, meg buherálás miért fagy,stbstb. meló meg áll ugye. mer xar a gép. ez ment pár hónapig.
nem volt gazdája az egész "rendszernek". volt olyan hogy msn-en adtak át egymásnak fájlokat, mert a hálózatot úgy elpiszkálták hogy nem fértek hozzá egymás gépéhez, a spanyol nyelvű printer driverről nem is beszélve!:D
szépen felírtam hogy hány óra leállás volt és kezébenyomtam az ügyvezetőnek hogy ezért áll a meló.
mert ugye mindíg az volt a kifogás hogy xarok a gépek. ergo a rendszergazda a barom. mondtam hogy 1 hónapig legyen az amit én találtam ki. oké.
volt pislogás amikor másnap reggel se net,se usb, rendszergazdai jog nuku. az ment amivel kellett dolgozni kész. netre nincs szükség a munkavégzésetekhez, ott egy egy gép azon lehet netezni ebédidőben, osszátok be.
persze ez maradt évekig, csak akkor volt leállás ha megdöglött vmi hardver.

de kár, hogy ezt nálunk nem lehet megcsinálni. egy USB felcsatoláshoz is rendszergazdai jog kell
net meg kell mindenhez:
-webes levelezés
-honlap feltöltés
-on-line konferencia
-NAV
-ügyfélkapu
-etc.

- és még a céges facebookot is irogatják

Az egyik előző munkahelyemen (nem IT cég!) a 600 munkavállaló mindegyike local admin volt a laptopján. Kb. sosem volt probléma, mert nem ezen múlik, hanem azon, hogy hülyéket nem szabad alkalmazni.

hogy teszteled ezt le felvételi beszélgetésen?
- szokott olyan tevékenységet végezni amihez nem ért?
- belenyúlt már konnektorba ceruzával?
- ha túlélte megpróbálta megint?
- ön növény?
- ön kő?
- 42?

hülyére nehéz szűrni.

Hát nem csak előre lehet szűrni. ;)

Első alkalomnál ejnye-bejnye. Másodiknál irgum-burgum. Harmadiknál megköszönni az eddigi lelkiismeretes munkát, és új embert keresni.

utólag is lehet dádázni, pláne ha szerződésbe beleírnak még ezt-azt. szabályzat megszegése = szándékos károkozás btk akármiszerint.
volt olyan aki azt mondta hogy ő nem írja alá így, mert blablalba. mondtuk hogy akkor viszontlátásra. kövi!

nekem az usa állásfelvételi egyik kérdése tetszett, amivel kiszűrik az alkeszokat:
- fogyaszt-e ön alkoholt délelőtt?
egy igen itt 100 pontot ér, 150 pontos tesztnél!:D

Ha reggelig bulizol, az délelőttnek számít? :D

Nálunk is így van, igen kevés gondot okoz a mindennapokban adminisztrációs szempontból a felhasználók meg elégedettek, de itt relatív civilizáltan viselkednek.
A közeljövőben jön egy tulajdonosváltás, a feje tetejére áll az IT is, utána valószínű lockdown politika jön. Nagyot fognak csodálkozni...

Iskolában teljes lockdown van, mert ahogy beszabadulnak megjelennek az ilyen-olyan toolbar-ok meg egyéb programok.

főiskolán láttam olyat, hogy win belőve jogosultságok,elérés minden használható.
a trükk az hogy minden gépindításkor visszaállítja a wint eredeti állapotra lemezképből gondolom.