CTB-Locker

Microsoft Windows

Üdv. Mindenkinek!

A probléma a következő a CTB-Locker kártevő a felcsatolt partíciókon az összes fájlt kódolta. A fájlok így nem nyithatóak meg.

Ismertek-e olyan programot vagy eljárást amivel a fájlokat újra olvashatóvá tudom tenni?

A google által adott találatok kb. az első 15oldalt végigpróbáltam mindent lépésről lépésre, de sikertelenül

Előre is köszönöm a válaszokat.

( veresh | 2015. 01. 21., sze – 11:46 )

http://www.virushirado.hu/hirek_tart.php?id=2285
"Sajnos a víruselemzők szerint a zsaroló hackerek itt is olyan alaposan valósították meg az AES-256 és az RSA-2048 algoritmusok kombinációjára épülő, hálózatos titkosítást, hogy a fájlok visszanyerésére csak más helyen tárolt adatmentésből van mód."

( hg2ebh | 2015. 01. 21., sze – 12:31 )

Ez most a legújabb őrület... sajnos az irodában van egy windows-os gép, amin a kollégák szintén megnyalták eme finomságot hétfőn délután.
(nem mellesleg siet a hup 1 órát)

( Dwokfur v | 2015. 01. 21., sze – 13:42 )

Hallom, hogy nálunk is felbukkant. A mi szervezeti egységünk szerencsére nem érintett.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( Dosika v | 2015. 01. 21., sze – 16:25 )

Védekezni hogy lehet ez ellen? Megfelelő backup-on és okos email csatolmány nyitogatáson kívül? Víruskergetők, malware progik beengedik?

Védekezni? Első sorban a felhasználók oktatásával, ez a legfontosabb. A második védelmi vonal az Antivirus és az AntiMalware termék. A végső megoldás pedig a Halál. :) Vagyis nem, az a backup... ami legtöbbször csak a szerveren levő anyagokról készül.

Sajna azonban a klienseken is tárolnak a felhasználók sok privát dolgot, amit ez a szutyok pont haza fog tudni vágni. Ilyen az Outlook által használt PST fájl is, erre jó lesz figylni.

szerk: hibajavítások.

( csiga | 2015. 01. 21., sze – 16:58 )

Szasztok,

Mi is benyaltuk, pedig vírusírtó, backup, de sajnos benyaltuk. Ráadásul hálózati meghajtón.
Van olyan aki fizetett és kikódolta a cucc?

Érdemes fizetni?

Köszönöm!
Cs

Kérlek, olvass! Ugyanezen topikban van válasz az első kérdésedre: http://hup.hu/node/138183?comments_per_page=9999#comment-1828333

Ez mai BTC/USD áfrolyamon 630 USD, ami 272 Forinttal számolva ~172E HUF. Ennek fényében szerintem meg fogod tudni válaszolni a második kérdésedet magad is.

Szia,

1) Toron keresztül meghívod az oldalt amit mondd a háttérkép,
2) Fizetsz,
3) Eltelik 15 perc KB majd frissíted az oldalt,
4) Megkapod a download linket és a kulcsodat,
5) Backupolod a kulcsodat és az unlocker progit,
6) Rendszergazdaként lefuttatot a progit ( csak úgy engedte ),
7) Vissza kapod a filejaidat,

Amit nekem nem csinált meg a hálózati meghajtót. :(
De ha onnan a filet átszedem lokaba és futtatom a progit megcsinálja,

Ezt hogy lehetne megoldani.

Nálunk nem volt ilyesmi...
A fertőzött gépet először lelőttük, lementettünk mindent, amit még lehetett.

Miután látszott, hogy a fájlok visszanyerésére nincs lehetőség, a tulajdonos úgy döntött, hogy megér egy próbát, fizet.

Visszaindítottuk a fertőzött rendszert, elzárva a többi géptől. Lelogoltuk a kimenő forgalmát, de a TOR miatt annak nem sok jelentősége volt.
Nem volt szükség TOR kliensre, a vírus megoldotta önállóan, csak le kellett lőni minden antivírust, tűzfalat, stb.

Elkezdtük keresni a lehetőséget, honnan lehetne rövid idő alatt beszerezni a szükséges BTC-t.
Az Octarine Labs-os Debreczeni Barnabást találtuk meg, Ő segített a beszerzésben, belföldi banki tranzakcióval.
http://octarine-labs.com/contact/

Ezután egy tiszta gépről átküldtük a BTC-t a megadott pénztárcára.
A blockchain.info-n néztük a BTC sorsát, a visszaigazolást követően tovább dobta egy gyűjtőre, ahová már több hasonló értékű BTC érkezett... aztán tovább nem követtük, már minek.
A gyűjtője:
https://blockchain.info/address/1ALP3hhntCUU3RZn3MM66rsYQ6AKupytwh

Miután sikeresen átdobta magának az egyedi tárcából a gyűjtőjére a BTC-t, rövidesen nekilátott visszaállítani a fájlokat a vírus, ezt ki is írta a kijelzőre.
Miután végzett, kiírta, hogy kész.
Volt szíves adni egy "rescan" gombot is arra az esetre, ha maradt még volna elkent fájl.

Ennyi a sztori.

Sziasztok!

Jelezték többen, hogy megjelent itt az elérhetőségünk ezért gondoltam leírom röviden itt is amit telefonban amúgy is mondanék:

Van egy online váltónk, ahol forintért, forint utalással lehet Bitcoint vásárolni: http://www.instacoins.hu/

Az itt feladott megrendelések munkaidőben 4 órán belül teljesülnek (ez a banki átutalás átfutási ideje). Nincs regisztráció se verifikáció, az egész rendelés 2 perc.

Ezenkívül üzemeltetünk egy Bitcoin ATM-et Budapesten a belvárosban az Anker Klubban. A cím: Anker köz 1-3.

Mi nem vagyunk tárca szolgáltató, így azt érdemes külön csinálni valahol. Én a Hive Wallet-et javaslom (www.hivewallet.com), egyszerű és használható. Van webes, iphone-os és androidos változata is. Javaslom inkább az okostelefonos tárcát, hiszen egy fertőzőtt gépen Bitcoin tárcát tárolni nem túl szerencsés ötlet, mert azt a malware ki tudja könnyen üríteni.

Ha bármi segítség kell itt van az elérhetőségünk: http://octarine-labs.com/contact/

(magával a CTB lockerrel sajnos nem tudunk segíteni, mert nem ismerjük, nincs tapasztalatunk vele. Windows-t sem láttunk kb. 15 éve.)

Szintén fingom nincs a BTC működéséről:

A BTC-t valahonnan megveszed, nem? Ha nem magadnak bányászod össze hirtelen a szükséges mennyiséget, akkor gondolom a neten megveszed valakitől, adott esetben bankkátyával. megveszed, befizeted, majd felhívod a bankod a chargeback miatt.

Itt nem is a konkrét működés a kérdés nekem, hanem hogy szabad-e ilyet (jogilag)? Mert a BTC tőzsde viszont legitim (illetve szerintem nem, de nem követ el konkrét bűncselekményt), így ha őket átvered, te leszel a ludas.

nagyon én sem értek hozzá, de amit fent felvázolsz, hát pont azzal ba**ol ki, aki neked segít, hogy lehessen BTC-d.
Mármint Te kártyával valakitől veszel BTC-t, hogy a vírusírótól megvedd az ellenszert.
Kifizeted a vírusírót, majd szólsz a banknak, hogy a "pénzváltótól" húzza vissza a pénzed? WTF?

a BTC-nek egyébként éppen az lenne az értelme - és ezért kéri az illető a fizetséget abban - hogy névtelen, lekövethetetlen pár tranzakció után.

Akitől a btc-t veszed, azzal gondolom erről kötsz valamilyen megegyezést/szerződést, regisztrálsz nála, akármi. Ezek után csak úgy nem táncolhatsz vissza egy fizetés után, ilyen alapon ingyen vásárolgathatnál bármit a nagyvilágban, hisz úgyis chargebackeed a pénzt a banktól.

( cse | 2015. 01. 21., sze – 18:47 )

Mint hozzá nem értő: Miképp lehet elkerülni ezt a kártevőt?

Legyszives, kerj meg egy angolul tudo nem-informatikust, hogy olvassa el a mount parancs man oldalat, majd mondja el, mirol szolt. Na, annyit ert egy r=1 user a dologbol. A fogalmat nem ismeri, hogy "noexec opcio".
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant: 


()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Ami azt illeti, az 2-3 pontokra engem is erdekelne megoldas. Ami a grsec-et illeti, az bizony amig nem lesz az alap operacios rendszer resze, addig nem tekintheto potencialis vedelemnek. Ami itt szobajon helyette, az az apparmor, az legalabb van ubuntu-ban is, meg opensuse-ban is. Azt viszont nem tudom, hogy azt hogyan kellene beallitani ilyen esetekre.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant: 


()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Stop. Legyszives idezd be azt a reszt, ahol azt mondtam, hogy a grsec nem jo. A grsec egy nagyon jo cucc, viszont, es ezt most vastaggal fogom szedni, hogy legyel szives elolvasni nem a desktop disztribuciok alaptelepitesenek a resze. Ez nem a grsec hibaja, egyszeruen egy sajnalatos teny, semmi tobb. Amiben esely van ilyesmi beallitasokat tenni, es desktop disztribuciok alaptelepitesenek resze, az az AppArmor. Nem, ezzel nem azt mondom, hogy az apparmor jo, vagy jobb, mint a grsec. Azt sem, hogy rosszabb. Azt mondom, hogy egy r=1 user elobb fogja tudni AppArmor-ban ezt beallitani, tekintve hogy egyreszt mar fenn van a gepen, masreszt vannak hozza grafikus cuccok, mint grsecurity-ben, ahol ezek egyike sem adott.

Viszont, mivel en a sajat gepemen nem hasznalok AppArmort (sajnos nincs ra lehetosegem), illetve nem tamogatok Linuxot hasznalo r=1 usereket, igy nem tudom elmondani, hogy a grafikus toolokban pontosan hogyan lehet ezt beallitani. Meg konfig szinten is elegge utana kellene olvasnom a pontos metodusnak, de azt konkretan tudom, hogy erre van mod es lehetoseg. Gondolom, hogy a kerdezo (es nem az r=1 user) ez alapjan mar meg fogja tudni keresni a megfelelo grafikus megoldast, amivel eselye van megoldani a problemat. Ha nem banyaszna le szamomra fontos dolgokat az apparmor (van par csomag, ami explicite utkozik az apparmorral), akkor feltennem, es megneznem magam.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant: 


()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Tegyük fel, ez általánosan (*) elterjedtté válik (ez minden homeopátia-érzés ellenére jó lenne), összesen annyi lesz a következmény, hogy elterjednek a szkriptnyelven (nem annyira shell, mint perl, python, php, stb.) írt vírusok, amire viszont az egyáltalán nem hat.

(*) Sajnos ha jobban rémlik, az r=1 felhasználóknak kitalált terjesztések alapértelmezetten nem nagyon szeretik eleve önálló fájlrendszerként kezelni a /home, /tmp, /usr/tmp, /var/tmp területeket.

A /home legtobbszor onallo fajlrendszerkent kezelodig az un. guided partitioning eseten. Legalabbis Ubuntu es OpenSUSE eseten ez igy van (a ket legtobbet hasznalt r=1 FS). A noexec kapcsolot viszont tenyleg manualisan kell beloni.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant: 


()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

> ...SOHO környezetben...

Letöltöttem a grsec quickstart doksiját. Az egyszeri user pont addig fogja elolvasni, mint én most: "Configuring the Linux Kernel"

Tehát a válasz: Linux alatt sem lehet egyszerűen és/vagy OOTB megoldani ezt. Ilyen szinten Windows-ra is van megoldás, mert GP-ből letiltod nem-whitelistelt futtatható fájlok elindítását, és megoldódott a probléma.

A gond viszont ott van, hogy jellemzően azok tudják használni a {grsecurity-t|Group policy-t}, akik amúgy is jó eséllyel csinálnak backupot a vackaikról. :)

Mutass egy olyan desktop disztrot, ami alapbol bekapcsolt grsecurity-vel jon. Valamint mutass olyan grafikus feluleteket a grsecurity-hez, amit egy atlagos vagy egy atlagnal kicsit kepzettebb, de nem linux-specialist felhasznalo el tud kezelni.

Utana gyere vissza magyarazni, hogy mennyire jo a grsecurity desktop kornyezetben.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant: 


()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Nem nyitsz meg idegen futtatható fájlokat*, miután telepítetted és konfiguráltad a gépet.

Persze, néha kivételt kell tenni, ebben az esetben:
- szoftver beszerzése csak hivatalos forrásból, amennyire megoldható
- a checksum nem viccből van kitéve a letöltések nagy része mellé
- azt telepítsd/futtasd, amiről tudod, hogy mi, és szükséged van rá

Továbbá, 2015-öt írunk, elég ritka a valódi use case .exe fájlok továbbítására emailben.
- egyik opció, hogy rule-ból kidobni minden emailt, amiben futtatható fájl van, vagy
- ha ismerőstől jön, akkor ellenőrizni, hogy tényleg ő küldte-e, ismeretlentől kuka

További biztonsági pro tippek:
- JavaScript teljes kitiltása, whitelisten azok a honlapok, amikhez muszáj használni
- ha nem kifejezetten szükséges valódi email címet megadni a weben, meltmail.com

Gyakorlatilag egy szóban összefoglalható: ésszel. A vírusirtó már csak hab a tortán.

+1

Én egy helyen üzemeltetek levelezést, ott az amavis helyből minden futtatható fájlt kidob a levelekből.

Viszont a múlt héten a fiam épp megszívott valamit, Steam chat-en a barátja küldött egy linket. Rákattintott, megnézte a weblapot, aztán a worm most már az ő nevében küldte a linket szét az összes barátjának. Meg ellopta a TF2-es tárgyait :-(

( arpi_esp v | 2015. 01. 21., sze – 19:07 )

tud valaki kuldeni egy kodolt doc/docx/xls/xlsx filet? anno egy korabbi verziora fejlesztettunk decryptert, megneznem, hatha ezzel is boldogulunk.

nyilvan nem tudom torni, de...
kaptam ma par minta filet, azokban vannak ilyen ismetlodesek (neha sok 100 soron at!), valoszinuleg ott, ahol eredetileg 00-ak voltak:

00000980 99 89 8C 13 | 4C 40 98 0D | C4 04 7E EC | 69 1D CC 3C
00000990 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009A0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009B0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009C0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009D0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90

ebbol 2 dolog kovetkezik: 256 bites block kodolast hasznal, es legalabbis fileon belul vegig ugyanaz lehet a kulcs.
szerintem ennyibol a dekodolo kulcs (az adott filera legalabb) kitalalhato.

problema azokkal lesz, ahol nem ismerjuk az eredeti tartalmat reszben sem, de azert a gyakoribb tipusoknal (ms office, pdf stb) azert vannak allando reszek mindig.

vagy nem :(

With AES, or any serious encryption algorithm, even if you have the encrypted data (the ciphertext) and the original message (the plaintext), you are no closer to finding the encryption key. This is known as a known-plaintext attack, and AES is resistant to known-plaintext attacks as it should be.

Viszont elég gyanúsank tűnik a mintából, hogy az AES-t (vagy bármi mást) ECB üzemmódban használja. Ez elég ellenjavallt megoldás, mert viszonylag egyszerű dekódolni, a kulcs ismerete nélkül is.

Ha igaz a feltételezés, hogy ott ahol ezt a mintát láttad tényleg csupa 0-k vannak a plaintextben, akkor megpróbálhatod a fájlt végig xor-olni ezzel az ismétlődő mintával. Hátha valami érdekes dolog jön ki... szerencsés esetben akár a teljes plaintext. :)
---
Régóta vágyok én, az androidok mezonkincsére már!

Most mondjam azt, hogy volt dolgom olyan implementációval, ahol ez így frankón tényleg működött?! Én sem akartam elsőre elhinni... A leírtnál annyival volt bonyolultabb a helyzet, hogy nem lehetett tudni, hogy pontosan melyik byte ismétlődik, ezért végig kellett próbálni a lehetőségeket.

(Edit: ja ok, értem mire gondolsz, az ECB-t "rendesen" használva, a plaintext blokkot IV-be betöltve, nem pedig outputtal xor-olva valóban nem kéne ilyen szimplán működnie. De ha már valakinek komolyan eszébe jutott ECB-t használni diszken fájlok titkosítására, ott érdemes megpróbálni, hátha egyéb marhaságot is csinált.)
---
Régóta vágyok én, az androidok mezonkincsére már!

( Zahy v | 2015. 01. 21., sze – 19:54 )

Engem személy szerint használati szokásaim miatt kevéssé érint :-) , de esetleg valami konkrétum, hogy melyik irtők ismerik már, illetve melyek nem?

Adalék a nyugalomhoz:

Az AV-Test szervezet egyik kutatása szerint 2014-ben 143 millió új malware mintát regisztráltak. (Napi több mint 390 000)

The Independent institute AV-Test issued an analysis that recorded 143 Million new malware samples in 2014 and 12 million new variants per month.
http://securityaffairs.co/wordpress/32352/malware/av-test-statistics-2014.html

Előbb utóbb majd beteszik a grsec. TPM-szerű megoldását a windowsba, ahogy a PaX-ot is valamennyire átportolták.
Addig ez lesz.

Ezzel aztán az összes EXE alapú vírust a gyakorlatban kivégzik.

Maradnak a szkript alapú cuccok. Azok meg ennyi vizet nem zavarnak.

Aki nem ismerné a dolog nagyjából úgy (is) működik, hogy van megadható egy spec. felhasználói csoport.

Aki annak a tagja, az a tulajdonában levő cuccokat nem futtathatja, és ennyi. (vagy fordítva, csak az futtathat, aki a csoport tagja). Innentől exe kilőve, bármilyen forrásból szerzi be,
- letölti, ő vagy a "nevében" egy szkript
- futtatja egy általa felcsatolt cuccról
tökmindegy,
a fájlnak ő lesz a tulajdonosa, nem pedig az Administrator, és innentől vége, megy a security naplóba a próbálkozás és kész.

Aki meg adminként használja a gépét, az megérdemli amit azért kap.

--------

Nem vezetek...Jobb így. Nekem is
meg mindenki másnak is.

"But while IT administrators generally agree that restricting users to a standard user account is the way to go, about 80 percent deploy their desktops with admin accounts, making those machines more susceptible to malware and harder to manage." - Microsoft Technet

Nagyon sokszor az IT tehetetlen, mert alulról/felülről érkező nyomás hatására a vezetés beleegyezik, hogy a polgárnak local admin joga legyen. Vannak olyan helyek, ahol személyes sértésnek veszi a bugris, hogy neki nincs joga és addig kilincsel, amíg ki nem hajtja, hogy legyen neki.

Nyilvánvaló, hogy az IT rendszergazda nem maga ellensége és 10-ből 10 támogatná, hogy ne legyen rendszergazdai joga az átlagfelhasználónak.

--
trey @ gépház

hat nemtom. azon filozom, hogy ugyfeleknel forceolni fogom a jelszovedett .rar tomoritvenyt.
mondjuk ehhez erosen v1.0+ tanithato ugyfelek kellenek.
szoval allando partnerekkel elore egyeztetett jelszo. ha nem keri, akkor gyanus. ha a mellekletet tartalmazo mailben jelszo is van mellekelve, akkor gyanus.
csak ugy beeso tomoritvenyek, futtathato fileok meg kivagva a gecibe. ( mondjuk az assp eleg hatekony bir lenni ezen a teren a hatterben virusirto nelkul is. )

ezert irtam, hogy v1.0+ tanithato ugyfelek kellenek.
ugyfel csomagol - jelszavas lesz, virus csomagol - nem lesz benne jelszo.
az elore ledumalt jelszavakkal rafuttatom az

unrar t -p $password

parancsot. ha valamelyikkel ki tudja bontani, akkor ok.
mondjuk annak utana kell nezni, mit ad vissza az unrar, ha nem jelszavazott tomoritvenyt jelszoval akarok kibontani.

Ezt pontosan nem tudom megmondani, ellenben arra figyelj oda, hogy én eddig kétféle titkosított RAR-fájllal találkoztam (és nem tudom mi módon hozták létre egyiket és másikat):

- az egyiknél a titkosítási kulcs nélkül ki tudod listázni a tartalmát, de (ha jól emlékszem) minden fájlt leíró sor elején van egy - asszem - csillag, és persze ha ki akarod ténylegesen csomagolni, akkor kell a jelszó. Ekkor pl. láthatod, hogy mi van benne.

- a másiknál már a tartalomjegyzék lekérdezéséhez is meg kell adni a jelszót, azaz megnézni se tudod, mi van benne.

( ShonoSF | 2015. 01. 21., sze – 20:34 )

Nálunk is volt,
futó AntiVir, Webfilter, ActiveProtection mellet is (a kellően makacs usernek) valahogy csak sikerült elindítani. Pedig nincs kiemelt joga a usernek és az AV LOG-okból látszik, hogy először karanténba rakta fertőzést. Aztán valahogy elszabadult... Szalagról álltunk vissza.

Eset NOD32 esetében többször előfordult nálunk - igaz nem ezzel a vírussal -, hogy a korlátozott usernél is sikeres volt a csatolmány elindítása, benne vírussal. Majd 1-2 órával később jelezte, hogy fertőzött az outlook.exe, és benne van az autorunban, de nem tud vele mit kezdeni, mert a memóriában van. Addig ki is mentek a spamek szépen.
Szóval nem szabad bízni a víruskeresőkben, a legkisebb mértékben sem.

( zitev v | 2015. 01. 21., sze – 21:12 )

Sub

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

( igiboy | 2015. 01. 22., cs – 11:25 )

A fizetés után programot is kap az ember és kulcsot, vagy csak az eredeti gépen lehet helyreállítani a fájlokat?

( mauser1 v | 2015. 01. 22., cs – 15:23 )

Egyébként, hogy működik ? Windows alkalmazások, ddl-eket, összetevőket használ a gépről ? Vagy már a vírusban minden benne van ami kell neki ?

( igiboy | 2015. 01. 22., cs – 16:38 )

Sikerult osszeszedni a 3.000.000 b-t, de meg kellene 100 b, erre nem szamitottunk hogy utalasnak is dija lesz. Valaki nem tudna kisegiteni ezzel az osszeggel gyorsan?
Elegge uj volt nekem es annak is a bitcoin dolog aki ezt csinalta. Viszont a weblap igy is csak neha neha erheto el. Felo, hogy holnap mar nem lesz.

Te befizetted az összeget amit követeltek? Ember pont emiatt terjednek ezek a vírusok! Csak bátorítod őket, hogy folytassák. Ha nincs mentésed akkor a fájlokra keresztet vethetsz. Az alapszabály minden ilyen esetben, hogy a cyber terroristákkal ugyanúgy nem szabad egyezkedni ahogy a valódiakkal sem!

Nem, de azért pár apróságot mérlegelni kell:
- Bűnözőkkel fogsz üzletelni: ha fizetsz, kapsz valamit? Az tényleg visszaállít mindent? Ha igen, közben hova rejti el a következő ransomware-t?
- Mennyi munka valahonnan visszaszerezni a file-okat, akár egy részüket újra megcsinálni? Azért többet kapsz, mint a váltságdíj?
- És tényleg, ha sokan fizetnek, akkor nagyon jövedelmező üzlet lesz ilyen szarokat írni, hamarosan lesz napi 2, azt nem fogod tudni megfizetni.

> Ha igen, közben hova rejti el a következő ransomware-t?
Jogos, de egy ilyen után a leghülyébb felhasználónak is eszébe jut, hogy hoppá, csinálok backupot.

> Azért többet kapsz, mint a váltságdíj?
Valószínűleg, itt azért nem olyan embertelenül magas összegekről volt szó eddig. Értsd: persze, nekem is k*rvára fájna kifizetni, de nem megfizethetetlen.

> nagyon jövedelmező üzlet lesz ilyen szarokat írni, hamarosan lesz napi 2, azt nem fogod tudni megfizetni.
Persze, de (valószínűleg) goto 1. Ha ezt egyszer valaki beszopja, annak másodjára valószínűleg lesz B terve.

>Jogos, de egy ilyen után a leghülyébb felhasználónak is eszébe jut, hogy hoppá, csinálok backupot.
Amiben már lehet, hogy ott figyel a következő ilyen cuccos, beidőzítve és szépen elrejtve az éppen frissen megvett kikódolóprogram által.

Nem azt mondom, hogy nincs az a helyzet, amiben racionális döntés fizetni, de legalábbis nagyon ritka. Mert vagy nem olyan fontos valami, hogy ennyi pénzt adjak érte, vagy ha igen, akkor nem bízom meg benne, ha már egyszer "bepiszkolódott".

Nyugalom Bélám! :)

Elsősorban nem a befizetések miatt terjednek a vírusok, hanem a - nem megfelelően oktatott - felhasználók miatt, akik minden e-mail csatolmányt kényszeresen megnyitnak.

Ha te olyan tökéletes vagy, válaszold meg kérlek az alábbi kérdéseket:

1. Neked például van a céges gépeden levő lokális dokumentumokról (és képekről) backupod? (Gondolj csak bele: az ügyfeleknek el van mondva, hogy csak a szerveren levő fájlokról van mentés. Ezért ők hajlamosak arra, hogy a céges laptopjaikon tároljanak családi képeket - egyetlen példányban. Így pont a személyes adataik kerülnek célpontba.)
2. Ha Outlookot használsz, van archív PST fájlod? Van róla mentés? (ezt is bekódolja a CTB-Locker)

"Elsősorban nem a befizetések miatt terjednek a vírusok, hanem a - nem megfelelően oktatott - felhasználók miatt, akik minden e-mail csatolmányt kényszeresen megnyitnak."

Egy ilyen szep virus bekapasa utan lehet, hogy jobban hatnak majd a szokasos rendszergazgai mantrak. Foleg akkor ha a ceges adatok visszaallithatoak a felhasznalo meg vagy fizet vagy nem a sajat cuccaiert.

---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Van egy dokumentumod, mely ketszazmillio forintot er. A CTB-Locker betitkositotta. A dokumentumrol nincs semmilyen masolat, annak tartalma nem reprodukalhato. Oldd meg a problemat ketto ora alatt.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant: 


()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Van egy dokumentumod, mely ketszazmillio forintot er.
Másolat nélkül? Önt kedvező ajánlatokkal várja a Tajgetosz Travel.

Kicsit komolyabban: persze, ilyen esetben meg lehet próbálni fizetni, leszarva, hogy ez mennyire káros amúgy. De ha cserébe nem kapsz semmit, az csak a karma működésben.

Nyilvan vagyok annyira okos, hogy tudjam, ez nem jo, viszont probaltam vadonkat realis (mert ez sajnos tenyleg az) pelda ele allitani, es megmerni az elveit. Nincs olyan, hogy "elvbol nem fizetek". Van az az ertek, aminel az ember megkockaztatja, hogy fizet, mert ha viszont visszakapja az adatait, akkor a fizetendo osszeg nem draga az adat ertekehez viszonyitva. Nyilvan ezek pont ezt hasznaljak ki, viszont vegyuk eszre, hogy ez kenyszerhelyzet: amig magat a problemat (gyak: a virus irojat) meg nem szuntetik (el nem tiltjak ketszaz evre mindenfele billentyuzet hasznalatatol), addig mindig lesz olyan ember, akinek van olyan ertekes az adata (akar realisan, akar eszmei ertekben kifejezve), mely megeri a dekodolas aranak bekockaztatasat.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant: 


()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

( nagy_peter v | 2015. 01. 22., cs – 21:39 )

A dekódolás terén addig eljutottam, hogy az általa kiírt "Publikus kulcs" (ha törlöd a vírust, ott a háttéren, és fájlba is elrakja) kötőjelek nélküli első 144 karakteréből le lehet generálni a "privát kulcsot".

Illetve nagyon úgy néz ki, hogy megtaláltam már, hol tárolja a gépen a privát kulcsot is, csak a saját első 16 bit érintetlen benne, a többit viszont ezzel a 16 bittel kódolja (futás közben elemeztem a programot). A "távoli szerveren van a privát kulcsod" duma pedig kamu... Azt arra használja, hogy csekkolja, hogy jött-e bitcoin tőled, és indulhat-e a dekódolás.

Van, akinek megvan a privát kulcs, amit kapott, és esetleg úgy fizetett a privát kulcsért, hogy külön kellett küldeniük? (mondjuk már törölve volt a vírus)
Illetve a publikus kulcs is megvan még?
Ha lenne egy ilyen párosom, az segítene némileg, hogy merre induljak.

Leírok pár dolgot, amit már megfejtettem, hogy ha esetleg más is dolgozik a dekódolón, vagy van ötlete, akkor több szem többet lát alapon jól jöhet némi infó:

- A kódoló azonos adattartalmú fájlokat egyazon könyvtárban is más-más állománnyá kódolja (kódolatlanul bitre azonos fájlok kódolva teljesen máshogy néznek ki)
- Különböző könyvtárban lévő teljesen azonos fájlok (név is azonos) esetén sem egyeznek a kódolt fájlok egymással (ugyanolyan nevű fájl azonos adattartalommal más-más könyvtárban kódolva különbözik)
- A kódolás egyik lépése tömörítés (4096 bájtnyi azonos betűt tartalmazó fájlt >100 bájt méretre konvertál, tömörítet állományok esetén jelentéktelen a méretcsökkenés)
- Teljesen offline gépen (hálókártya nélkül), lefuttatva is sikeresen kódol. A weboldalon begépelve a program által a fenyegető üzenetekbe tett "publikus kulcs"-al, és a kódolt fájlal az egy ingyenesen kérhető dekódolást meg tudja csinálni helyesen a weboldal (tehát a publikus kulcs elegendő a dekódoláshoz).
- a Publikus kulcs, amit ad pl.:
APREQFO-FD3CFJK-OO56DS5-XCCGGEJ-33HD5ZV-ACQ6DGW-EPDDANB-ZLGHOIY
SSZIH56-S2Z7HWS-ZKWHSHZ-SJPVYDT-QBW4JQS-MGQDAFR-WSZQFDL-4EXGRQ6
RT3FGC2-VIG4344-WDHAMAG-H4CEZGP-ANOJ4WW-DIVR25N-EZ33TS7-22KB7JT
- Ennek a kulcsnak a végét átírva is helyes kódot kapunk, és szintén sikeresen lehet dekódolni vele.
pl. Ezzel szintén sikeresen dekódolható az a fájl, ami az előzővel:
APREQFO-FD3CFJK-OO56DS5-XCCGGEJ-33HD5ZV-ACQ6DGW-EPDDANB-ZLGHOIY
SSZIH56-S2Z7HWS-ZKWHSHZ-SJPVYDT-QBW4JQS-MGQDAFR-WSZQFDL-4EXGRQ6
RT3FGC2-VIG4344-WDHAMAG-H4CEZGP-ANOJXXX-XXXXXXX-XXXXXXX-XXXXXXX
(Minden fájlhoz viszont csak a hozzá tartozó "publikus kulcsot" fogadja el a program! - Aki nem fizetett, és nem is fog, ezt a kulcsot tegye el, mert szinte biztos, hogy kelleni fog majd)
- A kódolás folyamán a fájlok első 48 karakterét írja ki először, majd csak utána kezd neki a fájl tartalmi részét kiírni. Valószínű, hogy az első 48 bit a kulcs része.
- A kódolás megkezdésének ideje kinyerhető a fájlok kiterjesztéséből (szinte azonos időben, azonos környezetben induló két kódolás kiterjesztése hasonló vagy azonos)

További infókat tudok adni még, akit komolyabban érdekel, privátban.

És mit kezd a kódoló kártevő olyan fájlnevekkel, vagy fájlokkal, amit maga a Windows sem tud lekezelni/megnyitni/törölni/stb? Átugorja, vagy kifagy a progi?
Pl:
1.) Linux alól létrehozol kilométerhosszú fájlnevet, amibe kérdőjelet, kettőspontot, a / jelen kívül mindenfélét, meg sortörést teszel (átnevezel egy valós fájlt)
2.) egy kétbetűs könyvtár nevébe, és a végére pontot teszel: A.B. (tapasztalat, csak más betűkkel sikerült elkövetni)

bitcoin elmeleti reszeben van egy ilyen keplet az alairaskor:
s = (m + x * r) / k (mod q)
ahol m az uzenet, x a privkey, k egy random szam, r egy szamolt szam a k alapjan, a q meg egy fix ertek.
a signatureba az r es s kerul be, az m meg az uzenet ugye (illetve annak a hashe).
a k-nak minden alairaskor valasztanak egy szamot random, igy elkerulik hogy azonos uzenet eseten ki lehessen szamolni a szignaturabol a privkeyt.

na szerintem itt is lesz valami hasonlo moka. a fajl elejen levo 48 bajt a random lesz az "r", es azzal is kodolja a fajlt.
probald megtalalni a kepletet amivel kodol.

ha felbeszakad a bekodolas (gep reboot), folytatja?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Csak azon gondolkodtam, hogy esetleg egy virtuális gépben virtualbox alatt meg lehet nézni, hogy mi van a fájlrendszerben és a registry-ben a teszt dekódolás előtt, majd ezt a teszt dekódolás utáni állapottal összehasonlítani (valahogy.. :)), és hátha le lehetne a teszt dekódolást többször is futtatni. Bár gondolom ez 300000 dokumentum esetén nem segítség.

A probléma ott van, hogy az előzetesen letárolt fájlokból valami algoritmussal választja ki az 5 állományt, és a kódolt fájlok listáját valahol el is tárolja.
Ugyanazon a gépen többször lefuttatva mindig ugyanazokat állította volna vissza.
A fájlok listáját pedig kódolva tárolja, ami nehezít azon, hogy beleszerkesszünk.

Mivel csak azt a publikus kódot tudja mindenki használni, amit kapott, így gondolom a publikus kódnak és a kapott kiterjesztésnek is köze van egymáshoz. Én is küzdök az egyik ismerősöm gépével, de mivel a vírust leszedtem, így már csak a decrypterek jöhetnek szóba, ha meglenne privát kulcs amivel célt tudnék érni.
Nála ez az egyik kulcs amit kapott,de a másiknak is ugyanez az eleje. A kiterjesztés a fájljainak pedig:QHUWOUC lett.
Ez ki tudom olvasni az első sor 5. és 7. betűcsoportjából.

ZHQWECM-PWVGV3U-KVGFBAP-LU2JJSM-X6QAHUW-PP4CG7Q-AWUYGOC-MAGRVX2
4Z4Y7AW-7FG7NZP-SHMJWDV-CYUKGW5-3SN6YWJ-X7RBYMB-AH65CB6-WLFI6E4
GQKJSV7-ZANPBHS-R27ATKK-7C2DEKW-WEQD26F-VQ5BNZE-ZACK5WO-Q5I7FX5

Vagy ez csak véletlen?

Szia Péter.

Igen engem érdekelne, hogy tudtál több fájlt is visszafejteni. Fontos doksik vannak az ismerősön gépén, jó lenne, még ha csak néhányat is, visszahozni. Elég hozzá egy decrypter program, vagy kellene hozzá egy vírusos gép is? Megköszönöm, ha privátban írsz róla többet.
E-mail: pszabo1969@gmail.com.

Szurkolok neked, remélem nem adod fel, és megtalálod a megoldást.

Sziasztok!

Rossz hír mindenkinek, hogy sikerült az egész programot visszafejtenem, és sajnos nem sok esély van rá, hogy visszanyerjünk adatokat fizetés nélkül. (csak ha sikerül a szerverükről ellopni a privát kulcsot)

A titkosítás, amit használ, eltér az eddigiekétől.
A régebbi változatok úgy működtek, hogy a mi gépünkön generáltak egy privát és egy publikus kulcsot, majd a publikusat meghagyták nálunk, a privátot pedig elküldték a szerverre, úgy, hogy az a gépünkön sosem lett lementve. Itt azonban ezt tovább gondolták.

A privát és a publikus kulcsot egy példányban hozták létre, a privát kulcs ebből sosem került ki a kezeik közül, a publikus pedig a programba van építve.
A program a gépen lefutva a publikus kulcshoz generál egy úgynevezett "közös titkot", amellyel párban kódolja az állományokat. A dekódoláshoz pedig a privát kulcsra, és a közös titokra van szükség. A közös titok az abban a számsorban van, amit ők publikus kulcs néven emlegetnek a programban, és teljesen véletlenszerű, a gépen generált adat.

A Fájlokat szimmetrikus AES kódolással kódolja csak le, viszont mindegyik állományt egyedileg, és az AES kuclsot az állományok elejére írja. Csak hogy ne legyen könnyű dolgunk, a fájlok elején lévő AES kulcsot titkosítja csak le a publikus kulcs és a közös titok párosával, amit viszont nem tudunk dekódolni. Így két lehetőségünk van.
Vagy kitaláljuk az AES kulcsot, ami minden általa kódolt állományra egyedi, tehát minden fájlra külön kell kitalálni, vagy megszerezzük a privát kulcsot a szerverükről, amelyet a saját gépünkön letárolt közös titokkal együtt felhasználva tudjuk dekódoljuk a fájlok elején lévő AES kulcsokat, és utána az így dekódolt AES kulcsokkal dekódoljuk a fájlokat.

Szóval ezúttal tényleg érdemi kódolást használtak, és csak abban lehet reménykedni, hogy a privát kulcsuk valahogy kikerül a szerverükről.

Azt a vonalat még nem néztem végig, de az látszik, hogy az 5 fájlt, amit hajlandó dekódolni, azt még a kódolás közben dönti el. És ha két azonos gépet azonos fájlszerkezettel és fájlokkal kódolsz, ugyanaz lesz az 5 kiválasztott. De végignézem azt is, valószínűleg máshogy kódolja. (esetleg csak simán az AES kulccsal, és a kulcsot nem kódolja aszimmetrikusan náluk).

De utánajárok mindenképpen.

Szerencsére nem vagyok érintett, így könnyen kibicelek...

Az, hogy egyetlen privát kulcs van, szerintem nem feltétlenül rossz hír, mert aki fizetett a dekódolásért, annak meg kellett kapnia valamit, amiből viszont akkor kinyerhető a privát kulcs - amivel viszont az összes többi áldozat cucca is dekódolhatóvá válna.

Vagy túlságosan leegyszerűsítem?

A privát kulcs nem lesz benne. Az itt, folyamatosan publikus kulcsnak nevezett kimenet valójában egy szignatúra, amelyet a kulcspár publikus tagjával állított elő. Feltehetően ebbe van "bezárva" vmi (felteheően az aes-hez szükséges), amelyet a szerver oldalon dekódol az ott található privát kulccsal.
De kérdőjeles a topic elején említett rsa 2048 is, mert akkor lennie kellene egy 256 bájtos szignatúrának. Ha mégis rsa, akkor kisebb a bitszélesség. De lehet más asszimetrikus, pl. ecc. Az is lehet, hogy nincs is semmiféle asszimetrikus algó, csak vmi egyedi enkódolással rejt el némi adatot a kötőjelekkel tagolt adatokban (amelynek, mint kiderült, a vége junk), majd az ebből dekódolt adatot felhasználva generál egy futtathatót szerver oldalon, amely már tartalmazza az aes? ecb alapú fájl-dekódoláshoz a szükséges információt. (Az, hogy ecb, az azért elég gáz.)

( T_chris | 2015. 01. 24., szo – 20:48 )

Durva így olvasni, hogy innen is mennyien szaladtak bele, meg a szavazásnál is jelentősen sokan érintettek voltak... :(

- - - - - - - - - - - -
Magyar égre, magyar ufót.
300hsz feletti topicot nem olvasok.

Nyilván menteni kell. Én is mentek gyakran, de minden egyes fájlmódosításnál és mentésnél nem írja ki az ember egy másik lemezre is. Tehát ha jön egy ilyen fertőzés, akkor tuti hogy valamilyen szinten mindenkinek lesz valamennyi vesztesége. + Vírusirtás, időkiesés a munkából, stb. Tehát jobb lenne, ha az ilyen vírusírókat minél hamarabb a rács mögé dugnák.

Lesz. De lássuk be, otthon, mezei usernek gyakorlatilag a fényképei a fontosak, meg esetleg pár doksi, az pár GB, nem varázslat több példányt megtartani belőle. Külső hdd, pendrive.

Cégnél meg legyen már rendszeres napi mentés, mondjuk egy hétre visszamenőleg minden napról előállíthatóan. És akkor x óránként esetleg snapshot.

"De lássuk be, otthon, mezei usernek gyakorlatilag a fényképei a fontosak, meg esetleg pár doksi, az pár GB, nem varázslat több példányt megtartani belőle. Külső hdd, pendrive."

Az a pág GB-t nálunk jelenleg 250 (5 év termése, de a videók miatt egyre nagyobb ütemben nő), fényképek és videók (1080p) épp azon gondolkodom, hogy hogyan tudom, ezt minél kisebb költséggel és idő ráfordítással redundánsan tárolni.
A legjobb képek papíron is megvannak, a videók egy részét a youtube őrzi.

Miért halott? A 42 GB az 2 Bluray lemez. Vagy 1. Én a mai napig használok lemezeket. Valahogy sokkal jobban megbízom bennük mint a HDD-ben. Ha esetleg mégis elveszik akkor egyszerre csak 25 GB van oda és nem 1, vagy 2 Terra. Persze kiírok mindent külső winchre is. Így 3 helyen vagyok mentve legalább. Ebből 1 csak meg marad. Ha valamelyik tönkre megy, pótolom. Manapság már elég olcsó a blu-ray lemez, és nekem már vannak 15 éves dvd adatlemezeim, melyek a mai napig tökéletesen működnek. Nem mondom, hogy az életem során nem futottam bele hibás szériába, de hát pl. az egyik ismerősöm Notebookjában is 2 x cseréltem HDD-t egy év alatt. Egyik pillanatról a másikra badszektorosak lettek.
Semmi sem tart örökké.

Azért arra még kíváncsi lennék, hogy vírus az eredeti fájlokat változtatja-e meg, vagy létrehoz egy titkosított másolatot, az eredetit pedig törli. Az ismerősöm adott egy képet ami rajta volt gépén is, de a fényképezőről még nem törölte. Elmondta hol találom a gépen, de ilyen nevű képet nem találtam rajta. A mérete pontosan egyezett a valószínűleg azonos képpel, de annak más volt a neve. Mintha át lenne nevezve. Nem tudom, mert előtte nem láttam gépét, az ismerősöm pedig már nem emlékszik rá. Bár ez túl egyszerűen lenne, ha törölné az eredetit és másolatot hozna létre kódolva. Ugyan a ShadowCopy nem tudott maradandót alkotni, de azért egy Recovery futtatást megér a gép, aztán tovább nem látom értelmét kínlódni vele.

Elvileg biztosan, gyakorlatilag nem valószínű, mert a CP számontartja a fájlverziókat kb. a végtelenségig, vagyis tudsz egy fertőzés előtti snapshotot csinálni az inkrementális mentésekből.

Másrészt a CP nem csak cloud, én pl. néha bedugog neki egy külső vinyót, hogy oda mentsen le mindent. A napi munka meg megy (akár saját) szerverre, titkosítva.

( opt | 2015. 01. 28., sze – 15:27 )

Ma már egy tucat figyelmeztetést kaptam, hogy a levelező scr kiterjesztésű csatolmányok miatt leveleket blokkolt.
Most ért el hozzánk is a próbálkozás, vagy egy újabb támadási hullám lehet?

Valóban terjed, de figyelembe kell venni a lehetőségeket. Ha első körben csak mondjuk .scr-ben küldözgették, akkor kapásból megúsztad az első hullámot. Ha a legközelebbi szórás már zippben történik, akkor az lehet hogy bejön, de ha ugyanazt a .scr-t csomagolták újra, akkor van esély arra hogy az AV felismeri.

Tehát véleményem szerint nem az a lényeg, hogy ne tudjon bejönni, mert így vagy úgy de betalál. Hanem az, hogy minél később.

( uid_2783 | 2015. 01. 29., cs – 11:15 )

már .cab kiterjesztésű file-t is küldenek csatolmányban...

forrás IP: 200.150.166.240 (brazil)
From: "Annita Carosella"
Subject: COCIDIS S.A.

össz levéltartalom az olvasóablakban:
COCIDIS S.A.
Avenida Ciudad De Barcelona, 144 28007 Madrid Madrid
Madrid
SPAIN
+34 915 23 46 94

csatolmány: cocidis_sa.cab

a spamassassing nálunk 4.479 pontot adott rá.

--
Aspire E1-530
"...és micsoda zajt csapott!"

( mogorva v | 2015. 01. 29., cs – 11:45 )

Ki tudna vki tenni vhová egy ilyen file-t?
Szeretném kipróbálni, hogy mi fogja és mi nem? (pl. mailserveren futó clamav mit lép, ha ez szembe jön).
Thx.

Nálunk a clamav átengedte a .cab -os variánst. Az korábbi .scr-t megfogta viszont.
Célszerű eleve tiltani az ilyen mellékleteket mint az scr, cab, pif, bat, exe, com, msi, stb...
Futtatható állományt ne akarjon küldeni senki senkinek. Ja és az encryptelt jelszavat archivumot is célszerű tiltani. Jött már úgy vírus, hogy zip-be volt az exe, hozzá egy gyönyörű magyar nyelvű szöveg, hogy itt van a progi amit kértél meg a kód amivel ki tudod bontani. A naív user nem tudja mivan, de ha már egyszer neki jött akkor csak kinyitja... Szóval a júzerek ellen nincs védelem, akkor legalább a kockázatot minimálisra kell csökkenteni.

( vadonka | 2015. 01. 30., p – 11:07 )

Sziasztok!

Nálunk is beszívta egy kolléganő. Egy faxnak álcázott emailt kapott aminek a melléklete docx volt, tehát sima ms word fájl. Ennek megfelelően átment a rostán. Ki is lehetett nyitni, olvasható volt. Valami kamu angol szöveg volt benne. A csavar a docx-ben volt elrejtve. Egy összetett macrot találtunk benne, javarészt értelmezhetetlen módon encryptelve. Sajnos a kolléganő reflexből rányomott a macró engedélyezése gombra amikor a word figyelmeztette, hogy ismeretlen macró, futtatja?
A háttérben képes volt felrakni a vírus magát ebből! A windows 7 UAC-a figyelmeztette, a folyamat közben, hogy valami bele akar túrni olyanba amibe nem kéne, de persze erre is igent nyomott. Sajnos rendszergazda volt a saját gépén úgyhogy mindent bemérgezett a vírus. Szerencsére hálózati meghajtó nem volt mappelve neki de minden lokális fájla titkosítva lett és megjelent a szokásos visszaszámláló üzenet neki. A word fájlt elküldtem a sicontactnak. A nod nem vette észre ugyanis.

Szia!

Nálunk, annyi volt a különbség, hogy nálunk cab file volt, kicsomagoltad, .scr file volt benne, majd egy wordot nyitott meg. Teljesen olvasható értelmes angol szöveg volt, a háttérben már nyílt is meg egy processz, ami megkezdte az átkódolást. A kolléganő nem volt rendszergazda gépén és mégis bejött. Fel voltak mappelve a szerverek...sorsuk a már megismert státuszba került.

Kipróbáltam virtuális gépen a vírust, sem az bekapcsolt UAC, sem a korlátozott felhasználói jog nem fogta meg egy frissített win7 Enterpriseon. Frissített McAffe és Symantec sem ismerte fel még egy variánsát sem.

Ez a tegnapi ismertségi állapot:
https://www.virustotal.com/hu/file/03049c120640c38edde9aa2b1d504e8d679e…

2 napja, mikor a kolléganő beszedte, a virustotal.com-on 2db! vírusírtó ismerte fel. Még a gmail levelés sem szűrte ki.

Nem feltétlenül kell neki rendszergazda jog.
Ugyanis vagy kihasznál valamilyen még nem javított sebezhetőséget, vagy egyszerűen csak a felhasználó könyvtárába települ (mint pl a Google Chrome). A második esetben csak azokat a fájlokat kódolja, amihez "írási | módosítási | stb" jogosultsága van (nem elég az?).

Ide felraktam a cab-ot. Csak saját felelősségre!
Virtuális gépben kísérletezz vele, ne legyen semmi felcsatolva a virtuális rendszerhez!

A .cabot ki kell csomagolni, lesz benne egy .scr file. Ha ezt megnyitod egy tiszta windowsban, a wordpaddal nyitja meg.
Ekkor már a háttérben dolgozik is. Újraindítás után bejön a fekete képernyő a számlálóval és figyelmeztetésekkel. (Rendes a vírustól, hogy amíg nem végez a kódolással, addig észre sem veszed, nehogy gyanút fogj...)

( gee v | 2015. 01. 30., p – 11:36 )

Ismerősöm kérdezett, hogy mitől lettek vajon elérhetetlenek bizonyos fájlok a hálózati megosztott könyvtárban.
Mivel én még nem találkoztam ezzel a vírussal, elmondtam neki, amit itt olvastam.

Szóval van egy gép, nem teljesen értettem, hogy van-e rajta lokális víruskereső vagy nincs. Ez a gép kapott egy email-t, amiben egy cab fájl volt.
A csajszi ezek szerint megnyitotta a cab fájlt, majd bizonyára elindította a benne lévő programot, ami a hálózati megosztást titkosította (meg bizonyára a helyi gépen is).

Az ismerősöm azt kérdezte, hogy ha elgondolkozna a váltságdíj fizetésen, akkor hol találja meg az információt, ami ehhez kell.
Gondolom azon a kliens gépen, ami megfertőződött. Ugye?
De azon hol, hogyan?

Vajon kepes lenne ket, azonos alhalozaton levo, egyidoben fertozott kliens a kozos felcsatolt halozati mappaban levo fajlokat duplan kodolni, es ha igen, akkor a kikodolast sikeresen vegrehajtani (bar gondolom ez utobbi baromsag)?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Szerintem (bár nem próbáltam) nem fog duplán kódolni, mert csak bizonyos fájlkiterjesztésekre ugrik. Mivel a kódolás után viszont a kódolt fájlokat átnevezi, ezért úgy gondolom, hogy nem fog ugrani azokra.

Egy Win XP-n (elszeparált tesztkörnyezetben) így nézett ki egy futás után: http://i.imgur.com/ElfeOqZ.png

( WG | 2015. 01. 30., p – 20:01 )

Lenne pár kérdésem azokhoz, akik beszopták, vagy tesztelik a vírus(ok)at virtuális gépben.

1. A kódolt fájlok módosítási dátuma a kódolás időpontjára változik, vagy marad az eredeti létrehozás dátuma?
2. Az eredeti fájlokat törli a kódolás után a vírus, vagy "helyben" kódolja őket?
3. Az érintett fájlok mérete megváltozik a kódolás után?

A verzió amit én találtam (mert mind a cab-os, mind a zip-es verziót eldobálta az amavis)

1.) A kép alapján úgy tűnik marad.
2.) Szerintem kódolás után törli (olvastam, hogy páran visszahoztak photorec-el képeket ami ha helybe kódolna nem lenne lehetséges).
3.) Igen, megváltozik.

KÉP: http://i.imgur.com/c7ROM2L.png

Köszönöm!

A 2. pont alapján feltételezhető, hogy ha be van kapcsolva a Samba 

vfs objects = recycle

funkciója miatt a törölt eredeti fájlok a megadott könyvtárba kerülnének.
Ki tudná ezt próbálni valaki, aki rengeteg szabadidővel, Samba serverrel és a vírussal is rendelkezik? :)

Kipróbáltam, az XP-t úgy tűnik már a malware írok se támogatják 100%-osan (XP módba nem volt hajlandó megfertőzni a hálózati meghajtót egyik minta sem :(). De kipróbáltam Windows 7 alatt, és úgy tűnik helyben kódol, mert miután végzett a samba-n beállított recycle könyvtár üres volt, közbe futott a process explorer, a képből úgy jön le, hogy fogja az eredetit átnevezi random.tmp-ra majd elkódolja helyben és a végén visszanevezi.

http://i.imgur.com/8COnpnW.png

Ha van még időd és lehetőséged, kipróbálnád, hogy ha a vfs_full_audit be van kapcsolva, mik kerülnek a logba, amikor a vírus egy adott fájlon tevékenykedik?

Ezekre lennék kíváncsi: 

chdir
chflags
chmod
chmod_acl
chown
close
closedir
connect
disconnect
disk_free
fchmod
fchmod_acl
fchown
fget_nt_acl
fgetxattr
flistxattr
fremovexattr
fset_nt_acl
fsetxattr
fstat
fsync
ftruncate
get_nt_acl
get_quota
get_shadow_copy_data
getlock
getwd
getxattr
kernel_flock
link
linux_setlease
listxattr
lock
lseek
lstat
mkdir
mknod
open
opendir
pread
pwrite
read
readdir
readlink
realpath
removexattr
rename
rewinddir
rmdir
seekdir
sendfile
set_nt_acl
set_quota
setxattr
stat
statvfs
symlink
sys_acl_delete_def_file
sys_acl_get_fd
sys_acl_get_file
sys_acl_set_fd
sys_acl_set_file
telldir
unlink
utime
write

Egy példa az smb.conf fájlba: 


[audit-test]
	path = /test
	vfs objects = full_audit
	full_audit:prefix = %u|%I|%m|%S
	full_audit:success = chdir chflags chmod chmod_acl chown close closedir connect disconnect disk_free fchmod fchmod_acl fchown fget_nt_acl fgetxattr flistxattr fremovexattr fset_nt_acl fsetxattr fstat fsync ftruncate get_nt_acl get_quota get_shadow_copy_data getlock getwd getxattr kernel_flock link linux_setlease listxattr lock lseek lstat mkdir mknod open opendir pread pwrite read readdir readlink realpath removexattr rename rewinddir rmdir seekdir sendfile set_nt_acl set_quota setxattr stat statvfs symlink sys_acl_delete_def_file sys_acl_get_fd sys_acl_get_file sys_acl_set_fd sys_acl_set_file telldir unlink utime write
        full_audit:failure = none
	full_audit:facility = LOCAL7
	full_audit:priority = notice

Köszönöm

( hanzo v | 2015. 01. 30., p – 22:31 )

Jelentes az Obudai Egyetemrol:
ESXI virtualis win7, webroot es MSE komboval, nem engedte elterjedni a virust, hetfon kaptam egy peldanyt es felmasoltam szepen ide.
Kibontottam a .cab fajlt es megnyitottam worpaddal a benne levo fajlt, de semmi nem tortent, majd most neztem ra ujra es eltunk a fajl, ujra kibontottam es Microsoft Secureity Essential szolt hogy fertozes es legyalulta.... LOL :D
Igaz elso korbe a webroot fogta meg.......
Erdekes.....

--
http://szolarenergia.hu - A hálózat építést csak elkezdeni lehet, befejezni nem....

sejtettem. ez viszont jó, mert akkor a gépen lévő másolatokat be lehet védeni egy batchelt átnevezéssel. időigényes de valamit valamiért.
egy ismim is benyelte, kiemelt felhasználóként, vállalati környezetben win7 syamntec antivir egy szót se szólt amikor elindította a doksit.
de neki nem kezdett el azonnal dolgozni a futtatás után, hanem csak amikor másnap reggel bekapcsolta a gépet. de akkor aztán kódolt amihez hozzáfért.

Ha ez védelem, nem is kell hozzá átnevezés, mert van néhány szabály amit figyelembe vesz titkosításkor, pl ha a file Decrypt-All névre kezdődik (mint a saját txt-je) akkor azt nem titkosítja, ugyanígy létrehoztam egy "temp" és egy "Comodo Downloader" nevű mappát az asztalon és az abba helyezett mappákat/fájlokat se titkosította el. Persze lehet az új verziókból ez majd eltűnik.

A memória dump-ból ez látszik (és az is milyen kiterjesztéseket titkosítgat):
http://i.imgur.com/7eIr1gH.png

Ide csak exe-t küldtek a lengyel testvérek.

Cant decompress => who cares banned 


Feb  3 10:43:46 phoenix amavis[5883]: (05883-05) (!)do_unzip: p003, unsupported compr. method: 9
Feb  3 10:43:46 phoenix amavis[5883]: (05883-05) Blocked BANNED (INFORMACJE O PRZESY\303\205\302\201CE.doc.exe,UNDECIPHERABLE

De egyébként MSE úgyse lehetett ott volna, lehet azért került (vagy mert egy hétre a vírusra frissül a definíció) 

Korlátozások. A szoftver nem futtatható kormányzati vagy oktatási intézmények tulajdonában lévő készülékeken

---
"Accordo Ltd. works inside Microsoft..." is an independent global provider of software licensing expertise.

Itt postfix->amavis lánc van (lehet ezért nincs hozzá Exchange cal ?), már az amavisnál elvérzik a tiltott kiterjesztés miatt, akkor is ha tömörített állományban van ,akár ki tudja tömöríteni akár nem (így el se jutt a clamav-ig).
Ennek ellenére a docx-es verzió engem is érdekelne, mert sajnos azt még luxus tiltani, pedig ha rajtam múlna...

---
"Accordo Ltd. works inside Microsoft..." is an independent global provider of software licensing expertise.

[off]
Itt Kicserélőközpont sincs, igazából szerintem nem is tudnám beállítani , de jobb ez így legalábbis amíg Richard Stallman nem "érdeklődik" Linus nevében, hogy számoljak be használati szokásaimról meg sem kötött szerződésekre hivatkozva, elég stresszes munkakör ez anélkül is.
[on]

Kerheted. Nem azt mondtam, hogy nem esik be, a webroot nem a zimbrat vedi ;)
Amugy minden nap mas es mas verzioba jelenik meg ez a szar, tehat minden ellen valszeg ez se ved, de amit eddig kaptam azt megfogta :)

Hanzo

--
http://szolarenergia.hu - A hálózat építést csak elkezdeni lehet, befejezni nem....

( zitev v | 2015. 02. 05., cs – 12:22 )

Ma beköszönt hozzánk is, valószínűleg tegnap jött emailes csatolmánnyal, friss SEP és MBAM nem fogta meg, csak a fertőzött gépen futtatott MBAM találta meg.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Itt is járt, egyik freemailes kollega ellenőrizte, hogy kompatibilis-e a rendszerrel, aztán tájékoztatott, hogy megfelelően működik ("valami számol visszafelé a képernyőn"), úgyhogy tölthettem vissza a dokumentumait a reggeli mentésből. Lehet le kellene íratni vagy százszor, hogy "nem nyitok meg idegen nyelvű mellékletet tartalmazó levelet", vagy egyszerűen mellőzni a magán emailt munkahelyen.

Mi az, hogy megszabod mit csináljon és mit nem a SAJÁT (céges) gépén??? Na meg hogy nem tud majd telepíteni, mert visszaveszed a jogokat??? Miért ne szánthatna amikor a másik cigizik kint? Neki ne szabja meg senki hogy mit csinál. Ő eddig is kattintgatott és semmi baj nem volt. Biztos te rontottál el valamit, csak rá akarod kenni.
Hogy a youtube és facebook-ot tiltanád??? Hát neki ahhoz joga van!

a júzertudat fura egy valami. úgy megtudják magyarázni hogy mire van szükségük és joguk.
egyszer megállt a szerver (4-5fős fájlszerver túró raid elpukkkant tükörben) mert a júzerek oda pakoltak minden hüyeségüket mp3,avi,stb. telepítgettek mindent észnélkül, hetente reinstall, meg buherálás miért fagy,stbstb. meló meg áll ugye. mer xar a gép. ez ment pár hónapig.
nem volt gazdája az egész "rendszernek". volt olyan hogy msn-en adtak át egymásnak fájlokat, mert a hálózatot úgy elpiszkálták hogy nem fértek hozzá egymás gépéhez, a spanyol nyelvű printer driverről nem is beszélve!:D
szépen felírtam hogy hány óra leállás volt és kezébenyomtam az ügyvezetőnek hogy ezért áll a meló.
mert ugye mindíg az volt a kifogás hogy xarok a gépek. ergo a rendszergazda a barom. mondtam hogy 1 hónapig legyen az amit én találtam ki. oké.
volt pislogás amikor másnap reggel se net,se usb, rendszergazdai jog nuku. az ment amivel kellett dolgozni kész. netre nincs szükség a munkavégzésetekhez, ott egy egy gép azon lehet netezni ebédidőben, osszátok be.
persze ez maradt évekig, csak akkor volt leállás ha megdöglött vmi hardver.

utólag is lehet dádázni, pláne ha szerződésbe beleírnak még ezt-azt. szabályzat megszegése = szándékos károkozás btk akármiszerint.
volt olyan aki azt mondta hogy ő nem írja alá így, mert blablalba. mondtuk hogy akkor viszontlátásra. kövi!

nekem az usa állásfelvételi egyik kérdése tetszett, amivel kiszűrik az alkeszokat:
- fogyaszt-e ön alkoholt délelőtt?
egy igen itt 100 pontot ér, 150 pontos tesztnél!:D

Nálunk is így van, igen kevés gondot okoz a mindennapokban adminisztrációs szempontból a felhasználók meg elégedettek, de itt relatív civilizáltan viselkednek.
A közeljövőben jön egy tulajdonosváltás, a feje tetejére áll az IT is, utána valószínű lockdown politika jön. Nagyot fognak csodálkozni...

Iskolában teljes lockdown van, mert ahogy beszabadulnak megjelennek az ilyen-olyan toolbar-ok meg egyéb programok.

( Louie | 2015. 02. 06., p – 15:47 )

Sziasztok!

A FireEye és a FOX IT létrehozott egy oldalt, ahol ha megadjátok az e-mail címeteket, és feltöltetek egy max. 16MB méretű fájlt amit a Cryptolocker letitkosított. Ezt megpróbálják visszafejteni, ha sikerül, akkor kapsz egy master key-t, le kell szedni egy programot, és elvileg vissza lehet fejteni az összes fájlt.
Remélem tudtam segíteni!

https://www.decryptcryptolocker.com/

------------------------
apt-get install aptitude

( cse | 2015. 02. 06., p – 16:47 )

Gmail, Hotmail levelező rendszeren keresztül is be lehet sz.pni ezt a vírust?

( Szenti v | 2015. 02. 06., p – 17:48 )

Egy újabb verzióban a csatolt zip fájl megegyezik a címzett e-mail címével. pl.: valaki@ citromail.hu.zip. Ebben a zip fájlban van egy másik zip fájl, august_jannson_advertising.zip néven, ez egybevág a levél body-jával (lásd lent). Ebben a második zipben pedig egy scr fájl van: august_jannson_advertising.scr.

Még két megjegyzés:
1. Az eredeti címzettet én módosítottam VALAKI@-ra.
2. A kukac utáni space-eket azért szúrtam be (a fejlécekhez is), hogy ne konvertálja e-mail címmé a fórummotor.

Morning,

===================
August Jannson Advertising
19 River Street, Toronto, ON M5A 3P1

CANADA
416-313-9857

Return-Path: <pulsed@ nevarsa.com>
Delivered-To: VALAKI@ citromail.hu
Received: (qmail 29105 invoked by uid 89); 4 Feb 2015 13:44:03 -0000
X-Envelope-From: pulsed@ nevarsa.com
Received: from unknown (HELO server29.citromail.hu) (91.83.45.29)
by 0 with SMTP; 4 Feb 2015 13:44:03 -0000
Received: from cadservices.com ([88.6.213.11])
by server29.citromail.hu with mfiltro
id oDjr1p01J0FK1io01DjtV1; Wed, 04 Feb 2015 14:43:59 +0100
X-Spam-Status-Medium: Yes
X-Spam-Score: 300.00
X-Originating-IP: 88.6.213.11
Message-ID: <4mzd73a88mth@nevarsa.com>
Date: Wed, 04 Feb 2015 14:43:58 +0100
From: "Jin Claassen" <pulsed@nevarsa.com>
X-Mailer: Trapes v2.67
MIME-Version: 1.0
To: VALAKI@ citromail.hu
Subject: august jannson advertising
Content-Type: multipart/mixed;
boundary="----------------------39A48ECF2DE8C9FF18-b1pebohub9pa"
X-Mtrac: passed

( bocs | 2015. 02. 06., p – 22:02 )

Ma szedtem le ismerősnél CTB Lockert, 4 BTC (250 eFt) kifizetése után.
Az átutalás után gyak. azonnal letölthetővé vált egy visszaállító EXE és a hozzátartozó privát kulcs.
Érdekes, hogy mintha a kulcs az EXE-be bel lenne kódolva (nem is kellett megadni).

A legtöbb időt a BTC beszerzése vett igénybe, utána a Tor böngészős rész villámgyors volt.

rohadjanak meg...

Többször elindítottam az EXE-t, minden alkalommal magától kiírta a privát kulcsot, amivel majd nekiáll feloldani a titkosítást.

A privát kulcs 32 byte-os.

Ez a feloldó 50KB-os EXE valószínűleg egyedi, mint ahogy valszeg egyedi a BTC számla is, amire utalni kellett a pénzt (amint megérkezett rá a pénz, azonnal letölthetővé vált a kulcs + az exe).

A felhasználóknak ~5 GB munkájuk és 20GB fényképük volt.
Mentettek rendszeresen külső vinyóra, ami rá volt állandóra kötve ugyanarra a PC-re, így az összes ZIPpel együtt az is titkosított lett.

Pont pár napja beszélgettem erről egy ismerősömmel, akinek az 1 db laptopján van az összes céges adat, dokumentációk, könyvelés, minden + az összes családi fotója is. Ezt a laptopot hordja magával "terepre" is.
Backupja természetesen nincs. Kérdeztem tőle, hogy mit csinálna, ha hirtelen elveszne minden ami a laptopon van (meghibásodik a HDD, ellopják stb.). Erre azt válaszolta, hogy nagy sz*rban lenne, de nem gondolja, hogy ilyesmi előfordulna. Itt feladtam :)

--
DigitalOcean SSD VPS 10$ kredittel(referral url!)

nekem egyszer volt adatvesztésem, c64en, floppy-t gallyra vágta a meleg, megolvadt. több hónapos munkáim tüntek el, kódok, grafikák, compo-ra anyagok. idegbaj.
( jelzem azért hogy 20 éves floppy-kat beolvastam pár hónapja pc-re simán!:D )
azóta dupla,tripla mindenből nem érdekel mi az ára.

melóhelyen mondtam hogy másolat? nincs rá pénz. ok.
egyszer elpukkant a raid vezérlő tükör.elkezdett crc error-t csinálni minden fájlra szépen sorba.
méret jó volt, de ha megnyitottad nem működött a fájl.
elvitték kürthöz. ott volt egy hónapig, semmit nem hoztak vissza belőle. azt mondták hogy ilyet még ők se baxxtak, adjuk már nekik a vinyókat meg a raidvezérlőt.
de azért 2 évente új kocsira azért futotta a vezetőségnek, de ~100k már sok a biztonságra.
én mindenkinek azzal kezdem: külső vinyóra másolatot. azonnal.

( Dolphy | 2015. 02. 07., szo – 21:49 )

word makrós változatát megfogja már a clamav?

( antalze | 2015. 02. 08., v – 06:00 )

Üdvözlök mindenkit!

Még nagyon új vagyok az oldalon, nem vagyok IT szakember, de lassan 20 éve foglalkozom a PC-k lelki világával (s mostanában az Androiddal is kicsit).

Sajnos nemrég egy ismerősöm beleszaladt ebbe a vírusba. Szerencsére egy frissen telepített laptopján nyitott meg egy levelet a spam könyvtárból :D.
Az adatvesztés minimális volt. Gyorsan utána olvastam a dolognak.
Kérdéseim a következők lennének:
- Ha Total Commanderrel csak olvashatóvá teszem a fájlokat, akkor is kódol?
- Ha több felhasználó van a gépen, akkor is mindent kódol?
- Csak e-mailben terjed? vagy esetleg van más változata is?

nem ír felül semmit, mert hozzápakolja a fájlokhoz a saját random kiterjesztését, így azonosítja magát.
p.: fontoskep.jpg.kodolt lesz a fontoskep.jpg-ből.
a biztonsági mentésnél simán berakja ezt az új fájlt és törli a jpg-t.
jobb esetben ugye szól a backup: kicsit sok fájl változott meg. nincs valami baj? pl.: goodsync-nél nekem be van állítva 1% e-felett ordít és persze menti a törölt fájlokat is,stb.

akkor van nagy gáz ha még aktív a vírus és rámászik a biztonsági mentésre. jártak így páran.

én azt javaslom hogy érdemes elgondolkozni egy konténeres biztonsági mentésben, ami egy egyedi fájlformátumban tárol. pl.: comodo backup vagy veracrypt konténer.
vagy marad az egyazegyben mentés de akkor természetesen offline legyen mindíg, csak mentés idejére online. után kikapcs azonnal.

rsyncet nem ismerem. wines gyökér vagyok!:D
goodsync-et megvettem már vagy 5 éve, az nekem mindenre jó.
én szinkronizálok, amit töröl azt menti, vagy ha változik a fájl előző szinkronziálás óta akkor azt lementi előtte időbélyegzősen,egyirányű,kétirányű,felhőbe,ftp,előtte utána futtathatsz parancssorból bármit, stbstb.
iszonyat sokat tud nyócezerér!:D

( tigrincs | 2015. 02. 09., h – 12:20 )

Sziasztok,

Otthoni windowsos kornyezetben ( 8.1 prof ) mit lenne celszeru csinalni, hogy megelozzuk a bajt? ( mentesen kivul de arra is jo lenne egy reszletes otlet mielott a menteseket is felulirja a virus lasd elozo hozzaszolasok )

Szoval olyan otleteket varnek amik segithetnek:

pl kesziteni egy AD group policy-t ( mit tartalmazzon mire kene figyelnem? )

Mentesnel ha inkrementalis akkor az eleg lehet? Vagy mindig uj filet hozzon letre? ( ez eleg helypazarlo :( )

Fileokat valamilyen kontenerben tarolni es olyan kiterjesztest hasznalni hozza amit a CBT nem ismer? ( mondjuk elobb utobb lehet mindent kodolni fog )

pl kesziteni egy AD group policy-t ( mit tartalmazzon mire kene figyelnem? )

Az összes verzió amit eddig láttam, a felhasználó Temp könyvtárába kezdte pályafutását, de gondolom, ha onnan tiltod a futtatást azt egy-két installer is rossz néven fogja venni.

Mentesnel ha inkrementalis akkor az eleg lehet? Vagy mindig uj filet hozzon letre? ( ez eleg helypazarlo :( )

Szerintem elég az inkrementális, hiszem a titkosított fájl neve el fog térni az eredetitől, így nem írodik felül (persze csak ha a fertőzött kliens nem éri el felcsatolva a backup-ot is)

Fileokat valamilyen kontenerben tarolni es olyan kiterjesztest hasznalni hozza amit a CBT nem ismer? ( mondjuk elobb utobb lehet mindent kodolni fog )

Amit láttam, bár az "ötzászlós"-t még nem próbáltam, ha lesz időm ma megnézem, néhány könyvtárat (Temp, Comodo Downloader), azokat a fájlokat melyek neve Decrypt-All-ra kezdődik (el ne titkosítsa véletlen az utasításait :)) illetve szerintem a tmp kiterjesztésüeket is egyszerűen kihagyja. Illetve ha megtalálja a "konfigfájlát" akkor egyszerűen feldobja az ablakot (hiszen azt hiszi, hogy a gép már fertőzött)

( madar | 2015. 02. 09., h – 13:14 )

Sziasztok!

Egyik ismerős keresett meg, hogy az összes doc, jpg, pdf és haszonló fájlját titkosította a vírus. A trójait leírtották, de a fájlokra szüksége lenne. Gondolom az egyetlen mód, ha fizet, de mivel leírtották (elvileg karanténba rakták csak) a dolgokat, így nem tudom hogy kinél lehetne fizetni. Van valakinek ötlete, hogy hogy lehetne ezt kideríteni?
Amit leírtottak, az Kryptik.cxjy névre hallgat. A titkosított fájlok mögé pedig egy .vranvah kiterjesztés került.

madar

CTB Locker esetén:
az össze mappába, ahol valamit átírt, letesz egy új TXT és egy új BMP fájlt. A BMP-t feltette asztal háttérnek is.

Ezekben a fájlokban bent van
- egy "publikus kulcs" névre hallgató egyedi számsorozat, és
- felhasználói utasítás, hogy melyik TOR-os weboldalt kell felkeresni, oda be kell másolni a fenti publikus kulcsot

Ekkor megjelenik egy egyedi weboldal, egyedi Bitcoin pénztárca címmel.
A pénztárcába kell utalni a megadott pénzt, és befrissíteni az oldalt.
Ha észleli, hogy megérkezett oda a kívánt összeg, akkor egy másik weboldal jelenik meg, ahonnan letölthető egy privát kulcs (nekünk éppen nem kellett semmire) és egy kisméretű kibontó EXE.

A kibontó EXE admin módban indítva (vírusirtók kikapcsolva) végigmegy az összes elérhető lemezen, hálózati meghajtón stb. és kibontja az az elkódolt fájlokat.
Többször is futtatható.

( Mauddip | 2015. 02. 09., h – 13:25 )

Sziasztok. :)
Már kb. jenuár vége óta nyomon követem itt a hozzászólásokat. Nagybátyám akkor kapta valakitől ezt a vírust, és neki is ilyen 170~ k Ft körüli összeget kértek, viszont neki ennyit nem ért meg a dolog, így úgy gondoltuk, vesz egy másik winyót, ezt pedig elrakjuk addig, míg lesz rá megoldás, hogy normálisan vissza lehessen fejteni.

A kérdésem: hogy tudnánk esetleg úgy nézegetni a dolgokat rajta, h pl egy másik gépet ne fertőzzön meg? (Egy régi windowsos boot dvd-vel már próbáltam, de oda kb nem lehet a mostani programok közül telepíteni semmit, amivel esetleg leszedném a rajta levő vírust.)

Milyen mód az, ami ajánlott a vírus teljes kiírtására úgy, h más gépet ne fertőzzön meg?

A jelenlegi adataimat vajon hogy érdemes úgy "menteni" valahova, hogy a vírus ne tudjon bennük kárt tenni? Gondoltam már kiírogatni dvd-re, de kb 20 évnyi kép+videó és egyéb fájlok vannak rajta, ami kb 3-400giga.

Köszönöm előre is, üdv :)

Kimásolni 2 külső lemezre, azokat cserélgetni. Ami nagyon fontos az mehet dvd-re is, pár hónaponként.

Backup biztonságán javíthat az, ha más oprendszer alól végzed és ha az eredményt is megnézed. Kódolás után nagyon nagy mennyiségű adatot fog mozgatni, ez inkrementális mentés használata esetén azonnal feltűnik.

Igazából 3 winyó van a gépembe, mindegyiken rajta van ez a 3-400 giga, jelenleg 2-t kihúztam, és persze én okosan netezek, nem szoktam mindenféle hülyeségre rákattintani, csak hát szoktam néha programokat/filmeket vinni nagybátyámékhoz. Így aztán szeretném azt is elkerülni, h esetleg pendrive-on hozzam el tőlük, ha ismét bekapnak valami vírust.
Amúgy meg az Enigma kódot is feltörték :), biztos lesz majd rá megoldás, ha már ennyien foglalkoznak vele a világon! ;)

Szerk.: Amúgy Eset Smart Security-t használok, ennél van valami lehetőség arra, h ezt figyelje? Hogy esetleg sok fájl van egyszerre mozgatva?

Hjam feltortek a VH alatt mert butan hasznaltak de nem azert mert az algoritmus amit hasznaltak akkor gyenge lett volna. Szoval attol hogy valahol majd azt hallod hogy visszafejtettek egy CBT-t attol a te vinyodon levo adat meg nem lesz elerheto.
Van olyan enigma kod ( amit normalisan hasznaltak ahogy kellett volna vegig es akkor szoporoller lett volna a lengyel/angol tudoscsoportnak ) amit csak laza 72 even keresztul egeszen 2013 januarjaig nem tudtak megfejteni. Szoval hajra bizva bizzal :D

írt valaki egy olyat hogy usb-n kódol elsőnek. nagy pendrive kismillió jpg vagy egy régi usb ide-s vinyó ami alig működik már rendesen telepakolva szintén kismilla jpg-vel. ha recseg ropog akkor vírus.
akik bekapták azt mondták hogy indokolatlanul lassú volt a gép. elvileg ha beállítasz egy jelzést hogy ha melegszik a proci vagy a vinyó akkor szóljon.
elvileg.

"vesz egy másik winyót, ezt pedig elrakjuk addig, míg lesz rá megoldás, hogy normálisan vissza lehessen fejteni"

Ha ez CTB akkor arra az eletedben mar nem fog sor kerulni tobb mint valoszinuleg...

Abban is felesleges remenykedni, hogy egyszer elkapjak oket ugy, hogy meglesznek a hatarido lejarta utan a kulcsok.

Eleg jol felepitett rendszernek tunik amiben dolgoznak meglepodnek ha a kulcsokat nem torolnek a hatarido lejarta utan vagy valahol mashol orizgetnek megkockaztatva azt hogy azokat mas ellopja/letoltse.

( an-dee | 2015. 02. 09., h – 15:12 )

Sziasztok

Azoktól kérdezném akik sajnos pórul jártak:
- ez ugyan az ami egyébként a Synology termékeket is támadta?
- csak a mountolt, tehát meghajtóként látható távoli eléréseket támadja a lokális mellett, vagy bármit ami a helyi hálózaton tallózható
- adott egy NAS ami elérhető userek által, viszont a NAS-on lévő adatokat egy másik NAS-ra rsync-kel töltöm át, heti 1x, a felhasználók nem érik el a második NAS-t, csak az admin (jelenleg még azonos a jelszó, de a dokumentáció elkészültével változni fog, tehát tallózva sem lesz elérhető a második mentési helyszín)
- mi a helyzet a cloud-os dolgokkal? Copy, Dropbox és társai? feltételezem, mivel a helyi file-t támadja a rendszer, a cloud progik autómatikusan feltöltik a fertőzött file-t felülírva az ott lévő.
- egyelőre úgy látom win specifikus a dolog, mi a helyzet linux (pl ubuntu) és macos szinten?

a válaszokat előre is köszönöm
üdv

A fenti alapján összeütöttem egy scriptet (http://test.gw4.us/), igazából nem segít, de a GUID alapján megmondja, hogy milyen néven fog lefutni a CTB a gépen és milyen állományba fogja pakolni a HiddenInfo-t, sajnos a dekódolása nem sikerült, ha a 0x027e megyek visszafele 32 byteonként nem is és post a fájl elejére. Pedig az igazi az lenne, ha sikerülne legenerálni azt is.

Én eddig "All Users\Application Data" alatt random közvetlen almappa, illetve a "fertőzött user\Application Data" közvetlen almappájába találkoztam vele szerintem ide akkor pakol ha nem az elsőbe tud írni. De nem elég létrehozni mert mint fent a cikk is írja ellenőrzi ép-e, azaz dekódolja és ellenőrzi a checksumot.

Az Application Data-n belül csak a configot tárolja, végre sikerült decrypt/recrypt-elni a konfigját, így átírtam a scriptet (http://test.gw4.us/) így már le lehet tölteni egy generált a konfigfájlt (ha valaki tesztelgeti, nekem virtuális gépbe át is veri azt a 3 verziót ami van, de gari nincs rá :)).

Kipróbáltam, max protection-nel (a béta nélkül), valószínűleg azt megakadályozza, hogy letörölje a shadow copy-t de a CTB vígan elindult.

Egyébként elég "szoftos" a time up-ja: 


You did not made payments for your files.
Locker will self-delete right now.
All files will remain encrypted and you can lose them forever!
Maybe you need a bit more time to pay?
Read instructions in the Decrypt-All-Files.txt in the Documents folder, it is your LAST CHANCE.

http://i.imgur.com/CzoOAAa.png

Es ha whitelistet keszitenenk?
Nem akarom elhinni hogy egy kiba exe-t nem lehet letiltani win alatt.
Hjam es udvozlom a kedves mamajat billy fiunak hogy az Applocker win8.1-alatt mar csak enterprise verzion elerheto...

johetne valami win guru es elmondhatna hogy gpo-bol hogyan lehet egy adott path-on belul minden exet kitiltani es nem csak specifikusan egy adott exet.
*.exe -el nalam vigan futkarozik tovabb :(

Kíváncsian várom én is, lesz-e válasz... De a "Dokument and Settings" mappát annyi szoftverösszetevő használja, valamint az itt található user/temp mappában folyik az "autoupdate" tevékenység zöme, (naponta futnak a legkülönfélébb futattható állományok, .exe-k, amelyek normális esetben a felhasználók fejében nem is léteznek.) Kétlem, hogy ezeket a folyamatokat az operációs rendszer fejlesztői bármilyen módon is hagynák akadályozni.

Illetve ott a "CryptoPrevent" projekt, ha erre mód lenne a Windows-nál, akkor nekik már elsőre eszükbe jutott volna "GPO"-zni. (Ráadásul alapesetben a GPO olyan gyenge eszköz a Windows-ok világában a restrikcióra, amit az óvodás gyerekek is nap mint nap, akár többször is simán "meghágnak", és majdnem mindegy, hogy ki akarod-e védeni vele vagy nem, a "hátad mögött" folyó pl. "telepítési" tevékenységet.)

Egy "Applocker"-t valamilyen külső biztonsági programfejlesztő cég lefejleszthetne, öröm lenne használni Windows-on (is), az biztos.

( antalze | 2015. 02. 09., h – 17:22 )

Kérdés: Total Commanderrel kötegelt átnevezéssel megvédhetők a fájlok? Mondjuk a nap, mint nap használatban lévők.
Most olvasom más fórumon, hogy nem csak e-mailben terjed, erről tudtok valamit?

( madar | 2015. 02. 10., k – 15:46 )

Sziasztok!

Az ügyfél nálam is úgy döntött, hogy fizet, így megírom a helyreállítás történetet, hátha segít azoknak, akiknek a hálózati meghajtóról nem sikerült visszaállítani.
Ebben az esetben egy külső merevlemezen és a C meghajtón történtek a titkosítások. Minden titkosított állomány kapott egy vranhah kiterjesztést. A dokumentumok mappába került egy !Decrypt-All-Files-vranhah.txt és bmp.
Tor-on a http://fizxfsi3cad3kn7v.onion/ címre kellett menni, a publikus kulcs ez volt:
ATFUE6T-XIA4ANC-WYSD7SP-W6AA2CD-SCF2IGU-CTICUWW-7JFZN43-5OWKZ5U
YRKQ7M4-UTYCKBZ-LBUO6ED-5INUGVX-4G6OCOQ-4BGDYKH-FXX54O7-W6QGX4U
QHSD3OI-CGIIG3P-2BSTGFQ-R3EEG72-LFPFXO7-KIOM5WF-GSPVKX7-ZUMHIIC

1.7 BTC volt a tarifa, a már javasolt https://www.instacoins.eu oldalon vettem a BTC-t, kicsit körülményes kiszámolni a pontos összeget, mert az árfolyam durván ugrál és HUF-ban kell megadni, hogy mennyiért akarunk vásárolni.

Miután megjött a BTC, átutaltam, 15 perc után tényleg ott volt a link a CTB-Unlocker.exe -re és a privát kulcs is ott volt.

Nem mertem rögtön a gépen futtatni a programot, nehogy valami maradék vírus esetleg újra megszivasson, hanem lementettem a titkosított kiterjesztésű fájlokat (a könyvtárstruktúrát meghagyva), majd egy vmware-es windows-ban hálózat nélkül lefuttattam (egy üres d meghajtóra másoltam a fájlokat). Ez sikeresen lefutott és megcsinálta, amit kell.

Amikor a másik meghajtó fájljait másoltam fel és futtattam, akkor viszont nem állított vissza semmit. Nyomtam vmware-ben egy revert to snapshop-ot, majd tiszta lappal futtatva már visszaállította a másik meghajtó fájljait is. Azt tehát elmondhatjuk, hogy a meghajtó betűjel az nem játszik szerepet a titkosításban, tehát ha egy hálózati meghajtó fájljait ezzel a módszerrel felmásoljuk, akkor jó eséllyel menni fog.

mADáR

Tapasztalatom ugyanez volt, csak nekünk drágább volt a tarifa.
Én VirtualBox-ban lévő net kapcsolt nélküli WinXP-n csináltam a visszaállítást. Ha egyszer lefutott utána már nem csinált semmit, hiába lettek akár ugyanazon a meghajtón még titkosított fájlok.

( elod v | 2015. 02. 11., sze – 14:11 )

Na még valaki beszívta. Most nem fizetünk.

nem kell feltetlenul mail linkekre kattintani lehet valami kieg plugin vagy egyeb fertozott file is.
Meg most is hihetetlennek tartom hogy ennyire vacak egy win hogy ezt nem lehet letiltani.

Es mi ujsag a white list keszitessel a meglevo exe fileokon? Akkor hogyan futna le a virus?

> Meg most is hihetetlennek tartom hogy ennyire vacak egy win hogy ezt nem lehet letiltani.

Winen kb. bármit le lehet tiltani, az nem a Windows hibája, hogy a lehetőségeket még minimálisan sem használják ki a rendszergazdák.

In the meantime, néhány threaddel arrébb meg az a baj, hogy miért van egyáltalán whitelist support az IE-ben.

Két igen jó és egyszerű leírást használtam a Software Restriction Policy (SRP) beállításához windowson.
Itt a két link, az egyik doksit az NSA írta :)
Ingyen van és nálam jól működik. (Az SRP-t beállító secpol.msc a Home verziójú windowsokban nincs jelen, de gyakorlatilag csak a registry kulcsokat állítja be, így regedit-tel is megoldható az SRP, csak macerásabb.)

http://www.mechbgon.com/srp/
https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_s…

Lényegében ezzel megoldható (többek között), hogy mezei user ne tudjon futtatni programokat csak a beállított alkönyvtárakból, célszerűen olyan alkönyvtárakból, ahová viszont nincs írási joga.

Illetve a Home verziójú windowsokra is felvarázsolható a Group Policy Editor, amiben megtalálható a Software Restriction Policy rész. Így tehát nem kell mégsem regedit-tel varázsolni ezeknél sem.

Ehhez itt a leírás, telepítőkészlet és magyarázat:

http://www.askvg.com/how-to-enable-group-policy-editor-gpedit-msc-in-wi…

szerkesztve:
Viszont a Home verziójú windowsokon az SRP nem működik a fenti Group Policy Editorral beállítva sem, hanem ott marad egyedül a "Szülői felügyelet" üzemmód beállítása, ami szintén a futtatható programokat korlátozza le durván.

( antalze | 2015. 02. 17., k – 11:32 )

Van valakinek valami új hírre ezzel kapcsolatban? Valami jó hír? Mondjuk egy visszafejtő? :D

Egy verzióra volt eddig olyan tool amivel vissza lehetett fejteni, mintha valami szerverlefoglalások kapcsán kerültek ki kulcsok vagy valamit elszúrtak velük, pontosan nem emlékszem már. Ez tavaly április-május környékén lehetett.

Nem reménykedni kell, hanem tenni ellene valamit (backup és annak a backup-ja).

Hát, az is egy megoldás. Mindenesetre nem szeretnék nálatok dolgozni.

Én annyit csináltam, hogy felhívtam a figyelmüket, hogy újabban olyan állatka terjeng, ami ellen nincs 100%-os védelem, és ugyan eddig is ésszel bántak a gyanús levelekkel, linkekkel, ezután ha lehet, legyenek még gyanakvóbbak.

Megírtam továbbá hogy egy jó mentés akár otthon is hasznos lehet (mint egyelőre az egyetlen(?) valós védelem), ha az otthoni gépük fertőződik meg, vagy a gyerkőcé, asszonyé, szülőké, és linkeltem az általam is használt mentőmegoldást.

De persze igen, lehet fenyegetőzni a kirúgással is.

Nem gondoltam komolyan (kellett volna egy smiley a végére), csak sajna a figyelemfelhívás néha úgy tűnik édeskevés.

Én se tudok jobb megoldást a mentésnél, ugyan sikerült rájönni, hogy számolja a config állományra a crc-t és kis küzdelem után belegenerálni a

ATFUE6T-XIA4ANC-WYSD7SP-W6AA2CD-SCF2IGU-CTICUWW-7JFZN43-5OWKZ5U
YRKQ7M4-UTYCKBZ-LBUO6ED-5INUGVX-4G6OCOQ-4BGDYKH-FXX54O7-W6QGX4U
QHSD3OI-CGIIG3P-2BSTGFQ-R3EEG72-LFPFXO7-KIOM5WF-GSPVKX7-ZUMHIIC

kódot de amikor letitkosítattam vele a virtuális gépet, a hozzá tartozó unlocker nem kódolta ki (szerintem azért mert a fenti kódsor pedig 0x24-től kezdődik, a titkosításhoz használt kulcs pedig talán első 32 byte, a 33. pedig valami állapotjelző lehet (mert, ha 0 akkor titkosít, ha 0x23 azt hiszi már végzett), de ezt a szálat csak úgy lehetne igazolni, ha meglenne az a config ami a fenti kulcshoz tartozott (persze a gép GUID-jával együtt).

( end | 2015. 02. 17., k – 15:10 )

Gondolom a VoodooShield™ Pro változatot említetted. Mennyire "macerás" vele az együtélés? Tapasztalat? "user" módban is korrekten működik? Mit lehet tudni a megbízhatóságáról? És az UAC kikapcsolása? Ja igen, - ha MS Office makró indítja a vírust a doksi megnyitásával egyidejűleg, azt is le tudja majd kezelni? Mi van, ha a vírus hálózaton keresztül éri el az adott gépet és kezdi a titkosítást, tudja blokkolni? Az aktív víruskeresővel hogyan viselik egymást? Végül mennyire aktívan "online"?

Az elv nagyon jónak tűnik, kérdés a felhasználó, jelzés esetén mire fog majd kattintani. A következő vírus variánsok a fejlődésük folyamán, mennyire tudnak majd a működéséhez "alkalmazkodni" és ehhez képest a fejlesztő cég mennyire lesz naprakész a frissítéseivel. (A célirányos használatához, szerintem nem árt a Windows működésének alaposabb ismerete. "1 bit-es" user nem tudom adott esetben jól fog e választani.)

( end | 2015. 02. 17., k – 16:21 )

A "Woodooshield"-hez... A hatásosság kérdésében pozitív jelnek veszem...,

(regisztráltam a "CTB webinar"-ra, és volt a Windows-omon indítva a Citrix webinar modul. - Sikertelen kapcsolat után törölte magát, akárhányszor visszamásoltam. Többször próbálkoztam, nem tudtam a nagy "érdeklődésre" tekintettel kapcsolódni... :-( )

Ki akartam lépni a gépből és az előtte próbaként telepített free "Woodoo" karantint ajánlott: \local\citrix\gotomeeting\2185\g2mupdate.exe - Trojan/Vilsel.aizv

Én beléptem, linux alól ilyesmi nem gond, nem volt hang, vártam egy 10 percet, közben háttérben cserélgették néha a slideokat, oszt bezártam. Hang nélkül nem volt értelme. Linuxakadémiás srácokat elötte megkérdezhették volna, akkor lehet összehoztak volna egy jól működőt.
Volt, akinél jó volt amúgy?

( tigrincs | 2015. 03. 02., h – 13:43 )

Ez jo lehet majd az uj winben:

Trusted apps will be those that are approved by IT to run and must be authenticated first. Microsoft also hopes to make it easier for users to stay free of malware with Windows 10 by providing the ability to lock down devices, allowing only trusted applications to be installed and executed...

Remelem ez nagyon egyszeruen lesz megoldva es nem lesz megkerulheto.

Ha ez a funkcio mukodni fog 10-en rendesen ( es nem csak az enterprise verzioban lesz elerheto ) akkor mar csak ezert is erdemes lesz valtani. A hatterben lefut ez meg az tipusu virusoknak ezzel vege lesz majd igy a CTB/crypto szaroknak is.

Mivel nincs 100% -os virusirto ezert egy nagy cegnel elofordulhat hogy valaki megnyit egy csatolmanyt. Magyar usernek egyertelmu lehet hogy egy angol nyelvu fax az tuti virus. De peldaul nalunk ahol mailben jonnek scannelve a faxok/szamlak es naponta nezegetnek tobb ezer ilyet siman becsuszhat. Na most ekkor jobb ha le lehet tiltani ilyeneket egyszeruen. Mit tanitgassak a juzernek ne dolgozzal hanem nyomozzal minden egyes mailt? Es megegyszer nem a viagras meg penisznovelos mailekre gondolok. A legtobb CTB faxnak alcazva jott be...

Cégeknél, önkormányzatoknál legtöbbször ott kezdődik a probléma, hogy a (lopott) windows szerveren van egy megosztott mappa és abba dobálja mindenki a lomjait. Természetesen jelszó nélküli még a megosztás is.
Amikor ezt elkezded elmagyarázni valakinek, hogy ez miért nem jó, akkor azt hiszi, hogy egész egyszerűen csak le akarod húzni, hisz nekik ez így jól működik... szerinte.
Nem érti, vagy nem is akarja érteni, hogy milyen gond lehet belőle.
Jó ha 10-ből 1 helyen megértik és tenni akarnak ellene.

Természetesen nem attól lesz CTB-s, mert lopott a windows, de ez jól mutatja a hozzáállást.

az első ctb-s fórum elolvasása után tájékoztattam az egyik ügyfelet a nála működő rendszer sebezhetőségéről és a vírus - a rendszerére gyakorlott lehetséges veszélyeiről, a védekezés módjairól, figyelendő dolgokról. két hét múlva végigsöpört a cégen a vírus - már amikor reggel hívtak, sejtettem hogy valami ilyesmi van!

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Én is szóltam mindenkinek, az ennek ellenére a kollegának simán sikerült megnyitni, itt a legfőbb ok az volt, hogy otthon nem nyilt meg a freemail, szerencsére a tipikus "ami nincs az asztalon, nem is létezik" user volt, így a hálózati megosztás csak shortcutként volt az asztalán és nem felcsatolva meghajtóként. (damage migligation at its best :P) Bár ha véletlenül végigkúszik a samba megosztáson is akkor is, legrosszabb esetben fél nappal előtti backup megy vissza mentésből.

Igen, elofordulhat. Az a kb. tiz ceg, akivel en talalkoztam,
- nem szokott faxot kapni
- 99%-ban csak maygar nyelvu levelet kap.

Szoval nyilvan lehet, hoyg egy cegnel a levelek nagy resze angol nyelvu fax-ertesito, de nem ez a jellemzo.
Legalabbis a KKV szektorban.

Egy nagy cegnel meg legyen mar arra megoldas, hogy egymastol elszeparaljak az userek dolgait, keszuljon backup es hasonlok.

Szoval fenntartom, hogy nagyreszt az useren mulik, mert ha tudja, hoyg nem szokott mittomen honnan faxokat kapni, akkor mar ne legyen olyan kivancsi, hogy csakazertis megnezi.

--
http://www.micros~1
Rekurzió: lásd rekurzió.

Nalunk bejott a dolog, es sajnos pont egy olyan KKV, ahol nagyon sok fax ertesito jon be (egy majdnem alaptelepitesu HylaFax fogadja a faxokat es tovabbitja oket), szoval ha nem is jellemzo, letezo problema. Es azoknak, akik beszivjak az ilyet, nem vigasz, hogy "nem jellemzo". Az a legfontosabb, hogy ne altalanossagban oktassuk a felhasznalokat, hanem mindig az adott kornyezet ismerete mellett, mert ez segiti a legjobban a prevenciot.
--
Blog | @hron84
Üzemeltető macik

Hat mi meg kapunk minden nyelven faxokat a magyartol a kelta rovasirasig.
Scannelve jon tobb ezer szamla naponta a vilag minden orszagabol akikkel van uzleti kapcsolatunk.

Ettol fuggetlenul hogy van szerver oldali backup plusz van a desktop gepeknek is backupja a felhobe ( verziokovetessel ) azert nem feltetlenul ugralunk az oromtol ha a felhasznalo vegigszantja mondjuk a shared driveokat egy ilyennel.

Group policybol most eleg jol le lett tiltva minden de az ordog nem alszik. Az uzemeltetes most a homokozoban kiserletezik mikor mi tortenik. ( Vannak meg nalunk is kiveteles userek local adminkent egyes orszagokban barmennyire is ellene vagyunk. A legtobb helyen ezt sikerult kivaltani privilege guard hasznalataval )

Sziasztok!

Van egy pár pen drive, ami kapcsolódott egy olyan géphez amin Cryptowall 3.0 volt fent nem tudom a fileok fertőzöttek-e vagy sem.
Arra gondoltam mivel csak Windows alapú rendszerem van hogy egy live Ubuntu Live CD bebootolok és azon keresztül nézem meg melyik pen drive mit tartalmaz.
Ilyen esetben is van esély, hogy fertőződik a Windows rendszer?
Köszönöm előre a válaszokat!

( szalacsi10 | 2015. 06. 01., h – 16:25 )

Sziasztok! Sajnos én is beleszaladtam ebbe a genszter vírusba. Sajnos én technikailag teljesen analfabéta vagyok ehhez az egészhez, ezért szeretnék egy kis segítséget kérni:

1. Mennyi idő áll a rendelkezésemre hogy befizessem a "váltságdíjat"? (A vírus 2015. május 26-án kódolta le a fájlokat. Ma június 1-je van, tehát 5 nap telt el azóta.)

2. Mi a garancia rá hogy tényleg megkapom a fájlokat? Összesen 3 BTC-t (kb. 200E ft-ot) kér tőlem a rohadék! Sajnos nekem egyrészről nincs ennyi pénzem, másrészről ha lenne sem lennék biztos benne, hogy ki merném fizetni, mert lehet hogy nem is kapnék cserébe semmit.

3. Tegyük fel hogy hogy megveszem a 3 BTC-t. Hogyan tudom ezt megtenni? (Nem mintha nagyon ragaszkodnék ehhez a lehetőséghez, csak ha már minden kötél szakad.)

4. Azt hallottam hogy van lehetőség a fájlok visszaállítására abban az esetben ha létezik egy kódolatlan állomány ugyanazokról a fájlokról. Nos nekem van egy kb. 24 GB-i (kb 100E fájl - képek videók, dokumentumok stb.) mentésem ezekből a fájlokból. Néztem a neten oldalakat, ahol "adatmentéssel" foglalkoznak. Itt van egy: http://www.apostol.hu/datarestore_.php Már beszéltem velük, azt mondák elvileg lehetséges és már csináltak is ilyet. 4-ből 2-nek sikerült. Most az a kérdésem, hogy ez mennyire felel meg a valóságnak? Valaki meg tudná ezt erősíteni?

Ha a 4. lehetőség tényleg működhet, akkor mindenképp szeretném azt választani. Inkább kifizetem azt a pénzt, amit elkérnek az adatmentésért minthogy ezeket a sz**háziakat támogassam 200k-val.
A sors iróniája hogy pont egy héttel azelőtt rendeltem meg egy 2TB-s USB merevlemezt (kb. ennyi adatom szállt el) és egy nappal azelőtt kaptam be ezt a vírust, hogy a tárolót kézhez kaptam volna. -.-"

A Kaspersky megszerzett pár kulcsot, amivel egypár CTB variáns által elkódolt adatot vissza tudnak állítani. Azaz vagy mész vele valamire, vagy nem, de az biztos.

http://www.engadget.com/2015/04/14/kaspersky-releases-decryption-tool-t…

Mondjuk ezzel tennék egy próbát, gondolom ezen is rajta van: http://support.kaspersky.com/4131

( akoska00 | 2015. 06. 02., k – 14:08 )

Sziasztok! A fertőzés után mennyivel jelentkezik a zsaroló képernyő?

Komolyan amint eltitkosít mindent. Legalábbis, sandboxba akkor dobta fel az ablakot. Átlag irodai PC-n nem tudom (gondolom, függ, hogy van-e felcsatolva hálózati meghajtó), Windows 7 Pro szűz XP Mode-ján kb. 1 perc alatt lefutott (igazából attól függ hány állomány van amit el kell titkosítani)

elkezdi veszett mód használni a vinyót és a procit.magyarán belassul a géped mint a dög.
elsőnek usb-n keres, tehát ha rádugsz egy régi vinyót csurig pakolva jpeg-el, akkor ha az elkezd kerregni akkor van vmi!:D
volt akinek nem csinált semmit egyből, csak amikor újra indította a gépet, akkor kezdett el tekerni.

Nezd at a dokumentumait, az osszeset, ha talasz dokumentumra hasonlito fajlt, random szoveges kiterjesztessel, akkor mar fut a hatterben.

Ezek a cuccok altalaban nem jelennek meg a feladatkezeloben. szoval tenyleg csak a winyokerreges kell, hogy feltunjon.

Mindenesetre, ha akarcsak a gyanu is felmerul, halokabel kihuz, gep leallit, winyo kivesz, es valami kukagepen lefuttatsz ket-harom virusirtot a winyo tartalman, es imadkozol, hogy nem talalnak semmit. Ha nem talalnak semmit, akkor szalankent atnezitek az osszes mappat, hogy minden dokumentumfajl a helyen van-e. Ez ket oratol ket napig barmennyi lehet, de maskepp nem tudod hatekonyan megfogni.
--
Blog | @hron84
Üzemeltető macik

Ha jól emlékszem Dalexis volt a dropper-e neve http/https-en töltötte le magát a CTB-t pl:

Google cario.tar.gz (titkosítva van úgyhogy ártalmatlan és ennek köszönhetően átcsúszik az AV proxykon :()

Ennek ellenére senki nem akadályozza meg, hogy a következő generáció más dropper-al/direkt essen be.

Meg kéne keresni azt az előadást, elmondták, hogy kiadják a terjesztést, és százalékot fizetnek érte. Szóval dropperből rettenet sok van/lehet/lesz, és se az AV proxy nem ér sokat, mert igen, kódolva jön/jöhet az érdemi vírus, és az url/ip alapú szűrés ("nálam minden tiltva van") se rém sokat, mert ugye számos CDN-t kell engedélyezni hogy a munkához szükséges oldalak működjenek (legalábbis nálunk), és azokat a CDN-eket bárki igénybe veheti.

( szalacsi10 | 2015. 06. 05., p – 07:14 )

Valaki erről tudna valami bővebbet mondani?

http://deletemalware.blogspot.hu/2014/12/how-to-remove-keyholder-virus-…

Ez a vírus nem annyira ismert mint a cryptolocker, de hasonló módon működik. Sajnos az mi gépünket ez a nyomorult vírus fertőzte meg. Olyan durva szinten hogy még a backupok is kódolásra kerültek. Ráadásul 5 BTC-t akar belőlem kisajtolni (kb. 300.000 ft).
Valaki az itt jelenlévők közül találkozott már vele? Hogyan lehetne visszaállítani az adatokat? 2 TB-nyi adatról van szó. Van egy 24 GB-nyi biztonsági mentés ezekből az adatokból. Az alapján vissza lehet állítani a többi fájlt?
Ha valaki tudna segíteni, annak nagyon hálás lennék! Bármilyen megoldás érdekel. Ha akadna olyan itt ember, aki foglalkozott már ilyesmivel és mondjuk vissza tudná hozni a kódolt adatokat, akkor az méltóképp tudnám honorálni.

( kiskakas | 2015. 06. 08., h – 12:41 )

hi,

rokon gépe is megnyerte a lockert, mentesbol a cuccok tobbsege vissza is lett allitva. Viszont nekem nem tiszta, ha vmilyen csoda folytan kikerulnek a "kodok" vagy valamikor a kozeljovoben valaki keszit egy decryptert, akkor elég lesznek az encryptált fileok,vagy kell hozza a konkret rendszer, az adott ctb lockerrel?

( gemnon v | 2015. 11. 02., h – 23:08 )

Ma ezzel támadtak a lengyelek. :P

Unrar-free ment a levesbe (amavison simán átjött miatta), lett helyette unrar (non-free) :(

( buccaneers v | 2017. 01. 28., szo – 22:26 )

Egy ismerős bekapott crypt locker vírust. Itt van nálam a gép.

- Az összes office file-ok, PDF, képek és TXT file-okat betitkosította.
- ZIP, 7z fileokat letörölte.
- Volume Shadow Copy Service -t leállította, azzal kezdte -log-ban láttam.

Külső mobildisk-en voltak a mentések, azokat úgy letörölte, hogy 0-val írta felül, így amikor
visszaállítottam (Recuva, Get Data Back) hexa editorral megnéztem csak 0-t tartalmazott.
Volt google drive-os mentés, de az egy hónapos és nem mindent tartalmaz.

A letitkosított file név az eredeti és egy e-mail cím, hová kell írni a jelszóért. Írtam neki, jött válasz 3000 USD és nincs discount :-) - válaszoltam, hogy nem fizetek , erre "good luck"

Megtaláltam a vírust a memóriában elküldtem Kaspersky-nek, Avira-nak és felraktam virustotal.com -ra, ott 56-ból 18 találta vírusnak.

Kaspersky:
"Thank you for sending a file for analysis to the Anti-Virus Lab. Kaspersky Anti-Virus has scanned files.

No malware detected in files:lsassw86s.exe

We will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days."

Avira:
"The analysis you requested is now complete:

File Result lsassw86s.exe TR/Ransom.ougmh "

További ötlet?