CTB-Locker

 ( 3r1c | 2015. január 21., szerda - 11:41 )

Üdv. Mindenkinek!

A probléma a következő a CTB-Locker kártevő a felcsatolt partíciókon az összes fájlt kódolta. A fájlok így nem nyithatóak meg.

Ismertek-e olyan programot vagy eljárást amivel a fájlokat újra olvashatóvá tudom tenni?

A google által adott találatok kb. az első 15oldalt végigpróbáltam mindent lépésről lépésre, de sikertelenül

Előre is köszönöm a válaszokat.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

http://www.virushirado.hu/hirek_tart.php?id=2285
"Sajnos a víruselemzők szerint a zsaroló hackerek itt is olyan alaposan valósították meg az AES-256 és az RSA-2048 algoritmusok kombinációjára épülő, hálózatos titkosítást, hogy a fájlok visszanyerésére csak más helyen tárolt adatmentésből van mód."

+1

Avagy fizetsz (és reménykedsz, hogy tényleg kititkosítja a fájlokat), vagy visszaállítod a fájlokat backupból.

Sejtettem hogy AES-256 vagy RSA-2048 titkosításról van szó. Akkor ennyit erről.

Köszönöm.

Hát igen, 254 vagy 255 még elmegy, de 256! Az azért már túl kemény.

Ez most a legújabb őrület... sajnos az irodában van egy windows-os gép, amin a kollégák szintén megnyalták eme finomságot hétfőn délután.
(nem mellesleg siet a hup 1 órát)

Hello,

Akkor azt a gépet húzzátok le a hálózatról mert ha van felcsatolva hálózati meghajtó akkor azt is végigkódolja.

Már végigkódolta...

Az szívás, én is ugyan ebben a cipőben járok

Akkor gyűjtsétek a lóvét. Most éppen mennyit kérnek érte? 6 hónapja nálunk is fizetett valaki.

És fizetést követően, újra elérhetőek lettek a fájljai?

Igen, eltartott egy darabig a kikódolás de működött.

nálunk fél órája fut a dekódolás... ami nagyon-nagyon kellett, az már megvan...

Nekem ma sandbox-ban 3 bitcoint kért, és készségesen át is konvertálta az aktuális BTC/USD árfolyamon: 630 USD.

szerk.: mai árfolyam: http://i.imgur.com/orH4zAC.png

Te mázlista... csak 3? Biztos nem volt hálózati meghajtód... :D

Én csak sandboxban vizsgálgatom a cuccot, nem vagyok érintett. :)

Talán ez lehet a megoldás?
http://malwarefixes.com/remove-ctb-locker-virus/
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Volt egy nagyon régi változat amiben ellőttek valamit, azt lehetett kikódolni. A tavaly nyári már nem ment így.

Mi arra jutottunk hogy email-en nyitott meg valamit a felhasználó, szerencsére a shared drive-ra nem volt csatlakoztatva meg arról amúgy is van backup.

Viszont az általam linkelt írás 2015. január 17.-i.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

próbálta valaki?

Hallom, hogy nálunk is felbukkant. A mi szervezeti egységünk szerencsére nem érintett.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Védekezni hogy lehet ez ellen? Megfelelő backup-on és okos email csatolmány nyitogatáson kívül? Víruskergetők, malware progik beengedik?

Védekezni? Első sorban a felhasználók oktatásával, ez a legfontosabb. A második védelmi vonal az Antivirus és az AntiMalware termék. A végső megoldás pedig a Halál. :) Vagyis nem, az a backup... ami legtöbbször csak a szerveren levő anyagokról készül.

Sajna azonban a klienseken is tárolnak a felhasználók sok privát dolgot, amit ez a szutyok pont haza fog tudni vágni. Ilyen az Outlook által használt PST fájl is, erre jó lesz figylni.

szerk: hibajavítások.

Írták már, shadow copy+ elvenni az admin jogot.

Szasztok,

Mi is benyaltuk, pedig vírusírtó, backup, de sajnos benyaltuk. Ráadásul hálózati meghajtón.
Van olyan aki fizetett és kikódolta a cucc?

Érdemes fizetni?

Köszönöm!
Cs

Kérlek, olvass! Ugyanezen topikban van válasz az első kérdésedre: http://hup.hu/node/138183?comments_per_page=9999#comment-1828333

Ez mai BTC/USD áfrolyamon 630 USD, ami 272 Forinttal számolva ~172E HUF. Ennek fényében szerintem meg fogod tudni válaszolni a második kérdésedet magad is.

Szia,

Hát igen, csak lelkisegélynek gondoltam, hátha valaki azóta fizetett.

Úgy néz ki nekünk kell.

Szólok mi lett ha érdekel valakit.

Köszönöm,
Cs

Fizettünk. Meglett minden adat.

Szia,

KÖszönöm,

Ment egy MSG.

Köszönöm!
Cs

Hasonló cipőben járok.

A fizetés után mi volt a dolgok menete?

Szia,

1) Toron keresztül meghívod az oldalt amit mondd a háttérkép,
2) Fizetsz,
3) Eltelik 15 perc KB majd frissíted az oldalt,
4) Megkapod a download linket és a kulcsodat,
5) Backupolod a kulcsodat és az unlocker progit,
6) Rendszergazdaként lefuttatot a progit ( csak úgy engedte ),
7) Vissza kapod a filejaidat,

Amit nekem nem csinált meg a hálózati meghajtót. :(
De ha onnan a filet átszedem lokaba és futtatom a progit megcsinálja,

Ezt hogy lehetne megoldani.

Nálunk nem volt ilyesmi...
A fertőzött gépet először lelőttük, lementettünk mindent, amit még lehetett.

Miután látszott, hogy a fájlok visszanyerésére nincs lehetőség, a tulajdonos úgy döntött, hogy megér egy próbát, fizet.

Visszaindítottuk a fertőzött rendszert, elzárva a többi géptől. Lelogoltuk a kimenő forgalmát, de a TOR miatt annak nem sok jelentősége volt.
Nem volt szükség TOR kliensre, a vírus megoldotta önállóan, csak le kellett lőni minden antivírust, tűzfalat, stb.

Elkezdtük keresni a lehetőséget, honnan lehetne rövid idő alatt beszerezni a szükséges BTC-t.
Az Octarine Labs-os Debreczeni Barnabást találtuk meg, Ő segített a beszerzésben, belföldi banki tranzakcióval.
http://octarine-labs.com/contact/

Ezután egy tiszta gépről átküldtük a BTC-t a megadott pénztárcára.
A blockchain.info-n néztük a BTC sorsát, a visszaigazolást követően tovább dobta egy gyűjtőre, ahová már több hasonló értékű BTC érkezett... aztán tovább nem követtük, már minek.
A gyűjtője:
https://blockchain.info/address/1ALP3hhntCUU3RZn3MM66rsYQ6AKupytwh

Miután sikeresen átdobta magának az egyedi tárcából a gyűjtőjére a BTC-t, rövidesen nekilátott visszaállítani a fájlokat a vírus, ezt ki is írta a kijelzőre.
Miután végzett, kiírta, hogy kész.
Volt szíves adni egy "rescan" gombot is arra az esetre, ha maradt még volna elkent fájl.

Ennyi a sztori.

Volt network meghajtód?

Nekünk az nem állt vissza.....

Nem keres a Hálózati meghajtón.

Nem tudom, hogy kéne rávenni, így viszont elég gáz...

Volt. SAMBA. Arról is lementettünk mindent, majd visszacsatoltuk.
Helyreállította ott is az adatokat.

Sambán nem hajlandó visszaállítani semmit.

Volt jelszava a hálózati meghajtónak?

Talán nem volt és azért tudta?

Sziasztok!

Jelezték többen, hogy megjelent itt az elérhetőségünk ezért gondoltam leírom röviden itt is amit telefonban amúgy is mondanék:

Van egy online váltónk, ahol forintért, forint utalással lehet Bitcoint vásárolni: http://www.instacoins.hu/

Az itt feladott megrendelések munkaidőben 4 órán belül teljesülnek (ez a banki átutalás átfutási ideje). Nincs regisztráció se verifikáció, az egész rendelés 2 perc.

Ezenkívül üzemeltetünk egy Bitcoin ATM-et Budapesten a belvárosban az Anker Klubban. A cím: Anker köz 1-3.

Mi nem vagyunk tárca szolgáltató, így azt érdemes külön csinálni valahol. Én a Hive Wallet-et javaslom (www.hivewallet.com), egyszerű és használható. Van webes, iphone-os és androidos változata is. Javaslom inkább az okostelefonos tárcát, hiszen egy fertőzőtt gépen Bitcoin tárcát tárolni nem túl szerencsés ötlet, mert azt a malware ki tudja könnyen üríteni.

Ha bármi segítség kell itt van az elérhetőségünk: http://octarine-labs.com/contact/

(magával a CTB lockerrel sajnos nem tudunk segíteni, mert nem ismerjük, nincs tapasztalatunk vele. Windows-t sem láttunk kb. 15 éve.)

Javaslom inkább az okostelefonos tárcát, hiszen egy fertőzőtt gépen Bitcoin tárcát tárolni nem túl szerencsés ötlet, mert azt a malware ki tudja könnyen üríteni.

Miért, az okostelefonos tárcát nem?

Offtopic, ezért ment külön helyre: http://hup.hu/node/138619

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

.

Mint bitcoin analfabéta: mi van, ha chargeback-elitek a kifizetett összeget?

-----------
"Pontban 0:00-kor nem nagyon szoktak véletlen dolgok történni"

Hogy mit csinálsz? A bitcoin mögött nincs garanciát vállaló bank, ezért nincs chargeback.

Szintén fingom nincs a BTC működéséről:

A BTC-t valahonnan megveszed, nem? Ha nem magadnak bányászod össze hirtelen a szükséges mennyiséget, akkor gondolom a neten megveszed valakitől, adott esetben bankkátyával. megveszed, befizeted, majd felhívod a bankod a chargeback miatt.

Itt nem is a konkrét működés a kérdés nekem, hanem hogy szabad-e ilyet (jogilag)? Mert a BTC tőzsde viszont legitim (illetve szerintem nem, de nem követ el konkrét bűncselekményt), így ha őket átvered, te leszel a ludas.

> "Ha nem magadnak bányászod össze hirtelen a szükséges mennyiséget"
megnézném, mennyire hirtelen tudnál összebányászni 3 vagy 8 BTC-t...

> "megveszed, befizeted, majd felhívod a bankod a chargeback miatt"
kicsit még olvasgass utána... ;)

> kicsit még olvasgass utána... ;)

Mint írtam is, a BTC működéséről (technikai értelemben) szinte semmit nem tudok, különösebben nem is érdekel egyébként, annyira legalábbis biztos nem, hogy elkezdjek utánaolvasni. :)

nagyon én sem értek hozzá, de amit fent felvázolsz, hát pont azzal ba**ol ki, aki neked segít, hogy lehessen BTC-d.
Mármint Te kártyával valakitől veszel BTC-t, hogy a vírusírótól megvedd az ellenszert.
Kifizeted a vírusírót, majd szólsz a banknak, hogy a "pénzváltótól" húzza vissza a pénzed? WTF?

a BTC-nek egyébként éppen az lenne az értelme - és ezért kéri az illető a fizetséget abban - hogy névtelen, lekövethetetlen pár tranzakció után.

Nem azért írtam, hogy ötleteket adjak, sőt:

> Itt nem is a konkrét működés a kérdés
> így ha [a BTC-tőzsdét] átvered, te leszel a ludas

Akitől a btc-t veszed, azzal gondolom erről kötsz valamilyen megegyezést/szerződést, regisztrálsz nála, akármi. Ezek után csak úgy nem táncolhatsz vissza egy fizetés után, ilyen alapon ingyen vásárolgathatnál bármit a nagyvilágban, hisz úgyis chargebackeed a pénzt a banktól.

Másodszor már nem írom le, lásd eggyel arrébb a válaszomat a hasonló kérdésre. :P

Világos, jogos. Egy darabig olvasgattam utána, de aztán idő/érdeklődés hiányában abbamaradt.

-----------
"Pontban 0:00-kor nem nagyon szoktak véletlen dolgok történni"

Nálunk is ott figyelt a McAfee, mégis bejött.

Mint hozzá nem értő: Miképp lehet elkerülni ezt a kártevőt?

Ha szeretnéd elkerülni a CTB Locker fertőzést, akkor olvasd el és alkalmazd a gyakorlatban az alábbi linken elérhető CryptoLocker “zsaroló-vírus”-ról szóló cikkemben leírtakat!

http://ludman.hu/wp-content/uploads/2015/01/CryptoLockerInfo-Ludman-2015jan21_v3.pdf

Üdv.: LT

Jaj.

Ez a cikk miert csak PDF-ben elerheto? Miert nem posztolod ki rendesen?
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Ritkán beszélek le valakit, ha tudását kívánja bővíteni, de a fenti link elolvasása nem visz előbbre.

Pl. lehet nem használni windows-t...

Nem működik, van Linux alatt futó változat is hozzá, csak nem volt meg a userbase ahoz hogy terjesszék. Ezért lett a SynoLocker.

Linux alatt sem vagy előbbre ha végiggondolod.

De, előrébb vagyok, mert könnyedén megtehetem, hogy nem futtatok random szemetet az internetről olyan jogokkal, amivel kárt lehet okozni. Ezt windowson megcsinálni minimum nehézkes.

> Ezt windowson megcsinálni minimum nehézkes.

Mi-cso-da?

Ugyan mitől lenne nehézkesebb? Az UAC nem dísznek van ott.

Mert az UAC nem oldja meg azt a problémát, hogy a felhasználó által futtatott program ne tudjon hozzáférni a felhasználó saját dolgaihoz. Ez a történet ugye arról szól, hogy a felhasználó a saját cuccait veszti el, ez ellen az UAC semmit nem véd.

> a felhasználó által futtatott program ne tudjon hozzáférni a felhasználó saját dolgaihoz

Ezt milyen oprendszeren lehet megcsinálni _értelmesen_, azaz SOHO környezetben elfogadható módon? Vagy hogy érted?

Kezdetnek Linux alatt például a /home és a /tmp mount opciói közé fel kell venni a noexec-et. Bár mindent ez sem fog meg.

+ /var/tmp
+ Továbbá az udev-nek megmondani, hogy noexec érvényes mindenre, amit automatikusan felcsatol.
+ A hálózati megosztásoknál szintén megoldható a noexec, ha oda kerülne fel egy bináris.
+ Ha böngésző bugon jönne be a mocsok, jó eséllyel elkapja a grsec.

tudsz erről r=1 linux user számára leírást mutatni?

Melyikről?

noexec mount beállításról, és grsec-ről, illetve ha még felmerül hasonló, akkor továbbiakról is szívesen fogadok (szerintem nem vagyok egyedül vele)

Idézet:
noexec mount beállításról

man mount

Q: "r=1 linux user számára leírást mutatni?"
A: "man mount"

FAIL. Sem a kerdest nem sikerult megerteni, sem korrekt valaszt adni ra.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Ezt nem ertem. Mivel irhatott volna tobbet a man oldal egy soranal? Ami raadasul az opcio neveben is benne van.

Mit lehet egy "noexec" opcion ragozni ?

--
http://www.micros~1
Rekurzió: lásd rekurzió.

El lehet pl mondani, hogy milyen ismert mellékhatásai lehetnek, ha olyan helyen használod, ahol első bliccre ugyan jó ötletnek tűnik, a gyakorlatban meg mégesm :)

Legyszives, kerj meg egy angolul tudo nem-informatikust, hogy olvassa el a mount parancs man oldalat, majd mondja el, mirol szolt. Na, annyit ert egy r=1 user a dologbol. A fogalmat nem ismeri, hogy "noexec opcio".
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

A grsec-ről és a többiekről itt olvashatsz egy jó kis összefoglalást: http://hup.hu/node/108217

A mount opciókért man mount, jobbat nem tudok. :)

Ami azt illeti, az 2-3 pontokra engem is erdekelne megoldas. Ami a grsec-et illeti, az bizony amig nem lesz az alap operacios rendszer resze, addig nem tekintheto potencialis vedelemnek. Ami itt szobajon helyette, az az apparmor, az legalabb van ubuntu-ban is, meg opensuse-ban is. Azt viszont nem tudom, hogy azt hogyan kellene beallitani ilyen esetekre.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Valami azt sugja, hogy r=1 user a fentivel meg annyira sem jutott, mint a "man mount"-tal. Legalabbis a "grsec nem jo, apparmor jo, de nem tudom hogyan kell beallitani" nekem kevesebb infot ad, mint a man mount.

--
http://www.micros~1
Rekurzió: lásd rekurzió.

Stop. Legyszives idezd be azt a reszt, ahol azt mondtam, hogy a grsec nem jo. A grsec egy nagyon jo cucc, viszont, es ezt most vastaggal fogom szedni, hogy legyel szives elolvasni nem a desktop disztribuciok alaptelepitesenek a resze. Ez nem a grsec hibaja, egyszeruen egy sajnalatos teny, semmi tobb. Amiben esely van ilyesmi beallitasokat tenni, es desktop disztribuciok alaptelepitesenek resze, az az AppArmor. Nem, ezzel nem azt mondom, hogy az apparmor jo, vagy jobb, mint a grsec. Azt sem, hogy rosszabb. Azt mondom, hogy egy r=1 user elobb fogja tudni AppArmor-ban ezt beallitani, tekintve hogy egyreszt mar fenn van a gepen, masreszt vannak hozza grafikus cuccok, mint grsecurity-ben, ahol ezek egyike sem adott.

Viszont, mivel en a sajat gepemen nem hasznalok AppArmort (sajnos nincs ra lehetosegem), illetve nem tamogatok Linuxot hasznalo r=1 usereket, igy nem tudom elmondani, hogy a grafikus toolokban pontosan hogyan lehet ezt beallitani. Meg konfig szinten is elegge utana kellene olvasnom a pontos metodusnak, de azt konkretan tudom, hogy erre van mod es lehetoseg. Gondolom, hogy a kerdezo (es nem az r=1 user) ez alapjan mar meg fogja tudni keresni a megfelelo grafikus megoldast, amivel eselye van megoldani a problemat. Ha nem banyaszna le szamomra fontos dolgokat az apparmor (van par csomag, ami explicite utkozik az apparmorral), akkor feltennem, es megneznem magam.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

noexec ekvivalens van Windows-on is

ezért nem tudom mire vélni vl posztját:
> Ezt windowson megcsinálni minimum nehézkes.

Persze, nehézkes, de az egyszeri user a büdös életben nem fogja a noexec-t sem használni, úgyhogy Linuxon sem vagyunk semmivel előrébb.

Mutatsz erre peldat, hogy pontosan mire gondolsz?
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Tegyük fel, ez általánosan (*) elterjedtté válik (ez minden homeopátia-érzés ellenére jó lenne), összesen annyi lesz a következmény, hogy elterjednek a szkriptnyelven (nem annyira shell, mint perl, python, php, stb.) írt vírusok, amire viszont az egyáltalán nem hat.

(*) Sajnos ha jobban rémlik, az r=1 felhasználóknak kitalált terjesztések alapértelmezetten nem nagyon szeretik eleve önálló fájlrendszerként kezelni a /home, /tmp, /usr/tmp, /var/tmp területeket.

A /home legtobbszor onallo fajlrendszerkent kezelodig az un. guided partitioning eseten. Legalabbis Ubuntu es OpenSUSE eseten ez igy van (a ket legtobbet hasznalt r=1 FS). A noexec kapcsolot viszont tenyleg manualisan kell beloni.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Linux. Grsecurity megvan?

> ...SOHO környezetben...

Letöltöttem a grsec quickstart doksiját. Az egyszeri user pont addig fogja elolvasni, mint én most: "Configuring the Linux Kernel"

Tehát a válasz: Linux alatt sem lehet egyszerűen és/vagy OOTB megoldani ezt. Ilyen szinten Windows-ra is van megoldás, mert GP-ből letiltod nem-whitelistelt futtatható fájlok elindítását, és megoldódott a probléma.

A gond viszont ott van, hogy jellemzően azok tudják használni a {grsecurity-t|Group policy-t}, akik amúgy is jó eséllyel csinálnak backupot a vackaikról. :)

És, a böngészőt letiltod, vagy nem tiltod? Mert ha nem tiltod, akkor nem csináltál semmit, ha meg letiltod, akkor meg kiegyenesített kaszákkal fognak fellázadni a júzerek :D

A GP a töredékét nem tudja annak, amit a grsecurity.

Mutass egy olyan desktop disztrot, ami alapbol bekapcsolt grsecurity-vel jon. Valamint mutass olyan grafikus feluleteket a grsecurity-hez, amit egy atlagos vagy egy atlagnal kicsit kepzettebb, de nem linux-specialist felhasznalo el tud kezelni.

Utana gyere vissza magyarazni, hogy mennyire jo a grsecurity desktop kornyezetben.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Windows alatt, akár csak aláírt futtatható fájlokat engedsz, mindezt GPO-ból.

Nem flame-et szeretnék: erre Ubuntu/Zentyal alatt milyen lehetőség van?

És ez hogyan fogja megakadályozni a beindított, aláírt fájlok menetközbeni, memóriában történő széthekkelését szoftverbug következtében? Pl. böngésző/flash player/haverjaikban buffer overflow?

Nincs tökéletes védelem, ezt mind tudjuk, kár ismételni. Ellenben a fenti módszer elég sok sz*rt kiszűrne.

Windowson megcsinálni sem nehézkes. Másrésztről az említett SynoLocker esetén pont teljesen mindegy, hogy mit nem futtatsz, mert a Linux alapú Synology NAS eszközöket közvetlenül támadta meg egy biztonsági hibán keresztül, felhasználói beavatkozás nélkül...

ok, de ha nincs synology eszközöm, akkor is veszélyben vagyok? reálisan, nyilván nem fogok ismeretlentől, vagy akár ismerőstől kapott futtatható fájlt csak úgy elindítani, de pl. gmail-en nem is jön át .exe (vagy linux-os futtatható sem, ha jól tudom)

Nem nyitsz meg idegen futtatható fájlokat*, miután telepítetted és konfiguráltad a gépet.

Persze, néha kivételt kell tenni, ebben az esetben:
- szoftver beszerzése csak hivatalos forrásból, amennyire megoldható
- a checksum nem viccből van kitéve a letöltések nagy része mellé
- azt telepítsd/futtasd, amiről tudod, hogy mi, és szükséged van rá

Továbbá, 2015-öt írunk, elég ritka a valódi use case .exe fájlok továbbítására emailben.
- egyik opció, hogy rule-ból kidobni minden emailt, amiben futtatható fájl van, vagy
- ha ismerőstől jön, akkor ellenőrizni, hogy tényleg ő küldte-e, ismeretlentől kuka

További biztonsági pro tippek:
- JavaScript teljes kitiltása, whitelisten azok a honlapok, amikhez muszáj használni
- ha nem kifejezetten szükséges valódi email címet megadni a weben, meltmail.com

Gyakorlatilag egy szóban összefoglalható: ésszel. A vírusirtó már csak hab a tortán.

+1

Én egy helyen üzemeltetek levelezést, ott az amavis helyből minden futtatható fájlt kidob a levelekből.

Viszont a múlt héten a fiam épp megszívott valamit, Steam chat-en a barátja küldött egy linket. Rákattintott, megnézte a weblapot, aztán a worm most már az ő nevében küldte a linket szét az összes barátjának. Meg ellopta a TF2-es tárgyait :-(

Épp tegnapelőtt lepődtem meg hogy Gmail-en keresztül nem lehet futtatható állományt küldeni még arhiválva sem.

Primitív trükkel lehet, kiveszel egy karaktert a kiterjesztésből...

> a checksum nem viccből van kitéve a letöltések nagy része mellé
Ahol nem az eredeti letölthető fájl van, ott gyanítom a checksum sem az eredeti

Hát ja, de akinek egy kis esze van ráereszti a google-t a checksum-ra.

Ehhez mát több ész és tapasztalat kell, mint idegentől, nem várt fax csatolmányt, idegen (scr) kiterjesztést,... megnyitni. Ez utóbbi nálam már kimeríti a szándékos károkozást.

Abszolút igazad van, viszont kósza emailekben és torrent oldalakon szerintem nagyságrendileg több kártevő mozog, mint a néha-néha feltört hivatalos site-okon.

tud valaki kuldeni egy kodolt doc/docx/xls/xlsx filet? anno egy korabbi verziora fejlesztettunk decryptert, megneznem, hatha ezzel is boldogulunk.

Ha segít, olyat is tudok adni, ami megvan kódolatlanul is. ODT is jó, vagy csak DOC?

csak ms office fileok jok, mas formatummal nem foglalkoztunk

Holnap tudok neked küldeni, amilyet csak szeretnél (az eredeti verzióval együtt). Miért nem mindegy a formátum egyébként? Ugyanazon eljárással kódol el minden fájlt, nem?

Árpi, ha ez AES-t használ, akkor te tudod törni az AES-t, vagy hogy van ez?

Mondta hogy volt olyan változat ami csak a file elejét kódolta.

igen, ezek nem szoktak az egesz filet kodolni csak egy reszet. az ms office fileok raadasul iszonyu redundansak, a file nagy resze a maradekbol helyreallithato altalaban.

nyilvan nem tudom torni, de...
kaptam ma par minta filet, azokban vannak ilyen ismetlodesek (neha sok 100 soron at!), valoszinuleg ott, ahol eredetileg 00-ak voltak:

00000980 99 89 8C 13 | 4C 40 98 0D | C4 04 7E EC | 69 1D CC 3C
00000990 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009A0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009B0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009C0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90
000009D0 99 F5 30 A0 | 5A 5A 2B B7 | 27 5E F3 EB | 41 E1 B4 90

ebbol 2 dolog kovetkezik: 256 bites block kodolast hasznal, es legalabbis fileon belul vegig ugyanaz lehet a kulcs.
szerintem ennyibol a dekodolo kulcs (az adott filera legalabb) kitalalhato.

problema azokkal lesz, ahol nem ismerjuk az eredeti tartalmat reszben sem, de azert a gyakoribb tipusoknal (ms office, pdf stb) azert vannak allando reszek mindig.

vagy nem :(

With AES, or any serious encryption algorithm, even if you have the encrypted data (the ciphertext) and the original message (the plaintext), you are no closer to finding the encryption key. This is known as a known-plaintext attack, and AES is resistant to known-plaintext attacks as it should be.

Viszont elég gyanúsank tűnik a mintából, hogy az AES-t (vagy bármi mást) ECB üzemmódban használja. Ez elég ellenjavallt megoldás, mert viszonylag egyszerű dekódolni, a kulcs ismerete nélkül is.

Ha igaz a feltételezés, hogy ott ahol ezt a mintát láttad tényleg csupa 0-k vannak a plaintextben, akkor megpróbálhatod a fájlt végig xor-olni ezzel az ismétlődő mintával. Hátha valami érdekes dolog jön ki... szerencsés esetben akár a teljes plaintext. :)
---
Régóta vágyok én, az androidok mezonkincsére már!

na ne viccelj

Most mondjam azt, hogy volt dolgom olyan implementációval, ahol ez így frankón tényleg működött?! Én sem akartam elsőre elhinni... A leírtnál annyival volt bonyolultabb a helyzet, hogy nem lehetett tudni, hogy pontosan melyik byte ismétlődik, ezért végig kellett próbálni a lehetőségeket.

(Edit: ja ok, értem mire gondolsz, az ECB-t "rendesen" használva, a plaintext blokkot IV-be betöltve, nem pedig outputtal xor-olva valóban nem kéne ilyen szimplán működnie. De ha már valakinek komolyan eszébe jutott ECB-t használni diszken fájlok titkosítására, ott érdemes megpróbálni, hátha egyéb marhaságot is csinált.)
---
Régóta vágyok én, az androidok mezonkincsére már!

Engem személy szerint használati szokásaim miatt kevéssé érint :-) , de esetleg valami konkrétum, hogy melyik irtők ismerik már, illetve melyek nem?

A mai napi szavazásba dobtam két vírustotal-os eredményt. Az egyik a dropper, a másik maga a ransomware.

Köszi, megtaláltam, megnyugodtam. Ha jól értelmezem a dolgokat, ha valaki ma frissítette a vírusirtóját, és eddig nem telefonált riadt hangon, az már nem fog :-)

azert tartsd szarazon a puskaport. holnap reggelre frissitik a cryptolockert is...

Adalék a nyugalomhoz:

Az AV-Test szervezet egyik kutatása szerint 2014-ben 143 millió új malware mintát regisztráltak. (Napi több mint 390 000)

The Independent institute AV-Test issued an analysis that recorded 143 Million new malware samples in 2014 and 12 million new variants per month.
http://securityaffairs.co/wordpress/32352/malware/av-test-statistics-2014.html

Az már igen. Ha jól tippelem, lassan az informatika két részre szakad. Az egyik fele a kártevőket fogja írni, a másik fele a védelmet. Fasza, nagyon fasza.

És az utóbbiak mindig csak kullognak majd az események után.

--
trey @ gépház

Előbb utóbb majd beteszik a grsec. TPM-szerű megoldását a windowsba, ahogy a PaX-ot is valamennyire átportolták.
Addig ez lesz.

Ezzel aztán az összes EXE alapú vírust a gyakorlatban kivégzik.

Maradnak a szkript alapú cuccok. Azok meg ennyi vizet nem zavarnak.

Aki nem ismerné a dolog nagyjából úgy (is) működik, hogy van megadható egy spec. felhasználói csoport.

Aki annak a tagja, az a tulajdonában levő cuccokat nem futtathatja, és ennyi. (vagy fordítva, csak az futtathat, aki a csoport tagja). Innentől exe kilőve, bármilyen forrásból szerzi be,
- letölti, ő vagy a "nevében" egy szkript
- futtatja egy általa felcsatolt cuccról
tökmindegy,
a fájlnak ő lesz a tulajdonosa, nem pedig az Administrator, és innentől vége, megy a security naplóba a próbálkozás és kész.

Aki meg adminként használja a gépét, az megérdemli amit azért kap.

--------

Nem vezetek...Jobb így. Nekem is
meg mindenki másnak is.

"But while IT administrators generally agree that restricting users to a standard user account is the way to go, about 80 percent deploy their desktops with admin accounts, making those machines more susceptible to malware and harder to manage." - Microsoft Technet

Nagyon sokszor az IT tehetetlen, mert alulról/felülről érkező nyomás hatására a vezetés beleegyezik, hogy a polgárnak local admin joga legyen. Vannak olyan helyek, ahol személyes sértésnek veszi a bugris, hogy neki nincs joga és addig kilincsel, amíg ki nem hajtja, hogy legyen neki.

Nyilvánvaló, hogy az IT rendszergazda nem maga ellensége és 10-ből 10 támogatná, hogy ne legyen rendszergazdai joga az átlagfelhasználónak.

--
trey @ gépház

Éljenek a tapasztalt és felkészült vezetők !

Mindég mondom, hogy minden pénzt megérnek. ;-))

--------

Nem vezetek...Jobb így. Nekem is
meg mindenki másnak is.

Applocker-nek hívják, Windows 7 óta jelen van, de az alapjául szolgáló Software restriction policies-t már az XP is támogatta.

hat nemtom. azon filozom, hogy ugyfeleknel forceolni fogom a jelszovedett .rar tomoritvenyt.
mondjuk ehhez erosen v1.0+ tanithato ugyfelek kellenek.
szoval allando partnerekkel elore egyeztetett jelszo. ha nem keri, akkor gyanus. ha a mellekletet tartalmazo mailben jelszo is van mellekelve, akkor gyanus.
csak ugy beeso tomoritvenyek, futtathato fileok meg kivagva a gecibe. ( mondjuk az assp eleg hatekony bir lenni ezen a teren a hatterben virusirto nelkul is. )

Ezeket hogyan oldod meg?
- kuldo gepe virusos -> becsomagolt file is az lesz
- hogy allapitod meg a csatolmanyrol, hogy jelszavas rar vagy sem, mi alapjan dobod el a nem jelszavasokat?

---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

ezert irtam, hogy v1.0+ tanithato ugyfelek kellenek.
ugyfel csomagol - jelszavas lesz, virus csomagol - nem lesz benne jelszo.
az elore ledumalt jelszavakkal rafuttatom az

unrar t -p $password

parancsot. ha valamelyikkel ki tudja bontani, akkor ok.
mondjuk annak utana kell nezni, mit ad vissza az unrar, ha nem jelszavazott tomoritvenyt jelszoval akarok kibontani.

Ezt pontosan nem tudom megmondani, ellenben arra figyelj oda, hogy én eddig kétféle titkosított RAR-fájllal találkoztam (és nem tudom mi módon hozták létre egyiket és másikat):

- az egyiknél a titkosítási kulcs nélkül ki tudod listázni a tartalmát, de (ha jól emlékszem) minden fájlt leíró sor elején van egy - asszem - csillag, és persze ha ki akarod ténylegesen csomagolni, akkor kell a jelszó. Ekkor pl. láthatod, hogy mi van benne.

- a másiknál már a tartalomjegyzék lekérdezéséhez is meg kell adni a jelszót, azaz megnézni se tudod, mi van benne.

a test mod arrol szol, hogy kicsomagolja az egeszet.

opcionális h a fajlnevet is titkositja vagy csak a tartalmat


No rainbow, no sugar

Nem vagyok hozzaerto, de nem ezert vannak a gyanus viselkedesi mintakat figyelo megoldasok a tarrezidens vedelmekben? Ha egy futo szar elkezd fajlokat irogatni az minimum gyanus.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

De, a heurasztikus védelemmel rendelkező vírusirtónak ezt látnia kellene.
Elvileg Windows 8-tól a vele szállított Defenderben van már alapból, fertőzz ez 8-as gépeket is?

hat miutan ma also hangon bejott neki 6000$, valszeg megeri neki kicsit tovabb irni a cuccot :(

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Nálunk is volt,
futó AntiVir, Webfilter, ActiveProtection mellet is (a kellően makacs usernek) valahogy csak sikerült elindítani. Pedig nincs kiemelt joga a usernek és az AV LOG-okból látszik, hogy először karanténba rakta fertőzést. Aztán valahogy elszabadult... Szalagról álltunk vissza.

Nálunk is hasonló volt. Menthetetlen adatot nem érintett szerencsére. "Csak letöltött, de nem indította el". Elhiszem a felhasználónak, hogy nem indított el semmit, vagyok vele olyan viszonyban.
A vírusirtó (Avira) biztosan nyekergett valamit, és mégis...

Eset NOD32 esetében többször előfordult nálunk - igaz nem ezzel a vírussal -, hogy a korlátozott usernél is sikeres volt a csatolmány elindítása, benne vírussal. Majd 1-2 órával később jelezte, hogy fertőzött az outlook.exe, és benne van az autorunban, de nem tud vele mit kezdeni, mert a memóriában van. Addig ki is mentek a spamek szépen.
Szóval nem szabad bízni a víruskeresőkben, a legkisebb mértékben sem.

Sub

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

+1

+1.jpg.scr

sub

A fizetés után programot is kap az ember és kulcsot, vagy csak az eredeti gépen lehet helyreállítani a fájlokat?

Úgy emlékszem hogy kulcs is volt mellette, de már letöröltem az egés cuccot.

Köszi.

Kellene nekem egy privát meg egy publikus kulcs páros (amit beírsz az oldalon, meg amit visszakapsz).
Kezdem megfejteni a kódolást, vannak fájlok, amiket már sikerült is visszafejtenem, csak van még valami csavar az algoritmusban.

Egyébként, hogy működik ? Windows alkalmazások, ddl-eket, összetevőket használ a gépről ? Vagy már a vírusban minden benne van ami kell neki ?

a "viselkedési információk" fül alatt találod az infókat, hogy mit módosít és mit használ...
https://www.virustotal.com/hu/file/aeafa11ece87aa60410c9851f9a02b052663e73976bbf1977bce618f98037251/analysis/

Jövőbeli virus.patch-ek ellen nem lehetne pár a listán szereplő .dll vagy egyéb filét ami a titkosításhoz feltétlenül használnia kell , és nincsenek napi használatban hozzáférhetetlenné tenni ?

vssadmin delete shadows all - suxxxxxx

apropos windows szakik ! bezavar a windows lelkebe, ha atnevezem a vssadmin -t ?

Sikerult osszeszedni a 3.000.000 b-t, de meg kellene 100 b, erre nem szamitottunk hogy utalasnak is dija lesz. Valaki nem tudna kisegiteni ezzel az osszeggel gyorsan?
Elegge uj volt nekem es annak is a bitcoin dolog aki ezt csinalta. Viszont a weblap igy is csak neha neha erheto el. Felo, hogy holnap mar nem lesz.

Te befizetted az összeget amit követeltek? Ember pont emiatt terjednek ezek a vírusok! Csak bátorítod őket, hogy folytassák. Ha nincs mentésed akkor a fájlokra keresztet vethetsz. Az alapszabály minden ilyen esetben, hogy a cyber terroristákkal ugyanúgy nem szabad egyezkedni ahogy a valódiakkal sem!

Persze, a napi munkavégzéshez (így a megélhetéshez) szükséges fájlok valóban jóval kevésbé fontosak, mint az elvek.

Nem, de azért pár apróságot mérlegelni kell:
- Bűnözőkkel fogsz üzletelni: ha fizetsz, kapsz valamit? Az tényleg visszaállít mindent? Ha igen, közben hova rejti el a következő ransomware-t?
- Mennyi munka valahonnan visszaszerezni a file-okat, akár egy részüket újra megcsinálni? Azért többet kapsz, mint a váltságdíj?
- És tényleg, ha sokan fizetnek, akkor nagyon jövedelmező üzlet lesz ilyen szarokat írni, hamarosan lesz napi 2, azt nem fogod tudni megfizetni.

> Ha igen, közben hova rejti el a következő ransomware-t?
Jogos, de egy ilyen után a leghülyébb felhasználónak is eszébe jut, hogy hoppá, csinálok backupot.

> Azért többet kapsz, mint a váltságdíj?
Valószínűleg, itt azért nem olyan embertelenül magas összegekről volt szó eddig. Értsd: persze, nekem is k*rvára fájna kifizetni, de nem megfizethetetlen.

> nagyon jövedelmező üzlet lesz ilyen szarokat írni, hamarosan lesz napi 2, azt nem fogod tudni megfizetni.
Persze, de (valószínűleg) goto 1. Ha ezt egyszer valaki beszopja, annak másodjára valószínűleg lesz B terve.

>Jogos, de egy ilyen után a leghülyébb felhasználónak is eszébe jut, hogy hoppá, csinálok backupot.
Amiben már lehet, hogy ott figyel a következő ilyen cuccos, beidőzítve és szépen elrejtve az éppen frissen megvett kikódolóprogram által.

Nem azt mondom, hogy nincs az a helyzet, amiben racionális döntés fizetni, de legalábbis nagyon ritka. Mert vagy nem olyan fontos valami, hogy ennyi pénzt adjak érte, vagy ha igen, akkor nem bízom meg benne, ha már egyszer "bepiszkolódott".

Persze, paranoia rules.
Inkább tanulópénznek kell nézni az ilyet. Nálam az aki elszenvedte a támadást utána rengeteg időt fektetett be abba hogy biztonságban legyenek az adatai.

Nyugalom Bélám! :)

Elsősorban nem a befizetések miatt terjednek a vírusok, hanem a - nem megfelelően oktatott - felhasználók miatt, akik minden e-mail csatolmányt kényszeresen megnyitnak.

Ha te olyan tökéletes vagy, válaszold meg kérlek az alábbi kérdéseket:

1. Neked például van a céges gépeden levő lokális dokumentumokról (és képekről) backupod? (Gondolj csak bele: az ügyfeleknek el van mondva, hogy csak a szerveren levő fájlokról van mentés. Ezért ők hajlamosak arra, hogy a céges laptopjaikon tároljanak családi képeket - egyetlen példányban. Így pont a személyes adataik kerülnek célpontba.)
2. Ha Outlookot használsz, van archív PST fájlod? Van róla mentés? (ezt is bekódolja a CTB-Locker)

"Elsősorban nem a befizetések miatt terjednek a vírusok, hanem a - nem megfelelően oktatott - felhasználók miatt, akik minden e-mail csatolmányt kényszeresen megnyitnak."

Egy ilyen szep virus bekapasa utan lehet, hogy jobban hatnak majd a szokasos rendszergazgai mantrak. Foleg akkor ha a ceges adatok visszaallithatoak a felhasznalo meg vagy fizet vagy nem a sajat cuccaiert.

---
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

>Az alapszabály minden ilyen esetben, hogy a cyber terroristákkal ugyanúgy nem szabad egyezkedni ahogy a valódiakkal sem!

de azért szavazni gondolom elmész négyévente.

Van egy dokumentumod, mely ketszazmillio forintot er. A CTB-Locker betitkositotta. A dokumentumrol nincs semmilyen masolat, annak tartalma nem reprodukalhato. Oldd meg a problemat ketto ora alatt.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Van egy dokumentumod, mely ketszazmillio forintot er.
Másolat nélkül? Önt kedvező ajánlatokkal várja a Tajgetosz Travel.

Kicsit komolyabban: persze, ilyen esetben meg lehet próbálni fizetni, leszarva, hogy ez mennyire káros amúgy. De ha cserébe nem kapsz semmit, az csak a karma működésben.

Nyilvan vagyok annyira okos, hogy tudjam, ez nem jo, viszont probaltam vadonkat realis (mert ez sajnos tenyleg az) pelda ele allitani, es megmerni az elveit. Nincs olyan, hogy "elvbol nem fizetek". Van az az ertek, aminel az ember megkockaztatja, hogy fizet, mert ha viszont visszakapja az adatait, akkor a fizetendo osszeg nem draga az adat ertekehez viszonyitva. Nyilvan ezek pont ezt hasznaljak ki, viszont vegyuk eszre, hogy ez kenyszerhelyzet: amig magat a problemat (gyak: a virus irojat) meg nem szuntetik (el nem tiltjak ketszaz evre mindenfele billentyuzet hasznalatatol), addig mindig lesz olyan ember, akinek van olyan ertekes az adata (akar realisan, akar eszmei ertekben kifejezve), mely megeri a dekodolas aranak bekockaztatasat.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

A dekódolás terén addig eljutottam, hogy az általa kiírt "Publikus kulcs" (ha törlöd a vírust, ott a háttéren, és fájlba is elrakja) kötőjelek nélküli első 144 karakteréből le lehet generálni a "privát kulcsot".

Illetve nagyon úgy néz ki, hogy megtaláltam már, hol tárolja a gépen a privát kulcsot is, csak a saját első 16 bit érintetlen benne, a többit viszont ezzel a 16 bittel kódolja (futás közben elemeztem a programot). A "távoli szerveren van a privát kulcsod" duma pedig kamu... Azt arra használja, hogy csekkolja, hogy jött-e bitcoin tőled, és indulhat-e a dekódolás.

Van, akinek megvan a privát kulcs, amit kapott, és esetleg úgy fizetett a privát kulcsért, hogy külön kellett küldeniük? (mondjuk már törölve volt a vírus)
Illetve a publikus kulcs is megvan még?
Ha lenne egy ilyen párosom, az segítene némileg, hogy merre induljak.

16 bit helyett 16 byte (AES256) lesz az, nem? Egyébként hajrá, drukkolok!

Igen, 16 byte... ☺

jol hangzik, kivancsian varom a folytatast.

+1

Köszi mindenkinek a választ!
Kíváncsian várom a végkifejletet, remélem jutsz valamire nagy_peter!

Leírok pár dolgot, amit már megfejtettem, hogy ha esetleg más is dolgozik a dekódolón, vagy van ötlete, akkor több szem többet lát alapon jól jöhet némi infó:

- A kódoló azonos adattartalmú fájlokat egyazon könyvtárban is más-más állománnyá kódolja (kódolatlanul bitre azonos fájlok kódolva teljesen máshogy néznek ki)
- Különböző könyvtárban lévő teljesen azonos fájlok (név is azonos) esetén sem egyeznek a kódolt fájlok egymással (ugyanolyan nevű fájl azonos adattartalommal más-más könyvtárban kódolva különbözik)
- A kódolás egyik lépése tömörítés (4096 bájtnyi azonos betűt tartalmazó fájlt >100 bájt méretre konvertál, tömörítet állományok esetén jelentéktelen a méretcsökkenés)
- Teljesen offline gépen (hálókártya nélkül), lefuttatva is sikeresen kódol. A weboldalon begépelve a program által a fenyegető üzenetekbe tett "publikus kulcs"-al, és a kódolt fájlal az egy ingyenesen kérhető dekódolást meg tudja csinálni helyesen a weboldal (tehát a publikus kulcs elegendő a dekódoláshoz).
- a Publikus kulcs, amit ad pl.:
APREQFO-FD3CFJK-OO56DS5-XCCGGEJ-33HD5ZV-ACQ6DGW-EPDDANB-ZLGHOIY
SSZIH56-S2Z7HWS-ZKWHSHZ-SJPVYDT-QBW4JQS-MGQDAFR-WSZQFDL-4EXGRQ6
RT3FGC2-VIG4344-WDHAMAG-H4CEZGP-ANOJ4WW-DIVR25N-EZ33TS7-22KB7JT

- Ennek a kulcsnak a végét átírva is helyes kódot kapunk, és szintén sikeresen lehet dekódolni vele.
pl. Ezzel szintén sikeresen dekódolható az a fájl, ami az előzővel:
APREQFO-FD3CFJK-OO56DS5-XCCGGEJ-33HD5ZV-ACQ6DGW-EPDDANB-ZLGHOIY
SSZIH56-S2Z7HWS-ZKWHSHZ-SJPVYDT-QBW4JQS-MGQDAFR-WSZQFDL-4EXGRQ6
RT3FGC2-VIG4344-WDHAMAG-H4CEZGP-ANOJXXX-XXXXXXX-XXXXXXX-XXXXXXX

(Minden fájlhoz viszont csak a hozzá tartozó "publikus kulcsot" fogadja el a program! - Aki nem fizetett, és nem is fog, ezt a kulcsot tegye el, mert szinte biztos, hogy kelleni fog majd)
- A kódolás folyamán a fájlok első 48 karakterét írja ki először, majd csak utána kezd neki a fájl tartalmi részét kiírni. Valószínű, hogy az első 48 bit a kulcs része.
- A kódolás megkezdésének ideje kinyerhető a fájlok kiterjesztéséből (szinte azonos időben, azonos környezetben induló két kódolás kiterjesztése hasonló vagy azonos)

További infókat tudok adni még, akit komolyabban érdekel, privátban.

És mit kezd a kódoló kártevő olyan fájlnevekkel, vagy fájlokkal, amit maga a Windows sem tud lekezelni/megnyitni/törölni/stb? Átugorja, vagy kifagy a progi?
Pl:
1.) Linux alól létrehozol kilométerhosszú fájlnevet, amibe kérdőjelet, kettőspontot, a / jelen kívül mindenfélét, meg sortörést teszel (átnevezel egy valós fájlt)
2.) egy kétbetűs könyvtár nevébe, és a végére pontot teszel: A.B. (tapasztalat, csak más betűkkel sikerült elkövetni)

Ez kicsit olyan mint az autorun virusok idejen a cegnel, meguntuk az orokos harcot, es minden gepen minden meghajtora tettunk egy "autorun.inf" nevu mappat...
(ha kikapcsoltuk volna az autorun-t akkor az userek fellazadnak :D)

--

"You can hide a semi truck in 300 lines of code"

bitcoin elmeleti reszeben van egy ilyen keplet az alairaskor:
s = (m + x * r) / k (mod q)
ahol m az uzenet, x a privkey, k egy random szam, r egy szamolt szam a k alapjan, a q meg egy fix ertek.
a signatureba az r es s kerul be, az m meg az uzenet ugye (illetve annak a hashe).
a k-nak minden alairaskor valasztanak egy szamot random, igy elkerulik hogy azonos uzenet eseten ki lehessen szamolni a szignaturabol a privkeyt.

na szerintem itt is lesz valami hasonlo moka. a fajl elejen levo 48 bajt a random lesz az "r", es azzal is kodolja a fajlt.
probald megtalalni a kepletet amivel kodol.

ha felbeszakad a bekodolas (gep reboot), folytatja?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

A kódolást folytatja, és a fájloknak ugyanazt a kiterjesztést adja megszakítás után is, viszont a fájllistájában, amiben a kódolt fájlokat tartja, csak az utolsó futtatást követően kódolt fájlok vannak benne.

Szerencsére a környékemen még nem települt sehova, csak olvasom a történteket... Az is egy kérdés, hogy hova teszi el ez a vacak, hogy dekódolta az öt ingyenes fájlt. Kell internet a teszt dekódoláshoz?

Fent irja hogy offline gepen is sikeresen kodol (igaz, azt nem irja hogy dekodol is).

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Vagy minden fontos 5 fájlt esetleg vissza lehet úgy állítani, hogy egy lefertőzött Virtuálbox-os Windows-ba bemásolni, ahol még a teszt dekódolás előtti állapot van.

A teszt dekódoláshoz sem kell net neki, azt is megcsinálja offline az 5 fájlra.

Csak azon gondolkodtam, hogy esetleg egy virtuális gépben virtualbox alatt meg lehet nézni, hogy mi van a fájlrendszerben és a registry-ben a teszt dekódolás előtt, majd ezt a teszt dekódolás utáni állapottal összehasonlítani (valahogy.. :)), és hátha le lehetne a teszt dekódolást többször is futtatni. Bár gondolom ez 300000 dokumentum esetén nem segítség.

Vagy minden fontos 5 fájlt esetleg vissza lehet úgy állítani, hogy egy lefertőzött Virtuálbox-os Windows-ba bemásolni, ahol még a teszt dekódolás előtti állapot van.

Ahham... akkor inkabb fizetek csak ne kelljen szopatnom magam.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Én biztos nem fizetnék egy ilyen f@szinak soha, aki ezt a malware-t írta... De ha az öt fájl ismételt dekódolása menne, akkor azt biztos automatizálnám...

zitev valószínűleg így értette: https://xkcd.com/1319/

A probléma ott van, hogy az előzetesen letárolt fájlokból valami algoritmussal választja ki az 5 állományt, és a kódolt fájlok listáját valahol el is tárolja.
Ugyanazon a gépen többször lefuttatva mindig ugyanazokat állította volna vissza.
A fájlok listáját pedig kódolva tárolja, ami nehezít azon, hogy beleszerkesszünk.

de ha ötöt vissza tud állítani akkor a a sec key még megvan a helyi gépen és nem a netről a fizetés ellenében kapja meg... akkor csak ki lehet nyerni valahogy ...

hol tarthatja a 'megvolt a teszt dekodolas' flaget ?

A sok hülye YouTube videók között ezt találtam:

https://www.youtube.com/watch?v=1E8uQtVu5CE

Ügyes kitömörítő.... Bár ha jól látom, akkor a régebbi verzióhoz tartozik...

--
Debian Linux rulez... :D

Sajnos valószínűtlen, hogy a felhasználó wireshark-ot futtat éppen a fertőzés pillanatában...

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Mivel csak azt a publikus kódot tudja mindenki használni, amit kapott, így gondolom a publikus kódnak és a kapott kiterjesztésnek is köze van egymáshoz. Én is küzdök az egyik ismerősöm gépével, de mivel a vírust leszedtem, így már csak a decrypterek jöhetnek szóba, ha meglenne privát kulcs amivel célt tudnék érni.
Nála ez az egyik kulcs amit kapott,de a másiknak is ugyanez az eleje. A kiterjesztés a fájljainak pedig:QHUWOUC lett.
Ez ki tudom olvasni az első sor 5. és 7. betűcsoportjából.

ZHQWECM-PWVGV3U-KVGFBAP-LU2JJSM-X6QAHUW-PP4CG7Q-AWUYGOC-MAGRVX2
4Z4Y7AW-7FG7NZP-SHMJWDV-CYUKGW5-3SN6YWJ-X7RBYMB-AH65CB6-WLFI6E4
GQKJSV7-ZANPBHS-R27ATKK-7C2DEKW-WEQD26F-VQ5BNZE-ZACK5WO-Q5I7FX5

Vagy ez csak véletlen?

Szia!

Valószínűleg csak véletlen..

Nekem a kulcs:
APREQFO-FD3CFJK-OO56DS5-XCCGGEJ-33HD5ZV-ACQ6DGW-EPDDANB-ZLGHOIY
SSZIH56-S2Z7HWS-ZKWHSHZ-SJPVYDT-QBW4JQS-MGQDAFR-WSZQFDL-4EXGRQ6
RT3FGC2-VIG4344-WDHAMAG-H4CEZGP-ANOJ4WW-DIVR25N-EZ33TS7-22KB7JT

A kiterjesztés pedig: wpdzxln

Szia Péter.

Igen engem érdekelne, hogy tudtál több fájlt is visszafejteni. Fontos doksik vannak az ismerősön gépén, jó lenne, még ha csak néhányat is, visszahozni. Elég hozzá egy decrypter program, vagy kellene hozzá egy vírusos gép is? Megköszönöm, ha privátban írsz róla többet.
E-mail:

.

Szurkolok neked, remélem nem adod fel, és megtalálod a megoldást.

Sziasztok!

Rossz hír mindenkinek, hogy sikerült az egész programot visszafejtenem, és sajnos nem sok esély van rá, hogy visszanyerjünk adatokat fizetés nélkül. (csak ha sikerül a szerverükről ellopni a privát kulcsot)

A titkosítás, amit használ, eltér az eddigiekétől.
A régebbi változatok úgy működtek, hogy a mi gépünkön generáltak egy privát és egy publikus kulcsot, majd a publikusat meghagyták nálunk, a privátot pedig elküldték a szerverre, úgy, hogy az a gépünkön sosem lett lementve. Itt azonban ezt tovább gondolták.

A privát és a publikus kulcsot egy példányban hozták létre, a privát kulcs ebből sosem került ki a kezeik közül, a publikus pedig a programba van építve.
A program a gépen lefutva a publikus kulcshoz generál egy úgynevezett "közös titkot", amellyel párban kódolja az állományokat. A dekódoláshoz pedig a privát kulcsra, és a közös titokra van szükség. A közös titok az abban a számsorban van, amit ők publikus kulcs néven emlegetnek a programban, és teljesen véletlenszerű, a gépen generált adat.

A Fájlokat szimmetrikus AES kódolással kódolja csak le, viszont mindegyik állományt egyedileg, és az AES kuclsot az állományok elejére írja. Csak hogy ne legyen könnyű dolgunk, a fájlok elején lévő AES kulcsot titkosítja csak le a publikus kulcs és a közös titok párosával, amit viszont nem tudunk dekódolni. Így két lehetőségünk van.
Vagy kitaláljuk az AES kulcsot, ami minden általa kódolt állományra egyedi, tehát minden fájlra külön kell kitalálni, vagy megszerezzük a privát kulcsot a szerverükről, amelyet a saját gépünkön letárolt közös titokkal együtt felhasználva tudjuk dekódoljuk a fájlok elején lévő AES kulcsokat, és utána az így dekódolt AES kulcsokkal dekódoljuk a fájlokat.

Szóval ezúttal tényleg érdemi kódolást használtak, és csak abban lehet reménykedni, hogy a privát kulcsuk valahogy kikerül a szerverükről.

szep munka! mi a helyzet az 5 db teszt fajllal? azt mashogy kodolja le vagy azt miert lehet dekodolni kulon?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Azt a vonalat még nem néztem végig, de az látszik, hogy az 5 fájlt, amit hajlandó dekódolni, azt még a kódolás közben dönti el. És ha két azonos gépet azonos fájlszerkezettel és fájlokkal kódolsz, ugyanaz lesz az 5 kiválasztott. De végignézem azt is, valószínűleg máshogy kódolja. (esetleg csak simán az AES kulccsal, és a kulcsot nem kódolja aszimmetrikusan náluk).

De utánajárok mindenképpen.

Milyen és hány bites asszimetrikusat használ?

Szerencsére nem vagyok érintett, így könnyen kibicelek...

Az, hogy egyetlen privát kulcs van, szerintem nem feltétlenül rossz hír, mert aki fizetett a dekódolásért, annak meg kellett kapnia valamit, amiből viszont akkor kinyerhető a privát kulcs - amivel viszont az összes többi áldozat cucca is dekódolhatóvá válna.

Vagy túlságosan leegyszerűsítem?

A privát kulcs nem lesz benne. Az itt, folyamatosan publikus kulcsnak nevezett kimenet valójában egy szignatúra, amelyet a kulcspár publikus tagjával állított elő. Feltehetően ebbe van "bezárva" vmi (felteheően az aes-hez szükséges), amelyet a szerver oldalon dekódol az ott található privát kulccsal.
De kérdőjeles a topic elején említett rsa 2048 is, mert akkor lennie kellene egy 256 bájtos szignatúrának. Ha mégis rsa, akkor kisebb a bitszélesség. De lehet más asszimetrikus, pl. ecc. Az is lehet, hogy nincs is semmiféle asszimetrikus algó, csak vmi egyedi enkódolással rejt el némi adatot a kötőjelekkel tagolt adatokban (amelynek, mint kiderült, a vége junk), majd az ebből dekódolt adatot felhasználva generál egy futtathatót szerver oldalon, amely már tartalmazza az aes? ecb alapú fájl-dekódoláshoz a szükséges információt. (Az, hogy ecb, az azért elég gáz.)

Durva így olvasni, hogy innen is mennyien szaladtak bele, meg a szavazásnál is jelentősen sokan érintettek voltak... :(

- - - - - - - - - - - -
Magyar égre, magyar ufót.
300hsz feletti topicot nem olvasok.

Menteni, menteni, menteni. Aki nem ment, és hülye, az majd fizet. Ilyen egyszerű. :)

Nyilván menteni kell. Én is mentek gyakran, de minden egyes fájlmódosításnál és mentésnél nem írja ki az ember egy másik lemezre is. Tehát ha jön egy ilyen fertőzés, akkor tuti hogy valamilyen szinten mindenkinek lesz valamennyi vesztesége. + Vírusirtás, időkiesés a munkából, stb. Tehát jobb lenne, ha az ilyen vírusírókat minél hamarabb a rács mögé dugnák.

Dughatják rács mögé, lesz helyette másik. Amíg ebből lehet jó pénzt szerezni, addig lesz rá jelentkező. Izgatottan várom az androidos verziót. Ki mennyit fizetne a saját adataiért? Vajon idén jön, vagy csak jövőre?

Lesz. De lássuk be, otthon, mezei usernek gyakorlatilag a fényképei a fontosak, meg esetleg pár doksi, az pár GB, nem varázslat több példányt megtartani belőle. Külső hdd, pendrive.

Cégnél meg legyen már rendszeres napi mentés, mondjuk egy hétre visszamenőleg minden napról előállíthatóan. És akkor x óránként esetleg snapshot.

"De lássuk be, otthon, mezei usernek gyakorlatilag a fényképei a fontosak, meg esetleg pár doksi, az pár GB, nem varázslat több példányt megtartani belőle. Külső hdd, pendrive."

Az a pág GB-t nálunk jelenleg 250 (5 év termése, de a videók miatt egyre nagyobb ütemben nő), fényképek és videók (1080p) épp azon gondolkodom, hogy hogyan tudom, ezt minél kisebb költséggel és idő ráfordítással redundánsan tárolni.
A legjobb képek papíron is megvannak, a videók egy részét a youtube őrzi.

Mondjuk most én is meglepődtem, nálunk 42G csak a fotók. Sosem néztem. :)

Sajnos a mentés, pláne az otthoni, elég vacak ügy. Optikai adattárolás halott (pedig milyen jó lenne, ha lenne 1T méretű lemez), marad a hdd.

Miért halott? A 42 GB az 2 Bluray lemez. Vagy 1. Én a mai napig használok lemezeket. Valahogy sokkal jobban megbízom bennük mint a HDD-ben. Ha esetleg mégis elveszik akkor egyszerre csak 25 GB van oda és nem 1, vagy 2 Terra. Persze kiírok mindent külső winchre is. Így 3 helyen vagyok mentve legalább. Ebből 1 csak meg marad. Ha valamelyik tönkre megy, pótolom. Manapság már elég olcsó a blu-ray lemez, és nekem már vannak 15 éves dvd adatlemezeim, melyek a mai napig tökéletesen működnek. Nem mondom, hogy az életem során nem futottam bele hibás szériába, de hát pl. az egyik ismerősöm Notebookjában is 2 x cseréltem HDD-t egy év alatt. Egyik pillanatról a másikra badszektorosak lettek.
Semmi sem tart örökké.

A HDD + papírkép mellett én a fotókat Flickr-re is szoktam szinkronizálni (pl. ezzel: https://flickrsync.codeplex.com/ ) , az ingyenes fiókhoz 1 TB tárhely jár.

A képek egy része google drive-ban is megvan, a legkisebb csomagra előfizettem, de az kezd kevés lenni.
Megnézem a Flickr-t, nem tudtam, hogy ekkora tárhelyet adnak.

A lokális Gdrive app alatt titkosítod a fájlokat és letörlöd az eredetieket, az felszinkronizálódik a Gdrive-ra. Ott is lesz másolat a titkosított fájlokról, az eredeti pedig sehol.

Én is ezt hajtogatom mindenkinek, mégis sokan vannak, akik nem teszik meg, azután pedig sírnak, hogy jaj most mit csináljak, segíts ha Istent ismersz, stb. Hát itt már valóban csak az Isten segíthet.

Azért arra még kíváncsi lennék, hogy vírus az eredeti fájlokat változtatja-e meg, vagy létrehoz egy titkosított másolatot, az eredetit pedig törli. Az ismerősöm adott egy képet ami rajta volt gépén is, de a fényképezőről még nem törölte. Elmondta hol találom a gépen, de ilyen nevű képet nem találtam rajta. A mérete pontosan egyezett a valószínűleg azonos képpel, de annak más volt a neve. Mintha át lenne nevezve. Nem tudom, mert előtte nem láttam gépét, az ismerősöm pedig már nem emlékszik rá. Bár ez túl egyszerűen lenne, ha törölné az eredetit és másolatot hozna létre kódolva. Ugyan a ShadowCopy nem tudott maradandót alkotni, de azért egy Recovery futtatást megér a gép, aztán tovább nem látom értelmét kínlódni vele.

File Recovery-vel sikerült néhány doksit és képet visszahozni a kollégámnak. Nem sokat, kb 8-10%-át, de több mint a semmi.

> de minden egyes fájlmódosításnál és mentésnél nem írja ki az ember egy másik lemezre is

Dehogynem, CrashPlan-nel. :) Még a verziókat is tudja követni.

Azt az oldalt nem tudja megtámadni az ilyen vírus? Hisz ez még a felhőn lévő adataidat is tudja titkosítani.

A Crashplan saját file history-t implementál. Így még akkor is visszaállíthatod a személyes fájljaidat, ha azt a vírus lokálisan letörölte.

Elvileg biztosan, gyakorlatilag nem valószínű, mert a CP számontartja a fájlverziókat kb. a végtelenségig, vagyis tudsz egy fertőzés előtti snapshotot csinálni az inkrementális mentésekből.

Másrészt a CP nem csak cloud, én pl. néha bedugog neki egy külső vinyót, hogy oda mentsen le mindent. A napi munka meg megy (akár saját) szerverre, titkosítva.

Mar Lenin is megmondta...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ma már egy tucat figyelmeztetést kaptam, hogy a levelező scr kiterjesztésű csatolmányok miatt leveleket blokkolt.
Most ért el hozzánk is a próbálkozás, vagy egy újabb támadási hullám lehet?

Újabb hullám látszik. Ma .cab-nak álcázott fájlokban küldik az scr-t. Vagy ilyesmi.

MIME = superframe_ltd.cab = CAB = superframe_ltd.scr

--
trey @ gépház

Most csekkoltam le:
kb 126 fiokra küldtek el mind más
CAB file és scr van benne.
Holnap lehet hogy ki kellene megint küldeni a usereknek, hogy ez is virus.
1000 fiók van ezen a szerveren.

Nem üzemeltetek ilyen nagy méretben levelező szervert, de nem lenne jó ötlet, minden, a szokványostól eltérő állománytípust tiltani? Nem hiszem, hogy olyan sok embert érintene a cab, scr, ttf, etc tiltása.

A ttf-re pl. az osszes webgrafikus raugrana. Amugy meg tippre ez terjed zipben is, azt meg nem tilthatod.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

Valóban terjed, de figyelembe kell venni a lehetőségeket. Ha első körben csak mondjuk .scr-ben küldözgették, akkor kapásból megúsztad az első hullámot. Ha a legközelebbi szórás már zippben történik, akkor az lehet hogy bejön, de ha ugyanazt a .scr-t csomagolták újra, akkor van esély arra hogy az AV felismeri.

Tehát véleményem szerint nem az a lényeg, hogy ne tudjon bejönni, mert így vagy úgy de betalál. Hanem az, hogy minél később.

már .cab kiterjesztésű file-t is küldenek csatolmányban...

forrás IP: 200.150.166.240 (brazil)
From: "Annita Carosella"
Subject: COCIDIS S.A.

össz levéltartalom az olvasóablakban:
COCIDIS S.A.
Avenida Ciudad De Barcelona, 144 28007 Madrid Madrid
Madrid
SPAIN
+34 915 23 46 94

csatolmány: cocidis_sa.cab

a spamassassing nálunk 4.479 pontot adott rá.

--
Aspire E1-530
"...és micsoda zajt csapott!"

ah. akkor ezert kapunk ebbol keveset.
a 200-201.*.*.* alapbol feketelistan van. ( pontosabban a spamscore 66%-rol indulnak a filterben. )
a pif, cab es hasonlo kiterjesztest meg megfogja az attachment blocking.

Thx! :)

Tegnapi hír

--
trey @ gépház

Ki tudna vki tenni vhová egy ilyen file-t?
Szeretném kipróbálni, hogy mi fogja és mi nem? (pl. mailserveren futó clamav mit lép, ha ez szembe jön).
Thx.

Nekem a levelek kellenek, amiben terjed, eml csatolmányként a

címre. Köszi!
--
Coding for fun. ;)

Ma nálam is bepróbálkozott, immár másodjára. Trojan Downloader.Elenoocka néven fogta meg az ESET. Valami Adam Chekish volt a feladó.

Úgy látszik kevés nekik a 8 millió USD, ami forgalmat bonyolítottak az elmúlt hónapokban.

Ha egy hét munkával ennyi pénzt keresnél, te nem dolgoznál még egy hetet? :)

Úgy látszik kevés nekik a 8 millió USD, ami forgalmat bonyolítottak az elmúlt hónapokban.

Melyik szolgáltató engedi át?
Sok helyen már a csatolmány kiterjesztése miatt is eldobják, jelölik az ilyen leveleket, és a levelező szerver oldali vírusellenőrzések is jelezhetnék, ha már az ESET jelzi a kliensen.

Tegnap kipróbáltam, az upc smtp szervere már visszadobja.

Nálam a GTS engedte át.

Nálunk a clamav átengedte a .cab -os variánst. Az korábbi .scr-t megfogta viszont.
Célszerű eleve tiltani az ilyen mellékleteket mint az scr, cab, pif, bat, exe, com, msi, stb...
Futtatható állományt ne akarjon küldeni senki senkinek. Ja és az encryptelt jelszavat archivumot is célszerű tiltani. Jött már úgy vírus, hogy zip-be volt az exe, hozzá egy gyönyörű magyar nyelvű szöveg, hogy itt van a progi amit kértél meg a kód amivel ki tudod bontani. A naív user nem tudja mivan, de ha már egyszer neki jött akkor csak kinyitja... Szóval a júzerek ellen nincs védelem, akkor legalább a kockázatot minimálisra kell csökkenteni.

Az értelmes dolgok szűrve vannak (mime_header_checks), de hát doc-ot meg xls-t nem szűrhetek. :(

A cabextract csomagot dobd fel a szerverre, akkor a clamav is fogja latni szvsz.
--
Ki oda vágyik, hol száll a galamb, elszalasztja a kincset itt alant:

()=() 
('Y') Blog | @hron84
C . C Üzemeltető macik
()_()

A most felkerült clamav már fogja a 2015-01-28-i verziót.

Irreleváns, csak a mai dátumot néztem, nem a hsz-ét.

Sziasztok!

Nálunk is beszívta egy kolléganő. Egy faxnak álcázott emailt kapott aminek a melléklete docx volt, tehát sima ms word fájl. Ennek megfelelően átment a rostán. Ki is lehetett nyitni, olvasható volt. Valami kamu angol szöveg volt benne. A csavar a docx-ben volt elrejtve. Egy összetett macrot találtunk benne, javarészt értelmezhetetlen módon encryptelve. Sajnos a kolléganő reflexből rányomott a macró engedélyezése gombra amikor a word figyelmeztette, hogy ismeretlen macró, futtatja?
A háttérben képes volt felrakni a vírus magát ebből! A windows 7 UAC-a figyelmeztette, a folyamat közben, hogy valami bele akar túrni olyanba amibe nem kéne, de persze erre is igent nyomott. Sajnos rendszergazda volt a saját gépén úgyhogy mindent bemérgezett a vírus. Szerencsére hálózati meghajtó nem volt mappelve neki de minden lokális fájla titkosítva lett és megjelent a szokásos visszaszámláló üzenet neki. A word fájlt elküldtem a sicontactnak. A nod nem vette észre ugyanis.

Szia!

Nálunk, annyi volt a különbség, hogy nálunk cab file volt, kicsomagoltad, .scr file volt benne, majd egy wordot nyitott meg. Teljesen olvasható értelmes angol szöveg volt, a háttérben már nyílt is meg egy processz, ami megkezdte az átkódolást. A kolléganő nem volt rendszergazda gépén és mégis bejött. Fel voltak mappelve a szerverek...sorsuk a már megismert státuszba került.

Kipróbáltam virtuális gépen a vírust, sem az bekapcsolt UAC, sem a korlátozott felhasználói jog nem fogta meg egy frissített win7 Enterpriseon. Frissített McAffe és Symantec sem ismerte fel még egy variánsát sem.

Ez a tegnapi ismertségi állapot:
https://www.virustotal.com/hu/file/03049c120640c38edde9aa2b1d504e8d679eb7bee10d93747c2ff7d4137d1354/analysis/1422541247/

2 napja, mikor a kolléganő beszedte, a virustotal.com-on 2db! vírusírtó ismerte fel. Még a gmail levelés sem szűrte ki.

Nem feltétlenül kell neki rendszergazda jog.
Ugyanis vagy kihasznál valamilyen még nem javított sebezhetőséget, vagy egyszerűen csak a felhasználó könyvtárába települ (mint pl a Google Chrome). A második esetben csak azokat a fájlokat kódolja, amihez "írási | módosítási | stb" jogosultsága van (nem elég az?).

Szia!

Ezt a wordot fel tudnád valahova tölteni?

Köszi

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

Ide felraktam a cab-ot. Csak saját felelősségre!
Virtuális gépben kísérletezz vele, ne legyen semmi felcsatolva a virtuális rendszerhez!

A .cabot ki kell csomagolni, lesz benne egy .scr file. Ha ezt megnyitod egy tiszta windowsban, a wordpaddal nyitja meg.
Ekkor már a háttérben dolgozik is. Újraindítás után bejön a fekete képernyő a számlálóval és figyelmeztetésekkel. (Rendes a vírustól, hogy amíg nem végez a kódolással, addig észre sem veszed, nehogy gyanút fogj...)

Privátban küldd el neki a linket. Innen kiszedtem.

--
trey @ gépház

+1

Köszönet.

Bocsánat, elnézést :)

küldd el nekem is, plz

Elküldenéd nekem is?
Előre is köszi!

Ilyen esetekre nincs védelem szerintem :)

Szia!

El tudnád kérlek küldeni privátban a kérdéses docx fájlt?
Előre is köszönöm!

Ismerősöm kérdezett, hogy mitől lettek vajon elérhetetlenek bizonyos fájlok a hálózati megosztott könyvtárban.
Mivel én még nem találkoztam ezzel a vírussal, elmondtam neki, amit itt olvastam.

Szóval van egy gép, nem teljesen értettem, hogy van-e rajta lokális víruskereső vagy nincs. Ez a gép kapott egy email-t, amiben egy cab fájl volt.
A csajszi ezek szerint megnyitotta a cab fájlt, majd bizonyára elindította a benne lévő programot, ami a hálózati megosztást titkosította (meg bizonyára a helyi gépen is).

Az ismerősöm azt kérdezte, hogy ha elgondolkozna a váltságdíj fizetésen, akkor hol találja meg az információt, ami ehhez kell.
Gondolom azon a kliens gépen, ami megfertőződött. Ugye?
De azon hol, hogyan?

Megjelenik a fertőzött gép asztalán a fekete háttér és a visszaszámlálás. A hálózati mappa tartalma is azon a gépen keresztül fejthető vissza.

Vajon kepes lenne ket, azonos alhalozaton levo, egyidoben fertozott kliens a kozos felcsatolt halozati mappaban levo fajlokat duplan kodolni, es ha igen, akkor a kikodolast sikeresen vegrehajtani (bar gondolom ez utobbi baromsag)?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Na ezt kipróbálom virtuál környezetben...

Szerintem (bár nem próbáltam) nem fog duplán kódolni, mert csak bizonyos fájlkiterjesztésekre ugrik. Mivel a kódolás után viszont a kódolt fájlokat átnevezi, ezért úgy gondolom, hogy nem fog ugrani azokra.

Egy Win XP-n (elszeparált tesztkörnyezetben) így nézett ki egy futás után: http://i.imgur.com/ElfeOqZ.png

Vagy a másik progi szerintem nem számlál vissza, hanem mellé tesz egy txt/html fájlt minden mappába

Lenne pár kérdésem azokhoz, akik beszopták, vagy tesztelik a vírus(ok)at virtuális gépben.

1. A kódolt fájlok módosítási dátuma a kódolás időpontjára változik, vagy marad az eredeti létrehozás dátuma?
2. Az eredeti fájlokat törli a kódolás után a vírus, vagy "helyben" kódolja őket?
3. Az érintett fájlok mérete megváltozik a kódolás után?

A verzió amit én találtam (mert mind a cab-os, mind a zip-es verziót eldobálta az amavis)

1.) A kép alapján úgy tűnik marad.
2.) Szerintem kódolás után törli (olvastam, hogy páran visszahoztak photorec-el képeket ami ha helybe kódolna nem lenne lehetséges).
3.) Igen, megváltozik.

KÉP: http://i.imgur.com/c7ROM2L.png

Köszönöm!

A 2. pont alapján feltételezhető, hogy ha be van kapcsolva a Samba vfs objects = recycle funkciója miatt a törölt eredeti fájlok a megadott könyvtárba kerülnének.
Ki tudná ezt próbálni valaki, aki rengeteg szabadidővel, Samba serverrel és a vírussal is rendelkezik? :)

Kipróbáltam, az XP-t úgy tűnik már a malware írok se támogatják 100%-osan (XP módba nem volt hajlandó megfertőzni a hálózati meghajtót egyik minta sem :(). De kipróbáltam Windows 7 alatt, és úgy tűnik helyben kódol, mert miután végzett a samba-n beállított recycle könyvtár üres volt, közbe futott a process explorer, a képből úgy jön le, hogy fogja az eredetit átnevezi random.tmp-ra majd elkódolja helyben és a végén visszanevezi.

http://i.imgur.com/8COnpnW.png

"Használjon XP-t fájlszerveren tárolt dokumentumokkal, ez a probléma sem érinti!"

Köszönöm a munkád és a válaszokat!

tegnap este mondta egy "áldozat" hogy semmit nem talált, ha getdatabacket ráengedte. akkor ezért. fene bele.

Ha van még időd és lehetőséged, kipróbálnád, hogy ha a vfs_full_audit be van kapcsolva, mik kerülnek a logba, amikor a vírus egy adott fájlon tevékenykedik?

Ezekre lennék kíváncsi:

chdir
chflags
chmod
chmod_acl
chown
close
closedir
connect
disconnect
disk_free
fchmod
fchmod_acl
fchown
fget_nt_acl
fgetxattr
flistxattr
fremovexattr
fset_nt_acl
fsetxattr
fstat
fsync
ftruncate
get_nt_acl
get_quota
get_shadow_copy_data
getlock
getwd
getxattr
kernel_flock
link
linux_setlease
listxattr
lock
lseek
lstat
mkdir
mknod
open
opendir
pread
pwrite
read
readdir
readlink
realpath
removexattr
rename
rewinddir
rmdir
seekdir
sendfile
set_nt_acl
set_quota
setxattr
stat
statvfs
symlink
sys_acl_delete_def_file
sys_acl_get_fd
sys_acl_get_file
sys_acl_set_fd
sys_acl_set_file
telldir
unlink
utime
write

Egy példa az smb.conf fájlba:

[audit-test]
	path = /test
	vfs objects = full_audit
	full_audit:prefix = %u|%I|%m|%S
	full_audit:success = chdir chflags chmod chmod_acl chown close closedir connect disconnect disk_free fchmod fchmod_acl fchown fget_nt_acl fgetxattr flistxattr fremovexattr fset_nt_acl fsetxattr fstat fsync ftruncate get_nt_acl get_quota get_shadow_copy_data getlock getwd getxattr kernel_flock link linux_setlease listxattr lock lseek lstat mkdir mknod open opendir pread pwrite read readdir readlink realpath removexattr rename rewinddir rmdir seekdir sendfile set_nt_acl set_quota setxattr stat statvfs symlink sys_acl_delete_def_file sys_acl_get_fd sys_acl_get_file sys_acl_set_fd sys_acl_set_file telldir unlink utime write
        full_audit:failure = none
	full_audit:facility = LOCAL7
	full_audit:priority = notice

Köszönöm

En most belottem egy szukebb muveleti keszletre (gyakoraltilag az iro/jogvalto muveletekre), ha gondolod, referalok, ha ismet eszlelunk virusaktivitast.
--
Blog | @hron84
Üzemeltető macik

dupla

dupla post.. sorry
--
http://szolarenergia.hu - A hálózat építést csak elkezdeni lehet, befejezni nem....

Jelentes az Obudai Egyetemrol:
ESXI virtualis win7, webroot es MSE komboval, nem engedte elterjedni a virust, hetfon kaptam egy peldanyt es felmasoltam szepen ide.
Kibontottam a .cab fajlt es megnyitottam worpaddal a benne levo fajlt, de semmi nem tortent, majd most neztem ra ujra es eltunk a fajl, ujra kibontottam es Microsoft Secureity Essential szolt hogy fertozes es legyalulta.... LOL :D
Igaz elso korbe a webroot fogta meg.......
Erdekes.....

--
http://szolarenergia.hu - A hálózat építést csak elkezdeni lehet, befejezni nem....

Az a LOL, hogy amit tegnap megfogott, azt ma vagy holnap korántsem biztos, hogy meg fogja. Sőt, a valószínűbb az, hogy nem fogja.

A virustotal.com-on naponta jönnek olyan minták, amit a vírusirtók fele élből nem ismer fel.

--
trey @ gépház

Hat igen... erdekes.... webroot-ot azert vezettuk be mert azt mondtak megfogja ezeket a szarokat... :) MEglassuk, 1000 user es abbol 800 R0-as... kiderul mit tud a webroot :)

--
http://szolarenergia.hu - A hálózat építést csak elkezdeni lehet, befejezni nem....

és erre legalább pénz-visszafizetési garanciát ad?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Az egy jo kerdes, nem olvastam a szerzodest :)
A fonokom irta ala nem en :)
De valszeg valami garanciat adnak ra! De hogy mit az jo kerdes....

--
http://szolarenergia.hu - A hálózat építést csak elkezdeni lehet, befejezni nem....

Jók ezek az üres, semmit nem érő garanciák, amikkel hülyítjük a vásárlót a reklámban, a szerződésben viszont már sz*rt se vállalunk be ezek közül.

WP8.x kritika: http://goo.gl/udShvC

Igen, sajnos amit egyszer megfog, masodszorra nem fogja meg.
--
Blog | @hron84
Üzemeltető macik

Fele? :D 4/45 a mai DHL Notification pdf.exe csoda :D

De fura módon most a nagy nevek ismerik fel (Eset, Kaspersky, etc.) és nem azok, amikről még sose hallottam.

azt nem tudom hogy ha a .jpg-et átnevezem .kep-re akkor azt lekódolja-e? mert gondolom nem nyalja át az összes fájl elejét és azonosítja hogy az-e ami.

PST másolatot ha jól emlékszem nem kódolta.

sejtettem. ez viszont jó, mert akkor a gépen lévő másolatokat be lehet védeni egy batchelt átnevezéssel. időigényes de valamit valamiért.
egy ismim is benyelte, kiemelt felhasználóként, vállalati környezetben win7 syamntec antivir egy szót se szólt amikor elindította a doksit.
de neki nem kezdett el azonnal dolgozni a futtatás után, hanem csak amikor másnap reggel bekapcsolta a gépet. de akkor aztán kódolt amihez hozzáfért.

Ha ez védelem, nem is kell hozzá átnevezés, mert van néhány szabály amit figyelembe vesz titkosításkor, pl ha a file Decrypt-All névre kezdődik (mint a saját txt-je) akkor azt nem titkosítja, ugyanígy létrehoztam egy "temp" és egy "Comodo Downloader" nevű mappát az asztalon és az abba helyezett mappákat/fájlokat se titkosította el. Persze lehet az új verziókból ez majd eltűnik.

A memória dump-ból ez látszik (és az is milyen kiterjesztéseket titkosítgat):
http://i.imgur.com/7eIr1gH.png

huh. elég sok fájltípus.
azt megtudnád nézni hogy ha egy "akarmi.jpg"-et átnevezel "akarmi.jpg-vedett"-re azt is lekódolja? mert akkor egy egyszerű batch-al át lehet állítani mindent gyorsan.
lehet baromság...

Nem kódolja le, csak az egyező kiterjesztéseket. Az általa titkosított (encrypted.jpg.random) állományait se kódolja újra.

hoppárépa!:D akkor lehet hogy így meglehet védeni a biztonsági másolatokat egyszerűen.

Két napig.

Elkezdett úgy jönni, hogy a csatolmány neve mail_cím.zip:

akkor a *hu.zip csatolmanyt tiltjuk.

de nem is kell, ahogy nezem a logot, az assp az elso 6-7 peldanyt meg atengedte, aztan a tobbit mar dobalta a discarded/spam ala.

lengyel upc hálózatából is érkezik a .scr, kétszer is becsomagolták zip-be.

bár spamként megjelölve került a ládába, de részemről a fő levélszerverünkön iptables -A INPUT -s 89.69.0.0/16 -j DROP

--
Aspire E1-530
"...és micsoda zajt csapott!"

Óbudai Egyetemes postafiókomba ma beesett egy ilyen :)
Kérjük vissza a pénzt! :)

Ide csak exe-t küldtek a lengyel testvérek.

Cant decompress => who cares banned

Feb  3 10:43:46 phoenix amavis[5883]: (05883-05) (!)do_unzip: p003, unsupported compr. method: 9
Feb  3 10:43:46 phoenix amavis[5883]: (05883-05) Blocked BANNED (INFORMACJE O PRZESY\303\205\302\201CE.doc.exe,UNDECIPHERABLE

De egyébként MSE úgyse lehetett ott volna, lehet azért került (vagy mert egy hétre a vírusra frissül a definíció)
Korlátozások. A szoftver nem futtatható kormányzati vagy oktatási intézmények tulajdonában lévő készülékeken

---
"Accordo Ltd. works inside Microsoft..." is an independent global provider of software licensing expertise.

A .exe-ket eleve visszavágjuk. De mondjuk olyat exim+clamd+spamassassin clamav nélkül hogy lehet összehozni, hogy nem kibontható cuccokat visszadobálja?

Itt postfix->amavis lánc van (lehet ezért nincs hozzá Exchange cal ?), már az amavisnál elvérzik a tiltott kiterjesztés miatt, akkor is ha tömörített állományban van ,akár ki tudja tömöríteni akár nem (így el se jutt a clamav-ig).
Ennek ellenére a docx-es verzió engem is érdekelne, mert sajnos azt még luxus tiltani, pedig ha rajtam múlna...

---
"Accordo Ltd. works inside Microsoft..." is an independent global provider of software licensing expertise.

Hát itt nincs a Kicserélőközpont előtt amavis+postfix és most biztos nem kezdem le lecserélni, pláne, hogy a napjai meg vannak számlálva. :)

[off]
Itt Kicserélőközpont sincs, igazából szerintem nem is tudnám beállítani , de jobb ez így legalábbis amíg Richard Stallman nem "érdeklődik" Linus nevében, hogy számoljak be használati szokásaimról meg sem kötött szerződésekre hivatkozva, elég stresszes munkakör ez anélkül is.
[on]

Kerheted. Nem azt mondtam, hogy nem esik be, a webroot nem a zimbrat vedi ;)
Amugy minden nap mas es mas verzioba jelenik meg ez a szar, tehat minden ellen valszeg ez se ved, de amit eddig kaptam azt megfogta :)

Hanzo

--
http://szolarenergia.hu - A hálózat építést csak elkezdeni lehet, befejezni nem....

Ma beköszönt hozzánk is, valószínűleg tegnap jött emailes csatolmánnyal, friss SEP és MBAM nem fogta meg, csak a fertőzött gépen futtatott MBAM találta meg.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Itt is járt, egyik freemailes kollega ellenőrizte, hogy kompatibilis-e a rendszerrel, aztán tájékoztatott, hogy megfelelően működik ("valami számol visszafelé a képernyőn"), úgyhogy tölthettem vissza a dokumentumait a reggeli mentésből. Lehet le kellene íratni vagy százszor, hogy "nem nyitok meg idegen nyelvű mellékletet tartalmazó levelet", vagy egyszerűen mellőzni a magán emailt munkahelyen.

Mi az, hogy megszabod mit csináljon és mit nem a SAJÁT (céges) gépén??? Na meg hogy nem tud majd telepíteni, mert visszaveszed a jogokat??? Miért ne szánthatna amikor a másik cigizik kint? Neki ne szabja meg senki hogy mit csinál. Ő eddig is kattintgatott és semmi baj nem volt. Biztos te rontottál el valamit, csak rá akarod kenni.
Hogy a youtube és facebook-ot tiltanád??? Hát neki ahhoz joga van!

a júzertudat fura egy valami. úgy megtudják magyarázni hogy mire van szükségük és joguk.
egyszer megállt a szerver (4-5fős fájlszerver túró raid elpukkkant tükörben) mert a júzerek oda pakoltak minden hüyeségüket mp3,avi,stb. telepítgettek mindent észnélkül, hetente reinstall, meg buherálás miért fagy,stbstb. meló meg áll ugye. mer xar a gép. ez ment pár hónapig.
nem volt gazdája az egész "rendszernek". volt olyan hogy msn-en adtak át egymásnak fájlokat, mert a hálózatot úgy elpiszkálták hogy nem fértek hozzá egymás gépéhez, a spanyol nyelvű printer driverről nem is beszélve!:D
szépen felírtam hogy hány óra leállás volt és kezébenyomtam az ügyvezetőnek hogy ezért áll a meló.
mert ugye mindíg az volt a kifogás hogy xarok a gépek. ergo a rendszergazda a barom. mondtam hogy 1 hónapig legyen az amit én találtam ki. oké.
volt pislogás amikor másnap reggel se net,se usb, rendszergazdai jog nuku. az ment amivel kellett dolgozni kész. netre nincs szükség a munkavégzésetekhez, ott egy egy gép azon lehet netezni ebédidőben, osszátok be.
persze ez maradt évekig, csak akkor volt leállás ha megdöglött vmi hardver.

de kár, hogy ezt nálunk nem lehet megcsinálni. egy USB felcsatoláshoz is rendszergazdai jog kell
net meg kell mindenhez:
-webes levelezés
-honlap feltöltés
-on-line konferencia
-NAV
-ügyfélkapu
-etc.

- és még a céges facebookot is irogatják

Az egyik előző munkahelyemen (nem IT cég!) a 600 munkavállaló mindegyike local admin volt a laptopján. Kb. sosem volt probléma, mert nem ezen múlik, hanem azon, hogy hülyéket nem szabad alkalmazni.

hogy teszteled ezt le felvételi beszélgetésen?
- szokott olyan tevékenységet végezni amihez nem ért?
- belenyúlt már konnektorba ceruzával?
- ha túlélte megpróbálta megint?
- ön növény?
- ön kő?
- 42?

hülyére nehéz szűrni.

Hát nem csak előre lehet szűrni. ;)

Első alkalomnál ejnye-bejnye. Másodiknál irgum-burgum. Harmadiknál megköszönni az eddigi lelkiismeretes munkát, és új embert keresni.

utólag is lehet dádázni, pláne ha szerződésbe beleírnak még ezt-azt. szabályzat megszegése = szándékos károkozás btk akármiszerint.
volt olyan aki azt mondta hogy ő nem írja alá így, mert blablalba. mondtuk hogy akkor viszontlátásra. kövi!

nekem az usa állásfelvételi egyik kérdése tetszett, amivel kiszűrik az alkeszokat:
- fogyaszt-e ön alkoholt délelőtt?
egy igen itt 100 pontot ér, 150 pontos tesztnél!:D

Ha reggelig bulizol, az délelőttnek számít? :D

Nálunk is így van, igen kevés gondot okoz a mindennapokban adminisztrációs szempontból a felhasználók meg elégedettek, de itt relatív civilizáltan viselkednek.
A közeljövőben jön egy tulajdonosváltás, a feje tetejére áll az IT is, utána valószínű lockdown politika jön. Nagyot fognak csodálkozni...

Iskolában teljes lockdown van, mert ahogy beszabadulnak megjelennek az ilyen-olyan toolbar-ok meg egyéb programok.

főiskolán láttam olyat, hogy win belőve jogosultságok,elérés minden használható.
a trükk az hogy minden gépindításkor visszaállítja a wint eredeti állapotra lemezképből gondolom.

Nem egy nagy trükk. Radix reload és társai.

Ott a komplett IT volt a hülye ezekszerint.

Sziasztok!

A FireEye és a FOX IT létrehozott egy oldalt, ahol ha megadjátok az e-mail címeteket, és feltöltetek egy max. 16MB méretű fájlt amit a Cryptolocker letitkosított. Ezt megpróbálják visszafejteni, ha sikerül, akkor kapsz egy master key-t, le kell szedni egy programot, és elvileg vissza lehet fejteni az összes fájlt.
Remélem tudtam segíteni!

https://www.decryptcryptolocker.com/

------------------------
apt-get install aptitude

Köszi azért, de a CryptoLocker != CTB-Locker, teljesen másképp működnek.

Erről már volt szó augusztusban. A CTB-Locker (és módosultaihoz) ez nem jó (AFAIK).

--
trey @ gépház

Elnézést akkor, sajnos nem volt időm és energiám végigolvasni a releváns posztokat.

-------------------------
apt-get install aptitude

Gmail, Hotmail levelező rendszeren keresztül is be lehet sz.pni ezt a vírust?

gmail, freemail spam-be berakja. de ott marad benne a melléklet.

Freemail magától biztos nem rakja, épp tegnap jelzett be a Norton valakinél hogy Thunderbird Inbox-ban ott figyel a kedves .cab.

böngészőben nekem átpakolta pár napja, ma már nem kaptam egy freemailes fiókomban sem ctb-t. szűrnék?
de a tb nekem egyből átdúrta szemétbe, mondjuk eleve csak fejlécet szedetek le vele mostanában!:D

Én hotmailt használok, de eddig hála Istennek még nem kaptam meg (igaz nem is nyitok meg minden sz@rt).

Office365 csütörtökön még beengedte...

Egy újabb verzióban a csatolt zip fájl megegyezik a címzett e-mail címével. pl.: valaki@ citromail.hu.zip. Ebben a zip fájlban van egy másik zip fájl, august_jannson_advertising.zip néven, ez egybevág a levél body-jával (lásd lent). Ebben a második zipben pedig egy scr fájl van: august_jannson_advertising.scr.

Még két megjegyzés:
1. Az eredeti címzettet én módosítottam VALAKI@-ra.
2. A kukac utáni space-eket azért szúrtam be (a fejlécekhez is), hogy ne konvertálja e-mail címmé a fórummotor.

Levél tartalma írta:
Morning,

===================
August Jannson Advertising
19 River Street, Toronto, ON M5A 3P1

CANADA
416-313-9857

Levél fejlécek írta:

Return-Path: <pulsed@ nevarsa.com>
Delivered-To: VALAKI@ citromail.hu
Received: (qmail 29105 invoked by uid 89); 4 Feb 2015 13:44:03 -0000
X-Envelope-From: pulsed@ nevarsa.com
Received: from unknown (HELO server29.citromail.hu) (91.83.45.29)
by 0 with SMTP; 4 Feb 2015 13:44:03 -0000
Received: from cadservices.com ([88.6.213.11])
by server29.citromail.hu with mfiltro
id oDjr1p01J0FK1io01DjtV1; Wed, 04 Feb 2015 14:43:59 +0100
X-Spam-Status-Medium: Yes
X-Spam-Score: 300.00
X-Originating-IP: 88.6.213.11
Message-ID: <4mzd73a88mth@nevarsa.com>
Date: Wed, 04 Feb 2015 14:43:58 +0100
From: "Jin Claassen" <pulsed@nevarsa.com>
X-Mailer: Trapes v2.67
MIME-Version: 1.0
To: VALAKI@ citromail.hu
Subject: august jannson advertising
Content-Type: multipart/mixed;
boundary="----------------------39A48ECF2DE8C9FF18-b1pebohub9pa"
X-Mtrac: passed

Ma szedtem le ismerősnél CTB Lockert, 4 BTC (250 eFt) kifizetése után.
Az átutalás után gyak. azonnal letölthetővé vált egy visszaállító EXE és a hozzátartozó privát kulcs.
Érdekes, hogy mintha a kulcs az EXE-be bel lenne kódolva (nem is kellett megadni).

A legtöbb időt a BTC beszerzése vett igénybe, utána a Tor böngészős rész villámgyors volt.

rohadjanak meg...

mindig fordít egy exe-t az aktuális kulccsal?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

(automata) binárisan belepeccseli az exébe?

Többször elindítottam az EXE-t, minden alkalommal magától kiírta a privát kulcsot, amivel majd nekiáll feloldani a titkosítást.

A privát kulcs 32 byte-os.

Ez a feloldó 50KB-os EXE valószínűleg egyedi, mint ahogy valszeg egyedi a BTC számla is, amire utalni kellett a pénzt (amint megérkezett rá a pénz, azonnal letölthetővé vált a kulcs + az exe).

A felhasználóknak ~5 GB munkájuk és 20GB fényképük volt.
Mentettek rendszeresen külső vinyóra, ami rá volt állandóra kötve ugyanarra a PC-re, így az összes ZIPpel együtt az is titkosított lett.

Kíváncsi lennék azokra az adatokra amik 250e forintot megérnek, de annyit nem, hogy backup legyen róluk...

--
DigitalOcean SSD VPS 10$ kredittel(referral url!)

Ezt nem tudod megértetni egyszerű emberrel. Pont erre való ez a víruska.

Pont pár napja beszélgettem erről egy ismerősömmel, akinek az 1 db laptopján van az összes céges adat, dokumentációk, könyvelés, minden + az összes családi fotója is. Ezt a laptopot hordja magával "terepre" is.
Backupja természetesen nincs. Kérdeztem tőle, hogy mit csinálna, ha hirtelen elveszne minden ami a laptopon van (meghibásodik a HDD, ellopják stb.). Erre azt válaszolta, hogy nagy sz*rban lenne, de nem gondolja, hogy ilyesmi előfordulna. Itt feladtam :)

--
DigitalOcean SSD VPS 10$ kredittel(referral url!)

Ilyentől tudok agyfaszt kapni. Nekem is van ilyen ismerősöm, nem egy.
Inkább utólag sír, rinyál, minthogy kicsit mentene. De nem, majd a jóisten védelmezi őt, ha meg nem, akkor ígyis-úgyis rossz lesz neki. Agyhalál...

nekem egyszer volt adatvesztésem, c64en, floppy-t gallyra vágta a meleg, megolvadt. több hónapos munkáim tüntek el, kódok, grafikák, compo-ra anyagok. idegbaj.
( jelzem azért hogy 20 éves floppy-kat beolvastam pár hónapja pc-re simán!:D )
azóta dupla,tripla mindenből nem érdekel mi az ára.

melóhelyen mondtam hogy másolat? nincs rá pénz. ok.
egyszer elpukkant a raid vezérlő tükör.elkezdett crc error-t csinálni minden fájlra szépen sorba.
méret jó volt, de ha megnyitottad nem működött a fájl.
elvitték kürthöz. ott volt egy hónapig, semmit nem hoztak vissza belőle. azt mondták hogy ilyet még ők se baxxtak, adjuk már nekik a vinyókat meg a raidvezérlőt.
de azért 2 évente új kocsira azért futotta a vezetőségnek, de ~100k már sok a biztonságra.
én mindenkinek azzal kezdem: külső vinyóra másolatot. azonnal.

Ugye? Nem sajnálok nagyon senkit, aki ilyenbe beleszalad. Ismerős rg asszem kedden töltött vissza ebből kifolyólag. Ugyanők tavaly is beleszaladtak ugyanebbe. Volt mentésük. :)

enyhén szólva inkorrekt ezt mondani.
Körülményeket lásd itt

word makrós változatát megfogja már a clamav?

Üdvözlök mindenkit!

Még nagyon új vagyok az oldalon, nem vagyok IT szakember, de lassan 20 éve foglalkozom a PC-k lelki világával (s mostanában az Androiddal is kicsit).

Sajnos nemrég egy ismerősöm beleszaladt ebbe a vírusba. Szerencsére egy frissen telepített laptopján nyitott meg egy levelet a spam könyvtárból :D.
Az adatvesztés minimális volt. Gyorsan utána olvastam a dolognak.
Kérdéseim a következők lennének:
- Ha Total Commanderrel csak olvashatóvá teszem a fájlokat, akkor is kódol?
- Ha több felhasználó van a gépen, akkor is mindent kódol?
- Csak e-mailben terjed? vagy esetleg van más változata is?

Mindent lekódol,

- Aminek fájlkiterjesztése a listájában benne van, és
- A vírus számára írható fájlban van. Ismerősnél admin módban indult el, úgyhogy mindenhez hozzáfért.

nem számít, hogy melyik meghajtón van, az összesen végigmegy.

Köszönöm a választ, a folyamatos mentésen kívül nincs más védelem.

És mentés elött érdemes ellenőrizni, h nincs-e kódolva semmi. Különben felülírhatod a mentésed, ami öngól.

Malwarebytes, Avast, Microsoft Essentials (aminek működése kérdéses) van a gépen. Mindent ellenőriztem mentés előtt. Gyerekeknek a fejébe verve, hogy nem nyitunk meg ismeretlen e-mailt, nem fogadunk facebookon fájlokat. :D

Egy gépen Avast és Security Essentials egyszerre? Több real time FS védelem összeakadhat, nem szabad ezt csinálni. A kettő közül az Avastot javaslom.

Már gondoltam rá :D, ha hazaérek le is szedem az MS-t.

Nem mintha egyébként az Avast sokkal jobb lenne. :)

Melyik vírusirtó fogja meg? Persze ahogy írtátok júzer ellen nincs védelem. A hölgy meg is mutatta az e-mailt, amit megnyitott.

Passz.

Mondjuk eleve nem is szoktam megnyitni email csatolmányokat, szóval annyira nem izgat az egész CTB-Locker téma. :)

webroot, malwarebytes.
de annyira sok már a variáns hogy nincs garancia.
júzernek kell az agyába égetni: nem nyitok meg idegen emailt, mellékletet.

Ezzel az állításoddal vitatkoznék.

Nyugodtan, de a teljesség kedvéért: arra gondoltam, hogy egyik sem jó, nem arra, hogy egyik jobb lenne a másiknál. :)

nálunk az mbam találta meg, igaz a már aktiválódott vírust... sajnos a default telepítésben nincs bekapcsolva a boot előtti indulás.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Vagy inkrementális mentést kell alkalmazni, így meglesznek az előző állapotok is...

nem ír felül semmit, mert hozzápakolja a fájlokhoz a saját random kiterjesztését, így azonosítja magát.
p.: fontoskep.jpg.kodolt lesz a fontoskep.jpg-ből.
a biztonsági mentésnél simán berakja ezt az új fájlt és törli a jpg-t.
jobb esetben ugye szól a backup: kicsit sok fájl változott meg. nincs valami baj? pl.: goodsync-nél nekem be van állítva 1% e-felett ordít és persze menti a törölt fájlokat is,stb.

akkor van nagy gáz ha még aktív a vírus és rámászik a biztonsági mentésre. jártak így páran.

én azt javaslom hogy érdemes elgondolkozni egy konténeres biztonsági mentésben, ami egy egyedi fájlformátumban tárol. pl.: comodo backup vagy veracrypt konténer.
vagy marad az egyazegyben mentés de akkor természetesen offline legyen mindíg, csak mentés idejére online. után kikapcs azonnal.

Nekem az rsync mirrorozásra van beállítva, azaz hidd el, nekem felülírná. De van napi, heti, havi mentés. :) Természetesen linux ment, read-only megosztásra. Azt nem kódolják át.

rsyncet nem ismerem. wines gyökér vagyok!:D
goodsync-et megvettem már vagy 5 éve, az nekem mindenre jó.
én szinkronizálok, amit töröl azt menti, vagy ha változik a fájl előző szinkronziálás óta akkor azt lementi előtte időbélyegzősen,egyirányű,kétirányű,felhőbe,ftp,előtte utána futtathatsz parancssorból bármit, stbstb.
iszonyat sokat tud nyócezerér!:D

Ez a goodsync érdekes lehet nekem is, írhatnál róla pár szót akár itt vagy blogon :)

+1

írnék én de krónikus időhiányban szenvedek!:D
itt aránylag leírnak minden fontos jellemzőjét:
https://www.alkosoft.hu/hu/software/53/GoodSync
plusz a gyik is elég tartalmas:
https://www.alkosoft.hu/hu/termekek/szoftverek/rendszerszoftverek/goodsync_gyik

Köszi, úgy látom érdemesebb online rendelni (még 33%-os kupont is találtam hozzá).

Gondolkozom egy Synology - Google drive - OSX - Ubuntu - Windows szinkronizálás ötszögön, főleg a fájlverziózás miatt.

Lehet hogy érdemes újra elő venni az optikai meghajtókat. A BlueRay író ára már nem vészes és a lemez 25/50GB amiből pár darabra az átlag felhasználó lényeges adatai elférnek.
--
Légy derűs, tégy mindent örömmel!

Cobian. Aztan heti full, napi inc, ket hetre megorizni. Bevalik.

--
http://www.micros~1
Rekurzió: lásd rekurzió.

Sziasztok,

Otthoni windowsos kornyezetben ( 8.1 prof ) mit lenne celszeru csinalni, hogy megelozzuk a bajt? ( mentesen kivul de arra is jo lenne egy reszletes otlet mielott a menteseket is felulirja a virus lasd elozo hozzaszolasok )

Szoval olyan otleteket varnek amik segithetnek:

pl kesziteni egy AD group policy-t ( mit tartalmazzon mire kene figyelnem? )

Mentesnel ha inkrementalis akkor az eleg lehet? Vagy mindig uj filet hozzon letre? ( ez eleg helypazarlo :( )

Fileokat valamilyen kontenerben tarolni es olyan kiterjesztest hasznalni hozza amit a CBT nem ismer? ( mondjuk elobb utobb lehet mindent kodolni fog )

Idézet:
pl kesziteni egy AD group policy-t ( mit tartalmazzon mire kene figyelnem? )

Az összes verzió amit eddig láttam, a felhasználó Temp könyvtárába kezdte pályafutását, de gondolom, ha onnan tiltod a futtatást azt egy-két installer is rossz néven fogja venni.

Idézet:
Mentesnel ha inkrementalis akkor az eleg lehet? Vagy mindig uj filet hozzon letre? ( ez eleg helypazarlo :( )

Szerintem elég az inkrementális, hiszem a titkosított fájl neve el fog térni az eredetitől, így nem írodik felül (persze csak ha a fertőzött kliens nem éri el felcsatolva a backup-ot is)

Idézet:
Fileokat valamilyen kontenerben tarolni es olyan kiterjesztest hasznalni hozza amit a CBT nem ismer? ( mondjuk elobb utobb lehet mindent kodolni fog )

Amit láttam, bár az "ötzászlós"-t még nem próbáltam, ha lesz időm ma megnézem, néhány könyvtárat (Temp, Comodo Downloader), azokat a fájlokat melyek neve Decrypt-All-ra kezdődik (el ne titkosítsa véletlen az utasításait :)) illetve szerintem a tmp kiterjesztésüeket is egyszerűen kihagyja. Illetve ha megtalálja a "konfigfájlát" akkor egyszerűen feldobja az ablakot (hiszen azt hiszi, hogy a gép már fertőzött)

"Illetve ha megtalálja a "konfigfájlát" akkor egyszerűen feldobja az ablakot (hiszen azt hiszi, hogy a gép már fertőzött)"

Ez tetszik. :D Hogyan kivitelezhető?
Ha leformázom a vinyót, akkor vajon törlődik a vírus? Már háromszor futtattam a vírusirtót.

Es mi van ha whitelistet keszitek a futtathato programokrol es ezzel lenne osszekombinalva? Mondjuk akkor is bele lehet futni abba hogy a kis gonoszt valamelyik engedelyezett app futtatja le. De utana az encrypt app miert tud futni amugy temp-bol? Vagy az nem kulon processz?

Sziasztok!

Egyik ismerős keresett meg, hogy az összes doc, jpg, pdf és haszonló fájlját titkosította a vírus. A trójait leírtották, de a fájlokra szüksége lenne. Gondolom az egyetlen mód, ha fizet, de mivel leírtották (elvileg karanténba rakták csak) a dolgokat, így nem tudom hogy kinél lehetne fizetni. Van valakinek ötlete, hogy hogy lehetne ezt kideríteni?
Amit leírtottak, az Kryptik.cxjy névre hallgat. A titkosított fájlok mögé pedig egy .vranvah kiterjesztés került.

madar

CTB Locker esetén:
az össze mappába, ahol valamit átírt, letesz egy új TXT és egy új BMP fájlt. A BMP-t feltette asztal háttérnek is.

Ezekben a fájlokban bent van
- egy "publikus kulcs" névre hallgató egyedi számsorozat, és
- felhasználói utasítás, hogy melyik TOR-os weboldalt kell felkeresni, oda be kell másolni a fenti publikus kulcsot

Ekkor megjelenik egy egyedi weboldal, egyedi Bitcoin pénztárca címmel.
A pénztárcába kell utalni a megadott pénzt, és befrissíteni az oldalt.
Ha észleli, hogy megérkezett oda a kívánt összeg, akkor egy másik weboldal jelenik meg, ahonnan letölthető egy privát kulcs (nekünk éppen nem kellett semmire) és egy kisméretű kibontó EXE.

A kibontó EXE admin módban indítva (vírusirtók kikapcsolva) végigmegy az összes elérhető lemezen, hálózati meghajtón stb. és kibontja az az elkódolt fájlokat.
Többször is futtatható.

Sajnos akkor ez más variáns lesz, mert itt nincsenek plusz fájlok.

madar

Sziasztok. :)
Már kb. jenuár vége óta nyomon követem itt a hozzászólásokat. Nagybátyám akkor kapta valakitől ezt a vírust, és neki is ilyen 170~ k Ft körüli összeget kértek, viszont neki ennyit nem ért meg a dolog, így úgy gondoltuk, vesz egy másik winyót, ezt pedig elrakjuk addig, míg lesz rá megoldás, hogy normálisan vissza lehessen fejteni.

A kérdésem: hogy tudnánk esetleg úgy nézegetni a dolgokat rajta, h pl egy másik gépet ne fertőzzön meg? (Egy régi windowsos boot dvd-vel már próbáltam, de oda kb nem lehet a mostani programok közül telepíteni semmit, amivel esetleg leszedném a rajta levő vírust.)

Milyen mód az, ami ajánlott a vírus teljes kiírtására úgy, h más gépet ne fertőzzön meg?

A jelenlegi adataimat vajon hogy érdemes úgy "menteni" valahova, hogy a vírus ne tudjon bennük kárt tenni? Gondoltam már kiírogatni dvd-re, de kb 20 évnyi kép+videó és egyéb fájlok vannak rajta, ami kb 3-400giga.

Köszönöm előre is, üdv :)

Kimásolni 2 külső lemezre, azokat cserélgetni. Ami nagyon fontos az mehet dvd-re is, pár hónaponként.

Backup biztonságán javíthat az, ha más oprendszer alól végzed és ha az eredményt is megnézed. Kódolás után nagyon nagy mennyiségű adatot fog mozgatni, ez inkrementális mentés használata esetén azonnal feltűnik.

Surgosen talalj ki egy mentesi megoldast mert ekkora mennyisegu adatot gepen tarolni ( marmint ami fontos is ) kb az idozitett bomban ulessel egyenlo.

Igazából 3 winyó van a gépembe, mindegyiken rajta van ez a 3-400 giga, jelenleg 2-t kihúztam, és persze én okosan netezek, nem szoktam mindenféle hülyeségre rákattintani, csak hát szoktam néha programokat/filmeket vinni nagybátyámékhoz. Így aztán szeretném azt is elkerülni, h esetleg pendrive-on hozzam el tőlük, ha ismét bekapnak valami vírust.
Amúgy meg az Enigma kódot is feltörték :), biztos lesz majd rá megoldás, ha már ennyien foglalkoznak vele a világon! ;)

Szerk.: Amúgy Eset Smart Security-t használok, ennél van valami lehetőség arra, h ezt figyelje? Hogy esetleg sok fájl van egyszerre mozgatva?

Hjam feltortek a VH alatt mert butan hasznaltak de nem azert mert az algoritmus amit hasznaltak akkor gyenge lett volna. Szoval attol hogy valahol majd azt hallod hogy visszafejtettek egy CBT-t attol a te vinyodon levo adat meg nem lesz elerheto.
Van olyan enigma kod ( amit normalisan hasznaltak ahogy kellett volna vegig es akkor szoporoller lett volna a lengyel/angol tudoscsoportnak ) amit csak laza 72 even keresztul egeszen 2013 januarjaig nem tudtak megfejteni. Szoval hajra bizva bizzal :D

Arra mondjuk még mindig nem kaptam választ, h hogy lehet kitörölni a vírust, és esetleg milyen program, ami észreveszi azonnal, h elkezdte kódolni?

Szimpla: lelövöd a processzt, és letörlöd a vírusos EXE-t.

Jómagam nem tudok olyan védelmi megoldásról, ami az alkalmazások ilyen jellegű viselkedésének (sok fájlt nyit meg rövid időn belül) figyelésével képes lenne észlelni/megállítani a kártékony kódot.

írt valaki egy olyat hogy usb-n kódol elsőnek. nagy pendrive kismillió jpg vagy egy régi usb ide-s vinyó ami alig működik már rendesen telepakolva szintén kismilla jpg-vel. ha recseg ropog akkor vírus.
akik bekapták azt mondták hogy indokolatlanul lassú volt a gép. elvileg ha beállítasz egy jelzést hogy ha melegszik a proci vagy a vinyó akkor szóljon.
elvileg.

"vesz egy másik winyót, ezt pedig elrakjuk addig, míg lesz rá megoldás, hogy normálisan vissza lehessen fejteni"

Ha ez CTB akkor arra az eletedben mar nem fog sor kerulni tobb mint valoszinuleg...

Abban is felesleges remenykedni, hogy egyszer elkapjak oket ugy, hogy meglesznek a hatarido lejarta utan a kulcsok.

Eleg jol felepitett rendszernek tunik amiben dolgoznak meglepodnek ha a kulcsokat nem torolnek a hatarido lejarta utan vagy valahol mashol orizgetnek megkockaztatva azt hogy azokat mas ellopja/letoltse.

Hit&Run :)

Sziasztok

Azoktól kérdezném akik sajnos pórul jártak:
- ez ugyan az ami egyébként a Synology termékeket is támadta?
- csak a mountolt, tehát meghajtóként látható távoli eléréseket támadja a lokális mellett, vagy bármit ami a helyi hálózaton tallózható
- adott egy NAS ami elérhető userek által, viszont a NAS-on lévő adatokat egy másik NAS-ra rsync-kel töltöm át, heti 1x, a felhasználók nem érik el a második NAS-t, csak az admin (jelenleg még azonos a jelszó, de a dokumentáció elkészültével változni fog, tehát tallózva sem lesz elérhető a második mentési helyszín)
- mi a helyzet a cloud-os dolgokkal? Copy, Dropbox és társai? feltételezem, mivel a helyi file-t támadja a rendszer, a cloud progik autómatikusan feltöltik a fertőzött file-t felülírva az ott lévő.
- egyelőre úgy látom win specifikus a dolog, mi a helyzet linux (pl ubuntu) és macos szinten?

a válaszokat előre is köszönöm
üdv

A Dropboxnál például van file history, tehát még akkor is vissza tudod állítani az eredeti fájlokat, ha a CTB Locker letörölte.

Igen ezt fentebb mar ki lett targyalva sajnos :(

nagy peti 2 hete rájött már erre, szerverről köl a kulcs sajna!:(
http://hup.hu/node/138183#comment-1830176

A fenti alapján összeütöttem egy scriptet (http://test.gw4.us/), igazából nem segít, de a GUID alapján megmondja, hogy milyen néven fog lefutni a CTB a gépen és milyen állományba fogja pakolni a HiddenInfo-t, sajnos a dekódolása nem sikerült, ha a 0x027e megyek visszafele 32 byteonként nem is és post a fájl elejére. Pedig az igazi az lenne, ha sikerülne legenerálni azt is.

nacceru. azt meg tudnad mondani, hogy a weblapod altal kiadott nevu konfigfilet hova kell letrehozni ?

Én eddig "All Users\Application Data" alatt random közvetlen almappa, illetve a "fertőzött user\Application Data" közvetlen almappájába találkoztam vele szerintem ide akkor pakol ha nem az elsőbe tud írni. De nem elég létrehozni mert mint fent a cikk is írja ellenőrzi ép-e, azaz dekódolja és ellenőrzi a checksumot.

mi tortenik ha egyikbe sem tud irni?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Akkor csinál magának egy random 7 karakteres mappát az Application data-n belül és abba rakja. :)

Es mi van ha az application mappan es a tempen belul tiltva vagyon az exek futtatasa? Akkor is lefut valahogy?

Az Application Data-n belül csak a configot tárolja, végre sikerült decrypt/recrypt-elni a konfigját, így átírtam a scriptet (http://test.gw4.us/) így már le lehet tölteni egy generált a konfigfájlt (ha valaki tesztelgeti, nekem virtuális gépbe át is veri azt a 3 verziót ami van, de gari nincs rá :)).

ellenkód!:D jee.

ez a cucc szerinted baromság?
http://www.foolishit.com/vb6-projects/cryptoprevent/

Kipróbáltam, max protection-nel (a béta nélkül), valószínűleg azt megakadályozza, hogy letörölje a shadow copy-t de a CTB vígan elindult.

Egyébként elég "szoftos" a time up-ja:

You did not made payments for your files.
Locker will self-delete right now.
All files will remain encrypted and you can lose them forever!
Maybe you need a bit more time to pay?
Read instructions in the Decrypt-All-Files.txt in the Documents folder, it is your LAST CHANCE.

http://i.imgur.com/CzoOAAa.png

ennyi erről akkor. te mit javasolsz akkor védelemnek ami működik is.
elég sok 5let kering az éterben, persze az offline rendszeres másolaton kívül.

Azonos GIUD a gépekre, esetleg egy olyanét használni aminek megvan a kulcsa? :D

kiprobalni virtualisgep hianyaban nem fogom, de par helyen elhintek ebbol a konfigbol, aztan meglatjuk, ha feldobodik az ablak, akkor mi fog tortenni.

Es ha whitelistet keszitenenk?
Nem akarom elhinni hogy egy kiba exe-t nem lehet letiltani win alatt.
Hjam es udvozlom a kedves mamajat billy fiunak hogy az Applocker win8.1-alatt mar csak enterprise verzion elerheto...

johetne valami win guru es elmondhatna hogy gpo-bol hogyan lehet egy adott path-on belul minden exet kitiltani es nem csak specifikusan egy adott exet.
*.exe -el nalam vigan futkarozik tovabb :(

Kíváncsian várom én is, lesz-e válasz... De a "Dokument and Settings" mappát annyi szoftverösszetevő használja, valamint az itt található user/temp mappában folyik az "autoupdate" tevékenység zöme, (naponta futnak a legkülönfélébb futattható állományok, .exe-k, amelyek normális esetben a felhasználók fejében nem is léteznek.) Kétlem, hogy ezeket a folyamatokat az operációs rendszer fejlesztői bármilyen módon is hagynák akadályozni.

Illetve ott a "CryptoPrevent" projekt, ha erre mód lenne a Windows-nál, akkor nekik már elsőre eszükbe jutott volna "GPO"-zni. (Ráadásul alapesetben a GPO olyan gyenge eszköz a Windows-ok világában a restrikcióra, amit az óvodás gyerekek is nap mint nap, akár többször is simán "meghágnak", és majdnem mindegy, hogy ki akarod-e védeni vele vagy nem, a "hátad mögött" folyó pl. "telepítési" tevékenységet.)

Egy "Applocker"-t valamilyen külső biztonsági programfejlesztő cég lefejleszthetne, öröm lenne használni Windows-on (is), az biztos.

Kérdés: Total Commanderrel kötegelt átnevezéssel megvédhetők a fájlok? Mondjuk a nap, mint nap használatban lévők.
Most olvasom más fórumon, hogy nem csak e-mailben terjed, erről tudtok valamit?

Igazabol ugyanugy tud terjedmi mint egy csomo mas rosszindulatu alkalmazas.
mail/weboldal akarmi amibe belekodoltak hogy toltse le az encryptelo cuccot.

CTB lockernél ha a fájl kiterjesztése olyan, hogy nem ugrik rá, pl .BAK vagy .kiskutya, akkor nem csinál vele semmit.

Sziasztok!

Az ügyfél nálam is úgy döntött, hogy fizet, így megírom a helyreállítás történetet, hátha segít azoknak, akiknek a hálózati meghajtóról nem sikerült visszaállítani.
Ebben az esetben egy külső merevlemezen és a C meghajtón történtek a titkosítások. Minden titkosított állomány kapott egy vranhah kiterjesztést. A dokumentumok mappába került egy !Decrypt-All-Files-vranhah.txt és bmp.
Tor-on a http://fizxfsi3cad3kn7v.onion/ címre kellett menni, a publikus kulcs ez volt:
ATFUE6T-XIA4ANC-WYSD7SP-W6AA2CD-SCF2IGU-CTICUWW-7JFZN43-5OWKZ5U
YRKQ7M4-UTYCKBZ-LBUO6ED-5INUGVX-4G6OCOQ-4BGDYKH-FXX54O7-W6QGX4U
QHSD3OI-CGIIG3P-2BSTGFQ-R3EEG72-LFPFXO7-KIOM5WF-GSPVKX7-ZUMHIIC

1.7 BTC volt a tarifa, a már javasolt https://www.instacoins.eu oldalon vettem a BTC-t, kicsit körülményes kiszámolni a pontos összeget, mert az árfolyam durván ugrál és HUF-ban kell megadni, hogy mennyiért akarunk vásárolni.

Miután megjött a BTC, átutaltam, 15 perc után tényleg ott volt a link a CTB-Unlocker.exe -re és a privát kulcs is ott volt.

Nem mertem rögtön a gépen futtatni a programot, nehogy valami maradék vírus esetleg újra megszivasson, hanem lementettem a titkosított kiterjesztésű fájlokat (a könyvtárstruktúrát meghagyva), majd egy vmware-es windows-ban hálózat nélkül lefuttattam (egy üres d meghajtóra másoltam a fájlokat). Ez sikeresen lefutott és megcsinálta, amit kell.

Amikor a másik meghajtó fájljait másoltam fel és futtattam, akkor viszont nem állított vissza semmit. Nyomtam vmware-ben egy revert to snapshop-ot, majd tiszta lappal futtatva már visszaállította a másik meghajtó fájljait is. Azt tehát elmondhatjuk, hogy a meghajtó betűjel az nem játszik szerepet a titkosításban, tehát ha egy hálózati meghajtó fájljait ezzel a módszerrel felmásoljuk, akkor jó eséllyel menni fog.

mADáR

Tapasztalatom ugyanez volt, csak nekünk drágább volt a tarifa.
Én VirtualBox-ban lévő net kapcsolt nélküli WinXP-n csináltam a visszaállítást. Ha egyszer lefutott utána már nem csinált semmit, hiába lettek akár ugyanazon a meghajtón még titkosított fájlok.

Na még valaki beszívta. Most nem fizetünk.

Szia! Mit nyitott meg? Hogyan jutott a vírus a gépére?

Ezt még keressük :). Gyanús hogy email-re nem emlékszik.

bocsánat. dupla. légyszíves töröljétek.

pendrive?

Tipikus user mentalitás...

nem kell feltetlenul mail linkekre kattintani lehet valami kieg plugin vagy egyeb fertozott file is.
Meg most is hihetetlennek tartom hogy ennyire vacak egy win hogy ezt nem lehet letiltani.

Es mi ujsag a white list keszitessel a meglevo exe fileokon? Akkor hogyan futna le a virus?

Egy-két kritikus gépre belőttem egy voodooshield nevű progit, beállítottam mik futhatnak és semmi mást nem engedélyez. Remélem ér is valamit, meg napi szinten elmondom, hogy nagyon vigyázzonak a csatolmányokkal a kedves felhasználók.

> Meg most is hihetetlennek tartom hogy ennyire vacak egy win hogy ezt nem lehet letiltani.

Winen kb. bármit le lehet tiltani, az nem a Windows hibája, hogy a lehetőségeket még minimálisan sem használják ki a rendszergazdák.

In the meantime, néhány threaddel arrébb meg az a baj, hogy miért van egyáltalán whitelist support az IE-ben.

Halas lennek ha valaki leirna a mikentjet annak hogy csak es kizarolag azok az exek fussanak amik mar telepitve vannak...

gpo-ban en csak adott exet tudok tiltani :(

Két igen jó és egyszerű leírást használtam a Software Restriction Policy (SRP) beállításához windowson.
Itt a két link, az egyik doksit az NSA írta :)
Ingyen van és nálam jól működik. (Az SRP-t beállító secpol.msc a Home verziójú windowsokban nincs jelen, de gyakorlatilag csak a registry kulcsokat állítja be, így regedit-tel is megoldható az SRP, csak macerásabb.)

http://www.mechbgon.com/srp/
https://www.nsa.gov/ia/_files/os/win2k/application_whitelisting_using_srp.pdf

Lényegében ezzel megoldható (többek között), hogy mezei user ne tudjon futtatni programokat csak a beállított alkönyvtárakból, célszerűen olyan alkönyvtárakból, ahová viszont nincs írási joga.

sub

Illetve a Home verziójú windowsokra is felvarázsolható a Group Policy Editor, amiben megtalálható a Software Restriction Policy rész. Így tehát nem kell mégsem regedit-tel varázsolni ezeknél sem.

Ehhez itt a leírás, telepítőkészlet és magyarázat:

http://www.askvg.com/how-to-enable-group-policy-editor-gpedit-msc-in-windows-7-home-premium-home-basic-and-starter-editions/

szerkesztve:
Viszont a Home verziójú windowsokon az SRP nem működik a fenti Group Policy Editorral beállítva sem, hanem ott marad egyedül a "Szülői felügyelet" üzemmód beállítása, ami szintén a futtatható programokat korlátozza le durván.

Ez jó! Köszönet a "link"-ért.

Van valakinek valami új hírre ezzel kapcsolatban? Valami jó hír? Mondjuk egy visszafejtő? :D

Egy verzióra volt eddig olyan tool amivel vissza lehetett fejteni, mintha valami szerverlefoglalások kapcsán kerültek ki kulcsok vagy valamit elszúrtak velük, pontosan nem emlékszem már. Ez tavaly április-május környékén lehetett.

Nem reménykedni kell, hanem tenni ellene valamit (backup és annak a backup-ja).

a backup hal meg utoljára!:D
hogy stílszerű legyek!:D

Visszafejtés sosem lesz hozzá. Ments.

...és tájékoztasd, oktasd a felhasználóidat, hogy mire figyeljenek. Akkor ritkábban kell a mentésre hagyatkozni :D

Pl. Ha valami elkezd visszafele számlálni a képernyőn az a hátralevő idejét jelenti a cégnél?

Hát, az is egy megoldás. Mindenesetre nem szeretnék nálatok dolgozni.

Én annyit csináltam, hogy felhívtam a figyelmüket, hogy újabban olyan állatka terjeng, ami ellen nincs 100%-os védelem, és ugyan eddig is ésszel bántak a gyanús levelekkel, linkekkel, ezután ha lehet, legyenek még gyanakvóbbak.

Megírtam továbbá hogy egy jó mentés akár otthon is hasznos lehet (mint egyelőre az egyetlen(?) valós védelem), ha az otthoni gépük fertőződik meg, vagy a gyerkőcé, asszonyé, szülőké, és linkeltem az általam is használt mentőmegoldást.

De persze igen, lehet fenyegetőzni a kirúgással is.

Nem gondoltam komolyan (kellett volna egy smiley a végére), csak sajna a figyelemfelhívás néha úgy tűnik édeskevés.

Én se tudok jobb megoldást a mentésnél, ugyan sikerült rájönni, hogy számolja a config állományra a crc-t és kis küzdelem után belegenerálni a

ATFUE6T-XIA4ANC-WYSD7SP-W6AA2CD-SCF2IGU-CTICUWW-7JFZN43-5OWKZ5U
YRKQ7M4-UTYCKBZ-LBUO6ED-5INUGVX-4G6OCOQ-4BGDYKH-FXX54O7-W6QGX4U
QHSD3OI-CGIIG3P-2BSTGFQ-R3EEG72-LFPFXO7-KIOM5WF-GSPVKX7-ZUMHIIC

kódot de amikor letitkosítattam vele a virtuális gépet, a hozzá tartozó unlocker nem kódolta ki (szerintem azért mert a fenti kódsor pedig 0x24-től kezdődik, a titkosításhoz használt kulcs pedig talán első 32 byte, a 33. pedig valami állapotjelző lehet (mert, ha 0 akkor titkosít, ha 0x23 azt hiszi már végzett), de ezt a szálat csak úgy lehetne igazolni, ha meglenne az a config ami a fenti kulcshoz tartozott (persze a gép GUID-jával együtt).

Az a baj tudod hogy egy partnercégnél kb. szóról-szóra az általad írttal egyező körlevél ment körbe. Azóta kissé szkeptikusan látom a vezetőségek hozzáállását.

Gondolom a VoodooShield™ Pro változatot említetted. Mennyire "macerás" vele az együtélés? Tapasztalat? "user" módban is korrekten működik? Mit lehet tudni a megbízhatóságáról? És az UAC kikapcsolása? Ja igen, - ha MS Office makró indítja a vírust a doksi megnyitásával egyidejűleg, azt is le tudja majd kezelni? Mi van, ha a vírus hálózaton keresztül éri el az adott gépet és kezdi a titkosítást, tudja blokkolni? Az aktív víruskeresővel hogyan viselik egymást? Végül mennyire aktívan "online"?

Az elv nagyon jónak tűnik, kérdés a felhasználó, jelzés esetén mire fog majd kattintani. A következő vírus variánsok a fejlődésük folyamán, mennyire tudnak majd a működéséhez "alkalmazkodni" és ehhez képest a fejlesztő cég mennyire lesz naprakész a frissítéseivel. (A célirányos használatához, szerintem nem árt a Windows működésének alaposabb ismerete. "1 bit-es" user nem tudom adott esetben jól fog e választani.)

A "Woodooshield"-hez... A hatásosság kérdésében pozitív jelnek veszem...,

(regisztráltam a "CTB webinar"-ra, és volt a Windows-omon indítva a Citrix webinar modul. - Sikertelen kapcsolat után törölte magát, akárhányszor visszamásoltam. Többször próbálkoztam, nem tudtam a nagy "érdeklődésre" tekintettel kapcsolódni... :-( )

Ki akartam lépni a gépből és az előtte próbaként telepített free "Woodoo" karantint ajánlott: \local\citrix\gotomeeting\2185\g2mupdate.exe - Trojan/Vilsel.aizv

Én beléptem, linux alól ilyesmi nem gond, nem volt hang, vártam egy 10 percet, közben háttérben cserélgették néha a slideokat, oszt bezártam. Hang nélkül nem volt értelme. Linuxakadémiás srácokat elötte megkérdezhették volna, akkor lehet összehoztak volna egy jól működőt.
Volt, akinél jó volt amúgy?

Nekem jó volt. Igaz, elolvastam előtte a rendszerkövetelményeket, és támogatott OS-t használtam.

http://support.citrixonline.com/webinar/all_files/G2W010003

Igazság szerint tettem egy próbát linuxszal is, az felajánlotta, hogy telefonon hívjak be. De én azt kihagytam.

Nem is olvastam a követelményeket, nekem annyira alap, hogy valami ubuntun működjön már. Messze nem járhattam, mert ez is vmi javás akármi volt, éppen jó is lehetett volna.
Nincs windows a gépemen, hát evvan. Csak ezért nem telepítettem volna.

Nade nem csak windows-on megy. Ha úgy lenne, akkor én is kimaradtam volna.
Bár most már mindegy.

25-én megismétlik. Kérdésem, elég informatív volt az előadás, többet megtudott, akinek sikerült végignézni, mint amit ez a topic tartalmaz a témáról?

Mindenképpen kisebb volt az overhead :D
És legalább össze volt szedve, bár lehet, hogy innét is ki lehetne mazsolázni ugyanezt.

Egész jól megy a biznisz a gyökérnek... már 152 BTC-t begyűjtött a gyűjtőszámlájára, ahová a miénket is továbbdobta...
https://blockchain.info/address/1ALP3hhntCUU3RZn3MM66rsYQ6AKupytwh

de ez csak 1 a sok közül gondolom

Ugyanazt írják le mint eddig bárhol: helyreállítás mentésből, ha az nincs, akkor shadow copy-ból előkotorni, mert néha a dög nem törli le azokat.

Jjja, meg sem neztem amugy:)

Bocs a zajert...

Nem neha nem torli:
Ha admin userrel fut le akkor tud shadow copy-t torolni amugy meg nem.

Ez jo lehet majd az uj winben:

Trusted apps will be those that are approved by IT to run and must be authenticated first. Microsoft also hopes to make it easier for users to stay free of malware with Windows 10 by providing the ability to lock down devices, allowing only trusted applications to be installed and executed...

Remelem ez nagyon egyszeruen lesz megoldva es nem lesz megkerulheto.

Ha ez a funkcio mukodni fog 10-en rendesen ( es nem csak az enterprise verzioban lesz elerheto ) akkor mar csak ezert is erdemes lesz valtani. A hatterben lefut ez meg az tipusu virusoknak ezzel vege lesz majd igy a CTB/crypto szaroknak is.

Az NT ota egyre biztonsagosabb. Es az aktualis biztonsagi eljarasokat egyre mgekerulik az aktualis cuccok.

Nem az oprendszert kellene levaltani, hanem a felhasznalot.

--
http://www.micros~1
Rekurzió: lásd rekurzió.

Nem az oprendszert kellene levaltani, hanem a felhasznalot.

+1
De ha már leváltani nem lehet, legalább tanítani kell őket. Közvetve a CTB Locker is tanítja őket, noha meglehetősen drágán.

Mivel nincs 100% -os virusirto ezert egy nagy cegnel elofordulhat hogy valaki megnyit egy csatolmanyt. Magyar usernek egyertelmu lehet hogy egy angol nyelvu fax az tuti virus. De peldaul nalunk ahol mailben jonnek scannelve a faxok/szamlak es naponta nezegetnek tobb ezer ilyet siman becsuszhat. Na most ekkor jobb ha le lehet tiltani ilyeneket egyszeruen. Mit tanitgassak a juzernek ne dolgozzal hanem nyomozzal minden egyes mailt? Es megegyszer nem a viagras meg penisznovelos mailekre gondolok. A legtobb CTB faxnak alcazva jott be...

Cégeknél, önkormányzatoknál legtöbbször ott kezdődik a probléma, hogy a (lopott) windows szerveren van egy megosztott mappa és abba dobálja mindenki a lomjait. Természetesen jelszó nélküli még a megosztás is.
Amikor ezt elkezded elmagyarázni valakinek, hogy ez miért nem jó, akkor azt hiszi, hogy egész egyszerűen csak le akarod húzni, hisz nekik ez így jól működik... szerinte.
Nem érti, vagy nem is akarja érteni, hogy milyen gond lehet belőle.
Jó ha 10-ből 1 helyen megértik és tenni akarnak ellene.

Természetesen nem attól lesz CTB-s, mert lopott a windows, de ez jól mutatja a hozzáállást.

mert a user nehezen tanul.
Nem biztos, hogy a helyi IT-s a hülye....
Nálunk is ez van.
Annyi volt, hogy amikor itt a HUP-on olvastam a CTB-ről, a hétfői értekezletem megmondtam hogy ezt és ezt a levelet nem nyitjátok meg, nem töltitek le.
Megértették

az első ctb-s fórum elolvasása után tájékoztattam az egyik ügyfelet a nála működő rendszer sebezhetőségéről és a vírus - a rendszerére gyakorlott lehetséges veszélyeiről, a védekezés módjairól, figyelendő dolgokról. két hét múlva végigsöpört a cégen a vírus - már amikor reggel hívtak, sejtettem hogy valami ilyesmi van!

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Én is szóltam mindenkinek, az ennek ellenére a kollegának simán sikerült megnyitni, itt a legfőbb ok az volt, hogy otthon nem nyilt meg a freemail, szerencsére a tipikus "ami nincs az asztalon, nem is létezik" user volt, így a hálózati megosztás csak shortcutként volt az asztalán és nem felcsatolva meghajtóként. (damage migligation at its best :P) Bár ha véletlenül végigkúszik a samba megosztáson is akkor is, legrosszabb esetben fél nappal előtti backup megy vissza mentésből.

Igen, elofordulhat. Az a kb. tiz ceg, akivel en talalkoztam,
- nem szokott faxot kapni
- 99%-ban csak maygar nyelvu levelet kap.

Szoval nyilvan lehet, hoyg egy cegnel a levelek nagy resze angol nyelvu fax-ertesito, de nem ez a jellemzo.
Legalabbis a KKV szektorban.

Egy nagy cegnel meg legyen mar arra megoldas, hogy egymastol elszeparaljak az userek dolgait, keszuljon backup es hasonlok.

Szoval fenntartom, hogy nagyreszt az useren mulik, mert ha tudja, hoyg nem szokott mittomen honnan faxokat kapni, akkor mar ne legyen olyan kivancsi, hogy csakazertis megnezi.

--
http://www.micros~1
Rekurzió: lásd rekurzió.

Nalunk bejott a dolog, es sajnos pont egy olyan KKV, ahol nagyon sok fax ertesito jon be (egy majdnem alaptelepitesu HylaFax fogadja a faxokat es tovabbitja oket), szoval ha nem is jellemzo, letezo problema. Es azoknak, akik beszivjak az ilyet, nem vigasz, hogy "nem jellemzo". Az a legfontosabb, hogy ne altalanossagban oktassuk a felhasznalokat, hanem mindig az adott kornyezet ismerete mellett, mert ez segiti a legjobban a prevenciot.
--
Blog | @hron84
Üzemeltető macik

Hat mi meg kapunk minden nyelven faxokat a magyartol a kelta rovasirasig.
Scannelve jon tobb ezer szamla naponta a vilag minden orszagabol akikkel van uzleti kapcsolatunk.

Ettol fuggetlenul hogy van szerver oldali backup plusz van a desktop gepeknek is backupja a felhobe ( verziokovetessel ) azert nem feltetlenul ugralunk az oromtol ha a felhasznalo vegigszantja mondjuk a shared driveokat egy ilyennel.

Group policybol most eleg jol le lett tiltva minden de az ordog nem alszik. Az uzemeltetes most a homokozoban kiserletezik mikor mi tortenik. ( Vannak meg nalunk is kiveteles userek local adminkent egyes orszagokban barmennyire is ellene vagyunk. A legtobb helyen ezt sikerult kivaltani privilege guard hasznalataval )

Sziasztok!

Van egy pár pen drive, ami kapcsolódott egy olyan géphez amin Cryptowall 3.0 volt fent nem tudom a fileok fertőzöttek-e vagy sem.
Arra gondoltam mivel csak Windows alapú rendszerem van hogy egy live Ubuntu Live CD bebootolok és azon keresztül nézem meg melyik pen drive mit tartalmaz.
Ilyen esetben is van esély, hogy fertőződik a Windows rendszer?
Köszönöm előre a válaszokat!

Persze, sőt már akkor is, ha a közelébe viszed a géphez a pendriveot; és még te is elkaphatod, ha nem húzol előtte gumit...

sub

BTW olcson bitcoin elado :-) erdeklodni pm-ben.

Sziasztok! Sajnos én is beleszaladtam ebbe a genszter vírusba. Sajnos én technikailag teljesen analfabéta vagyok ehhez az egészhez, ezért szeretnék egy kis segítséget kérni:

1. Mennyi idő áll a rendelkezésemre hogy befizessem a "váltságdíjat"? (A vírus 2015. május 26-án kódolta le a fájlokat. Ma június 1-je van, tehát 5 nap telt el azóta.)

2. Mi a garancia rá hogy tényleg megkapom a fájlokat? Összesen 3 BTC-t (kb. 200E ft-ot) kér tőlem a rohadék! Sajnos nekem egyrészről nincs ennyi pénzem, másrészről ha lenne sem lennék biztos benne, hogy ki merném fizetni, mert lehet hogy nem is kapnék cserébe semmit.

3. Tegyük fel hogy hogy megveszem a 3 BTC-t. Hogyan tudom ezt megtenni? (Nem mintha nagyon ragaszkodnék ehhez a lehetőséghez, csak ha már minden kötél szakad.)

4. Azt hallottam hogy van lehetőség a fájlok visszaállítására abban az esetben ha létezik egy kódolatlan állomány ugyanazokról a fájlokról. Nos nekem van egy kb. 24 GB-i (kb 100E fájl - képek videók, dokumentumok stb.) mentésem ezekből a fájlokból. Néztem a neten oldalakat, ahol "adatmentéssel" foglalkoznak. Itt van egy: http://www.apostol.hu/datarestore_.php Már beszéltem velük, azt mondák elvileg lehetséges és már csináltak is ilyet. 4-ből 2-nek sikerült. Most az a kérdésem, hogy ez mennyire felel meg a valóságnak? Valaki meg tudná ezt erősíteni?

Ha a 4. lehetőség tényleg működhet, akkor mindenképp szeretném azt választani. Inkább kifizetem azt a pénzt, amit elkérnek az adatmentésért minthogy ezeket a sz**háziakat támogassam 200k-val.
A sors iróniája hogy pont egy héttel azelőtt rendeltem meg egy 2TB-s USB merevlemezt (kb. ennyi adatom szállt el) és egy nappal azelőtt kaptam be ezt a vírust, hogy a tárolót kézhez kaptam volna. -.-"

2. re a válasz:
Egyik helyi cég fizetett ki ~400k-t. Nem kapott semmit.

A CTB-s előadásból az rémlik hogy kb. egyharmad kap a pénzéért kulcsot.

A Kaspersky megszerzett pár kulcsot, amivel egypár CTB variáns által elkódolt adatot vissza tudnak állítani. Azaz vagy mész vele valamire, vagy nem, de az biztos.

http://www.engadget.com/2015/04/14/kaspersky-releases-decryption-tool-that-unlocks-ransomware/

Mondjuk ezzel tennék egy próbát, gondolom ezen is rajta van: http://support.kaspersky.com/4131

Sajnos ez nem segít. Az én gépemet a "KeyHolder" nevű vírus támadta meg és nem ez.

Hogy sikerult bekapni?

3. Csinalsz egy walletet, szemelyesen talalkozol az eladoval es atnyomja azonnal a tarcadra a btc-ket.
Ugy tudom csak bizonyos ido intervallumban tudod megkapni a kulcsot, utana mar hiaba a 3 btc...

Sziasztok! A fertőzés után mennyivel jelentkezik a zsaroló képernyő?

Amint végzett :)

De most komolyan! Megkapta a user a fájlt, megnyitotta a mellékletet. Átlag irodai PC. Kb. mennyi idő alatt végez?

Komolyan amint eltitkosít mindent. Legalábbis, sandboxba akkor dobta fel az ablakot. Átlag irodai PC-n nem tudom (gondolom, függ, hogy van-e felcsatolva hálózati meghajtó), Windows 7 Pro szűz XP Mode-ján kb. 1 perc alatt lefutott (igazából attól függ hány állomány van amit el kell titkosítani)

elkezdi veszett mód használni a vinyót és a procit.magyarán belassul a géped mint a dög.
elsőnek usb-n keres, tehát ha rádugsz egy régi vinyót csurig pakolva jpeg-el, akkor ha az elkezd kerregni akkor van vmi!:D
volt akinek nem csinált semmit egyből, csak amikor újra indította a gépet, akkor kezdett el tekerni.

Valami DHL-es levelet kapott PDF csatolmánnyal és persze megnyitotta. Ez az pontosan? Van valamilyen process/file/stb., amit létrehoz ilyen esetben?

Nezd at a dokumentumait, az osszeset, ha talasz dokumentumra hasonlito fajlt, random szoveges kiterjesztessel, akkor mar fut a hatterben.

Ezek a cuccok altalaban nem jelennek meg a feladatkezeloben. szoval tenyleg csak a winyokerreges kell, hogy feltunjon.

Mindenesetre, ha akarcsak a gyanu is felmerul, halokabel kihuz, gep leallit, winyo kivesz, es valami kukagepen lefuttatsz ket-harom virusirtot a winyo tartalman, es imadkozol, hogy nem talalnak semmit. Ha nem talalnak semmit, akkor szalankent atnezitek az osszes mappat, hogy minden dokumentumfajl a helyen van-e. Ez ket oratol ket napig barmennyi lehet, de maskepp nem tudod hatekonyan megfogni.
--
Blog | @hron84
Üzemeltető macik

Ez nem ugyan ez:http://hup.hu/cikkek/20150602/elnezest_kert_a_locker_ransomware_allitolagos_keszitoje_elerhetove_tette_a_decryption_kulcsokat
--------------------
http://grant-it.com/

szabo69

Sziasztok.

Esetleg sikerült valakinek ezt az állítólagosan közzétett, privát kulcsokat tartalmazó fájlt letöltenie?

Az ugye megvan, hogy a link nem a CTB-Locker-re, hanem a Locker nevű ransomware-re vonatkozik?

Ebből max a dropper-e derül ki (ami letölti magát a malware-t :)), én még CTB Lockert-t nem láttam PDF-el bejönni.

Hmm ha a CBT egy dropperen keresztul jon le akkor azt nem fogja meg a tuzfal? ( nalam pl blocked minden out by default )

Vagy igen, vagy nem, de az biztos.

Ha jól emlékszem Dalexis volt a dropper-e neve http/https-en töltötte le magát a CTB-t pl:

Google cario.tar.gz (titkosítva van úgyhogy ártalmatlan és ennek köszönhetően átcsúszik az AV proxykon :()

Ennek ellenére senki nem akadályozza meg, hogy a következő generáció más dropper-al/direkt essen be.

Meg kéne keresni azt az előadást, elmondták, hogy kiadják a terjesztést, és százalékot fizetnek érte. Szóval dropperből rettenet sok van/lehet/lesz, és se az AV proxy nem ér sokat, mert igen, kódolva jön/jöhet az érdemi vírus, és az url/ip alapú szűrés ("nálam minden tiltva van") se rém sokat, mert ugye számos CDN-t kell engedélyezni hogy a munkához szükséges oldalak működjenek (legalábbis nálunk), és azokat a CDN-eket bárki igénybe veheti.

Hmm ez a százalék biztos? Amennyire én tudom előfizetéses volt (bár az oroszom az nagyon nem jó :P):
https://forum.zloy.bz/showthread.php?t=145783

Nekem százalék rémlik, de lehet hogy keverem valamivel. Ott meg valóban havidíjat írnak.

Valaki erről tudna valami bővebbet mondani?

http://deletemalware.blogspot.hu/2014/12/how-to-remove-keyholder-virus-and.html

Ez a vírus nem annyira ismert mint a cryptolocker, de hasonló módon működik. Sajnos az mi gépünket ez a nyomorult vírus fertőzte meg. Olyan durva szinten hogy még a backupok is kódolásra kerültek. Ráadásul 5 BTC-t akar belőlem kisajtolni (kb. 300.000 ft).
Valaki az itt jelenlévők közül találkozott már vele? Hogyan lehetne visszaállítani az adatokat? 2 TB-nyi adatról van szó. Van egy 24 GB-nyi biztonsági mentés ezekből az adatokból. Az alapján vissza lehet állítani a többi fájlt?
Ha valaki tudna segíteni, annak nagyon hálás lennék! Bármilyen megoldás érdekel. Ha akadna olyan itt ember, aki foglalkozott már ilyesmivel és mondjuk vissza tudná hozni a kódolt adatokat, akkor az méltóképp tudnám honorálni.

A backupot érdemes read-only megosztásra tenni...

A backupot nem kell megosztásra tenni...
(Ha kell valami valakinek akkor ne perverzkedjen a fájlok között)

kacsojja ki a backup-ot kérem!:D
kikapcsoltam

hi,

rokon gépe is megnyerte a lockert, mentesbol a cuccok tobbsege vissza is lett allitva. Viszont nekem nem tiszta, ha vmilyen csoda folytan kikerulnek a "kodok" vagy valamikor a kozeljovoben valaki keszit egy decryptert, akkor elég lesznek az encryptált fileok,vagy kell hozza a konkret rendszer, az adott ctb lockerrel?

Ma ezzel támadtak a lengyelek. :P

Unrar-free ment a levesbe (amavison simán átjött miatta), lett helyette unrar (non-free) :(

meglenne a megoldás a zsaroló vírusok ellen?
csalit használnak.
https://itcafe.hu/hir/ransomfree_zsarolovirusok_ellen.html

Szerencsére nagyon úgy néz ki! Köszi az infót - kicsit kiegészítettem még.

Üdv. from Phoenix_Art

Egy ismerős bekapott crypt locker vírust. Itt van nálam a gép.

- Az összes office file-ok, PDF, képek és TXT file-okat betitkosította.
- ZIP, 7z fileokat letörölte.
- Volume Shadow Copy Service -t leállította, azzal kezdte -log-ban láttam.

Külső mobildisk-en voltak a mentések, azokat úgy letörölte, hogy 0-val írta felül, így amikor
visszaállítottam (Recuva, Get Data Back) hexa editorral megnéztem csak 0-t tartalmazott.
Volt google drive-os mentés, de az egy hónapos és nem mindent tartalmaz.

A letitkosított file név az eredeti és egy e-mail cím, hová kell írni a jelszóért. Írtam neki, jött válasz 3000 USD és nincs discount :-) - válaszoltam, hogy nem fizetek , erre "good luck"

Megtaláltam a vírust a memóriában elküldtem Kaspersky-nek, Avira-nak és felraktam virustotal.com -ra, ott 56-ból 18 találta vírusnak.

Kaspersky:
"Thank you for sending a file for analysis to the Anti-Virus Lab. Kaspersky Anti-Virus has scanned files.

No malware detected in files:lsassw86s.exe

We will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days."

Avira:
"The analysis you requested is now complete:

File Result lsassw86s.exe TR/Ransom.ougmh "

További ötlet?

ismeros SA accounttal hasznalta a gepet?

igen

akkor szopas... egyeb esetben a shadowcopy es/vagy a nem csatlakoztaott helyi / RO tavoli backup segitene.

sajnos