Locky : benyalva

 ( szilard_ | 2016. március 9., szerda - 22:42 )

Kollégám hívott otthonról, hogy a saját gépén megnyitott egy általa megrendelőnek gondolt levelet és most az alábbi képet látja a gépén.
Pénteken kapom meg, egyelőre kikapcsoltattam. Most nézek utána, hogy miket lehet tenni. Van aki a fájlok visszaszerzésére a PhotoRec-et javasolja féregtelenítés után. Az eltitkosított fájlok visszanyerésével sehol nem is bátorítanak.

Volt már aki beleakadt ebbe a verzióba?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nálunk is benyalták... Windows re-install lett a megoldás.

Nálunk is be akarták, de az illető nem találta, hol kell engedélyezni a makrót a libreoffice-on én meg mondtam neki, hogy nem kéne erőltetni.

A.) Backup
B.) Amúgy Shadow Copy, ha megvan még, valahol olvastam, hogy valakinek sikerült visszatörölni a shadow copy Locky által törölt fileait és utána ShadowExplorer-el visszarakni az előző állapotot.
C.) Photorec ha helyben titkosít esélytelen.

Köszi.
A titkosítás új fájlt hoz létre, az eredeti fájllal mi lesz?
Egy közös könyvtárba rakja a titkosított fájlokat vagy mindegyik ott marad, ahol volt?

Válasz magamnak: Ugyanott maradnak.

A shadow copy elvileg segit.

1. Locky támad
2. Fájlok helyben titkosít (PhotoRec kilőve, Shadow Copy kikapcsolva :( )
3. Szomorúan kifizet 0,5 BTC-t
4. Locky Decrypter fájlokat visszakódol
5. Nem teljesen szívből örül
6. Tanulságot levon

Hianyzik a listadbol hogy a felhasznalo nem egeszen epelmeju ha adminnal csinal barmit is a gepen az elengedhetetlen taskokon kivul...

Maskent a shadowcopy-t ugyanis nem tudja bantani a user.

én adminként nyomom a saját gépemen.

En is de mindenrol (minden fontos dologrol) van offline backup tobb peldanyban, tobb helyen, tobb idopontban mentve.

--

"You can hide a semi truck in 300 lines of code"

Jo hat van aki eles kezigranatokkal maszkal a derekan munkaidoben es tuleli de ezt nem feltetlenul jellemeznem best practice megoldaskent moricka usereknek (nem IT szakember).

Vannak applikaciok (az egeszsegugyben pl. nagyon sok), amik sajnos csakis admin joggal mukodnek rendesen. Namarmost az nem a user hibaja, hogy a fejleszto ezt igy programozta, ergo kiszolgaltatott helyzetben van. Furkosbottal vernem szinesre az fejlesztoknek csufolt gazembereket.

Jo hat abban a kornyezetben meg be kell allitani a SRP meg Applocker policykat es akkor max a rendszergazdit lehet hibaztatni.

A topicban szereplo emberke meg sajat gepet emlitett ergo magat szopatja mindenki aki nem ert a szamitogephez es adminkent boklaszik a neten...

Gondolom linuxon is mindenki rootkent csinal mindent

Vagy megsem?

Ez van, az atlaguserek 99 szazaleka admin jogokkal Zinternetezik meg Faszbukozik.

Áh, csak a gyökerek. :-)

Azért az megvan, hogy az ilyen alkalmazások többsége csak azért kér admin jogot, mert valami olyan helyre akar írni, ahova nincs joga a usernek? Az esetek 90%-ban elég egy könyvtárra írási jogot adni, azt' megy admin nélkül.

Meg mert a rendszergatda nelkuli cegnek olyan program kell, ami egyben telepito is, fontokat installal es a c: gyokerebe logol, hogy latni lehessen

Mondjuk pont az ilyesmi malware-eknek nem kell elevated access. Ha a user foldert titkosítja, az már bőven elég szopás, az nem oszt nem szoroz, hogy mellé becsomagolja még a drivereket is.

kb ez: https://xkcd.com/1200/

Az ilyesmi malware-ek legtobbje temp meg appdata mappaba ir amit faszan ki lehet tiltani azt a gondok 99%-at megoldottad.

Amugy nalunk mar mindenhonnan tilos az exe futtatas kiveve ha whitelisted alkalmazas.

nem tök mindegy, hogy adminként vagy nem adminként titkosítja a doksijaidat?

senki le nem sz*rja a win-t, az adatok a lényeg itt. persze átlagusernel ugye nincs backup

Nalunk foglalkozunk ezzel is de biztos mi vagyunk a hulyek.
Attol hogy van mentes nem szeretnenk 60K hulye user utan naponta/hetente backupbol visszarakni 10.x terabyte share-t csak mert senki le sem szarja a wint...

Amugy meg manapsag enterprise kozegben nem adunk futtatasi jogokat csak ugy mindenre/mindenhonnan a felhasznalonak. (be kell latni hogy ennek a korszaknak vege)

Ahogy fentebb is irtak, Shadow Copy -ha van-.

Nalunk egy hibas kliens az altala elerheto osszes megosztas osszes allomanyat legyalulta, nagyjabol 5-8K db file banta. Shadow Copy + mentes szerencsere segitett, de bevallom nagy izgalmak kozepette keresgeltuk a hibas kliens(eke)t.

udv
letix

-----------------------------------------
Linux alapparancsok, kezdőknek

En is eloszor a Shadow Copyval kezdenem, ha pedig nincs, akkor reinstall.

Törli a Locky.

Akkor az szivas. Fizetni viszont semmikepp sem fizetnek. Azzal csak tovabb finansziroznam ezeket az atkozott bunozoket, akiket ezeket terjesztik.

Mert megerdemli

Csak winen rombol vagy Linux és Mac is érintett?

Kapsz egy doc-ot emailbe ami olvashatatlan és megkér, hogy engedélyezd már a macrokat, hogy el tud olvasni, ami letölt egy exe-t (szerintem kompatibilitási okokból a libreoffice már itt elvérzik) az exe meg nem fut le mac/linuxon :(

Wine-nal sem megy?

Hiba nélkül kilépett és nem csinált semmit (lehet jegyet kellene rá nyitni :))

Reactos : http://i.imgur.com/S9UVbcJ.png (tök jó az ikonja :))

A wine-t nem tudod rootként futtatni, ha az előkonfig normális.

Szia!

Az érintett gépen volt bármilyen vírusvédelem?
Ha volt, melyik verzió, mikori definícióval?
Még az MS beépített defendere (win7-MSE?) is, már február közepe óta meg tudja fogni.

Gondolom nem a februári edition. :)

+1 ez fontos.

A (nekem lévő) legújabb sample-t felismeri 10-én ma (két nappal a kiküldés után, bár lehet akkor is felismerte volna eddig nem próbáltam kiszedni a doc-ból a payload linkjét :P)

A Suricata egyből sírt és blokkolt amikor le akartam tölteni:
ET TROJAN JS/Nemucod requesting EXE payload

nem számít a vírus védelem. ha ovlasod a cikkeket, nagyon ügyesen csinálják a vírusírók.
Sajnos jelenleg nem sokar érnek..

Amit lehet tenni:
- Oktatni kollégákat, gyanus emaileket főleg angol nyelvű számla nem szabad megnyitni!
- HA kérdez office program markó futattást nem engedni/ vagy akár policyval(registry) tiltani céges szinten
- Jelezni gépén soha senki ne tároljon éles adatot!
- Szerveren Napi mentés és shadow copy x óránként
- amelyik gép összeszedte reinstall

(már a sokadik titkosítóval találkozva.. de szerencsére szerver mentés mindig volt/van/lesz..)

Semmit nem tudok a gépről, azonnal kikapcsoltattam. Holnap reggel lesz nálam a gép, akkor többet tudok majd.

Gyanítom, hogy ezek szerint nem volt semmi védelem, a gépről még semmit nem tudok. Holnap lesz a randi.

-fizet, és reménykedik
-mentésből visszatölt

És innentől ez volt neki a tanulópénz, legyen mentés mindenről. Kis házi szerverrel zfs snapshottal ez gyönyörűen kivédhető.

+1

Ha sajnálta a pénzt egy külső vinyóra ...

50 usd évi díjért korlátlan backup kap akár.

Azt mondja a tulaj, hogy a progi úgy fél órát futhatott, amíg lekapcsoltattam. Mennyi időt igényel a titkosítás? Olvastam, hogy több nap is lehet a dokumentumok mennyiségétől függően.
A titkosított fájlok ugyanott maradnak, mint az eredeti?

A célpont fájlok fájlok kb 10% maradt épségben, szerencsére az Outlook pst megúszta. Ebből tudta visszanyerni a dokumentumok nagy részét. A képek kuka.
A titkosított fájlokat elraktam, hátha valamikor...

Nalunk is a 7x eves kollega.
Termeszetesen az egyik elozo cryptolockert is benyalta korabban...
Aldozatok:
-egy kollegank open samba servere.
-A 7x-es kollega osszes gepen tarolt adata.
Ceges veszteseg nem tortent, mert nem volt felcsatolva neki halistennek semmilyen corporate disk.

En a virusirtokban nem hiszek, igy nalunk van mukodo backup (heti, havi).

Mi is bekaptunk egy ilyen ransomware-t (pedig fizetunk evi tobb szazezret virusirtora).

Titkositotta a sajat gepet, meg minden halozati megosztast amire ralatott (sajnos tobbre is mint kellett volna). Igazabol mindent visszaallitottam, osszesen ket napnyi utalas bizonylata veszett el.

En biztos nem fizetek ilyen ransomware gyartoknak. Igazabol virusirtok is tok feleslegesek imho:)
Kell egy heti rendszeresitett restore, aztan hadszoljon!:)

Tervbe van veve backup node-ok uzembe helyezese amik inkrementalis backupot csinalnanak naponta 3x. Igazabol egy eves virusirto dijbol kijonne a backup node. Akkor meg mar tenyleg mi ertelme a virusirtonak?:)

Igazabol az a baj, hogy tulsagosan linuxos felfogasom van.
Mindenesetre nem jo elmeny amikor eloszor elesbe teszteltetik az emberrel a backupok megletet... :-\

Kellene meg egy warning rendszert is kiepiteni, hoygha tul sok fajl valtozik a szerveren akkor jelezzen es tiltsa ki a felhasznalot egy emaillel egyetemben, amire kattintva leveheti a tiltast. Csak, hoyg tudja, hogy gaz van.

Mi a fertozestol szamitva 4 ora mulva vettuk eszre.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Van ra free tool lustaknak illetve ha nem bizol 3rd party alkalmazasban akkor lehet hasznalni a fent emlitett policy megoldasokat ( SRP es Applocker )

Lusta megoldas: https://www.foolishit.com/cryptoprevent-malware-prevention/

en a helyi vedelemben nem hiszek.

Nalam pl. egy backup node a tuti.
Ami egyiranyu (valamit lement magaba),
es csak olvashatoan tallozhato.
Tehat a geptol (es operacios rendszertol) fuggetlen.
Kvazi egy hiteles masolat egy adott idopontban.

De ettol meg lehet group policyval bohockodni, akinek van szabadideje.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

> akkor jelezzen es tiltsa ki a felhasznalot egy emaillel egyetemben, amire kattintva leveheti a tiltast.

ugyanúgy rákattintana, mint ahogy elkezdi keresni, hogyan engedélyezheti a makrókat...
--
blogom

Zfs snapshotoknak nézz utána. Simán óránként mehet snapshot, vagy akár 15 percenként, ha paranoid vagy, és van helyed.

+1, erre (is) nagyon jó.

Duplázott. :)

"Kellene meg egy warning rendszert is kiepiteni, hoygha tul sok fajl valtozik a szerveren akkor jelezzen es tiltsa ki a felhasznalot egy emaillel egyetemben, amire kattintva leveheti a tiltast. Csak, hoyg tudja, hogy gaz van."

Ezt az ötletet meg lehetne lovagolni.
A linuxos auditd alkalmas lehet rá?

megosztott mappánál nem elég a shadow copyból visszarakni? Mivel az nem helyi gépen van, ott nem tudja azt letiltani/törlöni. Vagy ha nem Win srv van, akkor biztos van hasonló funkció linuxra is.

Linuxon (és Synology-n DSM 6-al) nagyon egyszerű a dolog. btrfs vagy zfs.

Azért na, addig egyszerű, amíg be is van állítva a snapshot, működik is (pl. van hely) és a gazdi birtokában van a helyreállításhoz szükséges ismereteknek.

Vagy nem jön ki egy új SynoLocker :D

Na azért azt is megérdemlik azok akik még ezek után is nyitva hagyják a webes felület felé az ajtót.

Szia.

Sajnos nálunk is benyalta egy hülye kolléga,csak itt egy retkes zip tartalmaz js-fájlt ami beindítja ezt. A megosztott mappákat ugy keresi mint a rosseb. A másik kollégám egy mappáját is hazavágta mert meg volt osztva.
Nem tudom, hogy a zip a windows intézővel hogy keltette életre a javascriptet? (direkt kimentettem a kodot is)

Nehogy fizessetek ezeknek a ******oknak.
Sajnos ami titkos lett az oda van.
Javasolt a mentés, mentés mentés.

Windows Script Host :P

És van új, eMeSE nem véd. (mondjuk a többiek sem)

A .js fájlokat a Windows Script Host - például dupla kattintásra - le tudja futtatni.

És a Locky akkor is hatásos, ha mondjuk registry-ben ki van kapcsolva a Windows Script Host?!

(forrás: https://technet.microsoft.com/en-us/library/ee198684.aspx)

Vagy a genyó ezt is akár visszaírja Enabled-re?!

A Locky az hatásos, csak nem tudják letölteni (mert ugye a js az egy script ami letölti és elindítja), de ettől még bejöhet pl. egy Adobe everydayen. :)

Adobe everydayen

LOL :D


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Bocs, akkor rosszul fogalmaztam... Lefut akkor is a JS kód, ha ez a Windows Script Host ki van kapcsolva a registry-be? (ami e-mail mellékletben érkezik egy ZIP-ben)

Nem, akkor indításkor csak egy ablak jön fel, hogy a "Rendszergazda megunta a backupok visszatöltését." vagy valami hasonló. ;)
Mivel nem fut le a js kód így értelemszerűen az visszakapcsolni se tudja a scripting hostot.

Akkor ezek alapján, mint preventív intézkedés (többek mellett) ez is hasznos lehet! (WSH kikapcsolása)

Ez igaz, de nem várt mellékhatásai lehetnek. Például az ÁNYK (lánykori nevén AbevJava) is használ Windows-on szkripteket.

Tudunk arra szabályt kialakítani, hogy Locky (és más ransomware-k) által kódolt fájlok kiterjesztése (vagy neve) hogyan változik?

A kiterjesztése .locky lesz.

http://i.imgur.com/hW4tfpz.png

Köszi, tudtok esetleg más variáns más kiterjesztéséről?

Igen, én láttam random, 3-4 karakter hosszút is.

Nem tudsz

Allandoan valtozik

Ez fontos lenne, valaki meg tudja erősíteni?

A CTB pl. gépenként "random" generált 5 betűs kiterjesztésre cseréli, az eredeti kiterjesztést.

A Locky-t a free ET ruleset blokkolja de későn (ET TROJAN Ransomware Locky CnC Beacon), blacklistre tenni a */main.php -t meg tutira nem a legjobb megoldás. :)

Windows file szerverről van szó, arra gondoltam, hogy File Screening-el próbálom kiszűrni.

Most nincs meg a forum neve amin naprakesz infot lehet talalni mi feladtuk es minden tiltva van a 3,14 csaba az a tuti. De ha megtalalom belinkelem neked.

Lehet patternezni de nem lesz 100% ahogy mondtam minden mindig valtozik.

Masik fele meg ha egy olyan processt fertoznek meg ami nem ezeken a helyeken tevekenykedik akkor bukta van.

Erre is erdemes lehet ranezni:

HitmanPro

Persze, nincs tökéletes védelem, de ez eleme lehet.
A fórum nevét megköszönném.

Pár variánssal találkoztam, ahol xxx.yyy formátumban változtak a fájlnevek, ahol xxx a régi kiterjesztés.

Este eloszedem neked. Van egy soft ami monitorozza a filetevekenyseget illetve azt hogy miket hoznak letre es ha egyezik a minta akkor kuld figyelmeztetest illetve le is lovi a klienst (ez utobbi eleg drasztikus de eletet menthet :D ).

File Server Screening nem ismer normális pattern-t/regexp-et, emiatt mondjuk a két kiterjesztéssel rendelkező fájlokat sem lehet kiszűrni. :/

Sziasztok,

üzemeltetek egy olyan helyen ahol az erőforrások nem feltétlenül erősek, komoly backup környezet kialakítására nincs mód.
Jelenleg Cobian backup csinál a gépekről mentést.

Olvastam hogy locky megtalálja a nem mappelt share-okat is, így a megosztásra mentés kilőve.

Kérdések:

Ha Cobian helyi FTP szerverre ment, (Nem tragédia adatmennyiség, jogosultságok elvesztése elviselhető, ill. user nem tudja az ftp backup jelszavát) elégséges lehet?
Van bent egy HDD a szerverben amire a windows saját eszközével megy egy image backup naponta. Nincs betűjel hozzárendelve, a Backupban mint "Disk 1" látható. Ezt észre fogja venni, ha gáz van? Ha igen, akkor mi lehet a jó megoldás? (Network share-re mentés a fenteik miatt kilőve...)

Köszönöm szépen, ha valaki megosztja a tapasztalatait!

KoviX

"Olvastam hogy locky megtalálja a nem mappelt share-okat is, így a megosztásra mentés kilőve."

Erre kérhetek forrást?

Ha jól értem akkor épp most tapasztalta ezt valaki kevéssé szerencsés: http://hup.hu/node/146211?comments_per_page=9999#comment-1969172

Már persze ha a share nem volt mappelve.

https://www.google.hu/webhp?ion=1&espv=2&ie=UTF-8#q=locky%20unmapped%20network%20drives

nem tudom mi lenne a hivatalos forrás, de elég sok helyen írják ahhoz hogy aggódjak.

KoviX

Nalunk is ledaralta a nem mappelt es nem jelszoval vedett sharet minden gond nelkul.
Tehat mint forras a mi esetunk is valid lehet.

en egy helyen teszt jelleggel kiprobaltam a crashplant: egy szerveren fut a crashplan engine (dockerben), majd ide backupol a gep naponta. a "friend" megosztasba ingyenesen lehet menteni.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

A Windows Backup (win 7-től kezdve) .ZIP fájlokba teszi a mentéseket. Ha ZIP fájlokat nem támad a Locky, akkor mehet a mentés network share-re is.

Az FTP-re mentés valószínűleg kivédi ezt a támadási módot, feltéve, ha az FTP szerver fájljai nem elérhetőek windows share-ekről.

Tobb mint valoszinu, hogy a Locky megtamadja a .zip kiterjesztest. Ha jol tudom, minden ransomware, nemcsak a Locky.
Olvasnivalo a Lockyrol:

http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/

És itt a legújabb kiadás. (3/56)

Ha kiszedegetem a C&C ipket és elküldöm abuse-ra vajon kezdenek vele valamit? (tudom költői)

Proba szerencse.

Megvolt 6 email, mind orosz szolgáltatónak, kétlem, hogy lesz válasz. :)

Azert ha esetleg megis lesz eredemnye megosztod velunk?

--

"You can hide a semi truck in 300 lines of code"

Idézet:
Goodnight.

Thank you, said the server you are blocked.
------------------------------------------------------------
Обращение: #877819
Статус: Answered

149.202.109.205, 51.254.181.122 ez a kettő kilőve.

A végén még kellemesen csalódok. (az angol kicsit fájt ;))

Idézet:
Hello!

Thank you for your mail. We forwarded your mail to the client.

С уважением,
Специалист технической поддержки ТОО "Интернет-компания PS"
Ришат Азизов.

Ez tök rendi, minden vágyam bűnözőkkel megosztani az emailem/tárgyalni.

Risat elég fiatal srác, gondolom úgy volt vele hogy szeretne még élni :D

Én meg kétszer meggondolom, hogy abuse reportot küldök. (amúgy erről a két helyről jött válasz egyáltalán).

Egyszerűen block listre teszem az IP-ket.

Egyébként itt a legújabb, de valószínűleg a C&C ipk ugyanazok máris van új a listán (amíg egy él addig meg ugyan mindegy ha van egy kettő amit sikerül megszüntetni)

A Kaspersky-nél az UDS fórum szerint a "Kaspersky Security Network (KSN)-öt" jelöli. A tegnapinál is szerepelt, mára átírták Locky-ra, a mainál még UDS.
Vajon miért gyorsabb mindenkinél?

Annyira ők se gyorsak. :)

sub, egyre jobban érdekel a téma

sub, nálunk is bejött, ahogy írták, vitte a nem mappelt hálózati meghajtókat is.

azert az kib.szott durva.
a vegen meg ugrokodos SMB-t kell csinalni a kollega szerint. sms auth-tal...

SZVSZ a jofiuknak (vagy valaki masoknak) el kellene kezdenie a netet olyan ransomware-el spammelni ami akar fizetsz akar nem, sosem oldja fel a filokat.

Amig az emberek fizetnek es a fajlok visszanyerodnek van biznisz a rosszfiuknak. Ha egy ido utan mindenhol elterjedne, hogy nem kapjak az emberek vissza a fajlokat senki sem fizetne tobbet es talan vege lenne ennek az oruletnek.

Pusztítanál, hogy másnak ne érjen meg pusztítani? Szerintem nem jó hozzáállás.

Járulékos veszteség. :)

Aztan azokra rendes recovery tool "kileakelodne" ugy lenne korrekt.

Ma se valtok OS X-rol. Egyszer volt ra ransomware, par oran belul megjott az eltavolitoja mindenkinek, aki nem vette le a pipat a

System preferences -> App Store -> Install System Data files and Security Updates

rol. Hatterben telepul, eszre se veszi a felhasznalo, ujrainditani se kell hozza, igy miert is venne le barki a pipat?

Ekozben a Microsoft szarik ra hogy leteznek ransomware-ek, hadd menjen az egesz smb halozat is pocsekba. De a Win 10 update fel tud menni a hatterben, csak a security nem.

+1

en se valtok ma se osx rol.
pedig a masik topicban ezt mar kibeszeltuk. :D

A problema nem az eszkozzel van, hanem az egybites end userrel, aki kicsomagolja a "fingos_kecske.zip" csatolmanyt az emailbol.

en mindig kicsomagolom, hatha van benne egy fasza fingos kecske video

:D :D :D

Az OS X azt nem is engedi futni GUI-bol. Csak alairt Appot enged, virusos alairokat meg szinten ezen az autoupdate platformon majdnem azonnal blacklistel, igy ezt kicsomagolni se engedi, meg az app-ot elinditani se. Terminalbol meg miert bontana ki barki barmi ilyet, hogy aztan futtassa bash-sel (azaz nem appkent)?

+1

Aztán pistike kikapcsolja hogy felmenjen a tört ja bocs nem, app store-ban nem szereplő progija, 2.90-es transmissionnal meg jön szabályos aláírással a ransomware.

http://www.macrumors.com/2016/03/06/mac-ransomware-transmission/

Én is mac-et használok de hülyeség ellen nincs orvosság...

KoviX

mint carlcot irta 1x volt osx en ransomware es orakon belul kint volt a javitas ami leszedte.
mellesleg ha az alairasa vissza van vonva apple altal, akkor el sem indul tobbet az az app.

"Aztán pistike kikapcsolja hogy felmenjen a tört ja bocs nem, app store-ban nem szereplő progija,"
egyreszt ez IJB, a rootkent futtatott rm -rf / esetevel egyenerteku.
masreszt ha pistike tudja h neki az az app tenyleg kell, akkor nem kell az egeszet kikapcsolni, el tudja inditani csak azt az egy programot.
harmadreszt meg majd visszahozza time machinebol legfeljebb az egeszet. :)

Itt ket dolog van - egyik az a "honnan mehet fel app/dmg":
-App Store
-App Store es azonositott devek
-Barhonnan

De van egy olyan blacklist-je az Apple-nek, amivel a "Barhonnan"-osok kozul is kizar bizonyos alairokat. Ide csak erosebb malware keszitoit teszi be.

Masik: rosszindulatu szoftvereket eltavolito eszkoz.
Ilyen volt mar a Microsoftnal is: Windows XP SP2 Blaster virus eltavolitoja. Ott meg tudta mar az MS is csinalni. Hozzateszem az Apple megoldasa csendesebben intezi ezt, a felhasznalo eszre sem veszi, ujrainditania se kell, etc. Es csak _tenyleg_nagyon_rosszindulatu_ kodot torol. Nem "letorli a Photoshopot mert rajon hogy warezoltad" es tarsai.

Raadasul a Transmissionbe zart keranger 3 napig lappangott. Addigra reg elpusztult gyarkolatilag mindenhonnan, kiveve ahol direkt akartak kiprobalni mit csinal.

+ Ja meg meg hozzatennem, hogy a Transmission tobbi verziojat a dev maga irta ala, ezt a malware-es verziot pedig egy masik developer (meg egyszer csak hogy tiszta legyen: ez utobbit blacklisteltek akkor is, ha "barhonnan" telepithetsz appot kb par oran belul megkuldve minden OS X usernek ezt a hatterben). Konkretan a transmission oldala mutatott egy mirrorra, es azt a mirrort tortek meg es ott csereltek ki a fajlt.

Windows alatt is tilthatod aláírás/hely/egyéb paraméterek alapján a binárisok futtatását.

akkor hogyhogy ennyi problemat okoznak az ilyen ransomwarek???

Alapból nincs tiltva mert visítottak volna a felhasználók hogy korlátozzák a szabadságukat.

Az Apple-ös banda ne felejtsük el, hogy egy egérgombtól indult. Kb. ilyen kifinomultak a programtelepítési szokásaik is úgyhogy meg lehetett ezt csinálni.

Mint fentebb irtam:

'Ilyen volt mar a Microsoftnal is: Windows XP SP2 Blaster virus eltavolitoja. Ott meg tudta mar az MS is csinalni. Hozzateszem az Apple megoldasa csendesebben intezi ezt, a felhasznalo eszre sem veszi, ujrainditania se kell, etc. Es csak _tenyleg_nagyon_rosszindulatu_ kodot torol. Nem "letorli a Photoshopot mert rajon hogy warezoltad" es tarsai.'

Amugy vicces hogy Apple-nel meg a power userek a legveszelyeztetettebbek, ok tudnak rajta egy a.out-ot futtatni egyedul ;)

Ugy hogy csak enterprise szinten hasznaljak. Ha egyaltalan...

Mintha nem lenne mindegy, hogy az OS X mit nem enged futni:

Pwn2Own 1. nap:

"South Korean researcher JungHoon Lee, known in hacking circles as lokihardt, demonstrated a remote code execution attack against Apple Safari on OS X with an escalation to root privileges. He also combined four vulnerabilities, earning a $60,000 prize."

--
trey @ gépház

+1

Vicces a (tetszőleges) OS biztonságába vetett túlzott bizalom.

Szerintem a probléma inkább azokkal van akik a fingos_kecske.exe-t megnyitják holott egy képet vagy videót várnak.

Azért emlékezzünk meg az ismert filetípusok kiterjesztésének elrejtése nevű ámokfutásról a fingos_kecske.jpg.exe kontextusában. ;)


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ez talán tíz éve igaz volt, de nem tudok visszaemlékezni olyan régi Outlook verzióra, ahol az Outlook figyelembe vette volna az OS kiterjesztés-megjelenítési beállításait. :)

Ha gonosz lennék, azt mondanám, hogy jól működik a linkelt kép szerint. Van egy valami.pdf.exe-t, ki van kapcsolva a kiterjesztés megjelenítése, s látjuk a valami.pdf-et. :D Jó, tudom, nem... ;) Különben hogy jön ide az Outlook? Jómunkásember letölti a mellékletet ész nélkül, rá sem pillantva akár webes felületen, vagy bármilyen mail kliensről, majd filemanagerből - Windows intéző - elindítja, mert nem látja a végét.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

> Jómunkásember [...]

Erre van valami UX-tanulmány? Már csak azért kérdezem, mert a hétköznapokban pont az ellenkezőjét látom, az r=1 user még véletlenül sem nyitja meg a file managert.

Miért, nem a filemanager való a file-ok managelésére? Vagy csak véletlenül lett ez a neve? ;)


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Talán még egy hónapja sincs, hogy próbáltuk elmagyarázni az egyik kolleginának, hogy ha egy pdf-et a Word Fájl menü Megnyitás parancsával akar megnézni, akkor nem a gép hibája, hogy csak mindenféle random karaktereket lát.
Mondtuk, hogy ott a parancsikon az asztalán a saját mappájára, tessék onnan támadni, de valahogy a kurvaéletnek sem akart lemondani róla, hogy márpedig mi javítsuk meg a gépét, mert az utóbbi 10 évben ő mindent onnan nyitott meg, és eddig még mindig működött!

+1, kb ilyesmire céloztam. Sok ember észre sem venné, ha holnap windows-ból eltűnne az explorer.exe :)

Dehogynem, amikor néha elszáll máris cseng a telefon, hogy "hovatünt a start menü?"

De most tényleg, itt arról van szó, hogy a nagyi gépét megette a locky?

Mert azt nem hiszem el, hogy corporate környezetben vírusszűrés nélküli mailszerveren keresztül támad a felhasználó vírusvédelem nélkül a hálózatra felkötött laptopjáról. Én arra gondoltam, hogy ilyen környezet nem létezik ott, ahol zfs snapshot szóbajöhet megoldásként...

LOL :) A felhasználók bármire képesek.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem kell a file manager. Lementi a desktopra, es ott latja, hogy jpg. Az meg kep. Rakattint, nem orul.

Kérdés hogy a word miért próbál megjeleníteni egy pdf fájlt, ha nem tudja valójában :)

Update: Ezt nem ide akartam :) Amit ide akartam, az az, hogy:

"majd filemanagerből - Windows intéző - elindítja, mert nem látja a végét."

Szerintem a jómunkásember nem azért indítja el intézőből, vagy akárhonnan, mert nem látja a végét, hanem mert nem érdekli, nem tud mit kezdeni vele, el se olvassa, stb.

off:

> Kérdés hogy a word miért próbál megjeleníteni egy pdf fájlt, ha nem tudja valójában

Éppenséggel... :) https://i.imgur.com/EBsQYOQ.png
Az input PDF-től függően a használhatatlan és a tökéletes közé lövi be az output minőségét, de sokszor okozott már pozitív meglepetést.

/off

A történet szereplője egy Office XP (igen, valahogy 2002 környékéről), abban még nincs ilyen luxusfelszereltség :D

A következő logikus kérdés, hogy miért használnak még mindig ilyen ... friss... irodai környezetet :)

A felhasználó nehezen bírja a változást, ezért aztán kimaradt nála pár generáció... :D

(A következő logikus kérdés meg az lesz, hogy miért nem zavarják el a vérbe, ha ennyi alkalmazkodási képessége sincs? Nos, mert ez itt egy ilyen hely.)

emailben valahogy az exe -k sohasem erkeznek meg hozzam.

vicces, mert pont azert ajvekolnak a egysegsugaru hupperek, mert "jajj benne van a win10 eulaban, hogy leszedhet szoftvert a gepemrol!"

--
NetBSD - Simplicity is prerequisite for reliability

Tájékozatlannak tűnsz a témában. Volt rá precedens, hogy tényleg eltávolított legális szoftvert a win10.

Nalam is elofordult az egyik cegnel. Kedves user privat levelezes megnyit valami https://mylinux.... cimen, majd persze, hogy megnyitja az invoice.zip filet. Az egesz halozatot megfertozte, mar amihez volt joga 130Gb file. Mindenbol mp3- at csinalt. Azzal hivott fel, hogy a szokasos pdf- file mp3- nak latszik a filekezeloben. Kb. 1.5 ora mulva ujra ment minden, mentesbol. Szerencsere csak 2 oranyi munka veszett el szamukra, de volt olyan aki emiatt balhezott. Szerintem nincsenek tisztaban egy ilyen fertozes kovetkezmenyeivel. Azota kerdezgeti tolem, miert nem megy a https://mylinux...... :)

"Szerintem nincsenek tisztaban egy ilyen fertozes kovetkezmenyeivel"

Igen, pont ezért fogom megírni harmadszorra is az emlékeztető e-mailt.

Nice :D

The ransomware's creator based their primordial malware on EDA2, a toolkit of file-encrypting sample code that demonstrates how ransomware works. Big mistake. The EDA2 author intentionally left a backdoor in his code, and had little hesitation in revealing it to undo the newbie malware slingers, security blogger David Bisson reports.

Ha jól értettem, akkor ez arra vonatkozott, hogy a kulcsokat tároló szervert elérhette, de mivel a szerver nem elérhető, így a kulcsokat sem tudja megszerezni

"Since the C&C servers have been taken down, the backdoor account is now useless. Unless the free hosting provider pulls a rabbit out of a hat and mysteriously finds a backup of the data, all Magic ransomware encrypted files are gone for good."

ha jol ertelmeztem a szerver kodot, akkor az is szar: ha ketten ugyanazt a nevet hasznaltak a pc-re, akkor kicsit osszekeveredtek a kulcsok, es az egyik kulcsa elveszett.

es (FIXME) de a backdoor is a php kodban volt: ki lehetett dumpolni az eddig elmentett kulcsokat.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

De ezen senki nem haborodik fel? Oke hogy most eppen lehetett "volna" jora hasznalni de emberunk egy sample code-ban backdort felejtett...

Ez csak engem zavar? :d

Nem kér valaki egy javascript-vélhetően vírust elemzésre, amit az előbb kaptam.?.?
Feladó én, címzett én, csatolmány Document2.zip, benne Document5917.js...
sid{kukkacc}cékettő{ponthu}
--
God bless you, Captain Hindsight..

Szerintem kapott mindenki hasonlót :D

Nem erőltetem.. Nem úgy mint az originátor :-) ..
--
God bless you, Captain Hindsight..

amikor en ilyen "onmagamnak" kuldott emailt kaptam eloszor valami hulye csatolmannyal, akkor par percig elgondolkoztam, hogy tenyleg annyira bebasztam-e elozo este, hogy kuldtem magamnak emailt, csak nem emlekszem?! :D
(na jo, nem. :) )

Pedig, de .:-)

http://bash.hu/388

:D


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

hú, tök jó ennek a szálnak a hangulata. nem idegeskedés, hanem probléma megoldás. wow.

Hasznos tanacs, ha gyanus emailt szeretnenk megvizsgalni. Kiprobaltam, mukodik, nagyon fasza:

https://cyberarms.wordpress.com/2012/12/15/file-forensics-analyzing-msg-files-and-attachments-without-outlook/

nincs valakinek egy müködö virusa?
szükség lenne ellenszer kidolgozáshoz egy müködö példányra :)

--
ingatlanturista.hu,
ingatlanturista.blog.hu /érdekes kísérlet ház eladásra,vicces ingalanos történetek, többit az oldalon./
Frissités: eladtunk, weboldal hasznositáson még gondolkozom.

hxxp:// grafikeria.pl /o9ows

Letöltödd, átnevezed exe-re és örülsz (lehet van már újabb de most nem volt kedvem keresgetni.)

köszönöm
esetleg doc file nincs?
--
ingatlanturista.hu,
ingatlanturista.blog.hu /érdekes kísérlet ház eladásra,vicces ingalanos történetek, többit az oldalon./
Frissités: eladtunk, weboldal hasznositáson még gondolkozom.

Makróst én nem láttam, js downloaderek jönnek most. Az meg letölti valószínűleg a fent említett exe-t.

Lehet hogy amator megoldas:

Emlitettek itt hogy megtamad nemfelcsatolt samba megosztast is.
Van esetleg valami modszer arra, hogy maga a samba server ismerje fel ?

PL: figyelni a fileokat watchdog szeruen, es ha talal .locky vegu filet (ez most nagyon egyeruen fogalmazva), akkor leallitja akar az egesz samba servicet, es persze ertesiti az admint.

A fo kerdesem az hogy van-e valami sema ami szerint ez felismerheto lenne. (Tudom hogy van tobbfele ransomware)

Megoldás biztos van, ha más nem valaki írhatna egy vfs_locky modult. ;)
Vagy valaki írhatna egy filesystem filter filtert ami a .locky kiterjesztésnél dobna egy BSOD-ot. :D

Szerintem séma nincs, mert a CTB a gép generálja a kiterjesztést.

En irtam ra fae'k scriptet, miutan elso alkalommal benyaltuk..

Masodjara mikor valaki ismet futtatta, mar sokkal hamarabb eszrevettuk.
Azota kiegeszitettem 90-100db ismert kiterjesztessel/fajl nevvel.

FS szinten nem tudom mi a megoldas, raadasul a tuloldalon Windows-ok szolgalnak ki, ahhoz en nem nagyon nyulok.

letix

-----------------------------------------
Linux alapparancsok, kezdőknek

Már van olyan is, ami nem változtatja meg a file nevet.

Bah, milyen kedves..

-----------------------------------------
Linux alapparancsok, kezdőknek

Szerintem vfs modult lehetne írni rá sambahoz.
Windows oldalt jó kérdés, gondolkodtam valami Applocker szerű megmozduláson Ariad forráskódja Public Domain, nem nagy kunszt átírni, hogy csak bizonyos path(ok)ról mehessen az execute de majdcsak minden program telepítője a user temp mappájába dobálja az installert, ha az whitelistre kerül akkor meg annyi mint halottnak a csók (a google meg azt mondta, hogy kernel modeban nincs lehetőség aláírást ellenőrizni). :)

Nálunk most ez megy. Pain in the ass. Manuálisan kapcsolgatjuk ki mikor telepítünk, programok vannak whitelist-elve tudtommal nem specifikus file-ok a TEMP-ben (McAfee Endpoint Protection).

client oldalon ilyenekre is lehet loni:

We assume the user's machine to be infected:
If the following registry key has been added to the system:

HKEY_CURRENT_USER\
Software\
Microsoft
\Windows
\CurrentVersion\
Run
“Locky" = “%TEMP%
\.exe”

HKEY_CURRENT_USER\
Software\
Locky
"id" = <
Personal Identification ID
>
“pubkey” =
“paytext” = <
Content of “Locky_recover_instructions.txt”>
“completed” = “0x1” [This value will be added after completion of encryption]

Ez megint csak ideiglenes megoldás: Sok millió szó létezik, és gengszterek akár naponta változtathatják a Locky-t.

Subject: Internal Attack - Security Report #8899526

== IMPORTANT INFORMATION ==

Firewall Alarm. Security Attack Prevented.
IP: 184.298.374.98
PORT: 8600
TIME: 09:08 AM (GMT-6)
DATA: APRIL 11, 2016
PROVIDE: COMCAST CORP.
LOCATION: BOSTON, MASSACHUSETS

In order to see the additional details and take all the required actions
please check the report enclosed below.

Azt hiszem erre nem matchelne. (Mondjuk az is igaz, hogy a payload nem Lockyt töltött le hanem Teslacryptet. :))

Aktuális a dolog, bár mi még egyelőre sikeresen visszavertük a támadásokat. A kérdés, hogy MS Exchange-nél ki milyen opciót állít be védekezés gyanánt?
Milyen opciók lehetnek még a védekezésre?

Exchange elé suricata szűrés brutálisan hangzik?

Érdemes inkább elétenni valamit, de sok jóra ne számíts.

+1 ele kell tenni egy virusszurot imho.

Egyebkent meg lehet venni exchange-be epulo virusszurot (eset-nek pl. van ilyen termeke, nagyon nem olcso).

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

"exchange-be epulo virusszurot (eset-nek pl. van ilyen termeke"

Ez megvan.

Hát igen. Mikor nincs pénz fizetésre akkor IT-be is takarítószemélyzetet alkalmaznak.

File szerveren héten álltam át zfs (8db hdd raidz2-ben), plusz óránkénti, naponta, havonta snapshot. Ezzel az ilyen vírusok kiküszöbölve. Hely is van a virtuális gépek mentésére.

Szerintem a szerverek 1 ora mulva helyukon voltak, csak hat a par szaz kliens, tood....

Terminál szerverben dolgozunk. Kilensen nincs semmi adat nálunk.

sub.
Egy ember nálunk benyalta. A hálózati meghajtókat nem érte el szerencsére.
A többiek figyelmesebbek voltak és törölték a gyanús leveleket.

Egyetlen megosztáshoz se volt joga? (szerencsés vagy :))

Olyan laptop volt ahonnan nem férnek hozzá a mappelendőkhöz és még oda is jelszó kell az ilyen gépekről. Ha dolgozóban lévő desktopról csinálja ma eléggé nagy gondban lennék/lennénk.

Adatoknak zfs+snapshot. Notin meg ne legyen semmi fontos adat lehetőleg.

Folyamatban van a samba4 összerakása és a felhasználók migrálása, de addig is kőbalta egyszerűségű backup lesz.

Sziasztok,

Remélem nem veszitek tolakvásnak, de szeretném a figyelmetekbe ajánlani a http://ransomware.hu oldalt, ahol minden fontos dolgot megtudhattok a zsarolóvírusokról, továbbá akinek fontos adatai elvesztek, találhat megoldást a fájlok visszanyerésére. Sok ügyfélnek segítettünk már. Bármilyen kérdés esetén írjatok akár PM-et, akár itt tegyétek fel. ...mert az adat érték... :)

Továbbá még: http://index.hu/tech/2016/04/21/korhazi_zsarolovirus_kiberbiztonsag_adatvedelem/

Engem érdekelne hogyan állíttatok vissza pl Locky által elkódolt file-okat... Ígéreteket látok a weboldalon, de mi van mögötte?

Jogos a felvetésed, már többen kérdezték ezt. Maga az eljárás nyilván cégtitok, de annyit mondhatok, ami szerepel az Index cikkben is:

"Durmics szerint nyers erővel visszafejteni irdatlan idő lenne a jobb ransomware-ek titkosítását, ezért ez általában nem járható út. Ehelyett a kártékony kód hibáit, sebezhetőségeit kell megtalálni, hogy ezen keresztül vissza lehessen állítani az adatokat: A hekker ellen csak a hekker tud védekezni."

Ezen kívül a szakmai hírnév, amit részben az NBF-nél töltött idő alapozott meg, garancia is egyben. Nem árulunk zsákbamacskát, ha bárkinek a rendszerét, fájljait titkosítja a kártevő és nem próbálkozik a leírtással, vagy egyéb művelettel, hanem rögtön elhozza hozzánk a HDD-jét, akkor az adatai az eddigi ügyfeleinknél mért statisztikák alapján legalább 90%-os eséllyel visszaállíthatóak!

Azért ez a 90% elég magasnak tűnik annak fényében, hogy publikusan talán 2-3 ransomware kódjában találtak a titkosításban hibát. Ha a kulcs már nincs a gépen akkor elég kilátástalan a dolognak tűnik szerintem...
A 40e+Áfa 90%-át is visszafizetitek, ha nem jártok sikerrel? :)

Olvass a sorok között :D Annyit írt, hogy titok. A tipikus megoldás a mentés, ottmaradt adatok előkotrása (számos ingyenes és pénzes forensics eszköz van) a diskről. Erre ugye akkor van esély, ha nem álltak neki kókányolni. És amennyire tudom, egyelőre a ransomware, cryptolocker bigyók még csak logikai törlést végeznek.

Sehol se írta hogy 90%-ban visszafejtik az elkódolt adatokat :D

"eddigi ügyfeleinknél mért statisztikák alapján legalább 90%-os eséllyel visszaállíthatóak!"

Oké, köszi.

Tipp: "... és nem próbálkozik a leírtással, vagy egyéb művelettel, hanem rögtön elhozza hozzánk ..."

Elég nyilvánvaló, hogy amíg a locky dolgozik, addig a kulcs ott van a gépen és hozzáférhető (diszken, memóriában). Ha végzett, akkor gondolom törli, de ha nem elég biztonságosan, még akkor is vissza lehet talán szerezni.

--

A memóriában lévő publikus kulccsal nem mennek sokra, ha nincs meg a párja. :)

Ja hogy ennyire fejlett, hogy public key cryptographyt használ, fájlonként változó szimmetrikus kulccsal? Az valóban szívás :).

--

Emlékeim szerint többségük így megy:

File -> tikosítás "random" AES kulccsal -> AES kulcs eltitkosít a C&C-től kapott RSA publikus kulccsal -> az így titkosított AES kulcs bevág az titkosított eredmény elejére -> Profit

Ugyan. Az NSA világ méretű backupjától elhozzák az adatokat, ott 90%, h megvannak. :)

A 40.000 Ft + ÁFA összegű bevizsgálási díj minden esetben fizetendő, ugyan is az, hogy meg tudjuk határozni az adatok visszaállíthatóságát, rengeteget kell dolgoznunk az adathordozón különféle forensic eszközökkel. Ez a munka sok időt elvesz más, magasabb költségvetésű projektektől, az etikus hackereket pedig megfelelő szinten meg kell tudni fizetni.
Akinek nem ér meg ennyi pénzt az egész, annak valószínű nem is olyan fontosak az adatait, melyeket vissza szeretne állítani.

Nem titkosítási hibáról beszélünk, ilyenről nem volt szó.

.

Nagyon szkeptikus vagyok veletek kapcsolatban.

Tudsz referenciát, esetleg esettanulmanyt adni egy korábbi sikeres visszaállításáról?

+1, engem is nagyon érdekelne egy case study

Kezd egy minta kirajzolódni a fejemben a visszaállítás sikerességétől függetlenül befizetendő bevizsgálási díjjal kapcsolatban.

(Ugyanitt 30+áfáért bevizsgálok bármilyen adathordozót. Ha úgy gondolom, hogy javítható, akkor 100%-os garanciát vállalok. ;))

Lehet Bitcoin nagyker. :)

Én még hitetlen vagyok. (UP)

Csinálj egy partcíót, másolj rá rájlokat, töröld le őket, majd engedd rá a foremost-ot vagy inkább a scalpelt. Ha windows az áldozat ezt próbáld: http://www.caine-live.net/

Én dölgött pendrive-ról szedegettem vissza adatokat, igen jó hatásfokkal. Általában a fontos adatokat sikerül visszaállítani, bár ugye ez tényleg nagyon sok dologtól függ.

A délután folyamán közzé fogok tenni egy case studyt + referenciákat is! Addig is köszönöm a türelmet. :)

Én várom. Sok mindent elhiszek, de leginkább azt amit látok. ;)

Ebbol elt meg szepen Rodolfo.

Eltűnt pedig a migráncsok (Ahmed Al-Zamil) épp most küldik az új verziót. :(

Ma átcsúszott egy találékony példány:

Idézet:
dokumenty.rar: ACE archive data version 20, from Win/32, version 20 to extract, contains AV-String (unregistered), solid

ehhez már hegeszteni kellett az amavist mert az ACE-t nem mappeli be.

Van már case study? :)

Persze, napok óta azt olvasom.

Melyik nap délutánjára várható a case study?

Szeretném a türelmeteket kérni, a srácok elfoglaltak és még nem volt idejük megcsinálni rendesen. Nincs elfelejtve, kérlek legyetek türelemmel, köszönöm!

Úgy tűnik 1 hónap kevés volt hozzá...

Jó munkához idő kell! ;)

Némiképp érthető ha inkább a fizetős munkával foglalkoznak, és nem a hupperekkel, eheh.

Te is ott dolgozol? :-p
Engem zavarna, ha a cég ahol dolgozom annak a munkáját "szakmai" körökben egy átb*szásnak tartanák.
{_}>

Nem értelek. Vagy nem tudod hogy mire való az idézőjel. Amúgy csak belegondoltam magam a helyzetükbe. Tegyük fel - csak a vicc kedvéért - hogy igazuk van. Akkor az egyik oldalon a kétségbeesett és fizető ügyfelek vannak, és a másik oldalon - ahogy írtad - a "szakmai" körök. Fájdalmasan nehéz lehet választani, hehe.

Hosszú egy délután ez :(
Pedig én egy kicsit reménykedtem, hogy mégis vannak olyan ügyes megoldások amiket nem ismerek vagy nem gondolok rá. Számomra egyelőre ez ugyanolyan lehúzás, mint amit a kiváltó program tesz... Mások kárán gazdagod(ná)tok...
Cáfolj meg kérlek!

Sajnos egyelőre nincs kapacitás a Case Study véglegesítésére, mert rengeteg a munka, ami jelenleg elsődleges. Így nem ígérek konkrét időpontot, de ha meglesz, itt közzé fogom tenni azonnal. Addig is szeretnék mutatni egy videót, ahol cégünk elnöke beszél egy konferencián a ransomwarekről, íme: https://youtu.be/buo0cTrankg?t=17m33s

"...nem matematikai módszerekkel állítottuk vissza." Nahát. Hehe.

Petya -> ne kezjük el rebootolni (mert ezt megteszi helyettünk Petya :D)

Erre céloztam: http://hup.hu/node/146211?comments_per_page=9999#comment-1984950
Tulajdonképpen tök hétköznapi csiribú-csiribá.

Biztos vagy benne, hogy logikai törlés és nem felülírás? Ha ez ennyire hétköznapi lenne és egyszerű, akkor már alkalmazás készült volna rá, nem hülyegyerekek dolgoznak az AV gyártóknál sem. Én mindenesetre büszke lennék, ha mégis valami okos ötlettel egy magyar cég megoldás kínálna, de az eddigi infók alapján ebben egyre jobban kételkedem.
Amúgy milyen kókányolás képzelhető el? Mielőtt elvinné ehhez a céghez, előtte hexeditorral nekiesik a disket? Valljuk be ez nem életszerű...

{_}>

Csak ismételni tudom magam: "...amennyire tudom, egyelőre a ransomware, cryptolocker bigyók még csak logikai törlést végeznek." Ha valaki tudja cáfolni vagy megerősíteni tegye meg. Sajnos a trend állítólag az, hogy az otthoni felhasználó helyett a céges irányba mozdulnak, ami valószínűsíti a felülírásos módszer bevezetését. Utána a következő a "nem használt" terület nullázása lesz, ott is van ám bőven limlom a múltból.

A megoldás szerintem nem új, 10+ évvel ezelőtt is használtam már ilyen toolokat, tulajdonképpen türelemjáték. Persze amíg nem írják le, hogy mit is csinálnak, addig csak találgatok. De az óvatos körülírásból még semmi ellentéteset nem bírtam kihámozni.

És hogy milyen kókányolás? Ugyanaz a recept, mint egy sérült disk helyreállításakor (bár a helyzet sokkal-sokkal kényelmesebb): a diskre írt minden bájt esélyes, hogy értékes adatot ír felül. Szuperokos víruskereső vagy -irtó, chkdsk, mittomén mit találnak ki a az adatok helyreállítására, a sokszor zéró felkészültséggel rendelkező felhasználók.

Minden 2. szó "őőőő", roppant mód zavaró :)

Az eleje érdekesebb, a kormany.hu és a 62000 lekérés :D

Jham, az egész pécéábécés. Csak remélni merem, hogy a hallgatóság miatt.

Mivel azonnal ki kell kapcsolni és nem jó ha írsz a merevlemezre, nem olyan bonyolult kitalálni, hogy honnan közelítik meg a problémát.

De abból nem valószínű, hogy 90%-os eredmény lesz. ;)
(Talán, ha a Shadow Copy be volt kapcsolva és sikerül helyreállítani, de a Shadow Copy baromi jól dokumentált és a Forensics eszközök nem a baráti árukról híresek)

Na majd kipróbálom a nálunk benyalt gépen, hogy mit tudok kiszedni a merevlemezről.

Az Origó szerint a Kaspesky legyőzte a zsaroló vírust.
http://www.origo.hu/techbazis/20160429-van-megoldas-a-windowsos-zsarolovirus-crytpxxx-ellen-ransomware-kaspersky-lab.html
Akit elért a baj, esetleg kipróbálhatja és beszámolhat arról, hogy valóban vissza tudja fejteni a Kaspersky RannohDecryptor-a a vírus által titkosított fájlt.
A dekódolót be lehet állítani, hogy a kódolt fájlt a dekódolás után törölje. Szerintem néhány próba erejéig ezt nem kellene használni.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Ez csak egy bizonyos ransomware fajtára működik, ezen kívül még megszámlálhatatlanul sok létezik, amire jelenleg nincs megoldás. (És lehet, hogy nem is lesz.)

Ezek fényében érdekes a 90%-os eredmény ígérete. ;)

Az a baj, hogy az Origót is betanított majmok írják. Anno volt is hírekben, hogy a rendőrség (talán a holland, a franc se emlékszik) rátalált az egyik C&C szerverfarmra, és az ott talált kulcsokkal már nyilván vissza lehet fejteni azokat a fájlokat, amiket ők kódoltak el. Szóval nem is egy fajtára, hanem egy bizonyos cryptolocker/ranswomware variánsra működik. Kizárólag arra.