LOCKY közösségi kezdeményezés

Security-all

Közösségi kezdeményezést és összefogást szorgalmaznék, mert itt és sok helyen másutt is olvasom, hogy többen belefutottak ebbe a problémába.
Mi itt szakemberek vagyunk, de nagyon sokan nem ismerik az ebben rejlő veszélyeket.
Javasolnám, hogy állítsunk össze egy tájékoztató anyagot, ahol ismertetjük a veszélyforrást, a szükséges megelőző lépéseket, a biztonságos Internet használat, a frissítések és a biztonsági mentés fontosságát! Nagyon sok hülyeségről kap az ember hírlevelet, vagy sok haszontalan dolgot olvass a közösségi médiában.
Egy hasznos tájékoztató, ismeretbővítő és figyelmeztető anyag mögé oda állhatna a HUP.hu közösége, vagy akár más nívós szakmai oldalak és cégek, ezzel még nagyobb hangsúlyt adva az egésznek.
Mi a véleményetek?

  • 14138 megtekintés

( freeoli v | 2016. 03. 17., cs – 13:25 )

Aki még nem futott bele annak fölösleges. Hogy miért? Mert a megoldás pénzbe kerül és inkább hazudnak maguknak, hogy velem csak nem esik meg ...

Az ötletet nagyon támogatom, csak nem hiszem, hogy túl sok embert el lehet érni vele.

( uid_395 v | 2016. 03. 17., cs – 13:25 )

Vélemény röviden. Szép és jó az elgondolás, de pont azok fognak egy ilyen "összefoglalóra" nagyívbe tenni, vagy kukába rakni a kapott levelet / papírt, akiknek készülne :(

( trey | 2016. 03. 17., cs – 13:26 )

Én hosszú ideje rendszeresen körbeküldök a céges levelezésben egy tájékoztató szöveget. Rendszeresen, mert látom, hogy van rá szükség. Szerencsére minket eddig elkerült az összes ilyen szar, részben mert szűrjük az összes levelet központilag, részben - remélem - a tájokoztatás is segít.

Éppen ma küldtem körbe az új, emlékezetfrissítő levelet....

Hogy mennyit használ? Remélem valamennyit igen, de azért nincsenek illúzióim...

--
trey @ gépház

( gemnon v | 2016. 03. 17., cs – 14:19 )

Körlevél nekem is volt.
Az amavist átállítottam, hogy .js-t se kérünk (igazából az összes a spam mappába landolt). Gondolkodom, hogy leszedem a .js-ről a társítást.

Ezek a C&C ipk mentek ip blokkra (ez a lista is folyamatosan nő, de már nem reportolok feleslegesen): 


91.195.12.187
195.64.154.114
78.40.108.39
188.127.231.116 
149.202.109.205
37.139.27.52
46.148.20.46
51.255.107.8
51.255.107.10
51.254.181.122
78.40.108.39
6.148.20.46
8.40.108.39
95.64.154.114
195.64.154.114
188.127.231.116
178.40.108.39

Egyébként elég lenne useragent nélküli /main.php-nak címzett POST-okat szűrni (márha a havp tudna ilyet :D)

Ez ment a havp blacklistre (bár lehet valamelyiket már felismeri a vírusírtó, ide még vettem a fáradtságot és küldtem abuse-t is mert valószínűleg a tulajok is áldozatok): 


*tuttiesauriti.org/wp-content/plugins/hello123/*
*szkoleniasluzb.pl/*
*smokediscount.de/*
*vip-shape.de/*
*smeja.de/*
*polscyspecjalisci.pl/*
*sabriduman.com/*

( kozel | 2016. 03. 17., cs – 14:14 )

Tamogatom az otletet. Itt a klinikan ahol dolgozom, ketszer is belefutottunk az elmult 30 napban a ransomwarebe. :(

( janoszen v | 2016. 03. 17., cs – 14:23 )

Nalam ugyan nem Locky, de az egyik nalam hostolt user benyalt egy kisebb malwaret. Miutan nem talaltam olyan szoftvert, amit egyszeruen es gyorsan ra lehetett volna drotozni az Eximemre, elkezdtem osszerakni egyet. Ez a varians letolti a hivatkozott fajlokat es megnezi hogy mi van bennuk. A sample eseteben ez egy dropbox link volt.

A terv az az, hogy vagy valami socket protokollt, vagy kozvetlenul SMTP/BSMTP/LMTP-t beszelo szoftver lesz belole.

Otletek, javaslatok johetnek. (Az is, hogy hagyjam abba, van mar ilyen.)

--
Pásztor János
Sole Proprietor @ Opsbears
Development Lead @ IXOLIT

( kozel | 2016. 03. 17., cs – 14:25 )

Egy remek oldal, ahol teszt phishing emailt lehet kikuldeni az end userknek, felmerve, hogy ki dol be az ilyen dolgoknak es ki nem. A legtobb ransomware is hasonloan terjed:

http://www.phish.io/

( sj | 2016. 03. 19., szo – 10:11 )

tudna valaki mutatni egy ilyen komplett levelet, teljes fejleccel, stb? A legjobb az lenne, ha feltenne a pastebin-re es elkuldene privat uzenetben a linket...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Akiket en ismerek nem tudnak angolul. Ami viszont felvet egy erdekes kerdest...

Ha angolul irta ki neki, hogy kapcsolja be a makrokat, akkor honnan tudta, hogy azt kell bekapcsolni, es hogy hol?
Es miert mondja mindig mindenki azt, hogy "aaaa en nem csinaltam semmit, egyszercsak ilyen lett."

Tegnapi "ismeros ismerose" akit elkapott egy ransomware:

-Csinaljam meg INGYEN (marmint meg par doboz sort se kapok)
-Csinaljam meg GYORSAN (mert neki fontos dolga van)
-Mentes az NINCS
-Nemlehet az olyan bonyolult, csak par gombot kell megnyomni.

Egyetlen egyszer segitettem valakinek szivessegbol 2 eve. Hiba volt :/

--

"You can hide a semi truck in 300 lines of code"

De szeretem én is ezt! Hozzák a Windows-zal vett gépet, bekapcsolás után EFI setup indul és ennyi. Nézem, szét van barmolva a GPT, testdisk három filerendszert megtalál, erre csinálok partíció bejegyzést. Deep teszt alapján látom, a HDD nagyobbik felén vélhetően próbálkoztak partícionálással, formázással, vannak erre utaló nyomok. Oda telepítettem Linuxot, majd kiderül, ott voltak a fontosabb adatok. Mentés természetesen nincs.

Tehát eddig úgy áll a dolog, hogy kisebb csodát tettem a géppel három nap folyamatos szívás árán, megy rajta Linux is, Windows is, a meglévő filerendszerről semmi sem veszett el, mégis érzékeltem a hangsúlyból telefonon némi csalódást. Kíváncsi vagyok, amikor átadom a gépet, az öröm vagy a csalódás lesz a több.

Nagyon hálátlan meló ez.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Igen, valóban nem sikerült egyeztetnem. :) Testdisk nem talált értelmes dolgokat, de több filerendszer elejére emlékeztető kezdeményt értelmetlen távolságra igen. Néztem is, hogy OEM Windows-t úgy adnak el, hogy a HDD fele kihasználatlan. Aztán, miután úgy döntöttem, az egyben meglévő, Windows-t tartalmazó filerendszerhez megcsinálom - az akkor még - GPT bejegyzést, az üres területre pedig teszek egy Fedorát, kiderült, hogy az az üres terület egykoron a D: drive volt. Lehet, mondani kellett volna? Bár akkor sem hiszem, hogy előrébb lennénk, de legalább meg lehetett volna próbálni a filerendszer valamiféle visszahozásával.

Fogalmam sincs, ki, vagy mi - akár kártékony kód, vagy hozzánemértéssel használt utility - okozta ezt a vandalizmust. Mindegy, most a Windows filerendszere teljes egészében megvan, az egykori D: pedig egy Fedora /boot, swap, LVM, ez utóbbiban /, /home.

Egy szánalmas dolog van: a linuxos i915 driver, vagy a mesa, vagy valami videoval kapcsolatos dolog rossz. Képes spontán csonttá fagyni a gép. Ezt az eddig kezem ügyébe került összes Intel VGA-val szerelt gép csinálta. Memtest86+ futott hibátlanul.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

akkor honnan tudta, hogy azt kell bekapcsolni, es hogy hol?

megnyomni azt magyarrul kellett a gombot :-)

-Csinaljam meg INGYEN (marmint meg par doboz sort se kapok)

mondd meg az ismerosnek, epitse le a hulyegyereket, kulonben ...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

( tovis v | 2016. 03. 20., v – 10:33 )

Ha jól értettem a problémát, akkor az Office makrói körül csúcsosodik.
Nem lehet ezeket úgy letiltani telepítéskor (közben, után), hogy azokat a felhasználó ne aktiválhassa?
Murphy: A hülyék ellen nem lehet védekezni, rendkívül találékonyak.
OFF? Az utóbbi hetekben rengeteg "számla" és "egyenleg" értesítőt kaptam mint spam. A ki Linux szerveremen belenéztem MC -vel a csatolt, tömörített állományba és ott ilyeneket lehet látni:

Archive: smb/tmp/copy_invoice_14605851.zip
Length Method Size Cmpr Date Time CRC-32 Name
-------- ------ ------- ---- ---------- ----- -------- ----
15587 Defl:N 4824 69% 2015-12-10 12:52 5767ef99 invoice_AEWvOH.js
-------- ------- --- -------
15587 4824 69% 1 file

Nem tudom mi is lehet ez, de nem is nagyon akarom megtudni. A "számla" nyilvánvalóan alaptalan.

* Én egy indián vagyok. Minden indián hazudik.

Rengeteg zip közlekedne így a levelező rendszereken, nálunk tiltva vannak.
Most újabb trend lett felénk egy ideje, hogy az rtf és doc állományokban próbálják küldeni.
Office makrók letiltása kérdés nélkül. Német nyelvű források szerint alternatív megoldásokban pl. LibreOffice nem fut le.

Ez engem is érdekel, hogyan véd az EMET egy átlag ransomware ellen?

Ezek nem szoktak 0 day biztonsági lyukat kihasználni, sőt semmilyen hibát sem szoktak kihasználni. User saját akarátból elindit egy userland programot ami módosit olyan fileokat, amelyekhez a usernek eleve irásjoga van.

Nemtom haver, hirtelen csak ennyit sikerult a Microsoft oldalan talalnom:

EMET - The Enhanced Mitigation Experience Toolkit (EMET) is tool that helps customer against cyberattacks, by helping detect and block exploitation techniques that are commonly used to exploit memory corruption vulnerabilities. More information: The Enhanced Mitigation Experience Toolkit This link is external to TechNet Wiki. It will open in a new window.

***Note***It is important to note that EMET helps prevent exploits from unknown exploits. It would prevent the exploit from dropping the Trojan, however, if you double click on a file EMET won't help in that situation.

Ebbol gondoltam, hogy segitseget nyujthat mindenfele fergek, ransomwarek ellen. Ezekszerint tevedtem.

mert a nyugat-európai helyzettel ellentétben magyarországon minden rendben van, mióta a fülkeforradalom megvívta ádáz harcát (kétszer is). valamint a magyar reformok működnek, szóval amit hallottál, az csak rizsa lehet, vagy nem magyarországon lévő kórház(ak)ról beszélt az illető (akit a jegyszedővel együtt nyilván deportáltak néhány napja).

--

( Fisher v | 2016. 04. 11., h – 14:58 )

Van valami produktum, vagy jobb ha írok egyet?
Tehát írjak.

( end | 2016. 04. 09., szo – 09:08 )

https://www.youtube.com/watch?v=3YXYnAiSYrY

Van valakinek tapasztalata a YouTube-on Petya nevezetű "teszter" videóinak valóságtartalmát illetően? - Konkrétan a "WinPatrol" teszt "fogott" meg, - valóban képes lehet még ismeretlen "ransomware" blokkolására is? Érdemes egyáltalán kipróbálni, esetleg telepíteni és fizetni érte?

A legnagyobb aggályom, az "Avangate" név, - gondolom, az "összevásárolt" szoftverek marketing része Petya is... De..., esetleg más vélemény?

raadasul a cikk is eleg gyengusz, pl.

A védekezés legjobb lehetősége egyelőre a rendszeres biztonsági mentés

vagy

Amennyiben mégis lekódolták volna dokumentumainkat

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

azt ertem, de a backup-bol visszaallitas, mint legjobb vedekezes koncepcioja azert eleg unortodox...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Sajnos mivel annyi variánsa létezik a vírusnak így eléggé kiszámíthatatlan a támadásuk módja és forrása. Ez ellen az ismeretlen ellen tökéletes védelmet hogyan építenél ki? Hidd el, elég sokat agyaltam én is ezen a kérdésen - mivel testközelből is volt részem a vírustámadásban - nem is kevés gépen - ezért engem is nagyon érdekelt a tökéletes védelem. A legtöbb ezzel a kérdéssel foglalkozó külföldi cikk is leginkább a rendszeres biztonsági mentést hangsúlyozta. És az embereket nem árt a legrosszabbra felkészíteni sem szerintem.

Phoenix Art