Zepto: az uj locky?

Microsoft Windows

Kedves ügyfélhez megérkezett a zepto ransomware. Addig erősködött a víruskeresővel szemben, ameddig csak sikerült megnyitnia az email mellékletét, ami egy ZIP-be csomagolt javascript volt. Annyiban más, mint a Locky, hogy ez nem csak a kiterjesztést módosítja kódolás után, hanem át is nevezi a fileokat ilyesmire:

35F63DA4-A5E2-66E9-EBB1-C516DE0D691C.zepto
35F63DA4-A5E2-66E9-F9A5-44479710EE1E.zepto
35F63DA4-A5E2-66E9-E548-C8609446C927.zepto

Minden könyvtárba elhelyez egy _HELP_instructions.html -t, és beállítja háttérképnek is az instrukcióit. MS Office és kép fileokat biztosan elkódolt, de feltűnt, hogy az AutoCad DWG-ket érintetlenül hagyta.

Néhány .zepto file-t megtartok játszogatni, aztán törlés után jön vissza minden a mentésből szépen... :)

  • 8341 megtekintés

( Szenti v | 2016. 07. 06., sze – 17:50 )

Néhány .zepto file-t megtartok játszogatni, aztán törlés után jön vissza minden a mentésből szépen... :)

Remek, végre valakinek van mentése. :)

A fájl eleje egy random GUID.

Az a durva, hogy ez még ma, 9 nappal később is csak 45/55 a virustotal-on.

Szégyenfal:
Alibaba (20160715), Baidu (20160715), CMC (20160714), F-Prot (20160715), Kingsoft (20160715), TheHacker (20160714), TotalDefense (20160713), VBA32 (20160714), Yandex (20160715), Zoner (20160715)

Ez vajon az a kingsoft, amit sokan annyira sz*pkodnak?

Más: hozzánk ma ez érkezett. Német nyelvű email, csatolmánya egy zip-be csomagolt docm

Virustotal szerint 0/55, azaz hófehér. Na ezt én azért nem hiszem el...

( ncc1701 | 2016. 07. 06., sze – 20:11 )

File szerveren zfs van, snapshotból visszaállok, és csókolom.

Még az MS-es Deployment Toolkit-be is beépíthető az udpcast: http://hup.hu/node/134143?comments_per_page=9999

60 géppel tesztelve, a szerver tisztán Linux (2-3 óra, az elején kell okosan ütemeznem, mert eléggé alulméretezett a (virtuális) szerver, és az image terítése előtti http[iso image]/smb[konfig, toolok és driverek] szép load-ot eredményeznek, amit az egy mag nehezen visel :)).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( pehsa | 2016. 07. 07., cs – 14:26 )

Pont ma kapta be az egyik ügyfelünk.
Épp folyik az ellenőrzés és problémamegoldás. :D

( bednarik | 2016. 07. 08., p – 07:37 )

Terjedési módja hasonló a locky hoz?
Mármint angol nyelv levelet kapsz és tömörített vagy doc file?
--
ingatlanturista.hu,
ingatlanturista.blog.hu /érdekes kísérlet ház eladásra,vicces ingalanos történetek, többit az oldalon./
Frissités: eladtunk, weboldal hasznositáson még gondolkozom.

A locky inkább tömörített javascript volt, ami ide jött ebből az sima docm (át is csúszott a filteren egyből). És a lockyval ellentétben egy deka szöveg nem volt benne csak a melléklet. Én az X-Mailer és From/To alapján kiszűrtem az utolsó 5 nap leveleit és elmozgadtam amit iPhone-ról küldtek saját maguknak.

A header: 


From: <user@example.org>
Mime-Version: 1.0 (1.0)
Date: Wed, 06 Jul 2016 19:11:05 +0530
Subject: 094A31D75DCFBA78
To: <user@example.org>
X-Mailer: iPhone Mail (13F69)

A melléklet: 


Content-Type: application/vnd.ms-word.document.macroEnabled.12;
	name=094A31D75DCFBA78.docm;
	x-apple-part-url=FCFF4BE3-5F75-C042-76DC-95FE07862563

( bednarik | 2016. 07. 08., p – 07:39 )

Melyik vírus kergetovel erősködött? Ha publikus...
--
ingatlanturista.hu,
ingatlanturista.blog.hu /érdekes kísérlet ház eladásra,vicces ingalanos történetek, többit az oldalon./
Frissités: eladtunk, weboldal hasznositáson még gondolkozom.

Ha ki tudják kapcsolni, az nagyon nagy baj. Egyszer egy banki projekten dolgoztam, és az egyik fejlesztő kolléga kikapcsolta az AV-t. A biztonsági szolgálat két fegyveres őrrel kereste őt. Kicsit ijesztő volt, még akkor is, ha tudtuk, hogy nem mi csináltunk disznóságot.

Tudatosítani kell a felhasználókkal, hogy nem csak a saját, hanem a céges adataikat veszélyeztetik, majd le kell jelszavazni a NOD-ot, hogy legközelebb ne tudják kikapcsolni. A IT biztonság nem kívánságműsor, ha lassú a gép az AV miatt, lehet a vezetőségnél reklamálni gyorsabb gépért.

Az ennyire friss fenyegetések eleinte mindegyik antivírusnak nehézséget okoznak. Ennek oka az, hogy a vírusfejlesztők addig módosítgatják a vírusaikat, amíg az ismert antivírusok nem ismerik azt fel. Később persze fel fogja ismerni, de addigra már bejuthat a fertőzés a felhasználók gépére. Azt kellene megvizsgálni, melyik gyártó az, amelyik átlagosan a leghamarabb reagál.

Hátrálj ki a dologból, illetve párhuzamosan próbáld meg vmi rendszeres mentésre rábeszélni. Ezt hívják tanulópénznek. Szerencsére azok az adatok, amik 1 példányban vannak meg, azok nem fontosak. Ha fontos lenne, akkor 3 példányban tárolta volna őket, úgyhogy ne törd magad nagyon.

( freeoli v | 2016. 08. 09., k – 08:14 )

"jön vissza minden a mentésből szépen"

Ennek komolyan örülök, ez egy jó hír. A mentés az első amit szeretnek lespórolni.

Ha nagyon fontosak az adatok akkor, venni kell egy új merevlemezt és arra telepíteni a rendszert a régit meg hazaviszed és kitalálod, hogy mi legyen vele.
Otthon aztán csinálhatsz image mentést és lehet kísérletezni.
De ha előre szólsz, a szervizben hogy neked kell előtte egy image mentés, akkor vagy megcsinálják vagy el sem vállalják, vagy nagyon drágán vállalják, mert nem értenek hozzá és valakit méh szerződni kell a feladatra.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox