Frankie Decembris 12, 2014 Share Decembris 12, 2014 Lasāmviela noderīga, paldies! Lapā minētā saite, kas, iespējams, var dabūt atslēgu failu atkriptēšanai, manā gadījumā atgriež, ka "fails neziskatās, ka būtu inficēts ar CryptoLocker". P.S. Šis ir Win7, ne XP. Šo mēslu noteikti var atrauties ntajos veidos un pilnīgi pie kājas vai tas ir XP un kāds tev antivīruss utt ir virsū. Cilvēciskais faktors. Ja nerubīt, kur nevajag līst, tad nerubī. Link to comment Share on other sites More sharing options...
Tā pat vien Decembris 14, 2014 Share Decembris 14, 2014 Sievai darba vietas datortehnikā šitais uzradies 6.decembrī (pamanīts 8.dec). Sazinājušies ar CERT, bet vīri tikai trubā rokas noplātījuši... Kaut kādā veidā bijis iespējams sazināties ar kaitnieku pārstāvi un kā pierādījumu tam, ka netiek jokots šie apsolījuši atbloķēt vienu failu pēc izvēles, ko arī izdarījuši! Link to comment Share on other sites More sharing options...
maize Decembris 15, 2014 Share Decembris 15, 2014 Iespējams noderīga lasāmviela http://www.bleepingc...are-information Vērtīgākais ir prevencijas apraksts, kā liegt izpildīt exe failus no local_settings mapēm. Backup taisītāji ņemat vērā, ka arējais cietais, piemapots tīkla vai mākoņ disks arī tiks nošifrēts. Šamējais uzpeldēja jau pagājušogad http://www.boot.lv/forums/index.php?/topic/151469-latvijas-policijas-virus/page-6#entry1669497toreiz tikai daži gadījumi bija un pieklusa. Link to comment Share on other sites More sharing options...
Jorsh Decembris 15, 2014 Share Decembris 15, 2014 A kādas back-up programmas lietojat paši? Pats nekad neesmu lietojis, bet pēc šīs tēmas izskatās, ka beidzot jāsāk... un meklēt starp tonnu, kur vēl daudzas noteikti būs pilnas ar zarazām, negribās... visi ieteikumi būs ļoti welcomēti... Jā, priekšroku došu bezmaksas variantiem... 1 Link to comment Share on other sites More sharing options...
Volters Decembris 15, 2014 Share Decembris 15, 2014 meklēt starp tonnu, kur vēl daudzas noteikti būs pilnas ar zarazām Kāpēc jāmeklē mēslainē? Kam vajag? Mājas jūzeriem? 1) Windows bekaps ar visu, ko kuro reizi vajag 2) Manuāls bekaps, vai skedžulēts bat fails. 3) Norton Ghost. Tiem, kam ar to visu nepietiek. 1 Link to comment Share on other sites More sharing options...
jema Decembris 15, 2014 Share Decembris 15, 2014 Tikko pats noķēru, ieslēdzu datoru, viss it kā ok, pēkši parādās paziņojums Explorer.exe taisīs restart, nomirgoja ekrāns, palaidās no jauna šis. Klausos disks sāk klabēt, ieeju procesos, zašibis, viens process no appdata\local\temp ar ģenerēto vārdu, apturēju, bet šis jau paspējis daudz ko sapist! Virsū bija Symantec endpoint, nekādas reakcijas. Win7Pro. Mbam skanējot uzrādīja. Atvērts bija tikai Boot lapa un Delfi. Labi, ka ir backupi, sen jau gribēju pārlikt Win, tagad dabūšu piespiedus kārtā ņemties! Link to comment Share on other sites More sharing options...
jema Decembris 15, 2014 Share Decembris 15, 2014 "C:\Users\user\AppData\Roaming\{0F9A3840-DE00-1000-8000-F08A989768}\fkpqvwcdin.exe" šitāds mēsls vel papildus starupā ir ielicies! Vārds arī ģenerētais. nez, lai ticeetu symantec produktiem ir jaabuut pilniigi praatu izkuukojusjam:> Gadus padsmit izmantoju, pirmie sūdi un galvenai ka pašam, mazdrusciņ smieklīgi! Bet arī nav idejas pa kurieni ielīdu. Link to comment Share on other sites More sharing options...
Jorsh Decembris 15, 2014 Share Decembris 15, 2014 Kāpēc jāmeklē mēslainē? Kam vajag? Mājas jūzeriem? 1) Windows bekaps ar visu, ko kuro reizi vajag 2) Manuāls bekaps, vai skedžulēts bat fails. 3) Norton Ghost. Tiem, kam ar to visu nepietiek. Biju domājis softu, kam norādīt kādas konkrētas mapes un piem. back-ups automātiski reizi nedēļā. Negribu visu 500 Gigu cietni backupot... bet moš izbrīvēšu vietu uz ārējā cietā, lai to izdarītu... Link to comment Share on other sites More sharing options...
Firza Decembris 15, 2014 Share Decembris 15, 2014 -> Jorsh Volters taču jau atbildēja: 1) Windows backup - Windows iebūvēta programma. 2) failu, mapju kopēšana izmantojot bat failu un Task Scheduler 3) Cietā diska kolnēšana nav tas labākais backup veids - aizņem daudz vietas un rezerves kopija ātri noveco. Link to comment Share on other sites More sharing options...
ggg97 Decembris 15, 2014 Share Decembris 15, 2014 Atvērts bija tikai Boot lapa un Delfi. Nebiedē! Tad jau jebkurš svētais to zarazu var noraut. Link to comment Share on other sites More sharing options...
jema Decembris 15, 2014 Share Decembris 15, 2014 Kopējais iespaids, par tām apmēram 4-5 minūrtēm, kamēr man pieleca, ka nav labi, šis bija paspējis nošifrēt 4192 dokumentus, pēc skata, ļoti garšo viss, kas saistīts ar bildēm, dokumenti, pdf, RAR nokodēti visi līdz 20 MB, lielos laikam nepaspēja, neaiztiek video, ISO. Labi ka regulāri, bakapi notiek. Win update gan kādu gadu gan nebiju licis. nez, lai ticeetu symantec produktiem ir jaabuut pilniigi praatu izkuukojusjam:> Ko Tu iesaki??? Link to comment Share on other sites More sharing options...
AK-47 Decembris 15, 2014 Share Decembris 15, 2014 jema, kādu browseri izmanto? Link to comment Share on other sites More sharing options...
erikonkulis Decembris 15, 2014 Share Decembris 15, 2014 Ko Tu iesaki??? uzvelc prezi uz rj45 Link to comment Share on other sites More sharing options...
jema Decembris 15, 2014 Share Decembris 15, 2014 jema, kādu browseri izmanto? IE11 un Chrome uzvelc prezi uz rj45 Грешно смеяться над больными людьми Link to comment Share on other sites More sharing options...
erikonkulis Decembris 15, 2014 Share Decembris 15, 2014 vakara melnais humors Link to comment Share on other sites More sharing options...
laikamTak Decembris 15, 2014 Share Decembris 15, 2014 IE11 un Chrome Jamos reizā nedrīkst lietot, tāpat kā 2-vus antivīrusus Link to comment Share on other sites More sharing options...
erikonkulis Decembris 15, 2014 Share Decembris 15, 2014 Jamos reizā nedrīkst lietot, tāpat kā 2-vus antivīrusus ir speciali web softi kas strada tikai uz ie.kapec lai nevaretu lietot reize. Link to comment Share on other sites More sharing options...
mafijs Decembris 15, 2014 Share Decembris 15, 2014 Jamos reizā nedrīkst lietot, Kāds tam pamatojums? Link to comment Share on other sites More sharing options...
laikamTak Decembris 15, 2014 Share Decembris 15, 2014 Kāds tam pamatojums? vakara melnais humors ibio Link to comment Share on other sites More sharing options...
Firza Decembris 15, 2014 Share Decembris 15, 2014 Ko Tu iesaki??? Vērtīgākais ir prevencijas apraksts, kā liegt izpildīt exe failus no local_settings mapēm.„Software Restricton Policy”, „AppLocker” ir samērā efektīvs veids kā cīnīties pret vīrusiem, kurus neatpazīst antivīrusi, un noderīgs tiem lietotājiem, kuri negrib piesārņot datoru ar jeb kādām antivīrusu programmām.Tā, kā Microsoft ir apdalījis Windows Home versiju lietotājus, un tiem nav pieejams „Software Restricton Policy”, „AppLocker”, tad es uz sava datoru uzliku pirmo programmu, ko atradu meklējot „Software Restricton Policy” alternatīvu.Īpaši lielā sajūsmā par šo programmu gan ne esmu, bet savu uzdevumu - neļaut palaist izpildāmos failus no vietām, no kur tas nav vajadzīgs tā pilda labi. Link to comment Share on other sites More sharing options...
erikonkulis Decembris 15, 2014 Share Decembris 15, 2014 firza un kaa tas aptur triperi kas palaizhas ar javu vai kaadas citas neapdeitotas exes ievainojamiibu? antiviruss ta vismaz 1x dienaa apdeitojas. protams antiviruss jau ari nav nekads drosibas garants. Link to comment Share on other sites More sharing options...
Firza Decembris 15, 2014 Share Decembris 15, 2014 kaa tas aptur triperi kas palaizhas ar javu vai kaadas citas neapdeitotas exes ievainojamiibu? Vīrusi, kura datora inficēšanai izmanto programmu ievainojamības parasti to dara izmantojot downloader – novilkt gatavu izpildāmu failu, saglabāt to upura datorā un palaist. Jemas gadījumā tas ir tipisks downloader.Pieļauju iespēju, ka vīruss var būt arī „bezkorpusa” – visa zaraza ir tiek palaista caur ievainojamību, bet tad tāds vīruss var palaisties tikai vienu reizi un nekāds startup tur vairs nesanāks. Un ir aizdomas, ka ievainojamās programmas aizvēršana aizvērs arī vīrusu.„Software Restricton Policy” izmantoju kādus 8 gadus (kopš atteicos no antivīrusa) un tiem datoriem, kuriem tas uzlikts šajā laikā nekādu problēmu dēļ vīrusiem nav bijis. Link to comment Share on other sites More sharing options...
versatile Decembris 15, 2014 Share Decembris 15, 2014 „Software Restricton Policy” izmantoju kādus 8 gadus (kopš atteicos no antivīrusa) un tiem datoriem, kuriem tas uzlikts šajā laikā nekādu problēmu dēļ vīrusiem nav bijis. Vot par šito ir jautājiens - iekš SRP vispār ir iespējams nodefinēt, ka ne no vienas %APPDATA% apakšmapes apakšmapes apakšmapes (..) nevarēs exi palaist? Man ir nodefinēts 3 līmeņos, dziļāk nevienu zarazu neesmu manījis, bet ja nu...? Link to comment Share on other sites More sharing options...
Firza Decembris 15, 2014 Share Decembris 15, 2014 Senos laikos, ar SRP varēja nodefinēt to, ka izpildāmos failus var palaist vienīgi no mapēm %Windir% un %ProgramFiles% un viss ļoti labi strādāja, bet kopš Microsoft uztaisīja Windows Vista ieviesa UAC, trešās puses programmētāji izdomāja kā to apiet un ieviesa riebīgo praksi instalēt programmas failus %UserProfile% mapē. Nu jau arī Microsoft iemanījās iebāzt savu SkyDrive %UserProfile% mapē. Tagad varētu būt čakars ar SRP regulēšanu dēļ šādām programmā, jo katrai programmai jātaisa jauns izņēmums, bet katrs izņēmums nozīmē to, ka šo izņēmumu var izmantot arī vīrusi savā labā. Pagaidām par to vēl neuztraukties, jo vīrusu rakstītāji savus produkciju raksta priekš vairākuma - normāliem cilvēkiem ar Windows 7, 8 un ieslēgtu UAC, nevis visādiem mazohistiem, kuri paši sevi cenšas mākslīgi ierobežot. Link to comment Share on other sites More sharing options...
Guncha Decembris 16, 2014 Share Decembris 16, 2014 Būtu forši, ja Jūs kāds padalītos ar šī draņķa .exe failu. Gribās papētīt cik labi preventīvie pasākumi palīdz. Link to comment Share on other sites More sharing options...
maize Decembris 16, 2014 Share Decembris 16, 2014 Kas zināms par šeit norādīto decrupt metodi? http://www.im-infect...us-removal.htmlftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe Zarazai ir vairāki paveidi, ja nošifrē ar RSA 2048, kur privātā atslēgta atrodas tikai pie izspiedējiem, tad neko nevar atšifrēt bez atslēgas, ja vien dr.web nesadarbojas ar viņiem un neatsūta tev atslēgu, vai nav atklājuši caurumu šajā šifrēšanas metodē, par kuru klusē Vienu daļu vasarā sašnorēja un daļu atslēgu izņēma, bet tas neattiecas un ši brīža infekcijām.Ja faili ir nošifrēti vienkāršāka veidā, tad šamais, iespējams, var līdzēt. Link to comment Share on other sites More sharing options...
DreimanisR Decembris 16, 2014 Share Decembris 16, 2014 Klasesbiedram šādi joki bija. Jau kādu laiku atpakaļ biju atradis programmu kuru ieinstalēju diskā. Tur ir sākot ar user paroles noņemšanu un beidzot ar windows izdzēšanu. Pavisam vienkārši. Boot uzstādu, ka primārais slēdzot iekšā datoru, ir CD-ROM. Atverās mana iemīļotā programma. Un tad nezinātājs sajuktu prātā un apmaldītos. Tik daudz iespējas, un katrā iespējā ir vēl tik pat apakšiespējas. Sāku ar pašu vienkāršāko. Bet nu galu galā palaidu programmas skeneri. Žēl, bet skenē viņš trīs diennaktis. Un atrada. Inficēts man bija Explorer, kuru nekad neesmu vēris vaļā. Tikai chrome. Galu, galā cīnījos. Mainīju dažādus antivīrusus. Bet tad ievēroju ka tikai daži faili ir bloķēti. Daži vairs nebija, bet biju pārliecināts ka iepriekš bija. Tad motivācija uzplauka no jauna. Cīnījos, bet nekā. Aizvedu pie čoma. Nezinu ko viņš izdarīja, bet nakti negulēja. 4 no rīta zvanīja un dusmīgā balsī teica, ka varu savākt to lamatu. Aizbraucu, ieslēdzu un protams. Pilnīgi svaigs un tukšs dators. Iekšā bija tikai explorer un tilde. P.S. programma no diska "Trinity rescue kit" Link to comment Share on other sites More sharing options...
jema Decembris 16, 2014 Share Decembris 16, 2014 Man liekas, ka tu nedaudz nesaproti, par ko mēs te runājam! Tas ka cīnies un mācies malacis! 1 Link to comment Share on other sites More sharing options...
Firza Decembris 16, 2014 Share Decembris 16, 2014 Inficēts man bija Explorer Tam ko Tu apraksti, ar apspriežamo tēmu nav nekāda sakara.Tēma ir par vīrusu, kurš šifrē lietotāja dokumentus, bildes, datu bāzes, u.t.t izmantojot drošu šifrēšanas algoritmus un pēc tam prasa izpirkuma naudu par datu atšifrēšanu. Problēma nav tikt vaļā no paša vīrusa – problēma ir atgūt nošifrētos failus, nemaksājot izpirkuma maksa. Bet tēmas secinājums ir tāds, ka failus var atgūt vai nu no to rezerves kopijas, vai nu samaksājot naudu izspiedējam - nekāds antivīruss tur vairs nepalīdzēs. Vīrusi, kuri inficē programmu izpildāmos failus mūsdienās ir anahronisms. Nav nekādas jēgas inficēt Windows sistēmas failus, vai jebkurus citus EXE failus, jo nekādu priekšrocību attiecībā pret citiem vīrusiem tas nedod. Sākot no Windows XP inficēt sistēmas failus ir kļuvis sarežģītāk, dēļ iebūvētā „Windows File Protection”, bet sākot no Windows Vista tas kļuva vēl sarežģītāk dēļ iebūvētā UAC. Mūsdienu vīrusam labāk priekš sevi ir ilgāk palikt klusam un nemanāma, nevis uzmākties lietotājiem ar UAC pieprasījumiem, vai brīdinājumiem par to, ka fails iexplorer.exe ir izmanīts un tas tiks atjaunots no Windows instalācijas diska. Link to comment Share on other sites More sharing options...
erikonkulis Decembris 16, 2014 Share Decembris 16, 2014 dreimanis galiigi nopiipeejies :> Link to comment Share on other sites More sharing options...
jozhix Decembris 16, 2014 Share Decembris 16, 2014 Kaads ir meegjinaajis ieguut atsleegu XORojot shifreetu failu ar taadu pashu neshifreeto? Es gan nedomaaju, ka viirusa autors izmantos "nesamaisiitu" atsleegu, but who knows... Link to comment Share on other sites More sharing options...
HIGH-Zen Decembris 17, 2014 Share Decembris 17, 2014 Jā, es arī brīnos, kāpēc neviens vēl nav izdomājis iegūt to atslēgu XORojot. Link to comment Share on other sites More sharing options...
mafijs Decembris 17, 2014 Share Decembris 17, 2014 Nu ko, arī manā saimniecībā uzradās šitā zaraza. Dators ar XP SP3, lietots, protams Explorers. Ja skatās history, tad neko tādu aizdomīgu neredz, iespējams, ka kāds baneris sifeļains ticis. Datoram kā %TEMP% norādīts C:\Temp Skatoties kā tas noticis, manuprāt sekojoši: Vispirms ieperinājies Local Settings\Temporary Internet Files\Content.IE5\ZZF0PX9Q\15[1].exe Tad tālāk darbību kārtību nezinu, bet atradās sekojošas vietās : C:\Documents and Settings\%user%\Application Data\%computer name%\winhelp.exe (slēptais fails) Iebāzis sevi HKU\S-1-5-21-1229272821-299502267-682003330-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|winhelp.exe, C:\Documents and Settings\%user%\Application Data\%computer name%\winhelp.exe Iebāzis sevi task shedulerī - arī slēptais fails, jobā ieraksts uz c : \ T e m p \ k u h m r u k . e x e Čupa failu C:\Temp C:\Temp\7934703.exe C:\Temp\urepair.exe C:\Temp\kuhmruk.exe C:\Temp\kuhmrukvonnlca.exe C:\Temp\23960078.exe C:\Temp\24005031.exe C:\Temp\432687.exe C:\Temp\438953.exe C:\Temp\7955765.exe Protams, citiem failu nosaukumi būs citi, bet nu ideja tāda izskatās. Kas interesanti - C:\Temp atradās darba gaitā radušies doc, xls, pdf, zip, ppt faili. Neviens no tiem nebija kripēts. Malvarebytes pirms skanēšanas uzrādīja, ka kaut kas laužas uz āru uz sekojošām IP 109.163.233.169 un 91.213.8.116. Tas tā, vienkārši info. Kam pieder, paši varat paskatīties. Uzņēmumā 15 gadus nebija vajadzība izmantot backupus, ja nu vienīgi kāds nejaušii dzēsts dokuments , un arī tas vienu divas reizes tikai. Nu tas viss atmaksājas. Atjaunoti faili no backup un visi priecīgi Link to comment Share on other sites More sharing options...
Guncha Decembris 17, 2014 Share Decembris 17, 2014 Vari kādu sifeļaino failu saarhivēt un padalīties? Gribu pārbaudīt cik labi preventīvie pasākumi palīdz pret šito zarazu. Link to comment Share on other sites More sharing options...
ggg97 Decembris 17, 2014 Share Decembris 17, 2014 No kādām vietnēm šito zarazu raujat? Link to comment Share on other sites More sharing options...
erikonkulis Decembris 17, 2014 Share Decembris 17, 2014 pornhub redtube Link to comment Share on other sites More sharing options...
Guncha Decembris 17, 2014 Share Decembris 17, 2014 Nope, ne tikai! Pat visai cienījamās lapās šo var noraut. Link to comment Share on other sites More sharing options...
HIGH-Zen Decembris 17, 2014 Share Decembris 17, 2014 varbuut taapeec, ka katram failam cita atslega un tu aatraak nomirsi no vecuma nevis kaut ko saxorosi? dl, tas bija sarkasms.jozhix piedāvājums atšifrēt Elliptic curve Diffie–Hellman (ECDH) izmantojot pašu vienkāršāko šifrēšanas veidu XOR liecina, ka antivīrusu laboratorijās sēž vieni nejēgas - viņiem noteikti vajadzētu konsultēties ar gaišākiem prātiem kriptogrāfijā - atsevišķiem boot.lv biedriem. Link to comment Share on other sites More sharing options...
Zoom Decembris 18, 2014 Share Decembris 18, 2014 @@Firza, Kā Tu tajā programmā norādi ko bloķēt un ko nē. Es tur neiebraucu. Un ja es uzspiežu lock, tad nobloķējās flashplayer. Link to comment Share on other sites More sharing options...
Firza Decembris 18, 2014 Share Decembris 18, 2014 Ja runa ir par programmai "Safer Software Policy", tad tur visa konfigurācija notiek caur ini failu (to var izsaukt no pašas programmas vai pa tiešo c:\Windows\SoftwarePolicy\softwarepolicy.ini), rakstot savus noteikumus ar rokām. Pats gan neko papildus tur neesmu darījis - viss darbojas ar noklusētajiem iestatījumiem. Link to comment Share on other sites More sharing options...
Recommended Posts