Jump to content

CTB-Locker


romajo
 Share

Recommended Posts

Ja PC ir inficēts ar šo, tad zem user/Appdata/loca/temp ir jāparādās kautkādiem exe. failiem? 

Link to comment
Share on other sites

 

 

Shadow dati nav sačakarēti?

Nu tā uzreiz ir grūti pateikt, bet liekas, ka nav sačakarēti. Tobiš, ja ir tad kautkas nedaudz, bet shadow dati ir un ir diezgan daudz.

Ir arī daži nenokriptēti faili - laikam nepaspēja, jo datu diezgan daudz.

Link to comment
Share on other sites

bet shadow dati ir un ir diezgan daudz

 

Un kā Tu tiec viņiem klāt, ja saki, ka neiestartējoties no tā diska windā, shadow failus neredz? 

 

 

piemetu noskanēties, iztīrīt no sūdiem

 

 

Sorry, pieleca, Tu iztīrīji sifeli.

 

Bet tad atkal zūdot iespēja "samaksāt". Bija jāklonē pirms tīrīt ;)

Vispār, cik atceros no šī topika sākumā rakstītā, šitie maili izsūtīti pārsvarā grāmatvežiem un lietvežiem. Kāds mēģina mūs atslēgt no SWIFT...

 

sarkasm, protams.

Labots - ggg97
Link to comment
Share on other sites

Klonēt vari, ja esi gatavs kaut ko kādam maksāt.

Savādāk no tā nav nekādas jēgas.

 

Tieši tā, iztīriju drazu un iestartēju normāli. Nu šim bija atļauts izmantot līdz 50% priekš shadow copy  un system restore. Laikam jau noderēja. :)

Link to comment
Share on other sites

versatile

Developea ieteiktā metode ir laba, BET ar laiku zarazas sāks perināties uz desktopa.

Pievienojam arī rūļus ar visādiem *.pdf.exe utml.

Link to comment
Share on other sites

Bet ja palaiž to doc.exe failu vai tad kaspersky neko nesaka? Parasti viņš ir paranoisks?

Link to comment
Share on other sites

 

 

%SystemRoot%\TEMP\*.exe %SystemRoot%\TEMP\*\*.exe

 

Jautājums kādu ruli vajag lai nobloķētu visus exe iekš temp, neatkarīgi no folderu dziļuma?

Nē nu var jau rakstīt ntās rules, kamēr tiek pārsniegts max dziļums,  bet tas tā - ļoti nesmuki.

Link to comment
Share on other sites

Nu pēc šitā ļembasta būs paziņojums par neapmaksātu rēķinu jāsūta ar Latvijas pastu nevis e-pastu.

Link to comment
Share on other sites

tur jau nebūs līdzēts tikai ar docx.exe un pdf.exe, jāliek bloks uz visiem zināmajiem failu paplašinājumiem.

Uz Windows failu paplašinājums ir pēdējās trīs (četras) rakstu zīmēs + punkts. Doc.exe, pdf.exe u.t.t  tas viss ir EXE izpildāmais fails, bet viss kas ir pirms .EXE ir faila nosaukums. Ar pdf.exe, doc.exe var apmanīt cilvēku, bet nevar apmānīt „dumjo” datoru un SRP, kuru interesē tikai faila nosaukuma pēdējie 3 burti nevis kaut kādi viltīgi EXE failu maskēšanas paņēmieni kā pdf.exe, vai jpg[200_tukšumi].exe. Tā, ka nav nekādas vajadzība veidot speciālas politikas failiem, kuri tikai maskējas par citiem failiem, bet patiesībā ir EXE faili. Pilnīgi pietiek ar vienu aizliegumu darbināt EXE failu no attiecīgās mapes un tas attieksies uz arī uz zip.exe, jpg.exe, mp3.exe, txt.exe  u.c

Labots - Firza
Link to comment
Share on other sites

Tas viss ok, bet klejo valodas, ka šo te varot iegūt arī netaisot vaļā visādus dīvainos epastus. Vot tas jau tad sāk satraukt un gribētos drusku vairāk zināt par iespējamiem caumuriem, ko tad lāpīt.

Link to comment
Share on other sites

-> x-rays

 

Jā, šo var noraut arī neattaisot pielikumus, bet tā epidēmija vairāk vai mazāk ir garām. Galvenais ir nelietot IE. Palasi topiku no sākuma.

Labots - Guncha
Link to comment
Share on other sites

 

 

tā epidēmija vairāk vai mazāk ir garām. Galvenais ir nelietot IE.
Man gan liekas, ka tas ir tikai sākums šādām epidēmijām. No vīrusu rakstītāja viedokļa tas ir izdevīgs un drošs pasākums, galvenais ir nepielaist kādu kļūdu ar šifrēšanu (kas ļauj atšifrēt failus nesamaksājot) un regulāri atjaunināt savu izstrādājumu, lai aktuālā vīrusa versiju, vismaz dažas dienas (pietiks ar arī ar dažām stundām) neatpazītu neviens antivīruss.
Uz Windows XP tiešām labāk ir neizmantot IE, bet uz jaunākām Windows versijām var lietot ko grib. Ne jau visi tie kuri dabūju to vīrusus no parastas web lapas apskatīšanas, izmantoja IE. Mūsdienās jau visi gudri, un arī mājsaimnieces zina, ka FireFox, Chrome rullē, bet IE ir sūds, tā ka ne jau IE lietošana ir galvenais vīrusu perēklis. Lielākais vīrusu perēklis ir JAVA, Flash, PDF un tas, ka EXE failus uz Windows var palaist no jebkuras mapes bez instalēšanas. Ja vienīgā manipulācija ko vajag izdarīt lai palaistu vīrusa failu ir 2x uz tā uzklikšķināt (autorun.inf laikos pat klikšķināt nevajadzēja), tad visa pārējā datordrošība ir pie pakaļas. Un nav jēgas no moralizēšanas (kā var būt tik stulbs lai "atvērtu" rekins.pdf.exe) jo tik pat labi to vīrusu var palaist mazs bērns vai kaķis - palēkājot pa klaviatūru.

Savā ziņā šis ir labs vīrusus, jo tas varbūt piespiedīs lietotājus taisīt backup un iespējams, ka reiz pienāks laiks, kad Microsoft sapratīs, ka iespēja palaist vīrusu tikai 2x uzklikšķinot ir nevajadzīga funkcionalitāte.

Link to comment
Share on other sites

Es domāju, ka samazinājusies ir tā epidēmija, ka browsējot webu ir iespēja noķert, tagad aktuālāki ir e-pasti. Manā pieredzē visi CTB Locker upuri ir bijuši IE lietotāji, pietam arī ar Win7 un IE11, tāpēc nevajag stāstīt, ka IE ne pie kā nav vainīgs. :sarkasms: Domāju, ka arī ne pa velti IE ir vēsturē visienīstākais pārlūks. Patiesībā sen tam bija laiks ierauties stūrītī un nomirt.

Link to comment
Share on other sites

Jautājums - vai var uzrakstīt ruli kura bloķē jebkura faila izpildi kura nosaukumā ir divi vai vairāk punkti? No jebkuras vietas. Tad vīrusu izplatībai šādā veidā (rēķins.pdf.exe) pienāktu gals!  

Link to comment
Share on other sites

Principā mailserveriem vajadzētu dzēst ārā tādus pielikumus kam ir dubultais paplašinājums. Piemēram Kerio mailserveris met nost tādus pielikumus, man liekas ka arī Exchange 2003, arī meta nost, bet tas bija sen varu arī kļūdīties!

Link to comment
Share on other sites

Man arī ir jautājums par šo - šis vīruss/izspiedējs ķer arī OS X vai tomēr tikai Windows???

Link to comment
Share on other sites

 

 

Principā mailserveriem vajadzētu dzēst ārā tādus pielikumus kam ir dubultais paplašinājums.
Liekas, ka jau kādus gadus 10 neviens e-pasta serveri vairs nelaiž cauri pielikumus EXE formātā (vismaz es neatminos, kad kāds būtu saņēmis EXE failu ap tiešo). E-pasta serverim jau ir vienalga, kas bez EXE tur vēl ir pierakstīts klāt (pdf.exe, zip.exe vai jpg.exe), ja faila nosaukums beidzas ar EXE, tad tas izpildāmais fails ko normāli e-pasta serveri tālāk nepārsūta. Bet vīrusu rakstītāju jau arī to zina, un EXE faili tiek sūtīti arhīvos (pat arhīvos ar paroli), vai kā linku uz EXE failu kaut kur internetā. Ja arhīvus, e-pasta serverim pieliktais antivīruss vēl var pārbaudīt uz nevēlamo failu klātbūtni tajos (ja arhīvs bez paroles) , tad linku gadījumā antivīruss var apmaldīties divās priedēs, ja tas links neved pilnīgi pa tiešo uz EXE failu.
Link to comment
Share on other sites

versatile

 

 

Jautājums - vai var uzrakstīt ruli kura bloķē jebkura faila izpildi kura nosaukumā ir divi vai vairāk punkti? No jebkuras vietas. Tad vīrusu izplatībai šādā veidā (rēķins.pdf.exe) pienāktu gals!

*.*.exe neder?

Link to comment
Share on other sites

 

 

.exe izpildās uz OS X?

exe nē, bet vai nav vīrusa variants uz OS X. 

Link to comment
Share on other sites

versatile
Pilnīgi pietiek ar vienu aizliegumu darbināt EXE failu no attiecīgās mapes un tas attieksies uz arī uz zip.exe, jpg.exe, mp3.exe, txt.exe u.c

Pareizi, bet ir mapes no kurām labus un aprastus exe failus vajag varēt izpildīt. Tie paši downloads, desktops citreiz. Var jau visu mest iekš program files, bet nu ne vienmēr tas tā strādā. Tāpēc no tempa un appdatas aizliedzam laist jebkuru exe, bet pdf.exe - no jebkuras vietas.

Turklāt, kā jau iepriekš teicu, daudzām programmām installeris ir sfx extracters, kas atarhivē pilno installeri uz Appdata vai temp un tad laiž īsto exe - labi, ja tas ir zip sfx, ko ar 7-zip var atarhivēt, bet ir gadījumi, kad tas ir kāds cits formāts - tad neko...

Labots - versatile
  • Patīk 1
Link to comment
Share on other sites

 

 

Turklāt, kā jau iepriekš teicu, daudzām programmām installeris ir sfx extracters, kas atarhivē pilno installeri uz Appdata vai temp
Normālos apstākļos programmas tiek instalētās ar Administratora tiesībām (ja vien tā nav kāda jaunmodīgā programma, kura jāinstalē no lietotāja konta un visus savus failus glabā %userprofile% mapē  :mad: ), un tādā gadījumā neredzu iemeslu kāpēc Administratoram vispār vajag likt kādus ierobežojumus. Tāpēc, jau viņš ir Administrators, ka zina ko var darīt, bet ko nevar.

Uz Windows XP iekš SRP varēja ielikt ķeksi, lai drošības politiku iestatījumi attiektos uz visiem izņemot Administratora kontus.

Link to comment
Share on other sites

versatile

Firza, perversijas ir visādas.

Man šīs politikas izplata domēna kontra, tur jāpieķeras un jāsataisa sakarīgi - tb lai attiecas arī uz adminiem, bet ir iespēja arī kaut ko uzinstalēt "pa jaunai modei".

Visstulbāk ir ar visādiem uninstalleriem, kas laižas ar admina tiesībām no %program files%, bet kopē exes iekš appdata - tur nu gribas ar sūdainu mietu...

 

XP vairs nav aktuāls.

Link to comment
Share on other sites

 

 

*.*.exe neder?

 

Šāds 100% neder jo vīruss var sēdēt arī izpildāmajā failā ar savādāku paplašinājumu, piem scr

 

varbūt vienīgi *.*.* derētu, būs jāizmēģina kad būs brīvāks moments.... 

Link to comment
Share on other sites

versatile

 

 

varbūt vienīgi *.*.* derētu

Tādu nevajag. Tam var pamainīt SRP darbību - no atļauts viss, kas nav aizliegts, uz aizliegts viss, kas nav atļauts.

 

scr man ir atsevišķi bloķēti. Arī pdf.com, pašlaik skatos, cik sāpīgi būtu arī *.bat aizliegšana parastajiem jžueriem - diemžēl ir visādas līki rakstītas industriālās progas... Tai skaitā - aizvēsturiskas.

Link to comment
Share on other sites

 

 

Čota tas CryptoPrevent bloķē manus nedaudzos sidebar gadžetus.

Šis ir labojams advanced opšenos, jāizņem ķeksis pie DISABLE WINDOWS SIDEBAR & GADGETS> Apply protection un reboot.

Link to comment
Share on other sites

 

 

Software Restriction Policies neitralizē šitādu vīrusu ieperināšanos ātri un uz visiem laikiem.Izveidojam jaunas Path rūles:

blakusparādība - neitralizē arī Adobe Flash Player update.

Link to comment
Share on other sites

Nu ir atnācis šāds te pacients. Lietotājs protams grāmatvede. Grāmatvedības dati 7 firmām....

Mēģināju ar shadow eksploreri - nav nekas saglabāts, šobrīd skenējas ar EasyUs RAW. Ir kaudze ar veciem vai izdzēstiem hvz failiem.

Tā holēra spējīga sistēmas restori norubīt, un arī UAC novāc nost??? Vai tā uzņēmuma admini ir kukū...

 

Nu variants sapiķot tos 2BTC=430EUR... BET KAS PĒC tam??? Piedāvās lejupielādēt kādu softu, kur to atslēgu ierakstīt? Ir kāds tik tālu novests??? :D

post-81508-0-48312400-1422552733_thumb.jpg

Link to comment
Share on other sites

Šajā, vai blakus topikā par šo tēmu viens vecbiedrs brīdināja, lai netīrot to trfu no tā diska laukā, savādāk pat samaksājot nebūs kur to, es nezinu, laikam kodu, ievadīt.

Labots - ggg97
  • Patīk 1
Link to comment
Share on other sites

versatile

Es laikam maksātu, ja tā ir bezbackupu grāmatvede. Pie viena uzliec tāmi normālam backup risinājumam - kaut kādam NASam, kā minimums...

Link to comment
Share on other sites

Ja kantorim nav datu kopijas - lai maksā. Par stulbumu ir jāmaksā...

 

Ja sāksi urbināties/tīrīt to zarazu - arī samaksājot "zarazas" autoriem nav vairs garantija, ka ko izdosies atgūt.

 

P.S. NAS neko nerisinās - "zaraza" apstrādā arī šāres. VIenīgais profilaktieskais risinājums - piesaistīt normālu IT cilvēku, kurš izveido normālu off site/off line backupu plānu.

Labots - rubb
Link to comment
Share on other sites

 

 

kaut kādam NASam, kā minimums
 

 

Ar tiem nasiem arī tagad ir visādi. Vajadzēs atbilstošu konfigu, kur tripers netiek klāt. Vislētāk laikam sanāktu katras dienas vakarā piespraust flešku un/vai ārējo HDD un dokus no atbilstošās direktorijas nobekapot. Pēcāk to disku vai flešku noglabājot atvilktnē. Uz fleškas un/vai ārējā diska var arī turēt atbilstoši nokonfigurētu portable bekup softu.

Link to comment
Share on other sites

 

 

Šajā, vai blakus topikā par šo tēmu viens vecbiedrs brīdināja, lai netīrot to trfu no tā diska laukā, savādāk pat samaksājot nebūs

Šī jaunā versija par to nepārdzīvo, ka to nodzēš, patiesībā antiviruss to noķēra tad, kad jau ziepes bija savārītas...tākā draza nu sēž iesprostota karantīnā.

Interesanti, kas uzņēmuma serverī notiekas, jo uz datora bija salikti/mapoti tīkla diski. Bet no adminu puses klusums- laikam faili dzīvi

Pamēģināju caur to TOR brouzeri pieslēgties tam linkam, tur tā iespēja uploudot 1 failu atšifrēšanai - sanāca, vienīgi par cik faila nosaukumā bija garumzīmes, tad garumzīmju vietā bija simboli. 

Link to comment
Share on other sites

 

 

brīdināja, lai netīrot to trfu no tā diska laukā, savādāk pat samaksājot nebū

Atrodam failu DecryptAllFiles*.txt tur būs norādes, ja tas ar izdzēst meklējam rokā ļaundarus, viņi palīdzēs ...

Iepriekšējās versijas radītājus sašņorēja, privātās atslēgas izņēma un varēja tikt pie failiem, bet vai šoreiz būs tāpat laiks rādīs.

  • Patīk 2
Link to comment
Share on other sites

Nu un piemērams bat fails pirms backupa kurš nomapo draivu, tad backup, tad atkal bat kurš noņem mapojumu?

Link to comment
Share on other sites

 

 

NAS neko nerisinās - "zaraza" apstrādā arī šāres.
Pa shārēm viņš skraidīt nemāk, viņš bizo pa mapotiem draiviem, secinājums nevag mapot, bet norādīt tīkla ceļus un tas arī ir viss. JA jau galīga paranoja tad var bakupot uz NAS pa ftp ar parolēm.

 

 

Nu un piemērams bat fails pirms backupa kurš nomapo draivu, tad backup, tad atkal bat kurš noņem mapojumu?
Grūti ir norādīt, tīkla ceļu \\NAS\disks\backup ? 
  • Patīk 1
Link to comment
Share on other sites

Guest
Slēgta tēma, pievienot komentāru nav iespējams.
 Share

×
×
  • Izveidot jaunu...