CTB-Locker

[@lice]

@@Milk, galvenais- nesākt šos bandītus glorificēt   

Šite >> ir neliela tehniska analīze, kā ransomdraņķība darbojas, kad tiek datorā, t.sk. failu tipi, kurus šifrē. Tas gan nav tieši CTB Locker, bet gan Cryptowall, bet domājams, ka similaritāte=99.9% 

 

Nedaudz izbrīnīja 100% klientu ignorēšana Baltkrievijā, Krievijā, Kazahijā un Ukrainā, kad, ja IP adrese ir kādai no šīm valstīm, "malware proceeds to remove all traces of itself from the system by removing any registry entries and dropped files it may have created". WTF? No turienes nevar sagaidīt bitkoinus?   

Labots Februāris 2, 2015 - @lice

[Milk]

Izstrādātāji ir no kādas SNG valsts. Viņiem parasti ir likums, netaisīt šmucit tur kur paši dzīvo. Pārsvarā izstrādātāji ir krievi vai ukraiņi un viņi ļoti pieturās pie tā likuma, bieži pietiek ar to, ka sistēma ir RU valodā lai malware nenostrādātu.

[maize]

Līdzīgs gadījums pagājušogad beidzās tā http://en.wikipedia.org/wiki/Operation_Tovartā kā, ja nevēlaties maksāt, un kādreiz gribat tikt pie failiem, var failus saglabāt, varbūt paveicas kādreiz nākotnē.

[Firza]

 

 

Viņiem parasti ir likums, netaisīt šmucit tur kur paši dzīvo.

Tad tie vīrusu rakstītāji tādu „likumu” pieņēma pa visam nesen, jo vēl pirms pāris gadiem SMS winlocker bizness Krievijā zēla un plauka. Un ne jau „riebīgie kapitālisti” tos winlokerus Krievijas tirgum rakstīja, to darīja paši krievu bāleliņi kopā ar mobilo telefonu operatoriem. Mobilo telefonu operatori protams paši nerakstīja winlocker vīrusus, bet tā bija vistiešākā operatoru nolaidība, kā tāds „bizness” vispār varēja pastāvēt.

[Ronalds]

Mans minējums ir tāds, ka lokera izstrādātāji nu jau labu laiku atpūšas USA cietumos, skat maizes doto linku. Bet pa hakeru tīkliem klīst un ir nopērkamas viņa sources vai kādi moduļi no kuriem var katrs gribētājs bez īpašām zināšanām uzbūvēt savējo lokera versiju. Jo pēdējās versijas 100% bija tepat LV tapušas.  

[kro]

Tāda pati versija kā Latvijā tagad arī skaisti lokalizēta plosās Lietuvā.

[tapa]

Tauta novērojusi jaunu vīrusa izplatīšanas veidu - links uz info saitu (uz vakaru pieleca Koalicija doma  !!!)

Labots Februāris 3, 2015 - tapa

[Koala]

Sēžu un pīpēju - pārlasu tapa sacīto un domāju, spiest linku vai nē?!

Labots Februāris 3, 2015 - Koalīcija

[tapa]

Tu vari pārdomāt un pīpēt (un ierēkt) - bet tā vietā varētu kā minimums informēt savus pazīstamos (zemāk attīstītos IT prātus un citus tantukus), kuri raustoties no šīs sērgas, iespējams gribēs paši uzlabot Chrome drošību, kārtīgi nepārlasot un neapskatot izsūtītāja adreses utt.

Labots Februāris 3, 2015 - tapa

[Koala]

Tak neņem ļaunā. Es jau ierēcu par to, līdz kādai paranojai drīz tiksim novesti pateicoties šim CTB-brīnumam.
BTW, paldies par info!
 

[Milk]

Re, kā 2 bitcoin cena šodien ir ~430 EUR, vakar bija ~400 EUR.

[it.kroplis]

CTB Lockers patiešām ir labs. Uzreiz jūt ka to sarakstījis datortīkla programmētājs.  Vairāk šādu labu vīrusu 

[Bruketajs]

 

 

Par laimiš šis klients bija prātīgāks un dokumentiem bija manuāla kopija, izņemot 1C datubāzēm.

Nepiekrītu 2 iemeslu dēļ:

1. Klientam nebija backupa bugaltērijai

2. Klients lieto 1C bugaltēriju. 

[versatile]

 

 

CTB Lockers patiešām ir labs. Uzreiz jūt ka to sarakstījis datortīkla programmētājs. Vairāk šādu labu vīrusu

Es teiktu, ka BOFH.

Jauns spama vilnis, šoreiz *.pdf.exe uz dokumenti.su servera.

[Aphopis]

SRP bloķē Microsoft Office Starter 2010.  Ar bouble click uz .doc faila parādās paziņojums, ka problemas ar product key.

Kā lai uztaisa atļauju tam offisa?

[j@nis]

nezināju ko atbildēt - vai vīruss savu darbību uzsāk jau lejuplādējot no epasta linka vai nepieciešams to lejuplādēt uz "atvērt"?

[Firza]

 

 

Kā lai uztaisa atļauju tam offisa?

Meklē %userprofile% mapē, kur un kādus EXE failus Microsoft ir iebāzis.

Ja senos laikos Google bija niķis bāzt programmu failus %userprofile% mapē, tagad šo stafeti ir pārņēmis Microsoft (OneDrive dzīvo iekš %userprofile%), bet Google pa to laiku ir labojies un Chrome un Google Drive tiek instalēti tur kur tam vajadzētu būt - %ProgramFiles% mapē. 

[it.kroplis]

Palaid linku, un tad tas lejupielādē visu pārējo vajadzīgo.

[Firza]

Lai vīruss sāktu darboties to vajag  „palaist”, „atvērt”, „iedarbināt”. No „plikas” faila saglabāšanas datorā vīruss pats nepalaidīsies, bet lietotājs jau var arī vispirms spiest „saglabāt” un jau pēc tam „atvērt”, jo reiz fails tika sagabāts datorām - tad ar mērķi to kādreiz arī "atvērt". 

Labots Februāris 3, 2015 - Firza

[versatile]

SRP bloķē Microsoft Office Starter 2010. Ar bouble click uz .doc faila parādās paziņojums, ka problemas ar product key. Kā lai uztaisa atļauju tam offisa?

Atver Event Viewer, paskaties, kāds ir events attiecīgajam brīdim, kad laidi Office, un uztaisi izņēmumu.

A SRP ir case-sensitve vai kā?

Jo tas pdf.exe man izpildījās smuki - tiesa, iekopējās iekš Appdatas un SRP tur šamo nokāva.

Un jā, es mēģināju uz īsta datora, ne virtualkas - nagi niezēja SRP pārbaudīt tūlīt un tagad

Protams, ar throwaway jūzeri.

Labots Februāris 3, 2015 - versatile

[jema]

Tā izskatās mails, kas šodien bizo apkārt:

 

From: anete kurzeme <anete.kurzeme@mail.ru>

Subject: Problēma ar rēķinu!

Date: 2015. gada 3. februāris 13:21:08 EET

To: anete.kurzeme@mail.ru

 

Labdien,
Šo rēķinu mēs jums izrakstijām pirms 3 mēnešiem un esam konstatējuši, ka maksājums par šo rēķinu nav saņemts. Vai jūs lūdzu varētu pārbaudīt to?
Elektroniskais rēķins
http://dokumenti.su/klienti/rekini****/ -sliktais links, galu nodzēsu, lai te kāds sūdos neiekuļas!

Ar cieņu,
galvenā grāmatvede
+371 29704926
A/S "Manotrans"

Labots Februāris 3, 2015 - jema

[_KS]

from: Inese Mansarde <inese.mansarde@mail.ru> to: inese.mansarde@mail.ru date: Tue, Feb 3, 2015 at 3:35 PM subject: Nav saņemta apmaksa!  

 

Labdien,

 

Divus mēnešus atpakaļ izrakstijām jums šo rēķinu, bet pēc mūsu datiem tas nav apmaksāts! Pārbaudiet lūdzu to! Rēķins http://dokumenti.su/klienti/rekini/pdf.php?id=xxxxxxxxxxxxxxxxx

 

Ar cieņu,

galvenā grāmatvede

+371 29474782

SIA "Delaudex"

[Red]

Kāds aktīvi piedalās meilu rakstīšanā, tautība gan varētu būt krieviska, ne pēc mail.ru bet pēc citām pazīmēm.

[laikamTak]

 

 

pēc citām pazīmēm.

Nuja, kārtīgs latviec jau nerakstīs 

 

Divus mēnešus atpakaļ izrakstijām

 tur ir pavisam cita kombinācija

[it.kroplis]

putleristi uzdarbojas.

[raiviic]

 Izskatās, ka jautrība uzņem apgriezienus un nu jau arī privātajiem sūta. Pirms pusstundas uz manu inbox kasti atnāca šitāds (protams, linku neatvēru un bildi varat droši skatīties, nekaitīga). Lieki teikt, ka ar grāmatvedību man sakars tikai tāds, ka tā man algu rēķina un nekādu Aiju Dreimani nepazīstu, kā arī  AS MerkursV ir tukša skaņa (atšķirībā no 40 grādīgā Merkūra ) .   Interesanti, ka Kam ailē ir sūtītāja, nevis adresāta adrese, tur arī piestrādājuši.

Labots Februāris 3, 2015 - raiviic

[mullja]

Labvakar kungi!
Kolēģe arī ir paspējusi šo vēstulīti atvērt.

Manā gadījumā win7 pro kompis, kuram bija piemapoti tīkla diski ko vīruss nokodēja. Vai tīkla diskos esošajiem failiem win7 taisa lokālas shadow kopijas? Lokāli nekādi dati uz kompja neglabājās. Ne visi tīkla diski tika backupoti, jo publiskais drazu folderis bija 90% draza un 10% kaut kas noderīgs uz doto brīdi.

[Ronalds]

 

 

Vai tīkla diskos esošajiem failiem win7 taisa lokālas shadow kopijas?

Ne!

 

 

 

kuram bija piemapoti tīkla diski

Un kāpēc gan mūsdienās ir jāmapo tīkla diski....

 

 

Ne visi tīkla diski tika backupoti,

- Nu tad vairs neko - pakāst failus vai makāt... Izsaku līdzjūtības.  

[MIGs]

Paskaties vai pats serveris nav uztaisījis shadow copies.

[Ronalds]

Serveris pats shadow copies netaisa - vai nu ir tā fīča ieslēgta un nokonfigurēta vai nav.... (Ja šī fīča būtu ieslēgta, šāda posta nebūtu) Un baidos ka šajā gadījumā "serveris" ir kāda darbstacija ar parasto win (šajā gadījumā gan ir cerības uz previus versions).

Labots Februāris 4, 2015 - ronalds_

[Firza]

Windows 7 taisa Shadow Copies failiem, kuri ir izdzēsti vai izmainīti arī pa tīklu. Vismaz pēc manipulācijām ar failiem no Android telefona (dzēsu, mainīju), iepriekšējās failus versija atjaunojās ļoti labi.

[Ronalds]

Firza - drusku nepareizi tu izsakies - Shadow copies, jeb System restore (kā šo sauc iekš win7) "Iesaldē" failu sistēmas stāvokli - uztaisa kopiju failu katalogam. (Snapshoot) (Nezinu kā precīzāk pateikt)

Visas izmaiņas, kas failu sistēmā tiek veiktas pēc iesaldēšanas, netiek rakstītas pa virsu vecajiem failiem, bet gan jaunās vietās. Uz servera OS var nokonfigurēt kad tiks šie sanpšūti taisīti, cik ilgi vecie glabāti.

Uz darbstacijām snapshutu ņemšana notiek pirms lielu lietu instalēšanas un reizi 24h, ja darbstacija netiek lietota. "Netiek lietota" ir diezgan stiepjams jēdziens, ms arī nav publiski paziņojis pēc kā tiek atļauta/aizliegta snapshoot veidošana.  Tātad, ja nekas nav instalēts, ja pc tiek pa nakti slēgts ārā vai aizmieg, pēdējais snapšoot var būt ļoti vecs. 

[mullja]

Nav stresa. Kā jau teicu - publiskais miskastes disks tika izvarots un kopā pakāsti max 10 noderīgi dokumenti. Tā bija veca win2k server SP4 domēna kaste pie kuras slēdzās win7 darbastacijas. Kas bijis bijis

[e28lover]

Sveiki. Man Shadowexplorer redz visus failus (pat ar 3 datumiem), bet exportejot tie veidojas sabojati jeb damaged. Ir kadam kkas lidzīgs?

[Firza]

 

 

exportejot tie veidojas sabojati jeb damaged.

Kā izpaužas tas, ka faili „demaged”? Windows pats saka, ka tie faili iekš Shadow Copies ir „demaged”, vai arī mēģinot atvērt atjaunoto failu tas neveras, jo ir bojāts?

Pilnīgi iespējams, ka iekš Shadow Copies atrodas čupa ar jau sašifrētiem failiem (vairāku GB informācijas šifrēšana vīrusam var prasīt samērā ilgu laiku).

Ja ir kāds hex redaktors (pilnīgi pietiks Total Commander iebūvēto), tad apskaties, kam līdzīgi ir tie bojātie faili. Vai pēc satura tie ir līdzīgi oriģinālajiem failiem (docx, zip faili hex redaktorā sākas ar „PK”, JPG failiem sākumā būs JFIF vai Exif) vai arī tur pilnīga šifrēto failu „kakofonija”, bez iespējas atrast jebkādu sakarīgu tekstu un bez kādas līdzības ar tāda paša tipa nebojātiem failiem.

[it.kroplis]

Daži netīreļi pamanījušies šodien pabojāt koplietošanas diskā failus. Saveidoju uz servera auditāciju bet nemanu iespējas definēt lai auditē tik konkrētus paplašinājumus ".gvdeoyh". Filtrēt ar nemana kā to varētu izdarīt. Ar WSCOM to varētu sataisīt bet te tāda nav. Nav kādam zināms kāds alternatīvs toolis?

[Ronalds]

Uz servera jau sen bija shadow copies  jābūt ieslēgtam. Un nedrīkst mapot tīkla diskus! 

 

Ko tev tā auditēšana dos? Domā useris uzreiz nebļaus, kad viņa faili būs sašifrēti?  

[versatile]

Nu cik var ņemties ar tol ka nedrīkst būt tīkla diski piemapoti - IR SOFTI, KURIEM VAJAG. Jā, līki rakstīti, bet dārgi un joprojām strādā. Jā, ar smylinkiem to var apiet - var nemapot - bet tas nepasargās no nošifrēšanas. Utt...

[Ronalds]

Nē nu ja ir specifisks softs kuram bez mapošanas nekā..... Bet tas ir ļoti specifisks gadījums. Es ar tādiem softiem jau labu laiku neesmu sastapies. Tomēr esmu sastapies ar gadījumiem, kad tīkla diski tiek mapoti vienkārši tāpat! 

 

Bet nav jau nekādu problēmu noskaidrot kurus tīkla diskus lieto useris. Domāju ka nākamās lokera versijas mācēs sašifrēt tīkla diskus arī bez mapošanas  

Labots Februāris 5, 2015 - ronalds_

[e28lover]

Firza

 

Shadow explorer redz visus "pareizus" failnames, pats var exportet jebkuru failu. Un vispar neko neziņo. Bet jau atverot, piemeram doc failu, office to vai nu nevar atvert, vai piedavaja atjaunot, un rada tuksas lapas. Bet 1 no kadiem 20 failiem izdevas atjaunot, bet protams nav pieteikami.

 

Man interese tikai docx, doc, xls faili