Jump to content

CTB-Locker


romajo
 Share

Recommended Posts

e28lover, ņemam r-studio vai kādu citu šā veida rīku,  slēdzam hdd pie cita pc, laižam meklēt pēc faila satura (ilgs process). Ko atradīs - tas būs. 

Link to comment
Share on other sites

ronalds_

R-studio negrib skanet sudzejas uz kkadu mft problemu. Ar citiem skanierim problema tada paša kko atrod, es atjaunoju to failu, beigas vins ir damaged

Link to comment
Share on other sites

it.kroplis

Manā gadījumā interesētu auditēšana par jaunu failu izveidi ar konkrētu paplašinājumu, ar ideālā gadījumā e-pastisku paziņojumu par notikumu, vai vismaz eventu saraksts ar konkrētajiem notikumiem. Tas ka daļa no tiek tagad ir bojāti mani nekrata. Dotā tīkla diska vieta ir domāta failu apmaiņai, nevis glabāšanai. Attiecīgi shadow copy tur ir izslēgts. Vienkārši būtu labi laicīgi sajust ka kāds sāk radīt tos failus.

Link to comment
Share on other sites

Ko Jūs izmantojat mapošanas vietā? Katrs useris taisa shortcutus uz tīkla mapēm?

Protams! Vēl mēģinu useriem iemācīt caur 'run' serveriem pieslēgties, ar mainīgiem panākumiem ;)

 

 

 

 

Dotā tīkla diska vieta ir domāta failu apmaiņai, nevis glabāšanai. Attiecīgi shadow copy tur ir izslēgts

Dīvaina argumentācija. Ņemot vērā disku izmaksas es neredzu sakarīgu iemeslu kādēļ uz serveriem neslēgt shadow copies....  

Labots - ronalds_
Link to comment
Share on other sites

it.kroplis

Ok atsūti man jaunus SAS diskus vismaz piecus uz kādiem 300GB katru, un apmaksā darbu kas saistīti ar RAIDa pārbūvēšanu, saglabājot ServerOS funkcionalitāti. 

PS. tev arī nav jāredz iemesli, es meklēju risinājumu savām vajadzībām. Ja par to, nav ko teikt, tad vari ar paklusēt.

 

Kas notiek ar to kriptētāju, ja nedabon atļauju iekopēt kriptētā faila variantu? Faili vienkārši pazudīs, pat bez iespējas iekopēt nokriptēto versiju, vai arī pie pirmās neveiksmes izmetīsies windows errors?

Labots - it.kroplis
Link to comment
Share on other sites

it.invalīds, tu kā skatos esi palicis pagājušajā gadsimtā skatoties uz datu glabāšanas tehnoloģijām. sas diski jau sen kā var iet atpūsties, Un raid kartes arī :)


ps foruma cenzūra izlaboja biedra vārdu, es tur nepričom....

Labots - ronalds_
Link to comment
Share on other sites

Ronalds_, kas vainas SAS diskiem ? Man ikurāt uz 24x2TB 7.2k SAS un perc RAID kontrām stāv backupi. Nav ne vainas

Link to comment
Share on other sites

Sas vaina ir tāda, ka viņiem price/performance ir pilnīgā pakaļā! Vajag ātrumu - ssd, vajag ietilpību 7200 rpm serveriem paredzētie sata hdd. Piemēram WESTERN DIGITAL RE 

 

Attiecībā uz raid kontrolieriem - viņi strādā krietni lēnāk, kā softiskais raids - esmu testējis. Parasti nav iespējams sekot disku smart, ja viņi pie raid kontroliera pieslēgti.  

Un priekš linux - jaunās failu sistēmas btrfs, zfs - te vispār raid kontrolieri nobāl...

Link to comment
Share on other sites

ieleja, vai Tev (pašam vai tiešai paziņai) ir bijusi pozitīva pieredze ar visu failu atšifrēšanu? Izmest pārsimt eiro arī nevienam negribas papildus iegūtajām problēmām!

Kur garantija, ka tagadējie vīrusa izplatītāji to nav brīvi ieguvuši (lasīju vienā posta) un pielāgojuši vietējam vajadzībām, un ir parasti vieglas naudas tīkotāji, kas cer dabūt kaut kādu piķi, bet par reputāciju nesatraucas?!

  • Patīk 1
Link to comment
Share on other sites

Lasi vēl tādus postus. Tas viss ir viens liels bulllshit. Tie kas vismaz nedaudz saprot no malware, kā tas tiek būvēts, uzturēts utt... saprot, ka tas viss ir liels bulļa sūds. Es nerakstu par tiem wanna be IT ekspertiem no cert un kaspera sūda izplatītajiem LV. Varbūt viņi zin, kā windows pārinstalēt, bet par malware tur zināšanas ir 0.

 

Pieņemsim šo nereālo teoriju par reālu un kāds ir dabujis source kodu no šī vīrusa, kapēc viņam izdarīt tā lai nevarētu atkriptēt failus? Vai tava teorija ir, ka dabuja daļu no source, tieši to kura kriptē failus un ievāc naudu, bet nedabuja to kura atkriptē? Uzturēt un izplatīt malware lai dabūtu "kaut kādu piķi" ir neizdevīgi. CTB nekas vairāk, kā valoda nav pielāgota vietejām vajadzībām. Jaunākā versija atbalsta 7 dažādas valodas. Es neredzu nevienu plusu malware izstrādātājiem no tā lai neatdotu failus upurim pēc samaksas. Tam vienkārsi nav jēgas. Un ir pilns ar apstiprinājumiem par to, ka faili tiek atdoti ārpus LV un iekš LV.

 

Es neesmu pagaidām sapratis kam un kapēc ir izdevīga šī propoganda par to, ka failus nevar atkriptēt arī samaksājot utt... bet skatoties uz to, kā Kaspersky visur cenšās ielīst ar savu reklāmu, liekās viņiem. Neitrālālos IT forumos(kur tik tiešām ir eksperti) neviens, neko tādu nepropogandē. Katrs pats nosaka savu failu svarīgumu un vai tā nauda ko prasa ir failu vērta. Tik tiešām nedaudz tracina, ka wanna be eksperti ir iedomājušies savu ideoloģiju un propogandē pilnīgas muļķības. Maksāšana atbalstīs vīrusa attīstību, bet ne jau Latvija ir vienīgā kurai uzbrūk, amerika ir piedzīvojusi viss lielāko šī virusa uzbrukumu. Viņiem ienākumi no tādas latvijas ir smieklīgi lai tas ieteikmētu vīrusa attīstību un lai kāds tagad dēļ tā ziedotu savus svarīgos failus. Noteikti vienkārsi bija trāpijusies kāda LV epastu datubāze ar grāmatvedības novirzienu(man ir pamats aizdomām uz ifinanses.lv), kāpēc neastrādāt arī šo valsti ja ir tik laba datubāze.

Labots - Milk
Link to comment
Share on other sites

Milk - kāpēc tu visu laiku viņus gribi pataisīt par GODĪGAJIEM vīrusu taisītājiem! Vietējais aizstāvis, atradies. dibenzellii ir un paliek dibenzellii, mālē kā tu viņus gribi!!!

  • Patīk 4
Link to comment
Share on other sites

Ieteikums nemaksāt par failu atšifrēšanu nav ne slikts ne labs. Ar varu neviens neuzspiež lietotājam nemaksāt nekādā gadījumā. Tā ir tikai fakta konstatācija – samaksājot savu naudu jūs netiešā veidā veiciniet šāda biznesa attīstību.
Būtībā šis vīruss ir līdzīgi kā tas notiek, kad teroristi sagrābj ķīlniekus, pirāti sagrābj transporta kuģus, bandīti nolaupa cilvēkus un pēc tam prasa izpirkuma maksu. Ir valstis kurās ir pieņemts – ar teroristiem nekādas sarunas nerīkot un izpirkuma naudu par ķīlniekiem nemaksāt, punkts. Samaksājot izpirkuma maksu par ķīlniekiem, kuģiem, kravu, izpildot teroristu prasības ir skaidrs, ka tas veicina šī „biznesa” attīstību, bet neviens nevar aizliegt radiniekiem, kuģu īpašniekiem samaksāt izpirkumu, ja nav citu iespēju kā glābt cilvēku dzīvību, vai kad zaudējumi kuri radīsies dēļ zaudētā kuģa, kravas un apklapes būs lielāki par pieprasīto izpirkuma maksu.
Ja grāmatvedim, datu ievadīšana no jauna izmaksās n-mēnešus darba, n-tūkstošus eiro un vēl čupu visādu soda naudu par laikā nenodotiem dokumentiem, tad protams 400 eiro ir sīkums, salīdzinājumā ar pirmo scenāriju, un pat ja samaksāšana kaut kādu iemeslu dēļ nedod iespēju atgūt datus, tas ir sīkums salīdzinājumā ar sūdiem, kuri būs, ja dati netiks atgūti.

Ja cilvēkam ir neārstējama slimība arī tad neviens nevar aizliegt viņam ticēt brīnuma un lietot dziednieku izrakstītās „zālītes”.

Link to comment
Share on other sites

Microsoft Security Essentials paspēja pārķert cienītās failu, pirms tas papsēja ko izdarīt. Un jau padomāju, ka izsprukšu bez šīs te jautrības.

post-846-0-28117100-1423244290_thumb.png

Labots - janni
Link to comment
Share on other sites

Tas, kas šis mēsls sāk nākt arī uz privātajiem e-pastiem, man beidzot liek satraukties attiecībā uz mammu un tamlīdzīgiem lietotājiem. Lasīju, ka šamējais jau dažiem iekš inbox.lv atnācis. Kā ir ar Gmail? Vai kāds jau ir saņēmis "neapmaksāto rēķinu" Gmailā?

Link to comment
Share on other sites

Tas, kas šis mēsls sāk nākt arī uz privātajiem e-pastiem, man beidzot liek satraukties attiecībā uz mammu un tamlīdzīgiem lietotājiem. Lasīju, ka šamējais jau dažiem iekš inbox.lv atnācis. Kā ir ar Gmail? Vai kāds jau ir saņēmis "neapmaksāto rēķinu" Gmailā?

Papētīju savu gmail, skatos, ka neesmu saņēmis tādu, inbox.lv nemaz arī neesmu saņēmis tādu

Labots - Eernijs
Link to comment
Share on other sites

Uz gmailu ir saņemts. Par inbox nezinu, tomēr domāju ka inbox nekādi nepalīdzēs pret šo vīrusu!

 

O. Skatos MSE sācis vismaz kaut kādas variācijas ķert... Ne divi mēneši nepagāja....

Link to comment
Share on other sites

Execrypt.com ir pats publiskākais un primitīvākais serviss. 900$ mēnesi un neviens antivīrus neķers izplatāmo failu jo tas tiks pastāvīgi čekots uz detektiem un pie vajadzības samainīts caur API pret tīru failu bez detektiem. Un šis serviss uz citu fona ir smilškaste priekš bērniem.

 

Dokumenti.su kopš sāka parādīties pirmās ziņas par izplatīšanos, failu nomainija 3 reizes. Pēdējo reizi pirms 2 dienām, šobrīdējais fails detektējas jau gandrīz ar visu, acīmredzot neredz jēgu vairs mainīt. Visi ko vajadzēja tika inficēti vai arī domens tiks drīzumā mainīts. Vēl esmu ievērojis, ka spams notiek darbadienās, laikā no 9-16(laikā kad cilvēki ir darbā un iespēja, ka atvērs failu uz darba datora ir lielāka).

Link to comment
Share on other sites

Pirmdiena sākās ar vienu inficēto. Dīvaini tas, ka daži jpg faili tomēr kaut kādu iemeslu dēļ ir izdzīvojuši ;)

Laikam bijusi pārāk liela fragmentācija un ļaunais process nav beidzies līdz šatdaunam. Cita skaidrojuma man nav.

Link to comment
Share on other sites

Piedodiet, ja mazliet ne pa tēmu,bet man ik pēc kāda laika(apmēram reizi stundā/divās) AVG atrod MalSign.Generic.BCA. Parasti pa divi gab. reizē.

Capture.sized.jpg?1423481184

Neizprotu, kas man viņus ražo.

 

Edit - jāiznīcina setsearchm.exe vai reg keys?

Labots - Msnikss
Link to comment
Share on other sites

Izskatās, ka tur darbojas 2 vīrusu vienlaicīgi - setsearchm.exe un net9809.tmp.exe.
Gan jau, ka tas ir viens un tas pats vīruss, kurš pats sevi kontrolē – ja nokāva vienu vīrusu, otrs uztaisīja jaunu pirmo vīrusu un atkal to palaida, ja nokāva otro vīrusu, pirmais to atjaunoja. Tas nozīmē, ka abi vīrusi ir jānokauj vienlaicīgi, vai tad, kad neviens no tiem vēl nav palaidies. Vīrusi vēl nebūs palaidušies, ja dators būs ielādēts Safe Mode, vai ielogojoties no cita lietotāja konta. Reģistra atslēga RunOnce nozīmē, ka pie katras palaišanas šī atslēga tiek izveidota no jauna, un nebūtu nekāds brīnums, ja izpildāmā faila nosaukums katru reizi ir savs.

 

Senos laikos biju izdomājis efektīvu līdzekli kā ierobežot vīrusus, kuri varētu darboties user mode – caur failu un reģistra permissions aizliedzu User startup pievienot jaunus ierakstus. Pret vīrusiem, kuri čakarē lietotāja failus tas neglābs, bet vismaz citas drazas pēc restart vairs nepalaidīsies.

Link to comment
Share on other sites

Gadījās vienam paziņam šis vīruss un nekas nepalīdzēja. jo nebija shadow copy. Izlēma samaksāt, jo izvērtējot visus +/- atgūstot datus viņš tos euro atpelnīs ātrāk nekā visu sākt no nulles. Protams, nekādu backup vai dropbox nebija.

Ok, ar drebošām rokām meģinām visu darīt. 2 darba dienas aizņēma laiks, kamēr tu nopērc tos 2 bitcons, jo tas ir starptautisks maksājums (summa aptuventi 400 euro+10 euro paņēma pārdevējs). Un tālāk jau pēc instrukcijas. Pēc bitcoin samaksas pagāja 15 līdz 20 min, un tad Iedeva linku, kur ielādējām ctb unlocker un atslēgu (sastāv no dažiem desmitiem cipariem un burtiem) un 2 stundu laikā viss bija atpakaļ.

  • Patīk 3
Link to comment
Share on other sites

Es tikai gaidu to mirkli, kad šis cirks pāries nākamajā stadijā. Bičkoinus paņems, bet atslēgu neiedos :not_i:

Link to comment
Share on other sites

 

 

Es tikai gaidu to mirkli, kad šis cirks pāries nākamajā stadijā. Bičkoinus paņems, bet atslēgu neiedos

Nav izdevīgi. Info izplatīsies ātri un neviens nemaksās.

  • Patīk 1
Link to comment
Share on other sites

Šodien atsākta CTB-Locker datorvīrusa izplatīšana no julianus.su. Vēstule noformēta kā parādu piedziņa.

Link to comment
Share on other sites

it.kroplis

Par muļķību jāmaksā, man nav ne kripatas žēl visus kas padibens failus, un netaisīja rezerves kopijas, un viņu naudu, ja samaksās par atkriptēšanu arī. 

 

PS. Versijas tik strauji mainās ka MS antiviri ar 2 nedēļu vecām bāzēm, svaigi ieslēgts un uzreiz ja palaiž to kriptetaju e-pastā nevar noķert to  ;).

Link to comment
Share on other sites

Tīri intereses pēc. Kāpēc tos visus coinus nevarētu kriminalizēt. Pietiktu tikai ar Eiropas un ASV atbalstu un kāds liels procents atkristu. Ne vienmēr lielā brīvība ir tā labākā..

Link to comment
Share on other sites

Offtopic: Man žēl tos cilvēkus, kuru tālruņa numuri ir norādīti šajās fake vēstulēs :resent:


P.s. Eu, Ertex, a linku, cerams, esi sabojājis pirms iepostoji?! :shok:

Link to comment
Share on other sites

Vai CTB-Locker spēj sabojāt failus, kuriem ir atribūts "Read Only". Varbūt tā var daļu failu kurus cilvēki parasti nemaina(nepārraksta), piemēram attēlus, mūziku, video aizsargāt?

Ja CTB-Locker ir sabojājis kādu ļoti lielu failu, piemēram 4 GB video failu(vai vairākus), kurš cilvēkam ir ne tikai datorā, bet arī ierakstīts DVD, vai salīdzinot iekodēto ar oriģinālo failu varētu atrast atslēgu, kas der pārējo failu atkodēšanai?

Vai ir kāda iespēja izveidot kautkādu ''whitelist'', kas pēc jūzera vēlmēm ierobežo programmu iespējas datorā? Piemēram ļaut foto failus tikai atvērt un mainīt programmām Photoshop, Paint, Picture viewer, un neviena cita programma nav spējīga modificēt šos failus.

Vai kāds no brīvajiem AV ir labāks par citiem tieši pret Ransomware? Tagad man ir Panda Free AV.

Link to comment
Share on other sites

 

 

Ja CTB-Locker ir sabojājis kādu ļoti lielu failu, piemēram 4 GB video failu(vai vairākus), kurš cilvēkam ir ne tikai datorā, bet arī ierakstīts DVD, vai salīdzinot iekodēto ar oriģinālo failu varētu atrast atslēgu, kas der pārējo failu atkodēšanai?

 

Praktiski neiespējami. Tāpat kā salīdzināt 2 sazipotus failus, kur vienam ir parole, bet otram nav, ieraudzīt paroli nav iespējams.

 

Read only neaisargā failu pret pārsaukšanu, dzēšanu un pārvietošanu.

Link to comment
Share on other sites

Vai CTB-Locker spēj sabojāt failus, kuriem ir atribūts "Read Only". Varbūt tā var daļu failu kurus cilvēki parasti nemaina(nepārraksta), piemēram attēlus, mūziku, video aizsargāt?

 

 

Ar read onlyt atribūtu nesanāks, bet failu sistēmas piekļuves tiesības gan te palīdzēs! 

 

 

 

Vai ir kāda iespēja izveidot kautkādu ''whitelist'', kas pēc jūzera vēlmēm ierobežo programmu iespējas datorā? Piemēram ļaut foto failus tikai atvērt un mainīt programmām Photoshop, Paint, Picture viewer, un neviena cita programma nav spējīga modificēt šos failus.

 

Nē - tādas iespējas nav!

 

 

 

Vai kāds no brīvajiem AV ir labāks par citiem tieši pret Ransomware? Tagad man ir Panda Free AV.

 

Neviens, atkārtoju neviens,  antivīruss nav efektīvs pret lokeri un domājams ka pret jebkuru moderno vīrusu - jebkuru exe failu var mainīt tā, ka neviens AV viņu neķers, ja sāk ķert, pamainām vēlreiz. Vīrusu vai mainīt krietni ātrāk, nekā AV bāzes reaģē! Te jau bija minēts Execrypt.com

Uz dotot momentu daudzi AV ķer lokera vecās versijas, bet arī viņas bāzēs parādījās ar pāris mēnešu nokavēšanos.... 

 

Vienīgais efektīvais veids kā ar lokeri cīnīties ir SRP un useru dresēšana! 

Labots - ronalds_
Link to comment
Share on other sites

 

 

vai salīdzinot iekodēto ar oriģinālo failu varētu atrast atslēgu, kas der pārējo failu atkodēšanai?
2. Tie laiki, ka katrs programmētājs uzskatīja par savu pienākumu uzrakstīt vēl vienu unikālo šifrēšanas algoritmu, kuru drošība balstījās uz algoritma slepenību, sen jau ir pagājuši, un arī vīrusa rakstītāji vairs necenšas izgudrot jaunu velosipēdu, tāpēc šifrēšanai tiek izmantoti gadiem pārbaudīti šifrēšanas algoritmi, kuriem šifrēšanas atslēgu nevar izvilkt izmantojot „known-plaintext attack”, un nevar ierobežot meklējamo atslēgu diapazonu. Pēdējā reize, kad nopietnā komerciālā produktā bija šāda ievainojamība ir ZIP arhivatoriem (WinZIP), kuri bija taisīti ņemot par pamatu InfoZIP izstrādāto algoritmu, bet tā izstrādne ir no pagājušā gadsimta 80 gadu beigām. Labots - Firza
Link to comment
Share on other sites

  • 3 weeks later...
Zarinss

Gribēju piebilst ka šīs vēstules tiek atkal izsūtītas. Man viena paziņa strādājoša pensionāre piektdien saņēmusi vēstuli no "Credītreformas". Esot sastresojusies kas tur varētu būt un ātrumā attaisījusi pielikumā "rēķinu", pirmdien darbā gaidījis paziņojums jau par CTB-Locker un pamācību, tikai pēc tam paprasīja man ko darīt vai varu palīdzēt...

Pēc, domāju, viņai smagi negulētas izlēmusi ka maksās, jo dokumenti svarīgi lai turpinātu darbu. Žēl cilvēka un bezspēcība palīdzēt...

Un kiberrekatierisms, ko varētu tā nosaukt, es domāju pie šā neapstāsies, "bizness" varētu attīstīties un plaukt uz cilvēku rēķina kuriem darba kompji tiek sačakarēti. Mājas lietotājs nospļautos ja datora vērtībā jāatgūst bildes utt.

Būs laikam jāmeklē BTC ko samaksāt pensionāres vietā ļaundariem.

Link to comment
Share on other sites

Ja tai kundzei dators ar Windows 7 un jaunāks, un nav atslēgts UAC un System Restore, tad ir vēl cerība atgūt failu no Shadow Copies.
Ja Windows XP, vai Windows 7, kam viss liekais atslēgts „lai dators ātrāk strādātu”, tad gan var līdzēt vienīgi izpirkuma naudas samaksāšana.
Cerība, ka šis „bizness” apstāsies būs tad, ja Microsoft izdomās veidu kā padarīt grūtāku (sarežģītāku) neinstalētu programmu darbināšanu datorā. Vispār jau Microsoft ir mēģinājusi kaut darīt lietas labā, un izpildāmiem failiem, kuri ir novilkti no interneta izmantojot Internet Explorer pie palaišanas parādās brīdinājuma logs par, to šīs programmas darbināšana var būt bīstama. Bet failiem, kuri novilkti ar citām interneta pārlūkprogrammām šāda brīdinājumu (Internet Explorer failiem pievieno Zone ID iekš ADS). Jā, lietotāji parasti nekādu brīdinājumus nelasa, bet tas tomēr ir labāk nekā, tad, lietotājs bīstamu failu var palaist netīšām, piemēram, aizmiegot uz klaviatūras, kad uz desktop mētājas kāds nezināmas izcelsmes EXE fails.

Link to comment
Share on other sites

Jaunajās versijās par system restore un pārējām fīčām jau ir parūpējušies. Vajag lietot Dropbox utml.

Link to comment
Share on other sites

 

 

Jaunajās versijās par system restore un pārējām fīčām jau ir parūpējušies.
Jaunā CTB-Locker versija nevar atslēgt System Restore un nodzēst Shadow Copies, ja tas netiek darbināta ar administratora tiesībām tiešā veidā (lietotājam pašam ir „laicīgi” jāatslēdz UAC). Nošifrēt lietotāja failus tas protams var arī bez administratora tiesībām, bet citām lietām vajag administratora tiesības. Iespējams, ka vīruss var "mocīt" lietotāja failus tik ilgi (šifrēt, dzēst, šifrēt, dzēst), kamēr būs piepildīta System Restore atvēlētā brīvā vieta, un Windows pats sāks dzēt laukā "vecās" failu kopijas, kā rezultātā tur vairs nebūs lietošanai derīgu failu – tikai n-tās šifrēto failu kopijas. 
  • Patīk 1
Link to comment
Share on other sites

Guest
Slēgta tēma, pievienot komentāru nav iespējams.
 Share

×
×
  • Izveidot jaunu...