CTB-Locker

[Fruzz]

es te koleegju forumaa izlasiiju :>

Neturi sveci zem pūra!

Labots Marts 3, 2015 - Fruzz

[Zarinss]

System Restore manā gadījumā ir tikai pēc CTB Locker noķeršanas, laikam ir admiņa tiesības bijušas lietotājam.

Paskaidrojiet kas ir UAC linux lietotājam?

Un varbūt kāds var pastāstīt kas maksāšanas procedūru izgājis, cik saprotu 2BTC vajag pirkt? Izskatās ka vajadzēs dāmai palīdzēt atšīfrēt.

[Koala]

aheretj specjuki :>

Riskēšu kļūt par lunahodu, bet... Vai tad gadījumā, ja, piemēram, tiek nejauši palaists tas draņķis (un uzreiz apjausta šaize), primārais, nav izrubīt inficēto sistēmu? Un neslēgt to iekšā?... kamēr no citas sistēmas nav iztīrīts inficētas sistēmas disks?

 

 

(lapsim izraut arī baču ārā) jo bez strāvas viņš nevar aizšifrēt datus

Ja rēka ir par to baterijas izraušanu...nu nez... vienu teikumu izraujot no konteksta ,grūti spriest, ko autors domājis.

Es to uztveru, ka 100% muļķudrošu paņēmienu, kā tiešām izslēgt datoru  

Nedo Dievs blondā ofisa lietvede pēc ne tik precīza teikuma izlasīšanas jeb "obligāti izslēgt datoru!", vienkārši izraus laptopa barošanas vadu no sienas un turpinās spēlēt solitare

 

Pēc analoģijas - Vai mazums tādu cilvēku, kas uzskata, ka, stāvot krustojumā pie sarkanās gaismas, automašīna netērē degvielu, jo tā taču nebrauc!?

Labots Marts 3, 2015 - Koalīcija

[versatile]

 

 

Vai mazums tādu cilvēku, kas uzskata, ka, stāvot krustojumā pie sarkanās gaismas, automašīna netērē degvielu, jo tā taču nebrauc

Ir arī tādas Jau dažus gadus.

[deriksx]

Neturi sveci zem pūra!

http://www.notepad.lv/forums/17802/ctb-locker/

[Koala]

Ir arī tādas

Paturpinot spamu.. Ko ar to gribēji pateikt? Cik tādas ir procentuāli, teiksim, uz LV ceļiem? Tava Alfa ir "tāda"?

Ir arī laptopi, kuri izslēdzas, izraujot no rozetes.

Labots Marts 3, 2015 - Koalīcija

[Ronalds]

 

 

Iespējams, ka vīruss var "mocīt" lietotāja failus tik ilgi (šifrēt, dzēst, šifrēt, dzēst), kamēr būs piepildīta System Restore atvēlētā brīvā vieta, un Windows pats sāks dzēt laukā "vecās" failu kopijas, kā rezultātā tur vairs nebūs lietošanai derīgu failu – tikai n-tās šifrēto failu kopijas. 

 

Firza, tā arī neesi sapratis kā strādā Volume Shadow kopijas (zem 7win sauktas par System Restore )!!!!

[versatile]

Paturpinot spamu.. Ko ar to gribēji pateikt? Cik tādas ir procentuāli, teiksim, uz LV ceļiem?

http://en.wikipedia.org/wiki/Start-stop_system

Teju katru dienu kādā krustojumā tādas redzu. Dzirdu, pareizāk sakot. Vakar redzēju tādu busiņu. Forši. Pilsētu mazāk piesārņo un ekonomija arī noteikti.

Un es ar kājām staigāju relatīvi maz, tāpēc, atļaušos teikt, ka ir diezgan plaši sastopamas. Noteikti ne procentuāli vispār, bet procentuāli no jaunām mašīnām - noteikti.

Mana alfa tāda nav. Es arī nezinu, vai gribētu tādu fīču, taču notestētu labprāt.

Labots Marts 3, 2015 - versatile

[Ronalds]

 

 

atkariibaa no kvoteetaas vietas un uzstaadiijumiem w7 sysrestore taisa failu bekapus(shadowing). diemzjeel standartaa atveeleetaa vieta ir par mazu visa bekaposjanai, taapeec standartaa tiek bekapoti biezjaak izmantojamie faili. taa tik veel truuka, lai visu p0rnu bekapotu :>

 

Skatos ka d_L arī nesaprot kā volume shadow copies strādā....

[Firza]

 

 

tā arī neesi sapratis kā strādā Volume Shadow kopijas

Nē, es esmu saprati kā strādā Shadow Copies. Zinu, ka nekādas reālas failu rezerves kopijas nekur netiek saglabātas, failu kopijas ir tikai virtuālas, kā informācijas par to, kur, kādos cietā diska klasteros atradās fails, un izmainīto klasteru kopija (nevar bezgalīgi ilgi aizliegt iespēju rakstīt pa virsu izdēstiem failiem). Tas par to „vīrusu – failu „zāģētāju” bija filozofiskas pārdomas par to kā teorētiski vīruss var iznīcināt informāciju no Shadows Copies, ja tam nav administratora tiesību. Laikam jau manis aprakstītais veids tā nestrādās, bet tad rodas jautājums kā vīruss tiek galā ar Shadows Copies? Nevar taču būt, ka visi lietotāji, kuri nevar atjaunot failus no Shadows Copies visi ir atslēguši UAC un System Restore, vai arī runa ir par kādu jaunu Windows ievainojamību, kas ļauj paaugstināt privilēģijas.

 

Paskaidrojiet kas ir UAC linux lietotājam?

UAC – tas ir tāds maigs veids kā piespiest lietotāju nedarbināt visas programmas ar root tiesībām.

[Ronalds]

Mēģināšu vienkāršoti paskaidrot kā strādā  Shadow Copies.

 

Failu sistēmā ir katalogs, kurā ir norādīts, ka fails doc.txt atraodas uz diska sektoriem piemēram 1,2 un 3. Pārrakstot šo failu tiek mainīts sektoru saturs. Automātiski nekādas kopijas netiek veidotas!

Uz NTFS ir iespēja izveidot snapshoot, jeb kataloga kopiju!  Tā ir darbība, kas jāizveic, bez viņas nekādu kopiju nebūs! Pēc šīs darbības tiek izveidota kataloga kopija un gadījumā ja fails doc.txt tiek mainīts - viņš tiek rakstīts jau citos sektoros, piemēram 101,102 un 103 nevis pa visu vecajam.

Tā kā tie kopēts viss diska katalogs, shadow kopija būs visiem failiem uz partīcijas, nevis tikai bieži lietojamiem. Pārrakstot failu, kaut miljons reižu diska snapšūtu vieta neaizpildās, ja vien pa starpai netiek laista komanda snapšūta veidošanai, kas uz darbstacijām nav iespējams. 

 

Ja uz servera var konfigurēt, cik bieži tiks ņemti snapshoot, tad uz darbstacijas snapšutu ņemšana nav konfigurējama - tā notiek pirms lielām instalācijām un apmēram reizi diennaktī, ja dators kaut kad naktī ir ieslēgts un nav noslogots. 

Labots Marts 3, 2015 - ronalds_

[versatile]

Cilvēks, kas konsekventi raksta "snapshoot", nevis "snapshot", man nevieš uzticību.

Pats MS saka tā:

 

A hardware or software shadow copy provider uses one of the following methods for creating a shadow copy:

Complete copy   This method makes a complete copy (called a "full copy" or "clone") of the original volume at a given point in time. This copy is read-only.

Copy-on-write   This method does not copy the original volume. Instead, it makes a differential copy by copying all changes (completed write I/O requests) that are made to the volume after a given point in time.

Redirect-on-write   This method does not copy the original volume, and it does not make any changes to the original volume after a given point in time. Instead, it makes a differential copy by redirecting all changes to a different volume.

[Ronalds]

Cilvēks, kas konsekventi raksta "snapshoot", nevis "snapshot", man nevieš uzticību.

 

Nepiesienies pie vārdiem!  

 

Tas microsofta (Kā pareizi latviskot Microsoft...  )  citāts ir teorija - ms produkti izmanto Copy-on-write - pārējie ir diezgan eksotiski.

Labots Marts 3, 2015 - ronalds_

[jema]

Sāksi izplatīt tiem, kas tev nepatīk?

[HIGH-Zen]

Cilvēki izmisīgi lūdzas, lai atsūta viņiem to lokeri.

Vajadzēja ņemt, tad kad tās adreses strādāja. Kam vajadzēja, tas paņēma.

[Ronalds]

Jā, iekopējam lētā flashā, uztaisām autorun.inf un flašu pazaudējam konkurentu autostāvvietā.   :D

[Red]

Es šādi izdarīju, kad radās aizdomas, ka kursabiedri kojās rakājas pa manu skapīti.

Uzcepu CD ar uzraksītu nosaukumu Sniper Elite, iekš kura bija random liela izmēra dati un autorun, kas startapā ieliek nelielu .bat kas izpilda komandu shutdown -s -t 

 

[martinno]

Ir kādi jaunumi?

Man te vakar viens saslimis pacients ieradās

 

Diez kāda ir versija, ka, piemēram, pēc gada šos kriptētos failus varēs atkriptēt? Tīti teorētiska...

[MIGs]

Vienīgā iespēja, ja kaut kur uzpeldēs konkrētās atslēgas. Savādāk nu nekādi.

[Firza]

Ieejot jebkura antivīrusa izstrādātāja forumā, tēma Nr. 1 ir „vīrusi - šifrētāji” (tā nav tikai unikāla Latvijas problēma). Un secinājums ko var iegūt no šo forumu lasīšanas ir tāds, ka atšifrēt failus racionālā laikā nav iespējams, ja vien netiks noķert konkrētā vīrusa autors vai izplatītājs un viņa datorā netiks atrasta privātā šifrēšanas atslēga.  Bet nu jau to „vīrusu – šifrētāju” ir saradies tik daudz, ka ir ļoti maza varbūtība, ka noķerts tiks tieši tas „šifrētāj – vīrusa” autors izplatītājs, kurš ir sačakarējis konkrētā lietotāja failus.

Lasīju par kaut kādu „vīrusu – šifrētāju” kurš vispār bija uztaisīts kā BAT fails. Palaižot to BAT failu, tas no interneta novilka vairākas pilnīgi legālas programmas - kaut kādu open source šifrēšanas programmu un tai skaitā arī programmu  SDelete no Sysinternals - Microsoft, un visas sliktās lietas tiek paveiktas izmantojot šīs legālās programmas.

[Milk]

Pat ja sašņorēs izstrādātāju, nav teikts, ka tās atslēgas nebūs nokriptētas. Nav jāsašņorē izstrādātājs, ir jātiek klāt pie CTB locker servera kas ir aiz TOR un 99% darbojās encryption on the fly modā, kas nozīmē, ka servera dati ir kriptēti.

 

Konkrētais kas izplatijās LV uz domēniem .su un lejup,failiem utt... vēl ir aktīvs un darbojās. CTB locker darbojās pēc partnerprogrammas principa, izstrādātājs piedāvā izplatītājiem .exe failu un partnera administrācijas paneli,  par to ietur nelielu procentu no izpirkuma summas. Izstrādātājs tiaki uztur un veic uzlabojumus malware, izplata partneri uz partnerprogrammas principa.

 

Viņi visi ir uz legālu open-source cryptoru bāzes, kā TrueCrypt utt.. tos izplata caur epastiem jo viņi sver diezgan daudz. Konkrētais CTB locker exe sver ap 600-700kb, kas ir ļoti daudz priekš malware. 600-700kb izplatīt caur exploitiem ir gandrīz neiespējami, inficēto mašīnu % būs ļoti niecīgs, izplatīšanai caur exploitiem 200kb ir max, bet maksimālo inficēto % var panākt ar failiem līdz 60-70kb. Tapēc tiek izmantoti dažādi .bat un citi faili(loaderi) kas sver mazāk un visu lietu jau izdara uz inficētās sistēmas.

Labots Marts 25, 2015 - Milk

[lexxx]

Ja uz servera var konfigurēt, cik bieži tiks ņemti snapshoot, tad uz darbstacijas snapšutu ņemšana nav konfigurējama - tā notiek pirms lielām instalācijām un apmēram reizi diennaktī, ja dators kaut kad naktī ir ieslēgts un nav noslogots

 

 

Var konfigurēt arī uz darba stacijām.

[anastasija0]

nav manas stipra puse bet kriptologija  ir diezgan cakariga nedomaju ka ir galigi svaigu kodu izmantojusi vai tad nevar meginat atkriptet jau ar seosajiem kriptetajiem . kads ir meginajis??? vai es baigi maldos?

[androidz]

Tas ir vai nu mazgadīgs abZolūts čainiks/čainiciene, vai nu prasmīgs trollis.

[x_rays]

Vo re ku atklātā tekstā piedāvā vbs skriptu uzinstalēt Please see your Western Union Translink Credentials attached.

You need to download and access the file attached to this e-mail called Credentials.vbs

Your Credentials will be automatically updated upon accessing the file.

 

 

Your machine might ask you to allow the file to run so please do allow it.

 

For CONFIDENTIAL reasons PLEASE ONLY do this from your Western Union Computer.

 

If you have received this e-mail by error and you are not the person in charge with the Western Union system.

Please forward this e-mail to the person in charge with the Western Union Translink System.

 

 

You will need Microsoft Office to open the file.

 

 

This update is mandatory.

 

 

Shall you have any questions please speak to me directly at 800-178-9290 ext #819

 

 

 

 

 

John David Thompson - Head of Operations & Technology - Western Union

Western Union Senior Executive

john.david.thompson@westernunion.com

800-178-9290 ext #819

 

 

 

id=2sb6rKcL9TDMx

[versatile]

http://www.antivirus.lv/aizsardziba/kluda-izspiedejvirusa-lauj-atsifret-sagustitos-failus/

[erikonkulis]

Saņēmu 03.04.2015 šādu vēstuli darba e-pastā:

 

Cienījamais klient.

Esat saņēmis jaunu maksājumu.
Piekļūt savam kontam

 

bet neraža, 404 not found

[Firza]

 

 

kur var ieslēpt jebko

Paslēpt varbūt var jebko, bet vīrusa izplatītājiem vajag, lai viss būtu redzams, un lai lietotājs brīvi varētu novilkt un uzinstalēt EXE formāta „rēķinu”.

Vīrusu – šifrētāju izplatītāji lielāko tiesu „ķer uz muļķi”, nevis mēģina dabūt vīrusu datorā izmantojot exploitu pakas.

[versatile]

Policijas vīruss smuki nāca caur eksploitiem. Te arī vajag tikai mazu failu, kas tālāk jau novelk galveno exi un palaiž.

[x_rays]

Versatile, tas, ka kasperskis ir "izveicis analīzi un atklājis kļūdu" , manuprāt ne par ko labu neliecina, jo visdrīzāk mēs varēsim ieraudzīt jaunu, stabilu kriptoru. Ceru, ka man nebūs taisnība.

[Firza]

 

 

manupraat kriptolokeri ir izstraadaajusji pasji kasjmarovska paspaarnee dirnosjie cjalovski.

Pat, ja kriptolokerus taisītu antivīrusu izstrādātāji, vīrusa darbināšana, vai nedarināšana ir pilnībā atkarīga no gala lietotāja. Un no „vīrusiem – šifrētājiem” cieš pilnīgi visi, neatkarīgi no tautības (katrai valstij, valodai gan var būt vīrusu lokalizētās versijas) Palasot tos pašu Dr.Web, vai Kaspersky forumus, tur tēma Nr. 1 ir „vīrusi – šifrētāji” (dažādi, ne tikai CTB-Loceker) un ar to saistītās problēmas.

[HIGH-Zen]

http://www.antivirus...ustitos-failus/

 

Trojan-Ransom.Win32.Scraper (TorLocker) != Trojan-Ransom.Win32.Onion (CTB-Locker (Critroni))

Lokerī nekādas kļūdas nav.

 

 

ne velti ctb_locker nekriptee failus ar kirilicas burtiem nosaukumaa

 

kriptē arī tādus failus

[Firza]

Programmas "Kaspersky ScraperDecryptor" Izdošanas datums 13.01.2015. Bet tikai tagad aprīlī, šī informācija tik publicēta kā kaut kāds jauns atklājums. Ja reiz ar šo programmu tiešām varēja atšifrēt CTB-Locker „sagūstītos” failus, kāpēc par to tiek pateikts tikai pēc 3 mēnešiem, kad tie, kam faili bija svarīgi, par tiem jau samaksāja izpirkuma maksu, bet tie kam faili nebija tik nozīmīgi, lai par tiem maksātu, jau paspēja šifrētos failus izdzēst?

Ir gan lielas aizdomas, ka šī programma ir bezspēcīga pret CTB-Locker jaunākajām versijām.

Labots Aprīlis 10, 2015 - Firza

[HIGH-Zen]

Ar šo programmu nevarēja un nevar atšifrēt CTB-Locker šifrētos failus. Tas ir pavisam cits vīruss.

[Guest]

Pirktā Dr.Web AV lietotājiem () ir iespēja aizsūtīt failus atšifrēšanai. Ja var, tad atšifrē, ja nevar, tad tā arī informē - nav iespējas.

[nnoname]

 

 

taa neko sev...

 

Par ko izbrīns? Pēc vienas no versiju izsūtīto e-pasta tekstu pareizrakstības un gramatikas bija pilnīgi skaidrs, ka vietējie bāleliņi arī pielikuši roku...

[INTRASERVERNET]

Jautajums, kaa izskataas kopsummaa ar antivirusiem uz doto briidi. Dr.Web, Bitdefender, Nod32, Symantec utt. Dr.Web bija populars kaadreiz, kaa ir tagad ar funkcionalitaati?

[Firza]

Datorvīrusu aksioma – vīruss var izdarīt visu to pašu ko var izdarīt lietotājs.

Ja šārētās mapes ir piemapotas kā tīkla disks, un lietotājam uz to ir pilnas tiesības (ja reiz lietotājs var rakstīt diskā, tad var arī modificēt-šifrēt tur esošos failus), tad vīruss – šifrētājs, pēc tam, kad būs ticis galā ar lokālajiem failiem, ķersies klāt pie tīkla disku šifrēšanas (failu šifrēšanu var veikt arī uz visiem diskiem paralēli). Tīkla diski, datorā esošajām programmā ir „caurspīdīgi” – programmas tos uzskata par tādiem pašiem lokālajiem diskiem kā visus pārējos lokālos diskus, tā ka nekādu papildus drošības tīkla diskiem nav.
Iespējams, ka lielāku drošību dod rezerves kopiju veidošana uz tīkla nošārētām mapēm, kuras nav piemapotas kā tīkla diski, bet paļauties uz to arī īsti nevajadzētu.

[ggg97]

 

 

Iespējams, ka lielāku drošību dod rezerves kopiju veidošana uz tīkla nošārētām mapēm, kuras nav piemapotas kā tīkla diski, bet paļauties uz to arī īsti nevajadzētu.

 

Es jau arī darbā visus mapotos esmu atmapojis un pārcēlis uz  šortkaķiem. Bet, tā kā nezin, cik ilgi tas vēl būs droši, tā pat ar roku metu uz savu FTP un atvienojamā fleškā, vēl arī visiem mums mākonis bekapo. Bet man jau tā saimniecība maza.

[_dunduks_]

Vai kāds no jums pagājušā nedēļā pamanīja palielinātu šifrējošā spama izplatību, vai arī tā ir kārtējā darba imitācija:

http://apollo.tvnet.lv/zinas/fikseta-apjomiga-sifrejosa-izspiedejvirusa-izplatisanas-kampana/740916