Jump to content

CTB-Locker


romajo
 Share

Recommended Posts

Lasāmviela noderīga, paldies! Lapā minētā saite, kas, iespējams, var dabūt atslēgu failu atkriptēšanai, manā gadījumā atgriež, ka "fails neziskatās, ka būtu inficēts ar CryptoLocker". P.S. Šis ir Win7, ne XP. Šo mēslu noteikti var atrauties ntajos veidos un pilnīgi pie kājas vai tas ir XP un kāds tev antivīruss utt ir virsū. Cilvēciskais faktors. Ja nerubīt, kur nevajag līst, tad nerubī.

Link to comment
Share on other sites

Tā pat vien

Sievai darba vietas datortehnikā šitais uzradies 6.decembrī (pamanīts 8.dec). Sazinājušies ar CERT, bet vīri tikai trubā rokas noplātījuši...

Kaut kādā veidā bijis iespējams sazināties ar kaitnieku pārstāvi un kā pierādījumu tam, ka netiek jokots šie apsolījuši atbloķēt vienu failu pēc izvēles, ko arī izdarījuši!

Link to comment
Share on other sites

 

 

Iespējams noderīga lasāmviela http://www.bleepingc...are-information

Vērtīgākais ir prevencijas apraksts, kā liegt izpildīt exe failus no local_settings mapēm.

Backup taisītāji ņemat vērā, ka arējais cietais, piemapots tīkla vai mākoņ disks arī tiks nošifrēts.

Šamējais uzpeldēja jau pagājušogad http://www.boot.lv/forums/index.php?/topic/151469-latvijas-policijas-virus/page-6#entry1669497toreiz tikai daži gadījumi bija un pieklusa.

Link to comment
Share on other sites

A kādas back-up programmas lietojat paši? Pats nekad neesmu lietojis, bet pēc šīs tēmas izskatās, ka beidzot jāsāk... un meklēt starp tonnu, kur vēl daudzas noteikti būs pilnas ar zarazām, negribās... visi ieteikumi būs ļoti welcomēti... :) Jā, priekšroku došu bezmaksas variantiem... :)

  • Patīk 1
Link to comment
Share on other sites

 

 

meklēt starp tonnu, kur vēl daudzas noteikti būs pilnas ar zarazām

Kāpēc jāmeklē mēslainē? Kam vajag? Mājas jūzeriem?

 

1) Windows bekaps ar visu, ko kuro reizi vajag

2) Manuāls bekaps, vai skedžulēts bat fails.

3) Norton Ghost. Tiem, kam ar to visu nepietiek.

  • Patīk 1
Link to comment
Share on other sites

Tikko pats noķēru, ieslēdzu datoru, viss it kā ok, pēkši parādās paziņojums Explorer.exe taisīs restart, nomirgoja ekrāns, palaidās no jauna šis. Klausos disks sāk klabēt, ieeju procesos, zašibis, viens process no appdata\local\temp ar ģenerēto vārdu, apturēju, bet šis jau paspējis daudz ko sapist!

Virsū bija Symantec endpoint, nekādas reakcijas. Win7Pro. Mbam skanējot uzrādīja. Atvērts bija tikai Boot lapa un Delfi. Labi, ka ir backupi, sen jau gribēju pārlikt Win, tagad dabūšu piespiedus kārtā ņemties!

Link to comment
Share on other sites

"C:\Users\user\AppData\Roaming\{0F9A3840-DE00-1000-8000-F08A989768}\fkpqvwcdin.exe" šitāds mēsls vel papildus starupā ir ielicies! Vārds arī ģenerētais.


 

 

nez, lai ticeetu symantec produktiem ir jaabuut pilniigi praatu izkuukojusjam:>
Gadus padsmit izmantoju, pirmie sūdi un galvenai ka pašam, mazdrusciņ smieklīgi! Bet arī nav idejas pa kurieni ielīdu.
Link to comment
Share on other sites

 

 

Kāpēc jāmeklē mēslainē? Kam vajag? Mājas jūzeriem? 1) Windows bekaps ar visu, ko kuro reizi vajag 2) Manuāls bekaps, vai skedžulēts bat fails. 3) Norton Ghost. Tiem, kam ar to visu nepietiek.

Biju domājis softu, kam norādīt kādas konkrētas mapes un piem. back-ups automātiski reizi nedēļā. Negribu visu 500 Gigu cietni backupot... bet moš izbrīvēšu vietu uz ārējā cietā, lai to izdarītu...

Link to comment
Share on other sites

-> Jorsh

 

Volters taču jau atbildēja:

1) Windows backup - Windows iebūvēta programma.

2) failu, mapju kopēšana izmantojot bat failu un Task Scheduler

3) Cietā diska koln­ēšana nav tas labākais backup veids - aizņem daudz vietas un rezerves kopija ātri noveco.

Link to comment
Share on other sites

 

 

Atvērts bija tikai Boot lapa un Delfi.

 

Nebiedē! Tad jau jebkurš svētais to zarazu var noraut. 

Link to comment
Share on other sites

Kopējais iespaids, par tām apmēram 4-5 minūrtēm, kamēr man pieleca, ka nav labi, šis bija paspējis nošifrēt 4192 dokumentus, pēc skata, ļoti garšo viss, kas saistīts ar bildēm, dokumenti, pdf, RAR nokodēti visi līdz 20 MB, lielos laikam nepaspēja, neaiztiek video, ISO. Labi ka regulāri, bakapi notiek. :)

Win update gan kādu gadu gan nebiju licis. :sorry:


 

 

nez, lai ticeetu symantec produktiem ir jaabuut pilniigi praatu izkuukojusjam:>
Ko Tu iesaki??? 
Link to comment
Share on other sites

erikonkulis

 

 

Ko Tu iesaki???
uzvelc prezi uz rj45
Link to comment
Share on other sites

 

 

jema, kādu browseri izmanto?
IE11 un Chrome

 

 

uzvelc prezi uz rj45
 Грешно смеяться над больными людьми  :yahoo:
Link to comment
Share on other sites

erikonkulis

 

 

Jamos reizā nedrīkst lietot, tāpat kā 2-vus antivīrusus
ir speciali web softi kas strada tikai uz ie.

kapec lai nevaretu lietot reize.

Link to comment
Share on other sites

 

 

Ko Tu iesaki???

 

Vērtīgākais ir prevencijas apraksts, kā liegt izpildīt exe failus no local_settings mapēm.
„Software Restricton Policy”, „AppLocker” ir samērā efektīvs veids kā cīnīties pret vīrusiem, kurus neatpazīst antivīrusi, un noderīgs tiem lietotājiem, kuri negrib piesārņot datoru ar jeb kādām antivīrusu programmām.
Tā, kā Microsoft ir apdalījis Windows Home versiju lietotājus, un tiem nav pieejams „Software Restricton Policy”, „AppLocker”, tad es uz sava datoru uzliku pirmo programmu, ko atradu meklējot „Software Restricton Policy” alternatīvu.
Īpaši lielā sajūsmā par šo programmu gan ne esmu, bet savu uzdevumu  - neļaut palaist izpildāmos failus no vietām, no kur tas nav vajadzīgs tā pilda labi.
Link to comment
Share on other sites

erikonkulis

firza un kaa tas aptur triperi kas palaizhas ar javu vai kaadas citas neapdeitotas exes ievainojamiibu? antiviruss ta vismaz 1x dienaa apdeitojas. protams antiviruss jau ari nav nekads drosibas garants.

Link to comment
Share on other sites

 

 

kaa tas aptur triperi kas palaizhas ar javu vai kaadas citas neapdeitotas exes ievainojamiibu?

Vīrusi, kura datora inficēšanai izmanto programmu ievainojamības parasti to dara izmantojot downloader – novilkt gatavu izpildāmu failu, saglabāt to upura datorā un palaist. Jemas gadījumā tas ir tipisks downloader.
Pieļauju iespēju, ka vīruss var būt arī „bezkorpusa” – visa zaraza ir tiek palaista caur ievainojamību, bet tad tāds vīruss var palaisties tikai vienu reizi un nekāds startup tur vairs nesanāks. Un ir aizdomas, ka ievainojamās programmas aizvēršana aizvērs arī vīrusu.
„Software Restricton Policy” izmantoju kādus 8 gadus (kopš atteicos no antivīrusa) un tiem datoriem, kuriem tas uzlikts šajā laikā nekādu problēmu dēļ vīrusiem nav bijis.

Link to comment
Share on other sites

versatile

 

 

„Software Restricton Policy” izmantoju kādus 8 gadus (kopš atteicos no antivīrusa) un tiem datoriem, kuriem tas uzlikts šajā laikā nekādu problēmu dēļ vīrusiem nav bijis.

Vot par šito ir jautājiens - iekš SRP vispār ir iespējams nodefinēt, ka ne no vienas %APPDATA% apakšmapes apakšmapes apakšmapes (..) nevarēs exi palaist? Man ir nodefinēts 3 līmeņos, dziļāk nevienu zarazu neesmu manījis, bet ja nu...?

Link to comment
Share on other sites

Senos laikos, ar SRP varēja nodefinēt to, ka izpildāmos failus var palaist vienīgi no mapēm %Windir% un %ProgramFiles% un viss ļoti labi strādāja, bet kopš Microsoft uztaisīja Windows Vista ieviesa UAC, trešās puses programmētāji izdomāja kā to apiet un ieviesa riebīgo praksi instalēt programmas failus %UserProfile% mapē. Nu jau arī Microsoft iemanījās iebāzt savu SkyDrive %UserProfile% mapē. Tagad varētu būt čakars ar SRP regulēšanu dēļ šādām programmā, jo katrai programmai jātaisa jauns izņēmums, bet katrs izņēmums nozīmē to, ka šo izņēmumu var izmantot arī vīrusi savā labā. Pagaidām par to vēl neuztraukties, jo vīrusu rakstītāji savus produkciju raksta priekš vairākuma - normāliem cilvēkiem ar Windows 7, 8 un ieslēgtu UAC, nevis visādiem mazohistiem, kuri paši sevi cenšas mākslīgi ierobežot.

Link to comment
Share on other sites

Būtu forši, ja Jūs kāds padalītos ar šī draņķa .exe failu. Gribās papētīt cik labi preventīvie pasākumi palīdz.

Link to comment
Share on other sites

 

 

Zarazai ir vairāki paveidi, ja nošifrē ar RSA 2048, kur privātā atslēgta atrodas tikai pie izspiedējiem, tad neko nevar atšifrēt bez atslēgas, ja vien dr.web nesadarbojas ar viņiem un neatsūta tev atslēgu, vai nav atklājuši caurumu šajā šifrēšanas metodē, par kuru klusē :) Vienu  daļu vasarā sašnorēja un daļu atslēgu izņēma, bet tas neattiecas un ši brīža infekcijām.

Ja faili ir nošifrēti vienkāršāka veidā, tad šamais, iespējams, var līdzēt.

Link to comment
Share on other sites

DreimanisR

Klasesbiedram šādi joki bija. Jau kādu laiku atpakaļ biju atradis programmu kuru ieinstalēju diskā. Tur ir sākot ar user paroles noņemšanu un beidzot ar windows izdzēšanu. Pavisam vienkārši. Boot uzstādu, ka primārais slēdzot iekšā datoru, ir CD-ROM. Atverās mana iemīļotā programma. Un tad nezinātājs sajuktu prātā un apmaldītos. Tik daudz iespējas, un katrā iespējā ir vēl tik pat apakšiespējas. Sāku ar pašu vienkāršāko. Bet nu galu galā palaidu programmas skeneri. Žēl, bet skenē viņš trīs diennaktis. Un atrada. Inficēts man bija Explorer, kuru nekad neesmu vēris vaļā. Tikai chrome. Galu, galā cīnījos. Mainīju dažādus antivīrusus. Bet tad ievēroju ka tikai daži faili ir bloķēti. Daži vairs nebija, bet biju pārliecināts ka iepriekš bija. Tad motivācija uzplauka no jauna. Cīnījos, bet nekā. Aizvedu pie čoma. Nezinu ko viņš izdarīja, bet nakti negulēja. 4 no rīta zvanīja un dusmīgā balsī teica, ka varu savākt to lamatu. Aizbraucu, ieslēdzu un protams. Pilnīgi svaigs un tukšs dators. Iekšā bija tikai explorer un tilde.

 

P.S. programma no diska "Trinity rescue kit"

Link to comment
Share on other sites

Man liekas, ka tu nedaudz nesaproti, par ko mēs te runājam! Tas ka cīnies un mācies malacis!

  • Patīk 1
Link to comment
Share on other sites

 

 

Inficēts man bija Explorer

Tam ko Tu apraksti, ar apspriežamo tēmu nav nekāda sakara.
Tēma ir par vīrusu, kurš šifrē lietotāja dokumentus, bildes, datu bāzes, u.t.t izmantojot drošu šifrēšanas algoritmus un pēc tam prasa izpirkuma naudu par datu atšifrēšanu. Problēma nav tikt vaļā no paša vīrusa – problēma ir atgūt nošifrētos failus, nemaksājot izpirkuma maksa. Bet tēmas secinājums ir tāds, ka failus var atgūt vai nu no to rezerves kopijas, vai nu samaksājot naudu izspiedējam - nekāds antivīruss tur vairs nepalīdzēs.

Vīrusi, kuri inficē programmu izpildāmos failus mūsdienās ir anahronisms. Nav nekādas jēgas inficēt Windows sistēmas failus, vai  jebkurus citus EXE failus, jo nekādu priekšrocību attiecībā pret citiem vīrusiem tas nedod. Sākot no Windows XP inficēt sistēmas failus ir kļuvis sarežģītāk, dēļ iebūvētā „Windows File Protection”, bet sākot no Windows Vista tas kļuva vēl sarežģītāk dēļ iebūvētā UAC. Mūsdienu vīrusam labāk priekš sevi ir ilgāk palikt klusam un nemanāma, nevis uzmākties lietotājiem ar UAC pieprasījumiem, vai brīdinājumiem par to, ka fails iexplorer.exe ir izmanīts un tas tiks atjaunots no Windows instalācijas diska.

Link to comment
Share on other sites

Kaads ir meegjinaajis ieguut atsleegu XORojot shifreetu failu ar taadu pashu neshifreeto? Es gan nedomaaju, ka viirusa autors izmantos "nesamaisiitu" atsleegu, but who knows...

Link to comment
Share on other sites

Nu ko, arī manā saimniecībā uzradās šitā zaraza.

Dators ar XP SP3, lietots, protams Explorers. Ja skatās history, tad neko tādu aizdomīgu neredz, iespējams, ka kāds baneris sifeļains ticis.

Datoram kā %TEMP% norādīts C:\Temp

Skatoties kā tas noticis, manuprāt sekojoši:

Vispirms ieperinājies Local Settings\Temporary Internet Files\Content.IE5\ZZF0PX9Q\15[1].exe

Tad tālāk darbību kārtību nezinu, bet atradās sekojošas vietās :

 C:\Documents and Settings\%user%\Application Data\%computer name%\winhelp.exe

(slēptais fails)

Iebāzis sevi

HKU\S-1-5-21-1229272821-299502267-682003330-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|winhelp.exe, C:\Documents and Settings\%user%\Application Data\%computer name%\winhelp.exe

Iebāzis sevi task shedulerī - arī slēptais fails, jobā ieraksts uz

c : \ T e m p \ k u h m r u k . e x e

Čupa failu C:\Temp

C:\Temp\7934703.exe

C:\Temp\urepair.exe

C:\Temp\kuhmruk.exe

C:\Temp\kuhmrukvonnlca.exe

C:\Temp\23960078.exe

C:\Temp\24005031.exe

C:\Temp\432687.exe

C:\Temp\438953.exe

C:\Temp\7955765.exe

 

Protams, citiem failu nosaukumi būs citi, bet nu ideja tāda izskatās.

Kas interesanti - C:\Temp atradās darba gaitā radušies doc, xls, pdf, zip, ppt faili. Neviens no tiem nebija kripēts.

 

Malvarebytes pirms skanēšanas uzrādīja, ka kaut kas laužas uz āru uz sekojošām IP

109.163.233.169 un 91.213.8.116. Tas tā, vienkārši info.  Kam pieder, paši varat paskatīties.

 

Uzņēmumā 15 gadus nebija vajadzība izmantot backupus, ja nu vienīgi kāds nejaušii dzēsts dokuments , un arī tas vienu divas reizes tikai. Nu tas viss atmaksājas. Atjaunoti faili no backup un visi priecīgi :)

Link to comment
Share on other sites

Vari kādu sifeļaino failu saarhivēt un padalīties? Gribu pārbaudīt cik labi preventīvie pasākumi palīdz pret šito zarazu.

Link to comment
Share on other sites

 

 

varbuut taapeec, ka katram failam cita atslega un tu aatraak nomirsi no vecuma nevis kaut ko saxorosi?

dl, tas bija sarkasms.
jozhix piedāvājums atšifrēt Elliptic curve Diffie–Hellman (ECDH) izmantojot pašu vienkāršāko šifrēšanas veidu XOR liecina, ka antivīrusu laboratorijās sēž vieni nejēgas - viņiem noteikti vajadzētu konsultēties ar gaišākiem prātiem kriptogrāfijā - atsevišķiem boot.lv biedriem.

Link to comment
Share on other sites

@@Firza,

Kā Tu tajā programmā norādi ko bloķēt un ko nē. Es tur neiebraucu. Un ja es uzspiežu lock, tad nobloķējās flashplayer.

Link to comment
Share on other sites

Ja runa ir par programmai "Safer Software Policy", tad tur visa konfigurācija notiek caur ini failu (to var  izsaukt no pašas programmas vai pa tiešo c:\Windows\SoftwarePolicy\softwarepolicy.ini), rakstot savus noteikumus ar rokām. Pats gan neko papildus tur neesmu darījis - viss darbojas ar noklusētajiem iestatījumiem.

Link to comment
Share on other sites

Guest
Slēgta tēma, pievienot komentāru nav iespējams.
 Share

×
×
  • Izveidot jaunu...