CTB-Locker

[ggg97]

 

 

Sidebar gadžeti principā ir viens liels drošības caurums! Tas ir labi ka CryptoPrevent viņus bloķē!

 

Es saprastu, ja Tu runā par 3puses gadžetiem, kuri lien inetā. Bet pulkstenis un resursmetrs, nevaru saprast, kur tur var būt caurums. Tiesa, laika ziņas gan lien netā.

[DjUbuntu]

rolands_, 

 nezinu kas tas tāds CryptoPrevent, bet principā  vienīgais, kur vajag atļaut palaist izpildāmos failus ir %Programdata% + %windir% + dažādi whitelisting visādiem idiotiskiem softiem kas ir zem %APPDATA% un `auto` updeitojas. Priekšrocība ir tā, pagaidām malware lien diezgan random folderos, necenšoties apiet SRP (pie tam manā praksē ir  tikai viens softs, kurš patiešām ir vajadzīgs darbam un sēž zem %APPDATA% => izstrādātājs ****, tā vietā lai normāli ar MSI updeitotos ir uztaisījis kaut kādu savu superduper upgrade mehānismu).

 Tīklu ir veselīgi filtrēt izmantojot proxy (ar WPAD tas ir diezgan eleganti), savukārt pēc tam ir kaudzīte ar rīkiem, kas proxy logos saliek kopā ar `slikto lapu` / C&C zināmajām listēm, tad tu vari jau preventīvi iet pie jūzera un izraut rokas. :> 

Labots Janvāris 23, 2015 - DjUbuntu

[M@R$$]

laikamtak bija taada lieta ...

[versatile]

IT kompjus nelockdownot ir stulbaakaa ideja ever, njemot veeraa, ka tajaas pashaas failu shaares vinjiem visbiezjaak ir vislabaakaas piekljuves tiesiibas :> (atseviskji evoluucijas briinumi meedz ikdienaa `straaadaat` CS1.6 ar Domain Admin kontu :>)

Šāres nav, uz pašiem kompjiem ir tikai dienas laikā atjaunojami dati. Nopietnais darbs notiek uz serveriem, no turienes netā neviens nesēž + ir backupi.

Šāres kā tīkal diski piemapoti ir tieši uz jūzeru kompjiem.

Labots Janvāris 23, 2015 - versatile

[DjUbuntu]

 A tu zini, ka caur RDP tiek arii mapoti diski / lokaalie resursi ? Vai tik gadiijumaa useri uz serveriem un darbstacijaam nav vienaadi ? (nu ar smukiem keyloggeriem atraavaas chupinja veeel Zeus laikos :>)

 

 

 Ak jaa, nebackupot useru my documents + desktopu ir ... uzprasiishanaas uz bezmaksas anaalo seksu :>
 

[Koala]

... bij salikas visas aizsardzības,

 

Konkrētāk, lūdzu, varētu!

 

Cien.,M@R$$,pastāsti taču, kādi bija veiktie drošības pasākumi, kurus zarazai tomēr izdevās apiet?!

Labots Janvāris 23, 2015 - Koalīcija

[TasEsmuEss]

@@Donkeyhot, paskatījos - Dropbox.exe un uTorrent.exe atrodas %APPDATA% mapēs. 

 

Un vai šis dranķis sabojā arī visus tos 30 gigabaitus ar dokumentiem, bildēm un video, kas atrodas mākonī (dropbox)? It kā ir failu versijas WEBā pieejamas. Tās arī šis prot izdzēst?

 

It kā jau viss glabājas uz stacionārā, portatīvā un vēl uz ārējā diska, kurš tiek reti pieslēgts, bet tāpat - vajadzētu kaut kā ierobežot, par cik patīk ložņāt pa apšaubāmiem webiem.

[Koala]

Dropbox.exe un uTorrent.exe atrodas %APPDATA% mapēs.

Šos un tamlīdzīgos  var salikt kā exceptions. Skatīt linku iekš #42!

Iespējams noderīga lasāmviela http://www.bleepingc...are-information

Labots Janvāris 23, 2015 - Koalīcija

[M@R$$]

Nu ko lai saka AVG 2015, firewalls, kaut kāds spyware removers ... winā ieslēgta programmu palaišanas aizsardzība ...

[DjUbuntu]

dropbox ir previous versions

[Donkeyhot]

 

 

Dropbox.exe un uTorrent.exe atrodas %APPDATA% mapēs.

Nu tad mēs laikam lietojam atšķirīgu uTorrent, man tur nekā nav. Tās tev varbūt vecās exe failu versijas tur glabājas? Tev vai tad "saīsne" ved uz šo mapi, neko nejauc?

[TasEsmuEss]

@@Donkeyhot, ved jau gan. Ir nācies nočakarēt utorrentu un pēc tam dzēst failus no šīs mapes, lai programma atkal strādātu, tāpēc zinu. Chrome arī tur kādreiz bija. Vairs ir palicis tikai profils.

[Donkeyhot]

Ak win8.1, nu tad jau laikam viss iespējams un priekšā patīkami brīži.

[Zoom]

Lietojot programmu Software Policy man visus subsubsusbsubfolderus nobloķē.

 

[erikonkulis]

 

 

Ak win8.1, nu tad jau laikam viss iespējams un priekšā patīkami brīži.

man uz win 7 arī utorrents appdata stāv

[jema]

Zēni beidzāt ar saviem maziem krāniem mērīties, tas ir super, taisiet pilnās kopijas, ja nē varēsiet, savas pipiskas raustīt, un stāstīt ka varat!  Rezumē neko nevarat!

[Ronalds]

 

 

Lietojot programmu Software Policy man visus subsubsusbsubfolderus nobloķē.

 

Kas tas par softu? Linku varēt dabūt?

CryptoPrevent tomēr nebloķē visu ko vajadzētu, bet manā uzraudzībā ir pāris sambas domaini bez GP - likt ar roku visiem vajadzīgās rules tā kā čakarīgi.... 

[Donkeyhot]

Visur, kur par īsu ar šo softu var taču pielikt rokas un pielabot. Cita varianta laikam nav.

[Ronalds]

 

 

var taču pielikt rokas un pielabo

 

Skaidrs ka var! Tomēr ja kādiem 60 datoriem tas jādara, gribētos kādu automātisku risinājumu.

 

Skaidrs ka Win active direktorija šo ideāli risina, tomēr tas ir dārgs variants. Klients negrib tērēties un es viņu saprotu. Būs kaut kad uz samba4 jāmigrē, bet nekādi nevaru saņemties.... 

[M@R$$]

Pēc pāris stundām cīniņa, kamēr atdabuju sistēmu atpakaļ, šādiem tādiem zaudētiem failiem (nu I sūC ar viņiem) nonācu pie secinājuma, ka svarīgās lietas ir jābeckapo vismaz 2-3 vietās, kur šī vai cita zaraza netiktu klāt ! Visideālāk šim mērķim der pārnēsājamie HDD, jo NASam viņš arī bija ticis klāt (papostījis bij gan tikai doc un xls failus)

[maize]

Biedrs Firza, šajā vai līdzīga topikā jau reklāmēja -  Simple Software-restriction Policy

[Ronalds]

Šis?

 

http://iwrconsultancy.co.uk/softwarepolicy

[maize]

Tas pats, bet pārbaudi vai pēc tam visas vajadzīgās programmas darbojas kā nākas.

[Guncha]

 

 

NASam viņš arī bija ticis klāt

 

Kādā veidā? NAS bija piemapots pie zaraznā kompja?

[ggg97]

Tobiš, uz w7, start menu atverot "Computer" NAS jau uzreiz bija redzams kā disks?

[Firza]

 

 

reklamēja -  Simple Software-restriction Policy

Tā bija pirmā programma, kuru man izdevās atrast, meklējot kaut kas ir saistībā ar SRP, un kas darbotos uz Windows 7 Home. Bailīgam mājas lietotājam, kurš saprot kāpēc viņš to programmu ir uzlicis tas der, bet uz darba vietas datoriem to gan labāk neizmantot, jo tā kā pie katras datora ieslēgšanas programma prasa UAC tiesību apstiprināšanu, tad visa drošība ir gala lietotāja rokās – vai viņš apstiprinās UAC pieprasījumu vai nē. Bet, ja lietotājam vispār nav administratora tiesību, tad tā programma nemaz nevar darboties.
Pagaidām iztieku ar šo programmu, bet vispār jau gribētos atrast kaut ko tādu kas nav atkarīgs no cilvēciskā faktora.

[M@R$$]

Bail sameloties, bet tikai shortcuts bij izvilkts uz desktopa ... cik atceros mappojis nebiju, a mosh arī biju ?

[Aphopis]

 

 

Saatja: Iveta Davosa [iveta.davosa@inbox.lv]

Saadetud: 27. jaanuar 2015. a. 6:46

To: ###############

Teema: Neapmaksats rekins!

 

Labrit,

 

Pec musu gramatvedibas datiem, jums ir neapmaksats rekins pret musu uznemumu. Ludzam steidzami veikt apmaksu!!!

 

Rekina kopija http://files.inbox.lv/ticket/46356d7d2f4ddf78a0c155f998949f83077f82ae/

 

Šodien atnāca spams ar CTB shitu. Pielikums .docx.exe limited user nepalīdz, ja lietotājs palaiž failu.

[ggg97]

 

 

limited user nepalīdz, ja lietotājs palaiž failu.

 

Šitas jau vairs nemēģina sačakarēt sistēmu, tikai nokriptē limitet usera dokus, bildes, u.t.t. 

[versatile]

Tak docx.exe, tāpat kā pdf.exe var tajās grupu politikās ielikt pie aizliegtajiem.

[Aphopis]

Jā un ja windowsam nav gpedit.msc?

[Firza]

 

 

ja windowsam nav gpedit.msc?

Tad var izmantot CryptoPrevent, ja dators nav ektremāli vecs ar Windows 98/2000. Būtībā, tas CryptoPrevent ir rīks, kurš ļauj tasīt "Software Restriction Policies” uz datoriem, kuriem nav rīka šo politiku veidošanai (Home versijas) un gatavo rezultātu ievadīt pa tiešo registry.

[xp]

Ja atver to doc.exe, tad tas PC uz sitienu nobloķējas, vai kādu brīdi neko nemana?

[rubb]

xp-

 

Tas dranķītis vispirms parušinās pa failiņiem, nokriptē tos, vizuāli tas nekādi neizpaužas (ja neskaida HDD lampiņas intensīvo mirgošanu) un tikai pēc tam, kad tas savu svarīgo darbiņu ir pabeidzis, piedāvā iespēju šos failiņus dabūt atpakaļ.

 

Ja draņķis uz reiz bļautu un bloķētu kompi, domā, ka tas būtu tik efektīvs?

[Aphopis]

Firza tur jau nebūs līdzēts tikai ar docx.exe un pdf.exe, jāliek bloks uz visiem zināmajiem failu paplašinājumiem.

[Volters]

Tas viss vairs sen nav interesanti. Triks ar paplašinājumiem ir tik sens, ka uz šito iekrīt vienīgi profesioanāļi profesionāļi.

Labots Janvāris 27, 2015 - Volters

[Guncha]

Šodien ar šo saskāros. Speciāli uz virtuālās mašīnas to noliku uz desktopa blakus mapītei ar 80MB doc., docx., xls., xlsx., jpg un palaidu. Nepagāja ne 20 sekundes, kad parādījās bēdīgi slavenais CTB Locker paziņojums. Tās nepilnās 20 sekundes CPU gan mauca uz visiem 100%. Zvanīju CERTam pirms 10:00 un šie teica, ka viņiem jau esot ap 20 variantiem.

[Developer]

Software Restriction Policies neitralizē šitādu vīrusu ieperināšanos ātri un uz visiem laikiem.

Izveidojam jaunas Path rūles:

%TEMP%\*.exe

%TEMP%\*\*.exe

%SystemRoot%\TEMP\*.exe

%SystemRoot%\TEMP\*\*.exe

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*\*.exe

%USERPROFILE%\Local Settings\Temporary Internet Files\Content.*\*\*.exe

%USERPROFILE%\AppData\*\Temp\*.exe

%USERPROFILE%\AppData\*\Temp\*\*.exe

%USERPROFILE%\AppData\*\Microsoft\Windows\Temporary Internet Files\*\*.exe

Varam norādīt arī vēl vairāk \*\*\*..., kā arī *.msi, *.com, *.bat utt., ja gribas būt pavisam drošiem

Un mēģinot palaist kādu exe failu no minētajām mapēm: The system cannot execute the specified program. (XP)
vai This program is blocked by group policy. For more information, contact your system administrator. (Win7)

Strādā vienkārši perfekti.

[MIGs]

Šodien arī viens kadrs zvana un saka, ka viņam esot atsūtīti divi šaubīgi e-pasti ar kaut kādiem rēķiniem un linku uz failu blablabla.pdf.EXE.

Es saku, lai droši netērē laiku un dzēš ārā tos meilus. Ka skaidrs, ka draza, ja jau reiz galā .EXE. Pats šis arī itkā +- lietotājs virs vidējā līmeņa...

Pēc brīža zvana vēlreiz, saka, ka vienu tomēr esot atvēris, palaidis. Tagad kompis kaut ko jocīgi uzvedoties. Visi faili jocīgi pārsaukti.

Nokomandēju izslēgt kompi ar Power pogu un sagaidīt mani. Vēlāk piebraucu, savācu laptopu, izskrūvēju cietni, piemetu noskanēties, iztīrīt no sūdiem.

Saslēdzu atpakaļ un tagad provēju ar Shadow Explorer nocelt datus nost.

Ps. Shadow explorer(un windows exploreris) neredz shadow copy datus, ja cietnis ir pie cita PC(neiestartēts windows), vai tiek laists safe-mode.
 

[Aphopis]

Shadow dati nav sačakarēti?