CTB-Locker

[ggg97]

Dīvaini bet mapotajos diskos arī nebija dranķojis.

 

 

Te, foruma biedram, marsiņam (M@R$$, laikam), arī tīkla diskam bija ticis klāt. Tikai biedrs vairs neatceras, bija mapojis, vai tomēr nē. Tas laikam atkarīgs arī no tripera versijas.

Labots Janvāris 29, 2015 - ggg97

[Guncha]

Ņemot vērā, ka vīruss neaiztiek izpildāmos failus, tad var backupot, piemēram, ar winrar un teikt, lai tas veido sef-extracting. Piemēram, .doc faili glabājas dati1.exe, .xls glabājas dati2.exe utt. Tikai jāuzraksta bat fails, kas to dara. Trūkums šai metodei gan ir tāds, ka katru reizi tiek arhivēti pilnīgi visi norādītie failu tipi un grūsti uz NAS, kas rada kārtīgu slodzi, nevis tiek arhivēti tikai izmainītie faili. Te jau kāds pieminēja, ka var pirms backupa piemapot disku un pēc tam atmapot, to arī var batā ierakstīt un vēl pateikt, lai pēc tā visa izpildās shutdown.

 

Esmu samiegojies, ceru, ka sapratāt mani. 

[MIGs]

Var paņemt flagus un modificēšanas laikus no failsistēmas un backupot tikai izmainītos failus kas ir izmainīti no iepriekšējās reizes, vai kam nav flags "Backupots".

 

Var izmantot kaut vai to pašu NTBackup.exe(kopējot darbojas arī uz septītā).

 

kad viss sabackupots vari arī saarhovēt to visu iekš tā sava .exe faila, vai tupa nomainīt failam paplašinājumu.

 

Lai gan, es domāju, ka tas viss ir risinājums no nepareizās puses.

 

Pareizā variantā dati sta'v uz servera un serveris tos backupo. jācer, ka stulbi useri uz servera ar admina tiesībām neslēdzas un meilus nelasa....

 

Otrs variants, datus savāc serveris un backupo serveris. Risks - kompim jābūt ieslēgtam.

 

Offsite-off-line kopijas sux, jo pat lielās iestādēs stipri pieklibo to izpilde.

Cilvēciskais faktors vai zienies - tāpēc vajag lietas automatizēt.

 

off-site ir laba lieta. Palīdz pret ugunsgrēkiem, zagļiem un citieām nelaimēm.

[DeEK]

Šobrīd ievācu info par to 2kripto naudas pārskaitīšanu. Cik droši tas ir un vai šie bastardi neuzmetīs...Izmest 430eiras pa velti nepavisam negribas! Ja kāds ir kaut ko dzirdējis par izpirkšanu, pats to darījis - padalās ar info! Rītdien domās par to maksāšanu

Pats bekapu uztaisiju - sazipoju mapes un failus, pēc tam to zip pārsaucu par *.klucis Cerams kluci neaiztiks...

Labots Janvāris 29, 2015 - DeEK

[Ronalds]

Pats interesantākais ka jau vairāki mani klienti ir saņēmuši spamu no kaspersky, tipa ka viņu produkti droši pasargāšot pret kripteri..... Tas nekas, ka aizvakardienas versiju kasperskis ignorēja.... 

Un vēl, ņemot vērā ka epasti latviski mūsu pašu bāleliņi uzdarbojas!  Un prasītie cipari arī mazāki, kā starptautiskai versijai. Jā, tiek tor tīkls izmantots, anonīmā kriptovalūta bitcoin. Tomēr fib paņēma pie dziesmas gan Silk road, gan Silk road v2 uzturētājus. Gan arī šifrētājvīrusa pirmās versijas autori atpūšas.. 

Kā saprotu bitcoiniem ir publiski pieejama visu darījumu vēsture, arī cik naudas ir katrā maciņā. Tikai maciņu īpašnieki ir anonīmi. Kamēr nauda tiek skaitīta no viena maka otrā, neko atrast nevar. Tomēr kādreiz bandītiem gribēsies nopirkt reālu preci vai klasisko naudu. Un tad visa anonimitāte zūd.

Līdzīgi, ja būtu visu telefona zvanu vēsture publiski pieejama - tikai numuri, bez personas datiem - vai tad būtu grūti noskaidrot numura īpašnieku?

Labots Janvāris 30, 2015 - ronalds_

[Milk]

Interesanta diskusija. Sekoju līdzi tam lokerim jau no pirmsākumiem un zinu šo to arī par Bitcoin.

 

Ar Bitcoin viss nav tik vienkārši, kā ronalds_ domā.

1. Nevienam makam nekur publiski neuzrādās īpašnieks, līdz ar to Tu nezini kur tālāk tā nauda ir aizgājusi, vai tas ir veikals, vai tas ir maiņas punkts, vai arī kāds privātais.

2. Makus iespējams ģenerēt tūkstošiem un vairāk, līdz ar to katrai transakcijai izmantot savu maku, ko CTB arī dara. Tas pats attiecās uz maiņās punktiem, veikaliem utt...

3. Ir ļoti daudz Bitcoin Mixera servisi(atmazgāšana), kur transakcijas tiek samaisītas ar citu cilvēku transakcijam.

4. Ir ļoti daudz anonīmi maiņas punkti(pārsvarā tos uztur krievi un tie atrodas Krievijā) kas maina Bitcoin uz citām elektroniskajām valūtām.

 

90% servisu neveic nekādu infromācijas saglabāšanu un personu verifikāciju. Tikai lielākās biržas to dara. Teorētiski ir iespējams izsekot transakciju, bet tas prasa daudz resursus un iespējas. Galvenokārt jo pārsvarā transakciju ķēde iet caur vairākam jurisdikcijām un katrai jurisdikcijai ir savi privacy likumi. Pārsvarā šie servisi tiek hostēti jurisdikcijās ar augstu personal privacy un viņi var nesniegt nekādu informāciju. Piem. lai saņemtu kādu informāciju no serveriem Islandē, ir jāsaņem atļauja no Islandes tiesas, kas nebūs viegli un būs vajadzīgi pārliecinoši fakti. Bet kad tas viss iet caur tādām 5 valstim, tas ir gandrīz nereāli un jābūt ļoti nopietnam noziegumam lai kāds tam visam izmantotu resursus. Pat ja izdodas savākt loģisku ķēdi transakcijām, piesaistīt un pierādīt konkrētu cilvēku ir mega grūti. Kopsavilkums... teorētiski kāds varētu nodarboties ar transakciju izsekošanu, bet šajā gadijumā neviens to nedarīs. Vieglāk būs cilvēkiem iemācīt neuzķerties uz šo vīrusu, nekā atrast gala labuma guvējus pēc Bitcoin transakcijām.

 

Par Kaspersky un citiem antivīrusiem. Dabūt failu(vīrusu) tā lai viņu nav iespējams detektēt melnajā tirgu maksā vidēji 10-50$, failu neķers neviens antivīrus vismaz pāris stundas ar ko pietiek šajā gadijumā.  Antivīrusi ir bizness, tā pat, kā farmācija. Manā skatijumā antivīrus tikai noslogo datora resursu un neko citu nedara, pietiek ar labu ugunsmūri, user rights un galvu uz pleciem.

 

Par CTB, latvijā tiek izplatīta jaunā versija. Šobrīd failu dekriptācija nav iespējama un diezvai būs iespējama nākotnē, bet cerēt var. Es personīgi zinu divus gadijumus kuros cilvēki samaksāja un failus atguva. Bet  pastāvīgi kāds forumos, komentāros raksta, ka zinot samaksāšanas gadijumus un nekas nav dabūts. Maz ticās tam. Bet pieļauju ja kāds pārgudrs IT "spec" tur ir pačakarējies, tad varbūt arī iespēja atgūt failus ir sačakarēta, palasot dažu IT "specu" ieteikumus, slikti paliek. Labi ja tur kādam daži GB ar bildēm tiek pazaudēti, bet ja tā ir kompānija kurai faili ir vitāli svarīgi un viņi izlasa šo "specu" pamācību, tad ir beigas viņu vitāli svarīgajiem failiem. Īpaši ziņu portalu komentāros izskatās, ka visiem ir pieejami mega resursi priekš bruteforce vai arī viņi ir uzlauzuši kriptogrāfiju. Maksāt nav labi, bet ja faili ir svarīgi tad praktiski citu variantu nav.

Pirms maksāšanas var paprovēt(iespēja, ka kāds no šiem variantiem nostrādās ir niecīga):

1. Shadow copy, dažreiz paveicās un vīrus nav skāris

2. Ja pēc inficēšanās nekādas darbības nav veiktas, var mēģināt Photorec

 

Par skolu ir jāmaksā, samaksās ~400 EUR un iemācīsies uz mūžu(cerams), ka backup IR jātaisa(īpaši uzņēmumiem un cilvēkiem kas strādā ar svarīgiem dokumentiem) un .exe(šajā gadijumā) faili nemēdz būt dokumenti. ~400EUR nemaz nav tik daudz par to skolu ko iegūst inficētie datoru īpašnieki. Faili var tikt pazaudēti ne tikai vīrusu dēļ. Dažam varbūt pat būtu jāpasaka paldies vīrusa izstrādātājiem, ka ticis cauri ar 400EUR un guvis tādu mācību. Šis vīrus būs labi norūdijis cilvēkus. Btw prasītie cipari ir dažādi, jo vairāk failu jo lielāku summu prasa.

Labots Janvāris 30, 2015 - Milk

[jema]

Milk - izlasot tavu notāciju rodas tāda sajūta, ka pats piedalījies pie LV izplatīšanas

[Ronalds]

Varu tikai piebilst LV policijas iespējas nav salīdzināmas ar FIB iespējām, tomēr gan silk road, gan šifrētāja sākotnējās versijas autori pašreiz sēz aiz restēm iekš USA. Un zinot viņu tiesu sistēmu - sēdēs viņi ilgi un pamatīgi. Domājams kādi gadi 20 vismaz... Tur nav LV, kur pat par slepkavību var tik pāris gadi dabūt! Tā ka izsekot un atrast var!

90 gados reketieri arī domāja ka ir neaizskarami.... Te jācer ka mūsu policija tomēr nav galīgi bezzobaina, tomēr ir iespējas sadarboties ar datorspeciālistiem, ar ārvalstu kolēģiem. 

 

Šāds vīruss ir rekets + apzināta kaitniecība! Varētu salīdzināt ar grāvja izrakšanu šķērsām celām lai visus iemācītu braukt uzmanīgi.

Labots Janvāris 30, 2015 - ronalds_

[viesturs0711]

Nokjers un ieliks vinjus centralkaa piemeeram un varees churaat zalju.

[Arnis2002]

 

 

Software Restriction Policies neitralizē šitādu vīrusu ieperināšanos ātri un uz visiem laikiem.Izveidojam jaunas Path rūles:%TEMP%\*.exe%TEMP%\*\*.exe%SystemRoot%\TEMP\*.exe%SystemRoot%\TEMP\*\*.exe%USERPROFILE%\Local Settings\Temp\*.exe%USERPROFILE%\Local Settings\Temp\*\*.exe%USERPROFILE%\Local Settings\Temporary Internet Files\Content.*\*\*.exe%USERPROFILE%\AppData\*\Temp\*.exe%USERPROFILE%\AppData\*\Temp\*\*.exe%USERPROFILE%\AppData\*\Microsoft\Windows\Temporary Internet Files\*\*.exeVaram norādīt arī vēl vairāk \*\*\*..., kā arī *.msi, *.com, *.bat utt., ja gribas būt pavisam drošiemUn mēģinot palaist kādu exe failu no minētajām mapēm: The system cannot execute the specified program. (XP)vai This program is blocked by group policy. For more information, contact your system administrator. (Win7)Strādā vienkārši perfekti.

 

šis ir domāts uz win xp?

[Firza]

 

 

šis ir domāts uz win xp?

SRP darbojas gan uz Windows XP (arī Home),gan uz jaunākām Windows versijām.

[HTC]

ronalds_, nāksies piekrist Milk rakstītajam, ja nepieļauj fizisku kļūdu, tad noteikt ir ļoti grūti gala saņēmēju. Ja otro, Milk, minēto punktu ir iespējams izsekot, tad pēc trešā viss apstājas, teorētiski trešajā pēc logiem var sadzīt pēdas un pāriet atkal uz otro punktu, bet tas tādā gadījumā, ja ir konkrētas sakritības, savukārt ja trešajā punktā atmazgāšanu sāk veikt trade boti un pārskaitījums aiziet uz, piem. vmz vai kādu citu online maciņu un tad vēl kādā online servisā tiek pārdzīts/pārkonvertēts vēlreiz un tad vēlreiz.... pat 5 gadu laikā nesadzīs rokā gala saņēmēji (birokrātija + ne visi vēlas sadarboties). Ok, saņēmējs zaudēs % uz transakcijām, bet toties - pakaļa tīra.

 

 

Manā skatījumā, lai noķertu šamo ****, kas pielāgoja vīrsu uz LV variantu un to izplatīja jāsāk ar info vākšanu no otra gala, ne finansu.. - sākot ar visu iesaistīto serveru logu analīzi. Piem. fails bija nohostēts iekš failiem.lv - nu paprasam pilnu info par konkrētā faila augšuplādētāju, ok, vienreiz - proxy, otreiz - vpn, trešajā reizē, mož, uzpeldēs reālā ip. Pat ja vpn - sazinamies ar konkrētā pakalpojuma sniedzējiem- šamiem arī logiem jābūt - kāda ip adrese konkrētā laikā slēgusies vpn'am klāt.  Ņemot vērā, ka failiem.lv tikai viena no vietām, kur tika hostēts šis sūds, tad to pašu daram arī ar citām vietnēm. Neesmu skatījies kā notiek apmaksa un btc iepirkšana konkrētajā gadījumā, bet pieļauju domu, ka arī tur var sadzīt šo to rokās, pārējais tikai laika jautājums. Varbūt arī vīrusa veidotāji nav no LV un arī gala saņēmēji, bet gali, noteikti, ir arī iekš LV, stipri šaubos, ka kāds amīts/ķīnietis/indietis (pohuj kas) veica tulkošanu un zināja kur rakties.

 

Tāpat - e-pastu izsūtīšanu veica kāds/kādi serveri, nu ņemam pilnu analīzi konkrētajām kastēm un tīkla iekārtām, pat ja logi būs dzēst, virtuālā mašīna nahrenizēta - tīkla aparatūrā arī logi krājas un atkal uzpeldēs kādas ip.. proxy, stipri šaubos, ka tiktu izmantoti - pārāk lēni (vismaz publiskie), bet ja uztaisa personīgo = atkal iesaistīts serveris kur, atkal, var vākt datus un pētīt...

 

Jā, un ja beigās tiek izmantots, vecais labais triks, kaimiņu wifi - ievācam visu info par mājas iedzīvotājiem un tad jau lai vids izpēta visas banku transakcijas.. ātri uzpeldēs īstais vainīgais, pat nevajag vidu, kaimiņi paši pateiks, kurš tur ar datoriem ir uz TU  

 

Lai gan, ko es te rakstu - lai jau savu darbu veic, tie, kam tas ir jādara. Personīgi es ceru,ka atradīs un izdupsēs pēc pilnas programmas iesaistītos LV paŗstāvjus šī sūda izveidē/updatē, mūsējie, lai arī lēni strādā - bet viņi strādā, un ja nesadzīs tagad pēdas, tad sadzīs citreiz, jo tas atkārtosies, tik ar lielāku sparu.

Labots Janvāris 30, 2015 - HTC

[Ronalds]

ja nepieļauj fizisku kļūdu, tad noteikt ir ļoti grūti gala saņēmēju.

 

Bet noziedznieki kā zināms vienmēr kādu kļūdu pieļauj, (vispār cilvēkiem kļūdīties ir raksturīgi) Aizmirst VPN palaist, kaut ko ne to mailā vai skaipā uzraksta, Izņem bitcoinus kādā biržā, kas sadarbojas ar valsts iestādēm, jo 5dienas vakarā ātri vajag piķi lai aizietu patusēt un pālī kādam palielās.   

Jautājums - kur CryptoPrevent raksta savas rulles? Mēģināju ar gpedit.msc - tur nekā zem SRP nav, kaut preventers rāda kaudzi ruļu.... 

Labots Janvāris 30, 2015 - ronalds_

[Firza]

 

 

Jautājums - kur CryptoPrevent raksta savas rulles?

Raksta pa tiešo Registry, bet Windows iebūvētais SRP rīks neredz tās lietas, kuras ir izveidotas vai izmanītas pa tiešo iekš Registry apejot SRP. Tagad nepateikšu, kuras tieši atslēgas par to atbild, bet eksperimentālā ceļa to nav grūti noskaidrot.

[Ronalds]

Oki, Būs jāpalaiž Regmonitors  Oj, takš viņš tagad saucas Process Monitor  

 

Un vēl jautājums par shadow copies uz win7 (ne uz serveriem, tur it kā viss skaidrs) 

Es negribu lai man logi saglabā savu konfigurāciju, es gribu lai manam datu folderim tiek paņemts snapshoot piemēram 1x stundā? Vai vispār kaut ko tamlīdzīgu var uz darbstacijas sakonfigurēt?

Labots Janvāris 30, 2015 - ronalds_

[Firza]

Šeit - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\safer\codeidentifiers\

[DeEK]

Par to failu kriptēšanu (pēdējā versijā) - kā sanāk, to failu kodējot, tā holēra izveido jaunu (pārkodētu) failu un tad veco dzēš ārā, vai nekas netiek jauns izveidots un nekas netiek dzēsts (oriģināls)??? Lieta tāda, ka biju caurskanējis HDD ar Undelete softu, bet neko no vecajiem/dzēstajiem failiem (oriģinālfailiem) tas neatrod. Vekākās versijas kautko kopēja/nokodēja/dzēsa,un tad ar undelete tūļiem varēja šo to paglābt, bet šis te vairs neko tādu nedara un līdz ar to nav iespējams kaut ko atjaunot..

Labots Janvāris 30, 2015 - DeEK

[versatile]

Šodien bija viens mails ar vīrusu uz dropbox... Tam vajag kontu, e-pastu, e-pasts kaut kur jāreģistrē, no kaut kurienes jāpārbauda... Gan jau dabūs.

[Ronalds]

Jā, atradu kur cryptopreventers liek savas Policies

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{0161cd53-0adb-443c-9078-c2893ab01156}

 

Sūdīgā daļa ir {0161cd53-0adb-443c-9078-c2893ab01156} - ar roku pielikt būs grūti - katrai rullei savādāka. Bet izmainīju vienu ierakstu pret '*.*.*' 

Nu neko - pagaidām poļot normaļnij. Viss strādā - parasti jau failu (īpaši izpildāmo) nosaukumos neviens neliek punktu. 

Bet visas zarazas kā rekins.pdf.exe, sūdzība.doc.cpl un citi zaraznie varianti tiek no jebkuras lokācijas nobloķēti.

 

Vēl drusku patestēšu un ja nekas slikts neatklāsies visiem klientiem šo salikšu - liekas ka šī rule 100% atrisina dubulto paplašinājumu problēmu jebkurā tās izpausmē.

Labots Janvāris 30, 2015 - ronalds_

[DeEK]

Par to failu dublēšanu- dzēšanu aizdomas apstiprinājās - neko tas CTB nekopē....kaimiņforumā arī aprakstīts tā darbības princips - šis lasa block by block - tipa nolasa faila daļu, bloku, nokriptē, ieraksta tai pat blokā atpakaļ. darbības nenotiek failu līmenī.

Labots Janvāris 30, 2015 - DeEK

[Firza]

Ar "Online GUID Generator" var uztaisīt neierobežotu skaitu unikālas GUID virknes SRP vajadzībām.

[Ronalds]

Kriptētāju taisījuši zinoši cilvēki - būtu stulbi iedomāties ka viņi taisītu šifrētu kopiju un tad dzēstu ārā oriģinālu tādējādi dodot iespēju atgūt datus ar R-studio tipa rīkiem.

 

 

Ar "Online GUID Generator" var uztaisīt neierobežotu skaitu unikālas GUID virknes SRP vajadzībām

 

Paldies! Būsim zināt!  

Luk - man te tiko vēl vienu variantu atsūtīja 

http://wikisend.com/download/657628/ 

 

Faila nosaukums "rekins_MA7283996_Transmar%E2%80%AE%E2%80%AE%E2%80%AEcod.exe"

 

Dēļ viltīgā faila nosaukuma tajā upload servisā nav redzams ka exe fails un SPF rule '*.*.*' nenostrādās..... 

Labots Janvāris 30, 2015 - ronalds_

[Bruketajs]

Nu jau šodien klejo jauna, daudz skaistāka vēstule - ar firmas nosaukumu, kontaktiem, rekvizītiem un.... exe pielikumā. 

Un ir grāmatveži, kas atver to failu. 

Shadow nav, dzēstu failu nav un galu galā viena bezmaksas faila dešifrēšana nenotika līdz galam un pat nebija iespējas paņirgāties par ražotājiem un kaut kādu aizskarošu ziņu atstāt.

Stulbākais ir tas, ka šis te sviests klejo lielajā salīdzināšanās aktu laikā, tā kā 100% ir iesaistīts kāds vietējais Deniss.

[Koala]

 

 

daudz skaistāka vēstule

Nu neturi taču sveci zem pūra!

[Ronalds]

Man ir nelaba aizdoma ka zarazas autors lasa šo forumu, iepazīstās ar mūsu aizsardzības metodēm, domā jaunus uzbrukuma variantus.

 

Takš Mežavecis izteicās, ka normālā vēstulē tekstā jābūt firmas rekvizītiem un rēķina nr. Reku jau ir....

 

Es ieteicu SRP ruli *.*.* - reku faila nosaukms tikai ar vienu punktu.  

 

Moš jaunbiedrs Milk ? Cerams ka administrācija ir viņa ip piefiksējusi, ja nu kas! 

[HTC]

Te viens ieminējās par Denisu - šams čota brīvprātīgi grib skriet uz štatiem un papīrus kārto, pat biļeti gatavs pats pirkt, ka tik fib ņem šamējo.., iepriekš ņi un ņi.., čota baigā sakritība ar to, kas te notiek (tas ierēkt, ārpus tēmas)..

Labots Janvāris 30, 2015 - HTC

[fr3kvent]

Pirms pāris dienām grāmatvede norāva šito zarazu. Neviens ITšņiks neko nevarēja dabūt atpakaļ. Vakar izdomājuši esot samaksāt, failus atkodēja. 8gb ar grāmatvedības dokumentiem

[Bruketajs]

 

 

Nu neturi taču sveci zem pūra!

 

http://www.boot.lv/forums/index.php?showtopic=162285

Šeit jau tas pats.

Mana klienta gadījumā 2 dienu dokumenti pa kāju - atkopējam no backupa un gribēju vēl pilnai laimei vienu failu no šodienas pa velti atgūt, bet neiedeva draņķi. Būtu pārgājuši uz normālu e-pastu no insux.lv, nebūtu exe saņēmuši. 

[Volters]

 

 

Būtu pārgājuši uz normālu e-pastu no insux.lv, nebūtu exe saņēmuši.

Būtu labāk pāņēmuši darbā jūzeri ar smadzenēm, kas māk rīkoties ar windows exploreri un saprot, kas ir faila nosaukums un faila paplašinājums!

P.S.

Vienas vai otras e-pasta sistēmas izmantošana nekādīgi nedod cilvēkam pamatzināšanas datorjomā. Bet ko padarīsi, ja skolā māca uzreiz visu pārējo, tikai ne to, ar ko būtu jāsāk

[Bruketajs]

Skarbākais ir ja pieaicina kolēģi, kas palīdz panākt tā sviesta atvēršanos, par spīti ierobežojumiem un laikam neiedomājas kāpēc un vai vajag... 

[Volters]

Aha. Palīdz atslēgt antivīrusu, jo tas nez kāpēc traucē

[Firza]

Būtu pārgājuši uz normālu e-pastu no insux.lv, nebūtu exe saņēmuši.

Bet vīrusi jau netiek sūtīti EXE formātā. Vismaz gadus 10 inbox.lv neļauj pārsūtīt un saņemet EXE failus.„Labākā gadījumā” tas vīruss ir sapakots ZIP arhīvā (ar vai bez paroles), bet pārsvarā vīrusi tiek sūtīti kā linki uz kādu failu glabātuvi, no kurienes lietotājs pats jau tālāk to failu novelk un palaiž. Lai e-pasta serveris bloķētu šādus vīrusus, tam ir jāpārbauda arhīvu saturs uz EXE failu esamību, vai arī jāaizliedz arhīvus sūtīt vispār, un ir jāpārbauda visi e-pasta vēstulēs ielikti linki. Bet, ja tas links neved pa tiešo uz EXE failu, tad e-pasta serveris var ilgi maldīties divās priedēs un neko kaitīgu neatrast, un tā kā 99,9% e-pasta vēstulēs nav vīrusu, tad e-pasta serveris skenēs tos linkus pilnīgi bezjēdzīgi. Un pat, ja tas links ved pa tiešo uz EXE failu, e-pasta serveris failu pārbaudi veic izmantojot klāt pielikto antivīrusu, bet epidēmijas sākumā lielāka daļa antivīrusu bija „akli” un arī e-pastu serveros izmantotie antivīrusi bija tik pat „akli”.

Labots Janvāris 30, 2015 - Firza

[Arnis2002]

pag - tad viņi nāk saarhivēti ?

tad kā var redzēt ka tur .exe iekšā?

vai atarhivējot viņs pats palaižas vai jāpalaiž?

[Firza]

 

 

tad kā var redzēt ka tur .exe iekšā?

Failiem, kuri ir arhīvā, failu nosaukumi saglabājas un tie arhīva struktūrā glabājas plain text formātā, tā, ka e-pasta serverim klāt pieliktajam antivīrusu nebūtu problēmu konstatēt to, ka arhīva atrodas EXE fails.
Ja lietotājs saņem vīrusu arhīvā, tad Windows ZIP arhīvus attēlo kā mapes un failu atvēršanas process lietotājam ir „caurspīdīgs” Atverot failu no ZIP arhīva (jeb kādu failu), tas protams vispirms tiek atpakots un tad atvērst, bet lietotājam šis process ir nemanām (lietotājs var pat nezināt, ka viņš ir atvēris failu no arhīva).

[Ronalds]

 

 

Aha. Palīdz atslēgt antivīrusu, jo tas nez kāpēc traucē

 

Jā gan, traucē! Piemēram neseno vīrusa paveidu praktiski neviens antivīruss neķēra! Citēju sevi no blakus topika.

 

Pats labākais ka no www.metascan-online.com piedāvātajiem vīrusu meklēšanas servisiem tikai ESET atrada vīrusu - visi pārējie, kas tur ir vairāki desmiti neko neatrada! Sanāk ka antivīrusi pret šo ir bezjēdzīgi! 

Un arī policijas un vid vīrusus lielākā daļa laida garām.

 

Problēma ir tur, ka sen jau ir izstrādātas exe failu šifrēšanas metodes - tikai pats exe sākums ir izpildāms. Tālāk, šī daļa atšifrē nākamo, ko vajag izpildīt, tad nākamo, utt. Sākotnēji tas tika darīts lai apgrūtinātu atlauzt programmas aktivizāciju. Lai apgrūtinātu reverse engeneering. 

Rezultātā šī vīrusa izplatītāji nedaudz pamaina exe šifrēšanas atslēgu, tiek iegūts pavisam cits exe fails un antivīruss viņu vairs neatpazīst. Pēc sākotnējās dešifrācijas daļas vīrusu atpazīt nevar, jo to daudzas programmas izmanto - sanāktu banot arī pilnīgi legālas programmas. 

[M@R$$]

Uzliku AVG un secināju ka procim ir tāaada noslodze, lai viss atslēgts ... Nācās likt AVASTu

[Red]

No viena grāvja otrā.

Labāk būtu ņēmis Kumodi, varu šo rekomendēt.

[Ronalds]

M@R$$, Red, cik var teikt - NEVIENS antivīruss pret šo zarazu nelīdz!

 

Uz doto brīdi palīdz tikai useru dresēšana + srp. Par rezerves kopiju nepieciešamību laikam ir lieki muti dzesēt.....

Labots Janvāris 30, 2015 - ronalds_

[Milk]

ooo, es esmu kļuvis par vīrusa autoru. Lieliski! Laikam kāds kārtējais IT "specs" paņēma pie sirds.

 

Tas rules ir bezjēdzīgas(tādā formātā, kā jūs tās apspriežat), izplatītajs to faila nosaukumu tak var mainīt kaut katrā vēstulē un tam nav jābūt obligāti .exe failam vai dubūltam paplašinājumam. Ko jūs ar muļķībām nodarbojaties. Rules ir jāliek tam cilvēkam galvā kas ver vaļā visu pēc kārtas.

 

"Vismaz gadus 10 inbox.lv neļauj pārsūtīt un saņemet EXE failus..."  Tu joko? Inbox vienmēr ir ļāvis sūtīt .exe failus un šodien tika novērota tieši izplatīšanās iekš inbox, epasts bija ar .exe pielikumā sūtīts no inbox uz inbox un arī laikam tēmēts uz grāmatvežiem. Inbox vispār ir pover uz savu servisu. Kaspers atloka kāpostu par reklāmu un viss labi.

 

Pa tēmu... kāds ir mēģinājis nosniffot traffiku brīdī, kad tiek taisīts testa decrypt? Varbūt var pārķert to atslēgu? Bet tas būtu pārāk vienkārši..

[Arnis2002]

jā- gaidi ar maisu ka tev blondīne vēl trafiku snifos!