@lice Februāris 2, 2015 Share Februāris 2, 2015 (labots) @@Milk, galvenais- nesākt šos bandītus glorificēt Šite >> ir neliela tehniska analīze, kā ransomdraņķība darbojas, kad tiek datorā, t.sk. failu tipi, kurus šifrē. Tas gan nav tieši CTB Locker, bet gan Cryptowall, bet domājams, ka similaritāte=99.9% Nedaudz izbrīnīja 100% klientu ignorēšana Baltkrievijā, Krievijā, Kazahijā un Ukrainā, kad, ja IP adrese ir kādai no šīm valstīm, "malware proceeds to remove all traces of itself from the system by removing any registry entries and dropped files it may have created". WTF? No turienes nevar sagaidīt bitkoinus? Labots Februāris 2, 2015 - @lice Link to comment Share on other sites More sharing options...
Milk Februāris 2, 2015 Share Februāris 2, 2015 Izstrādātāji ir no kādas SNG valsts. Viņiem parasti ir likums, netaisīt šmucit tur kur paši dzīvo. Pārsvarā izstrādātāji ir krievi vai ukraiņi un viņi ļoti pieturās pie tā likuma, bieži pietiek ar to, ka sistēma ir RU valodā lai malware nenostrādātu. Link to comment Share on other sites More sharing options...
maize Februāris 2, 2015 Share Februāris 2, 2015 Līdzīgs gadījums pagājušogad beidzās tā http://en.wikipedia.org/wiki/Operation_Tovartā kā, ja nevēlaties maksāt, un kādreiz gribat tikt pie failiem, var failus saglabāt, varbūt paveicas kādreiz nākotnē. Link to comment Share on other sites More sharing options...
Firza Februāris 2, 2015 Share Februāris 2, 2015 Viņiem parasti ir likums, netaisīt šmucit tur kur paši dzīvo.Tad tie vīrusu rakstītāji tādu „likumu” pieņēma pa visam nesen, jo vēl pirms pāris gadiem SMS winlocker bizness Krievijā zēla un plauka. Un ne jau „riebīgie kapitālisti” tos winlokerus Krievijas tirgum rakstīja, to darīja paši krievu bāleliņi kopā ar mobilo telefonu operatoriem. Mobilo telefonu operatori protams paši nerakstīja winlocker vīrusus, bet tā bija vistiešākā operatoru nolaidība, kā tāds „bizness” vispār varēja pastāvēt. Link to comment Share on other sites More sharing options...
Ronalds Februāris 2, 2015 Share Februāris 2, 2015 Mans minējums ir tāds, ka lokera izstrādātāji nu jau labu laiku atpūšas USA cietumos, skat maizes doto linku. Bet pa hakeru tīkliem klīst un ir nopērkamas viņa sources vai kādi moduļi no kuriem var katrs gribētājs bez īpašām zināšanām uzbūvēt savējo lokera versiju. Jo pēdējās versijas 100% bija tepat LV tapušas. Link to comment Share on other sites More sharing options...
kro Februāris 2, 2015 Share Februāris 2, 2015 Tāda pati versija kā Latvijā tagad arī skaisti lokalizēta plosās Lietuvā. Link to comment Share on other sites More sharing options...
tapa Februāris 3, 2015 Share Februāris 3, 2015 (labots) Tauta novērojusi jaunu vīrusa izplatīšanas veidu - links uz info saitu (uz vakaru pieleca Koalicija doma !!!) Labots Februāris 3, 2015 - tapa Link to comment Share on other sites More sharing options...
Koala Februāris 3, 2015 Share Februāris 3, 2015 (labots) Sēžu un pīpēju - pārlasu tapa sacīto un domāju, spiest linku vai nē?! Labots Februāris 3, 2015 - Koalīcija Link to comment Share on other sites More sharing options...
tapa Februāris 3, 2015 Share Februāris 3, 2015 (labots) Tu vari pārdomāt un pīpēt (un ierēkt) - bet tā vietā varētu kā minimums informēt savus pazīstamos (zemāk attīstītos IT prātus un citus tantukus), kuri raustoties no šīs sērgas, iespējams gribēs paši uzlabot Chrome drošību, kārtīgi nepārlasot un neapskatot izsūtītāja adreses utt. Labots Februāris 3, 2015 - tapa Link to comment Share on other sites More sharing options...
Koala Februāris 3, 2015 Share Februāris 3, 2015 Tak neņem ļaunā. Es jau ierēcu par to, līdz kādai paranojai drīz tiksim novesti pateicoties šim CTB-brīnumam.BTW, paldies par info! Link to comment Share on other sites More sharing options...
Milk Februāris 3, 2015 Share Februāris 3, 2015 Re, kā 2 bitcoin cena šodien ir ~430 EUR, vakar bija ~400 EUR. Link to comment Share on other sites More sharing options...
it.kroplis Februāris 3, 2015 Share Februāris 3, 2015 CTB Lockers patiešām ir labs. Uzreiz jūt ka to sarakstījis datortīkla programmētājs. Vairāk šādu labu vīrusu Link to comment Share on other sites More sharing options...
Bruketajs Februāris 3, 2015 Share Februāris 3, 2015 Par laimiš šis klients bija prātīgāks un dokumentiem bija manuāla kopija, izņemot 1C datubāzēm. Nepiekrītu 2 iemeslu dēļ: 1. Klientam nebija backupa bugaltērijai 2. Klients lieto 1C bugaltēriju. 1 Link to comment Share on other sites More sharing options...
versatile Februāris 3, 2015 Share Februāris 3, 2015 CTB Lockers patiešām ir labs. Uzreiz jūt ka to sarakstījis datortīkla programmētājs. Vairāk šādu labu vīrusu Es teiktu, ka BOFH. Jauns spama vilnis, šoreiz *.pdf.exe uz dokumenti.su servera. Link to comment Share on other sites More sharing options...
Aphopis Februāris 3, 2015 Share Februāris 3, 2015 SRP bloķē Microsoft Office Starter 2010. Ar bouble click uz .doc faila parādās paziņojums, ka problemas ar product key. Kā lai uztaisa atļauju tam offisa? Link to comment Share on other sites More sharing options...
j@nis Februāris 3, 2015 Share Februāris 3, 2015 nezināju ko atbildēt - vai vīruss savu darbību uzsāk jau lejuplādējot no epasta linka vai nepieciešams to lejuplādēt uz "atvērt"? Link to comment Share on other sites More sharing options...
Firza Februāris 3, 2015 Share Februāris 3, 2015 Kā lai uztaisa atļauju tam offisa? Meklē %userprofile% mapē, kur un kādus EXE failus Microsoft ir iebāzis.Ja senos laikos Google bija niķis bāzt programmu failus %userprofile% mapē, tagad šo stafeti ir pārņēmis Microsoft (OneDrive dzīvo iekš %userprofile%), bet Google pa to laiku ir labojies un Chrome un Google Drive tiek instalēti tur kur tam vajadzētu būt - %ProgramFiles% mapē. Link to comment Share on other sites More sharing options...
it.kroplis Februāris 3, 2015 Share Februāris 3, 2015 Palaid linku, un tad tas lejupielādē visu pārējo vajadzīgo. Link to comment Share on other sites More sharing options...
Firza Februāris 3, 2015 Share Februāris 3, 2015 (labots) Lai vīruss sāktu darboties to vajag „palaist”, „atvērt”, „iedarbināt”. No „plikas” faila saglabāšanas datorā vīruss pats nepalaidīsies, bet lietotājs jau var arī vispirms spiest „saglabāt” un jau pēc tam „atvērt”, jo reiz fails tika sagabāts datorām - tad ar mērķi to kādreiz arī "atvērt". Labots Februāris 3, 2015 - Firza Link to comment Share on other sites More sharing options...
versatile Februāris 3, 2015 Share Februāris 3, 2015 (labots) SRP bloķē Microsoft Office Starter 2010. Ar bouble click uz .doc faila parādās paziņojums, ka problemas ar product key. Kā lai uztaisa atļauju tam offisa? Atver Event Viewer, paskaties, kāds ir events attiecīgajam brīdim, kad laidi Office, un uztaisi izņēmumu. A SRP ir case-sensitve vai kā? Jo tas pdf.exe man izpildījās smuki - tiesa, iekopējās iekš Appdatas un SRP tur šamo nokāva. Un jā, es mēģināju uz īsta datora, ne virtualkas - nagi niezēja SRP pārbaudīt tūlīt un tagad Protams, ar throwaway jūzeri. Labots Februāris 3, 2015 - versatile Link to comment Share on other sites More sharing options...
jema Februāris 3, 2015 Share Februāris 3, 2015 (labots) Tā izskatās mails, kas šodien bizo apkārt: From: anete kurzeme <anete.kurzeme@mail.ru> Subject: Problēma ar rēķinu! Date: 2015. gada 3. februāris 13:21:08 EET To: anete.kurzeme@mail.ru Labdien,Šo rēķinu mēs jums izrakstijām pirms 3 mēnešiem un esam konstatējuši, ka maksājums par šo rēķinu nav saņemts. Vai jūs lūdzu varētu pārbaudīt to?Elektroniskais rēķinshttp://dokumenti.su/klienti/rekini****/ -sliktais links, galu nodzēsu, lai te kāds sūdos neiekuļas! Ar cieņu,galvenā grāmatvede+371 29704926A/S "Manotrans" Labots Februāris 3, 2015 - jema Link to comment Share on other sites More sharing options...
_KS Februāris 3, 2015 Share Februāris 3, 2015 from: Inese Mansarde <inese.mansarde@mail.ru> to: inese.mansarde@mail.ru date: Tue, Feb 3, 2015 at 3:35 PM subject: Nav saņemta apmaksa! Labdien, Divus mēnešus atpakaļ izrakstijām jums šo rēķinu, bet pēc mūsu datiem tas nav apmaksāts! Pārbaudiet lūdzu to! Rēķins http://dokumenti.su/klienti/rekini/pdf.php?id=xxxxxxxxxxxxxxxxx Ar cieņu, galvenā grāmatvede +371 29474782 SIA "Delaudex" Link to comment Share on other sites More sharing options...
Red Februāris 3, 2015 Share Februāris 3, 2015 Kāds aktīvi piedalās meilu rakstīšanā, tautība gan varētu būt krieviska, ne pēc mail.ru bet pēc citām pazīmēm. Link to comment Share on other sites More sharing options...
laikamTak Februāris 3, 2015 Share Februāris 3, 2015 pēc citām pazīmēm. Nuja, kārtīgs latviec jau nerakstīs Divus mēnešus atpakaļ izrakstijām tur ir pavisam cita kombinācija Link to comment Share on other sites More sharing options...
it.kroplis Februāris 3, 2015 Share Februāris 3, 2015 putleristi uzdarbojas. Link to comment Share on other sites More sharing options...
raiviic Februāris 3, 2015 Share Februāris 3, 2015 (labots) Izskatās, ka jautrība uzņem apgriezienus un nu jau arī privātajiem sūta. Pirms pusstundas uz manu inbox kasti atnāca šitāds (protams, linku neatvēru un bildi varat droši skatīties, nekaitīga). Lieki teikt, ka ar grāmatvedību man sakars tikai tāds, ka tā man algu rēķina un nekādu Aiju Dreimani nepazīstu, kā arī AS MerkursV ir tukša skaņa (atšķirībā no 40 grādīgā Merkūra ) . Interesanti, ka Kam ailē ir sūtītāja, nevis adresāta adrese, tur arī piestrādājuši. Labots Februāris 3, 2015 - raiviic Link to comment Share on other sites More sharing options...
mullja Februāris 3, 2015 Share Februāris 3, 2015 Labvakar kungi!Kolēģe arī ir paspējusi šo vēstulīti atvērt. Manā gadījumā win7 pro kompis, kuram bija piemapoti tīkla diski ko vīruss nokodēja. Vai tīkla diskos esošajiem failiem win7 taisa lokālas shadow kopijas? Lokāli nekādi dati uz kompja neglabājās. Ne visi tīkla diski tika backupoti, jo publiskais drazu folderis bija 90% draza un 10% kaut kas noderīgs uz doto brīdi. Link to comment Share on other sites More sharing options...
Ronalds Februāris 4, 2015 Share Februāris 4, 2015 Vai tīkla diskos esošajiem failiem win7 taisa lokālas shadow kopijas? Ne! kuram bija piemapoti tīkla diski Un kāpēc gan mūsdienās ir jāmapo tīkla diski.... Ne visi tīkla diski tika backupoti, - Nu tad vairs neko - pakāst failus vai makāt... Izsaku līdzjūtības. Link to comment Share on other sites More sharing options...
MIGs Februāris 4, 2015 Share Februāris 4, 2015 Paskaties vai pats serveris nav uztaisījis shadow copies. Link to comment Share on other sites More sharing options...
Ronalds Februāris 4, 2015 Share Februāris 4, 2015 (labots) Serveris pats shadow copies netaisa - vai nu ir tā fīča ieslēgta un nokonfigurēta vai nav.... (Ja šī fīča būtu ieslēgta, šāda posta nebūtu) Un baidos ka šajā gadījumā "serveris" ir kāda darbstacija ar parasto win (šajā gadījumā gan ir cerības uz previus versions). Labots Februāris 4, 2015 - ronalds_ Link to comment Share on other sites More sharing options...
Firza Februāris 4, 2015 Share Februāris 4, 2015 Windows 7 taisa Shadow Copies failiem, kuri ir izdzēsti vai izmainīti arī pa tīklu. Vismaz pēc manipulācijām ar failiem no Android telefona (dzēsu, mainīju), iepriekšējās failus versija atjaunojās ļoti labi. Link to comment Share on other sites More sharing options...
Ronalds Februāris 4, 2015 Share Februāris 4, 2015 Firza - drusku nepareizi tu izsakies - Shadow copies, jeb System restore (kā šo sauc iekš win7) "Iesaldē" failu sistēmas stāvokli - uztaisa kopiju failu katalogam. (Snapshoot) (Nezinu kā precīzāk pateikt) Visas izmaiņas, kas failu sistēmā tiek veiktas pēc iesaldēšanas, netiek rakstītas pa virsu vecajiem failiem, bet gan jaunās vietās. Uz servera OS var nokonfigurēt kad tiks šie sanpšūti taisīti, cik ilgi vecie glabāti. Uz darbstacijām snapshutu ņemšana notiek pirms lielu lietu instalēšanas un reizi 24h, ja darbstacija netiek lietota. "Netiek lietota" ir diezgan stiepjams jēdziens, ms arī nav publiski paziņojis pēc kā tiek atļauta/aizliegta snapshoot veidošana. Tātad, ja nekas nav instalēts, ja pc tiek pa nakti slēgts ārā vai aizmieg, pēdējais snapšoot var būt ļoti vecs. Link to comment Share on other sites More sharing options...
mullja Februāris 4, 2015 Share Februāris 4, 2015 Nav stresa. Kā jau teicu - publiskais miskastes disks tika izvarots un kopā pakāsti max 10 noderīgi dokumenti. Tā bija veca win2k server SP4 domēna kaste pie kuras slēdzās win7 darbastacijas. Kas bijis bijis Link to comment Share on other sites More sharing options...
e28lover Februāris 4, 2015 Share Februāris 4, 2015 Sveiki. Man Shadowexplorer redz visus failus (pat ar 3 datumiem), bet exportejot tie veidojas sabojati jeb damaged. Ir kadam kkas lidzīgs? Link to comment Share on other sites More sharing options...
Firza Februāris 4, 2015 Share Februāris 4, 2015 exportejot tie veidojas sabojati jeb damaged. Kā izpaužas tas, ka faili „demaged”? Windows pats saka, ka tie faili iekš Shadow Copies ir „demaged”, vai arī mēģinot atvērt atjaunoto failu tas neveras, jo ir bojāts?Pilnīgi iespējams, ka iekš Shadow Copies atrodas čupa ar jau sašifrētiem failiem (vairāku GB informācijas šifrēšana vīrusam var prasīt samērā ilgu laiku). Ja ir kāds hex redaktors (pilnīgi pietiks Total Commander iebūvēto), tad apskaties, kam līdzīgi ir tie bojātie faili. Vai pēc satura tie ir līdzīgi oriģinālajiem failiem (docx, zip faili hex redaktorā sākas ar „PK”, JPG failiem sākumā būs JFIF vai Exif) vai arī tur pilnīga šifrēto failu „kakofonija”, bez iespējas atrast jebkādu sakarīgu tekstu un bez kādas līdzības ar tāda paša tipa nebojātiem failiem. Link to comment Share on other sites More sharing options...
it.kroplis Februāris 5, 2015 Share Februāris 5, 2015 Daži netīreļi pamanījušies šodien pabojāt koplietošanas diskā failus. Saveidoju uz servera auditāciju bet nemanu iespējas definēt lai auditē tik konkrētus paplašinājumus ".gvdeoyh". Filtrēt ar nemana kā to varētu izdarīt. Ar WSCOM to varētu sataisīt bet te tāda nav. Nav kādam zināms kāds alternatīvs toolis? Link to comment Share on other sites More sharing options...
Ronalds Februāris 5, 2015 Share Februāris 5, 2015 Uz servera jau sen bija shadow copies jābūt ieslēgtam. Un nedrīkst mapot tīkla diskus! Ko tev tā auditēšana dos? Domā useris uzreiz nebļaus, kad viņa faili būs sašifrēti? Link to comment Share on other sites More sharing options...
versatile Februāris 5, 2015 Share Februāris 5, 2015 Nu cik var ņemties ar tol ka nedrīkst būt tīkla diski piemapoti - IR SOFTI, KURIEM VAJAG. Jā, līki rakstīti, bet dārgi un joprojām strādā. Jā, ar smylinkiem to var apiet - var nemapot - bet tas nepasargās no nošifrēšanas. Utt... Link to comment Share on other sites More sharing options...
Ronalds Februāris 5, 2015 Share Februāris 5, 2015 (labots) Nē nu ja ir specifisks softs kuram bez mapošanas nekā..... Bet tas ir ļoti specifisks gadījums. Es ar tādiem softiem jau labu laiku neesmu sastapies. Tomēr esmu sastapies ar gadījumiem, kad tīkla diski tiek mapoti vienkārši tāpat! Bet nav jau nekādu problēmu noskaidrot kurus tīkla diskus lieto useris. Domāju ka nākamās lokera versijas mācēs sašifrēt tīkla diskus arī bez mapošanas Labots Februāris 5, 2015 - ronalds_ Link to comment Share on other sites More sharing options...
e28lover Februāris 5, 2015 Share Februāris 5, 2015 Firza Shadow explorer redz visus "pareizus" failnames, pats var exportet jebkuru failu. Un vispar neko neziņo. Bet jau atverot, piemeram doc failu, office to vai nu nevar atvert, vai piedavaja atjaunot, un rada tuksas lapas. Bet 1 no kadiem 20 failiem izdevas atjaunot, bet protams nav pieteikami. Man interese tikai docx, doc, xls faili Link to comment Share on other sites More sharing options...
Recommended Posts