» »

Trojan.Gpcoder.G

Trojan.Gpcoder.G

1
2
»

Duhec ::

amigo_no1 je izjavil:

...Jaz bi se vprašal kako vam uspeva dobiti to to svinjarijo v sistem (zanjo ni lepšega kot admin privilegiji in butast uporabnik) ??

V bistvu to tudi mene zanima kako se te vrste malware z imenom RANSOMWARE (glej Wiki) splazi skozi NEadmin pravice ?
Se je mogoče splazil mimo/skozi antivirusnika ali mrežnega servisa in ne preko facebook/gmail ali DL fajla ?

5er--> ::

Po mojem gre preko nameščene bugaste Jave.

ncc2000 ::

kakšna priporočila mogoče za tiste, ki tega še niso fasali?

fosil ::

Saj ne rabiš admin pravic.
Zakodira ti osebne dokumente, za dostop do njih pa ne rabiš admin pravic.
Tako je!

amigo_no1 ::

Še na rtvslo pišejo o njem:
http://www.rtvslo.si/znanost-in-tehnolo...


fosil
V tem primeru res ne (zaradi user fajlov), v vseh drugih pa zelo onemogočiš okužbo.

Duhec
RANSOMWARE ni enako Gpcoder
http://www.f-secure.com/weblog/archives...

http://www.f-secure.com/v-descs/gpcode....
All encrypted files have the following 21 byte text string in their beginning:

PGPcoder 000000000032


The encryption algorithm is quite simple - the trojan uses ADD operation on the original file's data with a single byte encryption key. The original value of the encryption key is 58 (0x3a) and it is modified using 2 fixed byte values which are 37 (0x25) and 92 (0x5c) after encryption of each next byte of the original file's data.
While the trojan scans local and remote drives, it keeps a track of all found folders and files in the AUTOSAVE.SIN file that is created in a temporary folder.
After all files are encrypted the trojan terminates its process, deletes its executable file, AUTOSAVE.SIN file and its startup key from the Registry.




Ima kdo jajca in pove kje je to staknil ?

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

katjeszoo ::

Tudi na žurnal24 pišejo o tem virusu:
http://www.zurnal24.si/virus-za-dostop-...

Prosim za info ali morda kdo od vas uporablja ta program za varnostno kopiranje in ali je ok?
http://www.fbackup.com/sl/

fosil ::

Zanimivo da ima zadeva samo eno bytno enkripcijo.
Verjetno je bilo to narejeno namerno, zato da se podatke še vedno da rešit.
Vprašanje je zakaj so omogočili zasilni izhod brez plačila?
In pa, ali bodo pri naslednjih verzijah še tako "radodarni".
Tako je!

Zgodovina sprememb…

  • spremenil: fosil ()

Fukomuko ::

Zna bit pestro, če ena firma masovno faše podobnega trojanca, vendar zlobnejšo različico brez možnosti enostavne dekripcije.

saraja ::

Meni koda -k 85 ni delovala. Poslala sem datoteko Drwebu in mi je dal kodo -k 88. S tem sem si rešila vse! Vso srečo!

Kepica ::

amigo_no1 je izjavil:


Duhec
RANSOMWARE ni enako Gpcoder
http://www.f-secure.com/weblog/archives...



Post sem poimenoval tako, ker sem očitno bil eden prvih ki sem naletel na ta virus pri uporabniku. Ime Gpcoder sem pa zasledil pri zbiranju informacij o virusih tega tipa... smiselno bi bilo da bi kak admin preimenoval post v RansomCrypt, tako da bo post v boljšo pomoč naslednjim žrtvam.

Kje ga je kolega staknil, težko rečem, samo po konfiguraciji rač. smtram, da bi lahko bil kriv star brskalnik ali pa kak torent. Sam pa tudi ne ve.

zanimivo je da so se danes vsi mediji o tem razpisali, vendar vsi govorijo da še ni rešitve za to...nabijat dramo, a ne? :D
http://www.racunalniske-novice.com/novi...


pa še slovenski napotki:
http://www.najdi.si/novica/Krizno-ogled...

Zgodovina sprememb…

  • spremenil: Kepica ()

amigo_no1 ::

Glej, trojanci in ostala zlobna koda niso nobeno čudo, so programi, ki jih mora nekdo zagnati oz se sami zaženejo, recimo preko kakšega web browser exploita (MS IE6 je idealen kandidat ali kak win2k pc brez FW z odprtim netbiosom) ali autoruna (če imaš omogočenega) iz usb ključka/cd-ja .

Ti lahko DL "torrent", ki vsebuje 250654165465 virusov, če jih ne boš zagnala ne bo nobene nevarnosti.
Dokler program ne postane proces (ga zaženeš), je mrtev kos skompilirane kode.

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

lolypop000 ::

Ko bi vsaj eden obnovil računalnik na dan,ko še ni imel tega virusa se ne bi rabili zajebavat z temi komandami.

Sem pozabila kdo je napisal,da obnavlja samo dll in exe,vglavnem tisti očitno še nikoli ni uporabljal obnovitvene točke.
Daj si v mapo slike,obnovi računalnik na prejšnji dan in mapa z slikami vred bo izginila.

Vedno prvo obnovite računalnik na zgodnejši dan pa bo vaše življenje lažje ne pa da zakomplicirate tam kjer ni potrebe za to.

Ejejejejej,zato pa vedno raje sama popravljam računalnik kot pa da bi ga nesla na servis.

Xserces ::

Ke dobiti ta virus? Jst bi se malo igral z njim XD
Intel i5-3570k @4.7GHz|MSI GTX 970 4G|MSI Z77 MPower|
G. Skill 8 GB 1600MHz|Corsair AX750|Seagate Barracuda 2TB|NZXT Gamma|

Kepica ::

lolypop000 je izjavil:

Ko bi vsaj eden obnovil računalnik na dan,ko še ni imel tega virusa se ne bi rabili zajebavat z temi komandami.

Sem pozabila kdo je napisal,da obnavlja samo dll in exe,vglavnem tisti očitno še nikoli ni uporabljal obnovitvene točke.
Daj si v mapo slike,obnovi računalnik na prejšnji dan in mapa z slikami vred bo izginila.

Vedno prvo obnovite računalnik na zgodnejši dan pa bo vaše življenje lažje ne pa da zakomplicirate tam kjer ni potrebe za to.

Ejejejejej,zato pa vedno raje sama popravljam računalnik kot pa da bi ga nesla na servis.


What is System Restore?

System Restore helps you restore your computer's system files to an earlier point in time. It's a way to undo system changes to your computer without affecting your personal files, such as e‑mail, documents, or photos.

Sometimes, the installation of a program or a driver can cause an unexpected change to your computer or cause Windows to behave unpredictably. Usually, uninstalling the program or driver corrects the problem. If uninstalling does not fix the problem, you can try restoring your computer's system to an earlier date when everything worked correctly.

System Restore uses a feature called System Protection to regularly create and save restore points on your computer. These restore points contain information about registry settings and other system information that Windows uses. You can also create restore points manually.

System Restore is not intended for backing up personal files, so it cannot help you recover a personal file that has been deleted or damaged. You should regularly back up your personal files and important data using a backup program.

Zgodovina sprememb…

  • spremenil: Kepica ()

fmcgorenc ::

Edina trajna rešitev pred zlonamerno programsko opremo je uporaba odprtokodnega operacijskega sistema GNU/Linux. Več info na http://www.ubuntu.si/ . Stay safe :)

poweroff ::

Kot prvo - a backupov nimate?

Kot drugo - ne pošiljat denarja, ker ni nikakršnega zagotovila, da bodo zlikovci res poslali denar. Zelo verjetno vas bodo začeli samo še bolj izsiljevat, saj jim bo jasno, da ste pripravljeni plačevati.

Kot tretje - razmislite o kakšnem firewallu, o tem, da ne kliknete vsake bedarije iz torrentov in spleta ali celo o menjavi operacijskega sistema.
sudo poweroff

Kepica ::

Matthai, kot prvo 80% uporabnikov rač. opreme je laikov in ne backupirajo svojih podatkov, to je dejstvo.

Da ne plačevat se popolnoma strinjam, ker po moje tudi ne bo uspeha.

Firewall pa ne bo pomagal, tudi protivirusne zaščite ne, saj je zadeva nova in je najverjetneje bila vsiljena preko HTMLja (doumevno), tako da je dobra zaščita najverjetneje up to date brskalnik, čeprav tudi to ni zagotovilo. Je najverjetneje najboljše vodilo se izogibat spletnih strani, ki niso preizkušene ali vam poznane. Zagotovila pa ni!

dronyx ::

Tudi jaz sem pri kolegu naletel na ta virus in zgoraj predlagani program s parametroma -k 85 in -k 88 ne deluje. Očitno virus menja ključ, s katerim kodira datoteke. Ali morda kdo ve, na kakšen način se da ta ključ ugotoviti?

Zanima me tudi, kako se ta okužba sploh širi? Če res ne potrebuje admin pravic na sistemu so potencialno ogroženi skoraj vsi računalniki in lahko pride do epidemije tipa blaster. Sumim nekako, da to uporabniki dobijo po elektronski pošti?

Zgodovina sprememb…

  • spremenil: dronyx ()

darkolord ::

fmcgorenc je izjavil:

Edina trajna rešitev pred zlonamerno programsko opremo je uporaba odprtokodnega operacijskega sistema GNU/Linux. Več info na http://www.ubuntu.si/ . Stay safe :)
Lepo prosim, če ne zavajaš. Hvala.

Duhec ::

@onyx, poizkusi še -k 91, če je podaljšek .Bl9c98vcvv.
http://www.cert.si/obvestila/obvestilo/...

dronyx ::

@Duhec: Hvala, mislim da je to sedaj prava koda, ker dekriptira datoteke.

Se je pa pri kolegu zadeva začela tako, da je najprej dobil fake antivirus na računalnik (pozabil ime) in me je zaradi tega klical po telefonu (zadeve sicer nisem videl v živo). Predlagal sem mu, da gre v varni zagon in namesti malwarebytes ter zalego odstrani, kar je potem tudi "uspešno" izvedel. Očitno pa ni opazil, da so se medtem (podrobnosti ne poznam) datoteke zakriptirale. Možno celo, da je fake antivirus tako zloben, da kriptia šele, ko ga "odstraniš".

Je pa zanimivo, da sem sam na svojem domačem PC vedno admin iz čiste lenobe (v službi sem admin samo ko je res absolutno nujno potrebno, sicer uporabljam run as administrator), pa nisem do sedaj (vsaj zadnjih 5 let) staknil niti enega virusa, trojanca, skratka ničesar...

Zgodovina sprememb…

  • spremenil: dronyx ()

Duhec ::

Če je teh datotek veliko (predvsem slik, ki so navadno kar zajetne velikosti v MB), se zna zgodit drug problem, da zmanjka prostora na disku/particiji, ker ta dekriptor ni ravno prijazen po kakih nastavitvah in pač naredi kopijo. Zato je dobro prej preveriti zasedenost diska/particije.
Osebno sem izvajal dekripcijo na backup zunanjem disku in nato prekopiral čez original disk.

OK.d ::

Ali je kdo sploh pomislil, če je ta program od Dr.Weba sploh varen, da recimo v ozadju omogoča kakšen backdoor za v prihodnje.
Ter da sta ta virus in dr.web v navezi;)
LPOK.d

dronyx ::

@OK.d: Saj mogoče so tudi virusi in protivirusne kompanije v kakšni navezi, ki bi se ji lahko reklo simbioza? ;)

xbit ::

Xserces je izjavil:

Ke dobiti ta virus? Jst bi se malo igral z njim XD


Kej si ti enmau sado-mazo a? :))

PS. Povezava do "dekorderja" na majorgeeks ne deluje, oz. ga ni moč shraniti na disk.
;(

LP!

edit: Mi je uspelo "dolpovlečti" dekorder. Za vsak slučaj če ga bom potreboval. :)
Xbit

Zgodovina sprememb…

  • spremenil: xbit ()

AtaPizdun ::

Meni rešitev ne pomaga. Sicer se te94decrypt zažene z ukazom -k 85, ampak datoteke, ki jih dešifrira, niso v redu. Sicer od zunaj zgledajo popravljene, vendar ob zagonu javi, da so korumpirane.

A gre mogoče za drugo verzijo virusa?

Sem prebral v threadu, da se lahko zaganja tudi s kodama -k 88 in -k 91... ampak sklepam, da gre tu samo za ključe programa te94decrypt, ali pač?

Xserces ::

xbit je izjavil:

Xserces je izjavil:

Ke dobiti ta virus? Jst bi se malo igral z njim XD


Kej si ti enmau sado-mazo a? :))


Haha :)
Intel i5-3570k @4.7GHz|MSI GTX 970 4G|MSI Z77 MPower|
G. Skill 8 GB 1600MHz|Corsair AX750|Seagate Barracuda 2TB|NZXT Gamma|

AtaPizdun ::

tudi koda -k 88 ne deluje. fajli so še vedno korumpirani. za -k 91 sem pa prebral, da ni za tiste fajle, ki so kodirani s končnico .EnCiPhErEd...

Kakšne druge ideje?

mat1infosys ::

Zdravo!
Jaz imam enak problem. S kodo -k 85 mi sicer obnovi datoteke, ki imajo končnico .enciphered File v .docx1 , vendar se ne dajo odpret. Seveda spremenim docx1 v docx za word, ampak je popolnoma enaka napaka kot na začetku.
Ima kdo kakšen predlog?
A ja pa koda 88 ali 90 ne delujeta javi wrong Key.

saraja ::

Ne delaš prav, vpiši v cmd in poženi. Če ti še ne bo delovalo pošlji eno datoteko drwebu in ti bo javil pravo kodo za dešifriranje tvojih datotek.
Srečno!

mat1infosys ::

Hvala ja to vem da moraš v cmd zagnati, vendar deluje samo koda 85. Ko pošljem datoteko drwebu pa mi javi da se strežnik ne odziva.
Mogoče nimam pravega linka za drweb?

retsom ::

Poskusi poslati še na SI-CERT (cert@cert.si) eno od zakriptanih datotek. Gl. tudi njihovo obvestilo http://www.cert.si/obvestila/obvestilo/...

Deda46 ::

Deluje, brez dvoma.
Na končnico .EnCiPhErEd je z programom te94decrypt.exe in po navodilih z parametrom -k 85 uspešno dekriptiral dokumente, ne vem v kakšnem obsegu ker je preveč za preverit, ampak deluje.
Link do programa:
ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe

Če vam ne uspe sta samo dve možnosti:
-ne znate :)
-ali pa imate mogoče malo drugačno verzijo inkripcije

mat1infosys ::

Zdravo!
Vsem, ki ni uspelo rešiti podatke, sporočam, da sem jih jaz rešil na naslednji način:
Podatke sem skopiral na drug pc, ki ni bil okužen in na njemu zagnal te94decrypt -k 88 v mojem primeru.S -k 85 mi je sicer naredilo kopije, vendar niso bile uporabne. Na okuženem računalniku pa mi kode -k 88 sploh ni hotelo zagnati in mi je javilo wrong key. Torej kopirajte na drug pc in tam zaženite te94decrypt -k 88 ali 85.

Pa srečno !

AtaPizdun ::

V vednost ostalim: sem poslal fajle na SI-CERT in so mi predlagali, da še probam s komando -k 90... ta deluje!

Torej za tiste, ki imate še težave:
za .EnCiPhErEd končnico so tri opcije
-k 85
-k 88
-k 90

Za .Bl9c98vcvv končnico pa:
-k 91

poweroff ::

A to je kakšna el cheapo verzija cezarjevega algoritma za šifriranje implementirana??
sudo poweroff

darkolord ::

Mislim da naredi kar XOR z enim keyem

Xserces ::

je ze ksn v tej temi povedu ke se stakne to pizdarijo?
Intel i5-3570k @4.7GHz|MSI GTX 970 4G|MSI Z77 MPower|
G. Skill 8 GB 1600MHz|Corsair AX750|Seagate Barracuda 2TB|NZXT Gamma|

poweroff ::

Aha, se pravi če bi imel backup vsaj ene datoteke, bi lahko ven dobil key in potem dešifriral...
sudo poweroff

darkolord ::

Čisto verjetno, ja. Nevem sicer zakaj ne uporablja kakšne asimetrične enkripcije, zaradi lenobe, nesposobnosti ali usmiljenja do uporabnikov?

Icematxyz ::

Kot kaže gre za že znanega in v preteklosti že uporabljenega trojanskega konja. Se pravi bolj, kot sam trojanski konj bo verjetno zanimivo najti vzrok, ki mu omogoča širjenje, zadeva se namreč širi, kot kaže dokaj hitro. Te informacije še trenutno nisem zasledil, razen če je zadeva povezana s kakšno od zadnje čase najdenih ranljivosti, ampak v to dvomim.

Z nekega širšega vidika pa zanimiva reč ni kaj, ker če razviješ orodje, ki torej odstrani posledice, ki jih je povzročil takšen trojanski konj verjetno nekih večjih težav s trženjem le tega nimaš.

Cold1 ::

Po mojem se je avtor zbal, da mu bo v primeru, da uporabniki zares ne bi mogli do svojih datotek, trda predla; niso namreč čisto vsi uporabniki povsem nebogljeni, nekateri redki lahko sežejo zelo daleč (tako v prostoru, kot v času).

S tem da avtor morda ne bi imel te sreče, da bi ga obiskali prijazni ljudje iz kake vladne službe...


Tale trik tako omogoča malce bolj iznajdljivim da sami popravijo problem, brez potrebe po avtorju - le ta se je s tem zavaroval pred "doživetji" v resničnem svetu.>:D

Icematxyz ::

Več kot 600 tisoč Macov je okuženih s trojancem

Po podatkih ruskega podjetja Dr. Web...


Zanimivo. Zadnje čase pogosto slišim ime tega podjetja.

alexz ::

Xserces je izjavil:

je ze ksn v tej temi povedu ke se stakne to pizdarijo?

ne še vedno se nobeden ni izjasnil kak so staknili to sranje :)

ZaphodBB ::

katjeszoo je izjavil:

hehehehehehehe,
se vidi, da mi zadeve niso ravno poznane.
Ko sem poštekala kaj sem delala narobe, sem se tudi jaz začela ful smejat :)
Skratka, deluje, juhuuu :)
Sedaj podvaja podatke :)
Vprašala bi še, ali bi bilo dobro, da na novo naložim Windovs XP?

Kepica, najlepša HVALA za pomoč in potrpežljivost.

Rajši naloži Windows 7

Ker XPji so greznica in z njimi dobesedno prosiš Ruse, da ti namontirajo kako tako pizdarijo. Če nimaš denarja imaš 1000 okusov Linuxa.

5er--> ::

Saj je že znano kako večina stakne nekaj zadnje čase... sem videl WinXP in Win7, polno posodobljena, z antivirusom, za firewallom...

Problem? Nezakrpana java. Pol je pa dovolj, da obiščeš en hacknjen site (Nekaj časa nazan je bila npr. hacknjena stran informacijskega pooblaščenca) in to je to.

shadeX ::

zanima me kje ste dobili vi tega trojanca, tisti ki ste ga. hmm..

amigo_no1 ::

Ker XPji so greznica in z njimi dobesedno prosiš Ruse, da ti namontirajo kako tako pizdarijo. Če nimaš denarja imaš 1000 okusov Linuxa

Ja, w7 in linux so pa definitivno brez 0-day exploitov :D.
Čudno da nisi omenil še jabolka.

btw
So že ugotovili kako so rootnili kernel.org ?

Cold1 ::

zanima me kje ste dobili vi tega trojanca, tisti ki ste ga. hmm..


Iz dejstva da so ga dobili, izhaja, da ne bodo znali povedati od kod je prišel; lahko kvečjemu ugibamo, in pri tem velja, da je najbolj verjetno, da so ga dobili preko brskalnika (oziroma Flasha ali Jave).
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Virus mbed

Oddelek: Pomoč in nasveti
81094 (661) mat xxl
»

Cryptowall 3.0 virus

Oddelek: Pomoč in nasveti
437039 (5093) bambam20
»

Virus ki zahteva 100 eur za odblokirat windowse (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
15442887 (24927) BorutK-73
»

Po Sloveniji se širi Cryptolocker (strani: 1 2 )

Oddelek: Novice / Varnost
6130732 (17728) alro
»

Virus ki zahteva 50€

Oddelek: Loža
142194 (1628) KoMar-

Več podobnih tem