» »

CTB locker (cryptolocker)

CTB locker (cryptolocker)

«
1
2

grex ::

Da delim z vami izkušnjo,

- mati od prijatelja ima firmo
- za podatke je imela vedno varnostno kopijo do pred 6 mesecev nazaj (takrat je zbolela za resno boleznijo in se ni ubadala s tem)
- med iskanjem podpore (glede bolezni) je naletela (domnevamo, vektor nam ni poznan) na CBT locker
- včeraj se ji je na ekranu pokazal ekran z napisom, da so datoteke zašifrirane, z zahtevano odkupnino 3.0 BTC na določen naslov in 96 časa, da nakaže odkupnino, sicer bodo podaki zašifrirani za vedno

- po iskanju drugih rešitev (ali je kje kakšen backup) si je njen sin moral priznati, da drugače kot s pridobitvijo private key-a, ne bo šlo
- ker je podatke potreboval hitro in po izkušnjah glede cryptolockerja iz preteklosti, smo se odločili (glede na pomembnost podatkov), da plačamo

- kupimo 3.0 BTC, in jih pošljemo na zahtevan naslov
- dobre pol ure kasneje računalnik prične s procesom dešifriranja


Toliko da povem, da se splača plačati, če so podatki vredni 3.0 BTC

Zadevo smo poslikali, če kdo želi podrobnosti, naj piše na to temo.

 Začetni problem

Začetni problem


 Plačilo

Plačilo


 transakcija

transakcija


 mafijci v delu

mafijci v delu


 mafija v delu

mafija v delu

  • spremenilo: grex ()

alex401 ::

Se ubadam s podobno zadevo na računalniku od kolega, dobil pa z el. pošto pred nekaj dnevi. Trojanca ni problem odstraniti iz sistema, je pa zaenkrat nemogoče izvesti dekript vseh dokumentov, slik, pdf....in rešitve zaenkrat ni. Zahtevajo pa "pirati" pokvarjeni najprej 100, po določenem času pa 300 €. Antivirus, osvežena Panda na sistemu v tem primeru ni zaščitila nič.

Vantage983 ::

Vglanm lahko potrdim zgornji dogodek(od moje mame firmin računalnik). Ce plačas dobiš vse fajle nazaj.

SeMiNeSanja ::

Pred plačilom 'odkupnine' bi priporočil posvetovanje s SI-CERT in ovadbo na policiji.

Verjamem, da so ljudjem podatki vredni tistih 100€, vendar če se zadevo ne prijavi, tudi ni možnosti, da bi se te barabine kdaj izsledilo. Zato tudi nimate zagotovila, da se ne boste čez čas spet znašli v podobni situaciji.

Mare2 ::

Kako pa se dobi ta virus? Klikneš na e-mailu na priponko?
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

Mare2 ::

Nisi videl tega?
CryptoLocker premagan

https://slo-tech.com/novice/t617012#crta
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

alex401 ::

Mare2 je izjavil:

Nisi videl tega?
CryptoLocker premagan

https://slo-tech.com/novice/t617012#crta


- to je verzija iz poletja 2014. Bila so tudi orodja s katerimi si dešifriral dokumente. Za CTB Locker iz decembra 2014 to ne velja.

wanderer ::

širi se z epošto, z okuženo priponko...

draga šola... s plačevanjem odkupnine pa to panogo samo spodbujaš...

Furbo ::

Folk pač kar klika vse žive priponke.. ccc..
Lp,f

Mare2 ::

Ampak, meni ni jasno, če folk nekam plača denar, da policija ne najde prejemnika? Ali pa si policija tega sploh ne želi.

S tem, ko je ogoljufanih več ljudi se zvišuje tudi znesek prigoljufanega denarja. In ko policija odkrije storilca, pa magari čez tri leta, se začnejo hvalit, kakšne dosežke so naredili in si s tem zvišujejo politične točke.
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

grex ::

SeMiNeSanja je izjavil:

Pred plačilom 'odkupnine' bi priporočil posvetovanje s SI-CERT in ovadbo na policiji.

Verjamem, da so ljudjem podatki vredni tistih 100€, vendar če se zadevo ne prijavi, tudi ni možnosti, da bi se te barabine kdaj izsledilo. Zato tudi nimate zagotovila, da se ne boste čez čas spet znašli v podobni situaciji.


3.0 BTC je 600€. Prijava po tem, ko je CTB locker opravil delo, je nesmiselna, če je tvoj namen pridobiti podatke (razen morda, če bi se šli forenziko, kje je C&C center - pri CBT lockerju preko TOR-a).
Prijava za obče dobro, na kateri naslov se je nakazal denar, morda ima smisel - vendar noben noče časa izgubljat s prijavami.

Če bo komu pomagal naslov, kamor je bilo treba poslati denar, oz če bo kdo hotel več info, bodo pa vprašali.

Iz naše strani le toliko, da se to tudi pri nas dogaja in da se pojavlja po evropi, (predvsem vzhodni in BTW ne v USA, kjer so jih dejansko polovili, vendar cryptolocker ni uporabljal C&C centra preko TORa).

In seveda, žal v pomoč tem prascom, da vam povemo, da plačilo dejansko pomaga.

GTX970 ::

Čestitke za tvoj support za njihovo nadaljnjo "delo".
don't negotiate with terrorists


Kdo pravi da se ne boste spet ujeli v njihovo mrežo ?

SeMiNeSanja ::

Škoda, da tu ni koga od SI-Cert, da bi podal njihovo uradno stališče glede smiselnosti ali nesmiselnosti prijave.

Drugače pa ga ni čez preventivo - imejte malo soli v glavi, ko odpirate priponke mailov, sploh takšnih ki so 'nekako čudni'.
Koneckoncev pa tudi spodobna požarna pregrada zmore zablokirati Cryptolocker, če je pravilno skonfigurirana.

Ampak ja, dokler se pridiga naokoli, da je vsak navaden router dober za podjetje in raje plačuje 'odkupnino' (da ne omenjamo dodatne škode zaradi nezmožnosti uporabe računalnika in podatkov na njemu), kot pa investira v resnejšo zaščito mreže, bo pač tako. Rabimo samo še čestitati barabam, ki se bogatijo na račun neumnosti škrtih uporabnikov širom sveta.

grex ::

GTX970 je izjavil:

Čestitke za tvoj support za njihovo nadaljnjo "delo".
don't negotiate with terrorists


Kdo pravi da se ne boste spet ujeli v njihovo mrežo ?


Preberi post od SeMiNeSanja - glede bv routerjev v podjetjih in neko kvazi zaščito, ki ti da le občutek lažne varnosti ima še kako prav. Ampak ko imaš na tehtnici podatke dela od malo več kot 6 mesecev in na drugi strani support kriminalcev ob plačilu, predvsem pa samo še večje stroške ob "vrlem ravnanju", .... no, ne mislim razlagati nečesa tako logičnega.

V tem primeru je žalostno predvsem to, da so imeli (kolikortoliko) primerno zaščito (vsaj glede backupov), vendar je propadla ob tem, da je ena oseba zaradi bolezni bila precej obupana in ji je bilo to takrat manj pomembno in je klikala na marsikaj in pozabila backupirati.

No, 600 EUR vredna šola - predvsem upam, da bo moj post pomagal drugim.

SeMiNeSanja ::

Me prav zanima, kako to odkupnino potem v računovodstvu zavedejo. Pod 'stroške'?

Potem bi si lahko na tak način nekaj krat na leto 'uprizoril' lažno okužbo in neobdavčeno iz podjetja potegnil denar....

Zgodovina sprememb…

Mare2 ::

Knjižiš na štirico. :)

Print screen.
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

SeMiNeSanja ::

Mare2 je izjavil:

Knjižiš na štirico. :)

Print screen.

Dobro bi bilo, če bi ti poslali še račun. Seveda v skladu z našo zakonodajo, s polnim naslovom, davčno številko,...., pa na datum opravljene storitve ne smejo pozabiti!

Mare2 ::

Se strinjam, ampak si to obvestilo poslal na napačen naslov.
------------------
Kako najti storilce? Kdo je zadolžen?
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

mat xxl ::

Policija, ki pa to težko naredi, saj plačilo v BTC jih skoraj ni sledljivo.

Mare2 ::

Oni napišejo kazensko ovadbo, če jim občani zrihtajo vse podatke o storilcih "na pladnju".
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

SeMiNeSanja ::

To je mednarodna zadeva, lahko pozabiš, da bi policija ene države lahko sama karkoli naredila - tudi če ji boš karkoli na pladnju dostavil. Niti FBI nima pristojnosti, da bi ene barabe v rusiji lovila, kaj šele naši 'kiflčki'. Tudi če mednarodno sodelovanje deluje brezhibno ni lahko ujeti takšne barabe, če ne naredijo kakšne večje napake, kaj šele kadar sodelovanje ni ravno na nivoju.

Qushaak ::

Na kaj vse ljudje kliknejo oz odprejo. Pa učijo nas, da smo inteligentna bitja....

knesz ::

Na Si-Cert je smiselno podati prijavo, če ne drugega, gre za statistiko in izmenjavo podatkov z ostalimi certi.
Jaz sem ravno včeraj podal tako prijavo okužbe NAS-a s Synolockerjem.

Glede smiselnosti plačevanja, lansko leto smo (stranka) bili okuženi s prejšnjo verzijo Cryptolockerja in plačali 0,3BTC (350€ takrat). Podatki so bili rešeni, (celotno poslovanje podjetja, baze programov in dokumenti), največja težava pa je bila, ker se je okužil strežnik preko mapiranih pogonov.
Po tem incidentu smo vzpostavili dnevni backup na nas preko FTP.

mat xxl ::

Ja je potrebno imeti po firmah resne antiviruse pa ne kakih Pand ..... in jih nastaviti tako, da lahko ljudje kliknejo, kar želijo, odpre se pa samo tisto, kar AV čez spusti. Sam uporabljam NIS Norton ....... in v zadnjih nekaj letih še ni uspelo našim uslužbencem resneje zašuštrati zadev. Se sicer zgodi, da ob inštalaciji kakega programa prileti še kak AD zraven, samo to niso kake hude zadeve in se pač obrišejo .......

c3p0 ::

Kolikor vidim, je za marsikatero firmo (in bognedaj admina), vklopljen VSS servis in dnevni backup, čisti sci-fi.

SeMiNeSanja ::

Če se zanašaš samo na antivirus, potem tudi nisi nič naredil - prej ali slej se najde zadeva, ki ji tvoj AV ni dorasel, pa če ga še tako obožuješ in kuješ v zvezde.

Na prvem mestu nad vsem je še vedno ozaveščanje uporabnikov glede tega, kam se lahko klika, kam se raje ne klika in kam se nikakor naj nebi klikalo.
Sem spada tudi to, da se jim dopove, da morajo TAKOJ obvestiti nekoga, ki se v zadeve spozna, ko se jim zazdi, da so vendarle kliknili nekam, kamor bi bilo bolje ne klikati in zaradi česar se je potem pričel računalnik 'čudno obnašati'.
Treba jim je iz glave izbiti tista 'jaz nisem nič naredil' opravičila, ker s tam stvar smo še poslabšujejo, ko čakajo, če se bo pa zadeva mogoče po nekem čudežu sama od sebe uredila.

AV JE pomemben - vendar je danes toliko škodljive kode zunaj, da AV lahko prestreže samo še vrh ledene gore, tiste 'najbolj pogoste' škodljivce, ki v določenem obdobju krožijo.

Ker uporabniki sami pogosto niti nimajo upliva na to, kam jih bo brskalnik 'poslal', je koristno imeti tudi nek 'web filter', ki preprečuje dostop do spletnih strani, ki so znane po tem, da širijo škodljivo kodo.

Dober spam filter tudi prestreže nekatere maile z škodljivimi priponkami.

Potem imaš še IPS sisteme, ki prestrežejo sumljive komunikacije in nenazadnje na požarni pregradi še omejuješ vrste komunikacij (porte) in aplikacije, ki jim dovoljuješ komuniciranje.

Zadnje čase se na mreži dopolnjuje AV še z sandbox sistemi, ki še dodatno preverjajo vse, kar vstopa v omrežje, če bo pokazalo znake škodljive kode, ko bo pristalo na računalniku.

Ampak tudi če si vse to nanizal, še vedno ne moreš trditi, da si 100% zaščiten. Tako kot v športu, rabiš še en kanček sreče, da zmagaš, pa če si še tako hudo treniral. Če te sreče nimaš, še vedno lahko fašeš kakšnega zlodja.
Takrat pa je najbolj pomembno, da si uporabnike naučil, da te pokličejo, če se morda še lahko kaj da rešiti, ali pa da lahko vsaj preprečiš nadajlno širjenje preko omrežja.

Qushaak ::

Marsikatera firma nima poštimano, da se posodalbjajo WIndows-i preko WSUS-a. To je najbolj nujno. Bistveno bolj kot antivirusniki. Ubistvu so antivirusniki res tretja obrambna vrsta, saj je že na nivoju infrastrukture podjetja treba imeti dobro skonfigurirano mrežo in neko dobro "krovno zaščito". Četudi bi kateri client-i bili zelo okuženi iz infrastrukture podjetja nebi smelo priti nič "dreka", da bi se padalo na black liste.
V Sloveniji je pa trend, da se močno daje močan poudarek na client zaščiti, na nivoju infrastrukture pa je dostikrat vse skupaj zelo zanemarjeno in slabo skonfigurirano.

SeMiNeSanja ::

@Qushaak - Res je - posodabljanje operacijskega sistema in programov (pdf, flash, java,...) sem pozabil našteti - in kar drži, da je med najbolj pomembnimi elementi 'samozaščite'.

Žal pa imaš prav tudi v nadaljevanju. Na nivoju infrastrukture lahko največ narediš z nakupom pametne multifunkcijske požarne pregrade. Realnost na slovenskem pa gre predvsem v dve skrajnosti:

- mala podjetja, ki namestijo navaden router za domačo rabo brez kakršnihkoli dodatnih zaščitnih funkcij
- večja podjetja, ki kupujejo razne drage požarne pregrade - brez licenc za napredno zaščito. V praksi tako niso bistveno bolje zaščiteni od malih podjetij z navadnim routerjem za nekaj deset €, čeprav so morda zmetali 20.000€ v železnino.

Qushaak ::

Tudi iz domačega router-ja se da precej iztisniti še ven glede zaščite, samo tudi tega se po dosti firmah ne lotijo kaj dosti. Po drugi strani pa imaš MikroTik-e, ki za "ceno domačih router-jev" nudijo ogromno. Tako, da izgovor o denarju tudi ni ravno na mestu.

Jave se ne namešča, če to ni res nujno. Njihov update sistem je popolnoma dinozavrski in res tečen do nezavesti.
Flash-a se tudi raje ne namešča. Najnovejše verzije Internet Explorer-ja ga imajo že integriranega. Prav tako Chrome. Čaka se semo še Firefox-a, ki pa ne vem kaj čara na tem področju. Pred meseci je mozila ven udarila z novico o Shumway-u, pa še zdej ni nič v Firefox-u tega. Škoda. Ne zagovarjam Flash-a, ampak dokler se ga rabi naj ga razvijalci browser-jev integrirajo vanj. Ni to lepa praksa (Flash ni "nativna sposobnost po web standardu"), vendar je vsaj zagotovljeno, da imajo vedno najnovejšo verzijo.

Adobe Reader je sedaj malo boljši, ker se posodablja v ozadju. Tako, da se me ni zdi več tolk kritičen kot včasih (čeprav še vedno).

Podjetja pri nas se ogromnokrat zanašajo na čistost client-ov. Zelo napačno stališče za moje pojme. Zelo realno je, da v sistem pride hudo okužena naprava. Ne more pa sistemc pri vsakem stat, ki pride v podjetje in najprej sčekirat njegove naprave.
Praksa pa je tudi, da če že pride do okužbe sistema v firmi, da se sistemci fajn izgovarjajo na to, da "oni pa ni imel posodobljenega antivirusa oz je imel nekega brezplačnega, ki ni dober", da se tako operejo krivde in svojo krivdo slabe zaščite infrastrukture preusmerijo drugam.
Izkušnje iz prve roke.... :)

fosil ::

In kako ti bo router oziroma firewall preprečil okužbo z virusom?
Tako je!

Qushaak ::

Ni vse v okužbah z visusi in podobno nesnago. Gre tudi za napadanje preko omrežja recimo.

SeMiNeSanja ::

fosil je izjavil:

In kako ti bo router oziroma firewall preprečil okužbo z virusom?

Poglej si ta video, pa ti bo malo bolj jasno, kako...

SeMiNeSanja ::

Seveda imaš potem še probleme z 'mobilniki' napravami (BYOD) od mobitelov do prenosnikov, ki sodijo na poseben lan ali vlan in dovoliš samo tisti najbolj nujni del prometa, da gre do tvojih strežnikov.

To se še nekako da spraviti pod kontrolo - potem ti pa pridejo uporabniki z USB kablom...'mobitel je bil prazen'...ali pa je hotel samo naložiti sliko za na ozadje z mobitela. Noja, poleg je imel še kaj drugega...
USB ključki...katastrofa - jaz bi zapečatil vse USB priključke, da jih nebi bilo možno uporablljati....

Dobesedno se moraš truditi krpat prerešetano sito... pri tem pa ne smeš nikogar ovirat, da bi lahko opravljal svoje delo.

Qushaak ::

Ravno to je bil moj point: Ne moreš vsakega "preverit", ki pride v firmo. Stranki, ki pride na sestanek in prosi za WiFi pa tud moraš dat. Nad takimi napravami pa sploh nimaš nadzora niti kdaj se pojavijo v omrežju.
Je pa res presenetljivo kako malo "sistemci" v slovenskih podjetjih dajejo poudarka na preventivi in dobri konfiguraciji infrastrukture. Samo, "da je najnovejše verzije" pa bo ok.

tony1 ::

Qushaak je izjavil:

Ravno to je bil moj point: Ne moreš vsakega "preverit", ki pride v firmo. Stranki, ki pride na sestanek in prosi za WiFi pa tud moraš dat. Nad takimi napravami pa sploh nimaš nadzora niti kdaj se pojavijo v omrežju.


Kako to misliš, "moraš dat wifi"? Spustiš ga na internet, ne pa v svoj LAN.

MrStein ::

SeMiNeSanja je izjavil:

Škoda, da tu ni koga od SI-Cert, da bi podal njihovo uradno stališče glede smiselnosti ali nesmiselnosti prijave.

https://www.cert.si/izsiljevalski-virus...

Qushaak je izjavil:


Pred meseci je mozila ven udarila z novico o Shumway-u, pa še zdej ni nič v Firefox-u tega.

It will be ready, when it will be ready. Not a second sooner.

Ne zagovarjam Flash-a, ampak dokler se ga rabi naj ga razvijalci browser-jev integrirajo vanj. Ni to lepa praksa (Flash ni "nativna sposobnost po web standardu"), vendar je vsaj zagotovljeno, da imajo vedno najnovejšo verzijo.

No ja, razen če se browser "pozabi" apdejtat. Se dogaja tako s Chrome kot Firefox.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

hamez66 ::

tony1 je izjavil:

Qushaak je izjavil:

Ravno to je bil moj point: Ne moreš vsakega "preverit", ki pride v firmo. Stranki, ki pride na sestanek in prosi za WiFi pa tud moraš dat. Nad takimi napravami pa sploh nimaš nadzora niti kdaj se pojavijo v omrežju.


Kako to misliš, "moraš dat wifi"? Spustiš ga na internet, ne pa v svoj LAN.



Kako pa moraš potem konfigurirati router, da tak človek ima dostop do interneta, ne pa do lana? Ker to je smiselno tudi v domačem omrežju, ampak ne vem, kako se to naredi.

MrStein ::

"guest wifi" funkcija, ima večina (ne pa vsi) ruterčkov.
(oziroma "isolated client" tudi včasih rečejo tej funkciji)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

SeMiNeSanja ::

Danes tudi že accesspointi srednjega cenovnega razred (150-300EUR)omogočajo do 8 SSID-jev, ki jih lahko usmerjaš vsakega na svoj Vlan. Tako dejansko ni opravičila, da v podjetju nimaš posebnega 'guest' omrežja, ločeno omrežje za mobitele zaposlenih, ločeno za prenosnike, ločeno za......

Drugače pa na 'home' routerjih, kot je že MrStein rekel, imaš pogosto možnost nastaviti 'Guest WiFi'. A kaj, ko vsi samo gledajo, da bo router čim dlje 'nesel'...

hamez66 ::

Aha, sem našel:
Enable AP Isolation - Isolate all connected wireless stations so that wireless stations cannot access each other through WLAN. This function will be disabled if WDS/Bridge is enabled.

Zelo uporabno. Hvala za informacije.

SeMiNeSanja ::

hamez66 je izjavil:

Aha, sem našel:
Enable AP Isolation - Isolate all connected wireless stations so that wireless stations cannot access each other through WLAN. This function will be disabled if WDS/Bridge is enabled.

Zelo uporabno. Hvala za informacije.

To je spet druga opcija, ni 'Guest WiFi'. Guest WiFi imaš na napravah, ki nudijo možnost, da si nastaviš več SSID-jev (najmanj dva).

fosil ::

SeMiNeSanja je izjavil:

fosil je izjavil:

In kako ti bo router oziroma firewall preprečil okužbo z virusom?

Poglej si ta video, pa ti bo malo bolj jasno, kako...

Najbolj nadležni odgovori so tisti, ko nekdo odgovarja s dolgoveznim videom.
Tak človek očitno ne ve o stvari dovolj da bi znal podat kratek in jasen odgovor.
Firewall na routerju ti ne bo čisto nič pomagal pri okužbi.
Tako je!

SeMiNeSanja ::

@fosil - ne bodi primitiven! Definitivno ne bom pisal in razlagal, kar si lahko vsak pogleda na dva klika. Folk ne bere več, kot do druge vrstice, video pa se še da kateremu pogledat.

Sicer pa - itak si tako pameten, da že vse kao veš - zakaj naj bi ti potem še karkoli razlagal? Z veseljem razložim komu, ki res želi kaj izvedeti, ne pa nekomu, ki se pride naduto šopiriti.

c3p0 ::

hamez66 je izjavil:

Aha, sem našel:
Enable AP Isolation - Isolate all connected wireless stations so that wireless stations cannot access each other through WLAN. This function will be disabled if WDS/Bridge is enabled.

Zelo uporabno. Hvala za informacije.


S to opcijo se WLAN klienti ne morejo videt le med sabo, lahko pa še vedno dostopajo do ostalih naprav v omrežju, ki niso na wifi.

Qushaak ::

fosil je izjavil:

SeMiNeSanja je izjavil:

fosil je izjavil:

In kako ti bo router oziroma firewall preprečil okužbo z virusom?

Poglej si ta video, pa ti bo malo bolj jasno, kako...

Najbolj nadležni odgovori so tisti, ko nekdo odgovarja s dolgoveznim videom.
Tak človek očitno ne ve o stvari dovolj da bi znal podat kratek in jasen odgovor.
Firewall na routerju ti ne bo čisto nič pomagal pri okužbi.

Čisto slovenceljska miselnost. Potem pa se čudimo kako da včeino folka samo površinsko ve zadeve in strelja svoje "rešitve" glede na površinskost njihovega znanja. Kvaliteta takih rešitev pa vemo kakšna je.
Človek na videu pa zelo lepo razloži ozadje pri kriptolokerju na precej enostaven način, da tudi meni, ki nisem mrežni majster stvar postane jasno po ogledu videa.

Drugače nisem mislil, da ne obstaja v nižjecenovnih "guest wifi". Verjeli ali ne, tudi na tem področju v dosti firmah škripajo (pri konfiguraciji).

fosil ::

SeMiNeSanja je izjavil:

@fosil - ne bodi primitiven! Definitivno ne bom pisal in razlagal, kar si lahko vsak pogleda na dva klika. Folk ne bere več, kot do druge vrstice, video pa se še da kateremu pogledat.
Sicer pa - itak si tako pameten, da že vse kao veš - zakaj naj bi ti potem še karkoli razlagal? Z veseljem razložim komu, ki res želi kaj izvedeti, ne pa nekomu, ki se pride naduto šopiriti.

Nismo vsi 15 letni mulci, ki znajo gledat samo video posnetke. Nekateri dejansko beremo.
In z branjem prideš do informacij veliko hitreje, kot z gledanjem dolgoveznih videov.

Posebnost tega virusa je v tem, da se poveže na strežnik in šele potem zašifrira podatke.
Vidiš? 15 minut v enem stavku. Tega ti očitno nisi sposoben.

Najbolj problematične pa so tvoje izjave, da so ljudje z dobrim požarnim zidom na routerju varni.
Zelo narobe.
Kot prvo, tudi s požarnim zidom je računalnik še vedno okužen in je tempirana bomba, ki čaka kdaj se bo povezal na internet in se sprožil.
Danes ne obstajajo samo stacionarni računalniki, obstajajo tudi prenosniki in ko greš s takim okuženim prenosnikom izven varnega zavetja svoje firme, se stvar sproži.
In druga stvar, požarni zid ti pogojno pomaga samo pri tem konkretnem virusu.
Zunaj je milijone virusov, ki se ne rabijo povezat nikamor.
Med njimi so tudi taki, ki ravno tako zašifrirajo podatke.

Torej ne širit neumnosti v stilu, z dobrim požarnim zidom si varen.
Nisi.
Tako je!

MrStein ::

SeMiNeSanja je izjavil:


Folk ne bere več, kot do druge vrstice, video pa se še da kateremu pogledat.

Ne, vrstice preberem, da pa bi poiskal slušalke in potem gledal 5 minut brezveznega "uvoda" za 10 sekund poante (kar bi lahko lepo v dveh vrsticah besedila povedal) pa se ne. Nikoli ne gledam "odgovor je v videu" posnetkov.
Sicer pa:
Z veseljem razložim komu, ki res želi kaj izvedeti

Prosim. Večina v temi nas je takih.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Mare2 ::

Mene zanima, če je za tanov cryptolocker že kakšna rešitev, da se odblokira zakriptirane dokumente brez plačila?

--------------------
Vi2 se pa nehajta prepucavat.
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

SeMiNeSanja ::

Kot prvo je treba razčistiti, o kakšnih požarnih pregradah se sploh pogovarjamo - tistih, ki so v bistvu router in imajo vgrajen paketni filter (npr. Mikrotik) ali tistih, ki so specializirane rešitve, grajene prvenstveno za to, da bi zaščitile promet na omrežju (Checkpoint, Cisco ASA, Fortinet, Paloalto, SonicWall, Watchguard,...).

Npr. navaden paketni filter lahko nastaviš, da bo blokiral povratno povezavo cryptolockerja na njgov strežnik - a moraš najprej vedeti IP naslov, na katerem se ta strežnik nahaja. Toda ker nimaš opravka zgolj z enim strežnikom, niti s statičnim poolom IP naslovov, ne boš prišel daleč.
Namenska požarna pregrada pa bo kombinirala IPS, filter spletnih strani in filter aplikacij - kar tri različne varnostne sisteme, ki vsak zase poskušajo preprečiti tovrstne povratne komunikacije - brez da bi moral admin vnašati kakšne IP naslove, saj se ti servisi dinamično nadgrajujejo.

Pri prenosu škodljive kode v omrežje preko el. pošte navadni paketni filter ne bo 'videl' kaj je priletelo v omrežje.
Namenske požarne pregrade pa lahko uporabljajo AV in Sandbox za preverjanje vsebine - poleg tega, pa lahko že v osnovi prepoveš, da bi mail smel imeti priponke tipa .exe in jih preprosto porežeš stran - tudi če uporabnik uporablja pop3 in vleče mail z nekega tretjega strežnika zunaj omrežja.

Namenske požarne pregrade tudi pošiljajo alarme - če npr. IPS zazna, da je nek PC poskušal vzpostavljat povratno povezavo na botnet strežnik, lahko adminu pošlje mail ali sms in tako ta lahko takoj ukrepa, če se še da kaj rešiti.

Nihče ne trdi, da bo napredna požarna pregrada 100% preprečila okužbo ali aktivacijo cryptolockerja ali botnetov. Vendar v primerjavi z navadnim paketnim fitrom so vseeno v veliki prednosti, saj ta nima nobenih mehanizmov, ki bi lahko kakorkoli zaznali in zaustavili škodljivo kodo.

Treba pa je tudi vedeti, da ni dovolj le to, da kupiš požarno pregrado 'znanega proizvajalca' - kupiti oz. licencirati moraš tudi napredne varnostne mehanizme.
Pri nas se na veliko kupuje ASA požarne pregrade, potem pa škrtari pri licenciranju dodatnih varnostnih storitev. To je tako, kot če kupiš mercedeza brez ABS, airbagov, ESP, ASR in kaj vem, kaj za ene varnostne mehanizme še imaš v solidnem avtu - potem pa si domišljaš, da se voziš varno, saj si kupil Mercedeza. Jok - bistveno bolj varno bi se vozil z Cliotom, ki ima vso dodatno opremo za manj kot 1/2 cene oskubljenega Mercedeza! Popolnoma isto velja tudi pri požarnih pregradah!

Na splošno velja prepričanje, da so 'spodobne požarne pregrade' nekaj, kar ima astronomsko ceno. Dejansko se da dobiti rešitve tudi za najmanjša podjetja (do 5 uporabnikov) že od 500 EUR - znesek, ki nebi smel predstavljati resnejšega problema nobenemu podjetju, ki normalno posluje.

Lahko pa takšne storitve tudi zakupiš. Npr. T-2 ponuja poslovnim strankam 'varnost po vaši meri', kjer preprosto zakupiš tudi upravljanje in nadzor omrežja za fiksen mesečni znesek. Verjetno tudi drugi ponudniki ponujajo kaj podobnega.

Mr.B ::

SeMiNeSanja,
ti pošljem Excel prilogo z makrom. Požarna pregrada bo morala biti izjemno napredna da bo zaznala zanimiv makro v Excell datoteki. Sedaj pa preigravaj scenarije.. Ali pa ti pošljim link na zip, z vereodostojnim pošiljateljem...
Voljeno telo ogledalo volilnega telesa.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kripto virus kako reševati če sploh, umrem sicer ne če ne restavriram (strani: 1 2 3 4 5 6 )

Oddelek: Pomoč in nasveti
25040862 (17718) SeMiNeSanja
»

V letu 2016 bistveno več šifriranega prometa

Oddelek: Novice / Zasebnost
255281 (3151) Lonsarg
»

Locky Virus (strani: 1 2 )

Oddelek: Informacijska varnost
8815118 (12134) Manna
»

Virtualni router

Oddelek: Pomoč in nasveti
182030 (1478) Adminer
»

VPN in oddaljene pisarne (strani: 1 2 )

Oddelek: Omrežja in internet
688240 (6574) SeMiNeSanja

Več podobnih tem