CTB locker (cryptolocker)

Da delim z vami izkušnjo,

- mati od prijatelja ima firmo
- za podatke je imela vedno varnostno kopijo do pred 6 mesecev nazaj (takrat je zbolela za resno boleznijo in se ni ubadala s tem)
- med iskanjem podpore (glede bolezni) je naletela (domnevamo, vektor nam ni poznan) na CBT locker
- včeraj se ji je na ekranu pokazal ekran z napisom, da so datoteke zašifrirane, z zahtevano odkupnino 3.0 BTC na določen naslov in 96 časa, da nakaže odkupnino, sicer bodo podaki zašifrirani za vedno

- po iskanju drugih rešitev (ali je kje kakšen backup) si je njen sin moral priznati, da drugače kot s pridobitvijo private key-a, ne bo šlo
- ker je podatke potreboval hitro in po izkušnjah glede cryptolockerja iz preteklosti, smo se odločili (glede na pomembnost podatkov), da plačamo

- kupimo 3.0 BTC, in jih pošljemo na zahtevan naslov
- dobre pol ure kasneje računalnik prične s procesom dešifriranja


Toliko da povem, da se splača plačati, če so podatki vredni 3.0 BTC

Zadevo smo poslikali, če kdo želi podrobnosti, naj piše na to temo.

Vglanm lahko potrdim zgornji dogodek(od moje mame firmin računalnik). Ce plačas dobiš vse fajle nazaj.

Kako pa se dobi ta virus? Klikneš na e-mailu na priponko?

Mare2 je 22. jan 2015 ob 02:18 izjavil:

Nisi videl tega?
CryptoLocker premagan

https://slo-tech.com/novice/t617012#crta

- to je verzija iz poletja 2014. Bila so tudi orodja s katerimi si dešifriral dokumente. Za CTB Locker iz decembra 2014 to ne velja.

Folk pač kar klika vse žive priponke.. ccc..

SeMiNeSanja je 22. jan 2015 ob 02:00 izjavil:

Pred plačilom 'odkupnine' bi priporočil posvetovanje s SI-CERT in ovadbo na policiji.

Verjamem, da so ljudjem podatki vredni tistih 100€, vendar če se zadevo ne prijavi, tudi ni možnosti, da bi se te barabine kdaj izsledilo. Zato tudi nimate zagotovila, da se ne boste čez čas spet znašli v podobni situaciji.

3.0 BTC je 600€. Prijava po tem, ko je CTB locker opravil delo, je nesmiselna, če je tvoj namen pridobiti podatke (razen morda, če bi se šli forenziko, kje je C&C center - pri CBT lockerju preko TOR-a).
Prijava za obče dobro, na kateri naslov se je nakazal denar, morda ima smisel - vendar noben noče časa izgubljat s prijavami.

Če bo komu pomagal naslov, kamor je bilo treba poslati denar, oz če bo kdo hotel več info, bodo pa vprašali.

Iz naše strani le toliko, da se to tudi pri nas dogaja in da se pojavlja po evropi, (predvsem vzhodni in BTW ne v USA, kjer so jih dejansko polovili, vendar cryptolocker ni uporabljal C&C centra preko TORa).

In seveda, žal v pomoč tem prascom, da vam povemo, da plačilo dejansko pomaga.

Škoda, da tu ni koga od SI-Cert, da bi podal njihovo uradno stališče glede smiselnosti ali nesmiselnosti prijave.

Drugače pa ga ni čez preventivo - imejte malo soli v glavi, ko odpirate priponke mailov, sploh takšnih ki so 'nekako čudni'.
Koneckoncev pa tudi spodobna požarna pregrada zmore zablokirati Cryptolocker, če je pravilno skonfigurirana.

Ampak ja, dokler se pridiga naokoli, da je vsak navaden router dober za podjetje in raje plačuje 'odkupnino' (da ne omenjamo dodatne škode zaradi nezmožnosti uporabe računalnika in podatkov na njemu), kot pa investira v resnejšo zaščito mreže, bo pač tako. Rabimo samo še čestitati barabam, ki se bogatijo na račun neumnosti škrtih uporabnikov širom sveta.

Me prav zanima, kako to odkupnino potem v računovodstvu zavedejo. Pod 'stroške'?

Potem bi si lahko na tak način nekaj krat na leto 'uprizoril' lažno okužbo in neobdavčeno iz podjetja potegnil denar....

Mare2 je 22. jan 2015 ob 17:38 izjavil:

Knjižiš na štirico. :)

Print screen.

Dobro bi bilo, če bi ti poslali še račun. Seveda v skladu z našo zakonodajo, s polnim naslovom, davčno številko,...., pa na datum opravljene storitve ne smejo pozabiti!

Policija, ki pa to težko naredi, saj plačilo v BTC jih skoraj ni sledljivo.

To je mednarodna zadeva, lahko pozabiš, da bi policija ene države lahko sama karkoli naredila - tudi če ji boš karkoli na pladnju dostavil. Niti FBI nima pristojnosti, da bi ene barabe v rusiji lovila, kaj šele naši 'kiflčki'. Tudi če mednarodno sodelovanje deluje brezhibno ni lahko ujeti takšne barabe, če ne naredijo kakšne večje napake, kaj šele kadar sodelovanje ni ravno na nivoju.

Na Si-Cert je smiselno podati prijavo, če ne drugega, gre za statistiko in izmenjavo podatkov z ostalimi certi.
Jaz sem ravno včeraj podal tako prijavo okužbe NAS-a s Synolockerjem.

Glede smiselnosti plačevanja, lansko leto smo (stranka) bili okuženi s prejšnjo verzijo Cryptolockerja in plačali 0,3BTC (350€ takrat). Podatki so bili rešeni, (celotno poslovanje podjetja, baze programov in dokumenti), največja težava pa je bila, ker se je okužil strežnik preko mapiranih pogonov.
Po tem incidentu smo vzpostavili dnevni backup na nas preko FTP.

Kolikor vidim, je za marsikatero firmo (in bognedaj admina), vklopljen VSS servis in dnevni backup, čisti sci-fi.

Marsikatera firma nima poštimano, da se posodalbjajo WIndows-i preko WSUS-a. To je najbolj nujno. Bistveno bolj kot antivirusniki. Ubistvu so antivirusniki res tretja obrambna vrsta, saj je že na nivoju infrastrukture podjetja treba imeti dobro skonfigurirano mrežo in neko dobro "krovno zaščito". Četudi bi kateri client-i bili zelo okuženi iz infrastrukture podjetja nebi smelo priti nič "dreka", da bi se padalo na black liste.
V Sloveniji je pa trend, da se močno daje močan poudarek na client zaščiti, na nivoju infrastrukture pa je dostikrat vse skupaj zelo zanemarjeno in slabo skonfigurirano.

Tudi iz domačega router-ja se da precej iztisniti še ven glede zaščite, samo tudi tega se po dosti firmah ne lotijo kaj dosti. Po drugi strani pa imaš MikroTik-e, ki za "ceno domačih router-jev" nudijo ogromno. Tako, da izgovor o denarju tudi ni ravno na mestu.

Jave se ne namešča, če to ni res nujno. Njihov update sistem je popolnoma dinozavrski in res tečen do nezavesti.
Flash-a se tudi raje ne namešča. Najnovejše verzije Internet Explorer-ja ga imajo že integriranega. Prav tako Chrome. Čaka se semo še Firefox-a, ki pa ne vem kaj čara na tem področju. Pred meseci je mozila ven udarila z novico o Shumway-u, pa še zdej ni nič v Firefox-u tega. Škoda. Ne zagovarjam Flash-a, ampak dokler se ga rabi naj ga razvijalci browser-jev integrirajo vanj. Ni to lepa praksa (Flash ni "nativna sposobnost po web standardu"), vendar je vsaj zagotovljeno, da imajo vedno najnovejšo verzijo.

Adobe Reader je sedaj malo boljši, ker se posodablja v ozadju. Tako, da se me ni zdi več tolk kritičen kot včasih (čeprav še vedno).

Podjetja pri nas se ogromnokrat zanašajo na čistost client-ov. Zelo napačno stališče za moje pojme. Zelo realno je, da v sistem pride hudo okužena naprava. Ne more pa sistemc pri vsakem stat, ki pride v podjetje in najprej sčekirat njegove naprave.
Praksa pa je tudi, da če že pride do okužbe sistema v firmi, da se sistemci fajn izgovarjajo na to, da "oni pa ni imel posodobljenega antivirusa oz je imel nekega brezplačnega, ki ni dober", da se tako operejo krivde in svojo krivdo slabe zaščite infrastrukture preusmerijo drugam.
Izkušnje iz prve roke.... :)

Ni vse v okužbah z visusi in podobno nesnago. Gre tudi za napadanje preko omrežja recimo.

Seveda imaš potem še probleme z 'mobilniki' napravami (BYOD) od mobitelov do prenosnikov, ki sodijo na poseben lan ali vlan in dovoliš samo tisti najbolj nujni del prometa, da gre do tvojih strežnikov.

To se še nekako da spraviti pod kontrolo - potem ti pa pridejo uporabniki z USB kablom...'mobitel je bil prazen'...ali pa je hotel samo naložiti sliko za na ozadje z mobitela. Noja, poleg je imel še kaj drugega...
USB ključki...katastrofa - jaz bi zapečatil vse USB priključke, da jih nebi bilo možno uporablljati....

Dobesedno se moraš truditi krpat prerešetano sito... pri tem pa ne smeš nikogar ovirat, da bi lahko opravljal svoje delo.

Qushaak je 24. jan 2015 ob 11:03 izjavil:

Ravno to je bil moj point: Ne moreš vsakega "preverit", ki pride v firmo. Stranki, ki pride na sestanek in prosi za WiFi pa tud moraš dat. Nad takimi napravami pa sploh nimaš nadzora niti kdaj se pojavijo v omrežju.

Kako to misliš, "moraš dat wifi"? Spustiš ga na internet, ne pa v svoj LAN.

tony1 je 24. jan 2015 ob 11:11 izjavil:

Qushaak je 24. jan 2015 ob 11:03 izjavil:

Ravno to je bil moj point: Ne moreš vsakega "preverit", ki pride v firmo. Stranki, ki pride na sestanek in prosi za WiFi pa tud moraš dat. Nad takimi napravami pa sploh nimaš nadzora niti kdaj se pojavijo v omrežju.

Kako to misliš, "moraš dat wifi"? Spustiš ga na internet, ne pa v svoj LAN.

Kako pa moraš potem konfigurirati router, da tak človek ima dostop do interneta, ne pa do lana? Ker to je smiselno tudi v domačem omrežju, ampak ne vem, kako se to naredi.

Danes tudi že accesspointi srednjega cenovnega razred (150-300EUR)omogočajo do 8 SSID-jev, ki jih lahko usmerjaš vsakega na svoj Vlan. Tako dejansko ni opravičila, da v podjetju nimaš posebnega 'guest' omrežja, ločeno omrežje za mobitele zaposlenih, ločeno za prenosnike, ločeno za......

Drugače pa na 'home' routerjih, kot je že MrStein rekel, imaš pogosto možnost nastaviti 'Guest WiFi'. A kaj, ko vsi samo gledajo, da bo router čim dlje 'nesel'...

hamez66 je 24. jan 2015 ob 18:16 izjavil:

Aha, sem našel:
Enable AP Isolation - Isolate all connected wireless stations so that wireless stations cannot access each other through WLAN. This function will be disabled if WDS/Bridge is enabled.

Zelo uporabno. Hvala za informacije.

To je spet druga opcija, ni 'Guest WiFi'. Guest WiFi imaš na napravah, ki nudijo možnost, da si nastaviš več SSID-jev (najmanj dva).

@fosil - ne bodi primitiven! Definitivno ne bom pisal in razlagal, kar si lahko vsak pogleda na dva klika. Folk ne bere več, kot do druge vrstice, video pa se še da kateremu pogledat.

Sicer pa - itak si tako pameten, da že vse kao veš - zakaj naj bi ti potem še karkoli razlagal? Z veseljem razložim komu, ki res želi kaj izvedeti, ne pa nekomu, ki se pride naduto šopiriti.

fosil je 25. jan 2015 ob 00:06 izjavil:

SeMiNeSanja je 24. jan 2015 ob 02:44 izjavil:

fosil je 23. jan 2015 ob 22:26 izjavil:

In kako ti bo router oziroma firewall preprečil okužbo z virusom?

Poglej si ta video, pa ti bo malo bolj jasno, kako...

Najbolj nadležni odgovori so tisti, ko nekdo odgovarja s dolgoveznim videom.
Tak človek očitno ne ve o stvari dovolj da bi znal podat kratek in jasen odgovor.
Firewall na routerju ti ne bo čisto nič pomagal pri okužbi.

Čisto slovenceljska miselnost. Potem pa se čudimo kako da včeino folka samo površinsko ve zadeve in strelja svoje "rešitve" glede na površinskost njihovega znanja. Kvaliteta takih rešitev pa vemo kakšna je.
Človek na videu pa zelo lepo razloži ozadje pri kriptolokerju na precej enostaven način, da tudi meni, ki nisem mrežni majster stvar postane jasno po ogledu videa.

Drugače nisem mislil, da ne obstaja v nižjecenovnih "guest wifi". Verjeli ali ne, tudi na tem področju v dosti firmah škripajo (pri konfiguraciji).

SeMiNeSanja je 25. jan 2015 ob 01:10 izjavil:

Folk ne bere več, kot do druge vrstice, video pa se še da kateremu pogledat.

Ne, vrstice preberem, da pa bi poiskal slušalke in potem gledal 5 minut brezveznega "uvoda" za 10 sekund poante (kar bi lahko lepo v dveh vrsticah besedila povedal) pa se ne. Nikoli ne gledam "odgovor je v videu" posnetkov.
Sicer pa:

Z veseljem razložim komu, ki res želi kaj izvedeti

Prosim. Večina v temi nas je takih.

Kot prvo je treba razčistiti, o kakšnih požarnih pregradah se sploh pogovarjamo - tistih, ki so v bistvu router in imajo vgrajen paketni filter (npr. Mikrotik) ali tistih, ki so specializirane rešitve, grajene prvenstveno za to, da bi zaščitile promet na omrežju (Checkpoint, Cisco ASA, Fortinet, Paloalto, SonicWall, Watchguard,...).

Npr. navaden paketni filter lahko nastaviš, da bo blokiral povratno povezavo cryptolockerja na njgov strežnik - a moraš najprej vedeti IP naslov, na katerem se ta strežnik nahaja. Toda ker nimaš opravka zgolj z enim strežnikom, niti s statičnim poolom IP naslovov, ne boš prišel daleč.
Namenska požarna pregrada pa bo kombinirala IPS, filter spletnih strani in filter aplikacij - kar tri različne varnostne sisteme, ki vsak zase poskušajo preprečiti tovrstne povratne komunikacije - brez da bi moral admin vnašati kakšne IP naslove, saj se ti servisi dinamično nadgrajujejo.

Pri prenosu škodljive kode v omrežje preko el. pošte navadni paketni filter ne bo 'videl' kaj je priletelo v omrežje.
Namenske požarne pregrade pa lahko uporabljajo AV in Sandbox za preverjanje vsebine - poleg tega, pa lahko že v osnovi prepoveš, da bi mail smel imeti priponke tipa .exe in jih preprosto porežeš stran - tudi če uporabnik uporablja pop3 in vleče mail z nekega tretjega strežnika zunaj omrežja.

Namenske požarne pregrade tudi pošiljajo alarme - če npr. IPS zazna, da je nek PC poskušal vzpostavljat povratno povezavo na botnet strežnik, lahko adminu pošlje mail ali sms in tako ta lahko takoj ukrepa, če se še da kaj rešiti.

Nihče ne trdi, da bo napredna požarna pregrada 100% preprečila okužbo ali aktivacijo cryptolockerja ali botnetov. Vendar v primerjavi z navadnim paketnim fitrom so vseeno v veliki prednosti, saj ta nima nobenih mehanizmov, ki bi lahko kakorkoli zaznali in zaustavili škodljivo kodo.

Treba pa je tudi vedeti, da ni dovolj le to, da kupiš požarno pregrado 'znanega proizvajalca' - kupiti oz. licencirati moraš tudi napredne varnostne mehanizme.
Pri nas se na veliko kupuje ASA požarne pregrade, potem pa škrtari pri licenciranju dodatnih varnostnih storitev. To je tako, kot če kupiš mercedeza brez ABS, airbagov, ESP, ASR in kaj vem, kaj za ene varnostne mehanizme še imaš v solidnem avtu - potem pa si domišljaš, da se voziš varno, saj si kupil Mercedeza. Jok - bistveno bolj varno bi se vozil z Cliotom, ki ima vso dodatno opremo za manj kot 1/2 cene oskubljenega Mercedeza! Popolnoma isto velja tudi pri požarnih pregradah!

Na splošno velja prepričanje, da so 'spodobne požarne pregrade' nekaj, kar ima astronomsko ceno. Dejansko se da dobiti rešitve tudi za najmanjša podjetja (do 5 uporabnikov) že od 500 EUR - znesek, ki nebi smel predstavljati resnejšega problema nobenemu podjetju, ki normalno posluje.

Lahko pa takšne storitve tudi zakupiš. Npr. T-2 ponuja poslovnim strankam 'varnost po vaši meri', kjer preprosto zakupiš tudi upravljanje in nadzor omrežja za fiksen mesečni znesek. Verjetno tudi drugi ponudniki ponujajo kaj podobnega.