» »

Nov kriptovirus Locky na pohodu, napada tudi bolnišnice

Nov kriptovirus Locky na pohodu, napada tudi bolnišnice

Slo-Tech - Izsiljevalski virusi (ransomware) postajajo čedalje večja nadloga, saj ne izbirajo tarč, temveč nekritično zašifrirajo podatke na vseh sistemih, na katere se uspejo prebiti, ter potem izsiljujejo. Žrtve so tudi bolnišnice, in sicer je po losangeleški bolnišnici sedaj izredno stanje tudi v Hendersonu v Kentuckyju, kjer imajo podobne nevšečnosti. To pot se širi nov virus Locky, ki je prispel tudi v Slovenijo.

Omenjeno bolnišnico v Kentuckyju je Locky prizadel včeraj, zato so morali izključiti vse namizne računalnike in preiti na papirni način dela, kar je povzročilo velike zamude. Vodja informacijskega sistema v bolnišnici Jamie Reid pojasnjuje, da so ostali brez nekaterih dokumentov, ki jih je virus zašifriral, za odklep pa terja štiri bitcoine oziroma okrog 1600 dolarjev. To je sicer desetkrat manj kot v Los Angelesu, a glavna škoda je tako ali tako izpad dela in zastoj.

Locky se širi podobno, kot so se širili virusi v prejšnjem desetletju. V Wordovi datoteki je zlonameren makro, ki ob zagonu okuži sistem. Avtorji so premeteni, saj dokument vsebuje navodilo, naj vklopimo izvajanje makrov ob neberljivem besedilu (češ da je razlog napačna kodna tabela), in nametane naključne znake. Wordov dokument prispe po elektronski pošti pod pretvezo, da gre za račun.

V bolnišnici so še povedali, da situacijo urejajo in da plačilo odkupnine ni izključeno, če do izgubljenih podatkov ne bodo mogli drugače.

79 komentarjev

«
1
2

HighBane ::

Dobro je vedeti, če me bo kakšen znanec spraševal, kje se makrote vklopi.

ales85 ::

Jaz se pa nadejam sandboxanja aplikacij se na desktopu... Nekako

čuhalev ::

Še en razlog več, zakaj ne uporabljati orodij Office.

galu ::

čuhalev je izjavil:

Še en razlog več, zakaj ne uporabljati orodij Office.


Potem ne pozabi dati na blacklisto tudi vseh drugih vsaj na pol spodobnih urejevalnikov besedil/tabel, ki imajo podporo za makre. ;)
Tako to gre.

SeMiNeSanja ::

galu je izjavil:

čuhalev je izjavil:

Še en razlog več, zakaj ne uporabljati orodij Office.


Potem ne pozabi dati na blacklisto tudi vseh drugih vsaj na pol spodobnih urejevalnikov besedil/tabel, ki imajo podporo za makre. ;)

Pa ne samo urejevalnike, saj imaš različne makre in skripte tudi vsepovsod drugod, od flasha, preko pdf, mimo brskalnikov, pa vse do samega operacijskega sistema.

Treba je počasi razumeti, da je treba začet gledat, KAJ spustiš do uporabnika, ne pa zgolj po katerih portih mu boš dovolil komunicirat.

Arctander ::

Ali antivirusi tega sranja ne zaznajo in blokirajo?

Ahim ::

SeMiNeSanja je izjavil:

Treba je počasi razumeti, da je treba začet gledat, KAJ spustiš do uporabnika, ne pa zgolj po katerih portih mu boš dovolil komunicirat.


"Saj imam antivirusnik" (po moznosti luknjast, nikoli nadgrajen ali z 'izposojeno' licenco in zaradi tega nenadgrajen)

Mnogi racunalnisko-neuki ljudje dejansko verjamejo, da jih bo antivirusnik zascitil pred lastno nepazljivostjo, nekako tako kot da bi te poznavanje CPP carobno zascitilo pred senilnim starckom, ki zapelje na avtocesto v nasprotni smeri.

Tezko jim je dopovedati, da najboljsi antivirusnik ne pomaga proti 0-day nadlogam, se tezje pa, da vecina tezav sploh ne pride sama od sebe ampak jih zakrivijo uporabniki na najbolj naivne mozne nacine ("saj mi je poslal sodelavec z druge strani pisarne, sicer ne vem zakaj v zulu-slovenscini, ampak ce je zraven priponka sexxxx_must_see.exe.doc jo moram pa res odpreti, kaj pa ce je kaj zelo pomembnega?! najboljse da ga ne vprasam cez mizo kaj je zdaj to ampak cim prej kliknem").

Zdravilo za neumnost je samo eno in ima prevec stranskih ucinkov za resno uporabo.

MIHAc27 ::

Jaz sem ta virus odstranjeval ravno včeraj. Po pogovoru, kako je do tega prišlo, se je izkazalo, da je odprl datoteko, ki je zgledala, kot da jo je poslal sam sebi po emailu.

Kot kaže ljudje še kar fino nasedajo na podobne trike.

Mravlek ::

MIHAc27 je izjavil:

Jaz sem ta virus odstranjeval ravno včeraj. Po pogovoru, kako je do tega prišlo, se je izkazalo, da je odprl datoteko, ki je zgledala, kot da jo je poslal sam sebi po emailu.

Kot kaže ljudje še kar fino nasedajo na podobne trike.


In uspel z razbijanjem RSA-4096???
V čem je bistvo življenja? Ups...bistvo računalnika! To je zdaj vprašanje?

Monster ::

Še dobro da pridno delajo backupe... aja 8-)
Ka zaboga...

johnnyyy ::

So se naši ITjevci s stranko pred meseci pogovarjali, da bi uporabljali našo cloud storitev, backup, antivirusni, firewall itd. Pa je bil odgovor: to je drago, mi tega ne rabimo. Da bi jim pa prodali svetovanje, to pa sploh ni možno.

No potem pa se zgodi. Dobijo virus na enem računalniku, kjer imajo zelo pomembne podatke. Backupa po standardu ni. Rešitev je samo plačilo odkupnine. Smo jim pripravili predračun, da lahko mi poskrbimo za odkupnino. No, naslednji dan je bil denar že pri nas.

Podatke smo po plačilu dobili nazaj, stranka pa je bila zadovoljna. Grenak okus pa ostane, ko se trudiš, da bi nekaj prodal za nekaj 100€, pa ni uspeha. Ko pa virus zaklene datoteke, pa izpljunejo dobrega jurja takoj.

SeMiNeSanja ::

@Achim - morda ne boš verjel, ampak meni AVG antivirus na požarni pregradi s pomočjo heuristike izredno uspešno zaznava tovrstni malware, za katerega nima signature. Njegova uspešnost je cca. 99,9%!

Ravno včeraj sem gledal statistiko za mesec marec. Od 1010 mailov, ki so odromali na smetišče, je bilo 1000 prepoznanih kot 'zero day' virus s strani AVG antivirusa, 5 kot znani downloaderji.
Skozi antivirusni filter se je prebilo vsega 5 mailov. 4 od tega je potem prepoznal Lastline Sandbox celo brez analize, še enega pa po opravljeni analizi.

Skratka zadeve nekako delujejo, če pa jih še podkrepiš z blokiranjem določenih tipov datotek, antispam filtrom, posodabljanjem sistemov, backup-om in izobraževanjem uporabnikov, pa ti te nadloge ne bodo tako zlahka prišle do živega.

SeMiNeSanja ::

johnnyyy je izjavil:

So se naši ITjevci s stranko pred meseci pogovarjali, da bi uporabljali našo cloud storitev, backup, antivirusni, firewall itd. Pa je bil odgovor: to je drago, mi tega ne rabimo. Da bi jim pa prodali svetovanje, to pa sploh ni možno.

Klasika.

Saj jih imaš tudi tu gor, ki so sveto prepričani, da je Mikrotik ultimativni firewall za podjetje in bi bil vsak cent več proč vržen denar. Da ne govorimo o tistih, ki še danes v podjetjih postavljajo razne Linksys WRT routerčke za povezavo z internetom.

WhiteAngel ::

Slutim, da se bo z macroji v Officih končalo isto kot z ActiveX/Flash/Java pluginom za brskalnike. Lepega dne bo MS rekel, da so Macroji nevarni in jih bo privzeto izklopil (no ja, to že sedaj počne). V naslednji verziji bo potrebno kaj posebej vklopiti ali namestiti, da bodo delovali (nek legacy mode). V naslednji pa jih ne bo sploh. Možnost laufanja macrojev bo samo še v browser officih, ki pa itak že laufajo v sandboxu in nima javascript dostopa do diska.

poweroff ::

SeMiNeSanja je izjavil:

Saj jih imaš tudi tu gor, ki so sveto prepričani, da je Mikrotik ultimativni firewall za podjetje in bi bil vsak cent več proč vržen denar. Da ne govorimo o tistih, ki še danes v podjetjih postavljajo razne Linksys WRT routerčke za povezavo z internetom.

Imaš tudi ljudi, ki prisegajo na Cisco. Pri čemer je rešitev ta, da Cisco postaviš v omrežje in potem "dela". Kao.
sudo poweroff

harmony ::

Arctander je izjavil:

Ali antivirusi tega sranja ne zaznajo in blokirajo?

Nekateri ze, nekateri ne, nekateri pa antivirusa sploh ne uporabljajo. :)

johnnyyy ::

SeMiNeSanja je izjavil:

johnnyyy je izjavil:

So se naši ITjevci s stranko pred meseci pogovarjali, da bi uporabljali našo cloud storitev, backup, antivirusni, firewall itd. Pa je bil odgovor: to je drago, mi tega ne rabimo. Da bi jim pa prodali svetovanje, to pa sploh ni možno.

Klasika.

Saj jih imaš tudi tu gor, ki so sveto prepričani, da je Mikrotik ultimativni firewall za podjetje in bi bil vsak cent več proč vržen denar. Da ne govorimo o tistih, ki še danes v podjetjih postavljajo razne Linksys WRT routerčke za povezavo z internetom.

Mene najbolj moti revščina na tem področju, saj se pogovarjamo o cifrah ranga 1k€. Druga stvar, ki me moti, pa so backupi. Teh preprosto ni. Če bi iz podjetja odnesel nekaj računalnikov, gredo v stečaj.

audio ::

Ljudje se tudi v veliki meri ne zavedajo, da je backup na stalno mapiran pogon v tem pomenu brezpredmeten.

TESKAn ::

Eno vprašanje. Ti virusi naredijo listo datotek, ki jih bodo šifrirali. Torej lahko točno veš, katero datoteko bo virus prvo skušal šifrirat. Če bi "podtaknil" pokvarjeno datoteko, ki bi se šifrirnemu algoritmu zataknila v grlu, so to speak, bi zadevo onemogočil vsaj do te mere, da bi uporabnik hitro videl, da se nekaj čudnega dogaja in bi lahko izklopil računalnik.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

Glugy ::

Torej to še vedno ni vdor. To je naivnost. Tako kot če bi dal strup v flaši z oznakami nevarno nekomu na embalaži bi pa napisal da naj se oznako za nevarnost ignorira ker je prišlo do tiskarske napake.
Dejte že enkrat ornk izobrazit vse tiste ki imajo delo z računalnikom no. Ker velika večina teh virusov ipd zahteva nepazljivost človeka da sploh kej naredi.

SeMiNeSanja ::

poweroff je izjavil:

SeMiNeSanja je izjavil:

Saj jih imaš tudi tu gor, ki so sveto prepričani, da je Mikrotik ultimativni firewall za podjetje in bi bil vsak cent več proč vržen denar. Da ne govorimo o tistih, ki še danes v podjetjih postavljajo razne Linksys WRT routerčke za povezavo z internetom.

Imaš tudi ljudi, ki prisegajo na Cisco. Pri čemer je rešitev ta, da Cisco postaviš v omrežje in potem "dela". Kao.

No, ko rečemo Cisco, je treba biti fer in reči, da Cisco =/= Cisco.

Če gledam javna naročila ministrstva za obrambo, ki veselo nabavlja ASA5505 škatle, potem tudi jaz ne vem, kam to sodi - neumnost, malomarnost,... korupcijo?

Če si mislil na Cisco ASAxxxx-X škatle, ki se množično kupujejo brez 'Firepower', imaš tudi prav. Isto delo bi opravil tudi Mikrotik zgolj za delček cene.

Je pa treba Ciscu priznati, da ASAxxxx-X WITH Firepower in vso kramo, ki zraven spada (in stane), ni več nedolžna zadeva in je lahko dokaj učinkovit, če je pravilno skonfiguriran.

Problem pa je pri SLO kupcih, ki so očitno mnenja, da se bodo nadloge in vsiljivci ustrašili že samega imena Cisco, ki krasi njihov firewall in zato ocenjujejo, da je vsa tista dodatna licenčna krama povsem odveč.

Slovenska mentaliteta - glavno da je na etiketi 'Firma', kaj je pod pokrovom, pa ni važno. Potem pa kupujejo neke BMW-je z najbolj oskubljeno opremo, še ABS bi spustili če bi šlo. Zaradi te mentalitete si videval kup luksuznih vozil - brez stikala za dnevne luči, ki bi ga morali doplačati par piškavih €.

Miha 333 ::

SeMiNeSanja je izjavil:

Da ne govorimo o tistih, ki še danes v podjetjih postavljajo razne Linksys WRT routerčke za povezavo z internetom.

Hja, če je firma pripravljena plačati samo to, jim postaviš točno to. "Veste, mi rabimo samo, da nam internet dela..."

SeMiNeSanja ::

Miha 333 je izjavil:

SeMiNeSanja je izjavil:

Da ne govorimo o tistih, ki še danes v podjetjih postavljajo razne Linksys WRT routerčke za povezavo z internetom.

Hja, če je firma pripravljena plačati samo to, jim postaviš točno to. "Veste, mi rabimo samo, da nam internet dela..."

To že drži.
Ampak 2/3 'prodajalcev' tam zunaj, še sami ne vedo, čemu bi pravzaprav sploh karkoli drugega postavljal in posledično niso niti v stanju podučiti kupca, da to ne bo najbolj modra odločitev, ki jo bo morda nekega dne grenko obžaloval.

V mnogih primerih ti bo kupec, ko enkrat nastopi 'the day afther' rekel: Če bi mi kdo povedal, bi že takrat kupil 'kaj boljšega'....

In dejansko marsikdo, ki ga je enkrat doletela katastrofa, potem investira v 'kaj boljšega'.
Žal pa pri tem spet pozabljajo, da samo nakup tudi ne bo rešil problema - tisto 'kaj boljšega' je namreč treba tudi primerno skonfigurirati, kjer pa se spet zna marsikateremu prodajalcu 'zatakniti'.

Mercier ::

Problematični so stari dokumenti z makri - tisti s končnico doc, xls...

Ni neumno pri sprejemu pošte porezati vse stare .doc, .xls doatoteke, če te vsebujejo makre. Niti porezati vse .docm, .xslm... dokumente - novejši z makri - .docx, .xlsx... ne vsebujejo makrov. In pri tem ne spraševati, če je stvar okužena ali ne. Za legit zadeve te vrste se najde način za izmenjavo.

Porezat še izvršilne datoteke, zapakirane ali ne. To je načeloma to, vsaj glede priponk v pošti.

In to ne mislim na poštnem odjemalcu. ;)

Zgodovina sprememb…

  • spremenil: Mercier ()

SeMiNeSanja ::

Najbolj sem se zadnje dni namuznil ob prebiranju tega blog post-a o Locky-ju.

Kot kaže, nekdo tam zunaj zamenjuje škodljivo Locky izvršljivo kodo z nedolžnimi datotekami in tako onemogoča nove okužbe, ki bi se 'napajale' iz tako prevzetih distribucijskih točk.
Žal so to zgolj posamezne distribucijske točke, a vendarle pohvala tistemu, ki avtorjem Locky-ja tako kvari veselje.

b3D_950 ::

Google Apps/Gmail je verjetno imun na te priponki ali lahko vseeno kaj prileti mimo?
Zdaj ko je mir, jemo samo krompir.

SeMiNeSanja ::

b3D_950 je izjavil:

Google Apps/Gmail je verjetno imun na te priponki ali lahko vseeno kaj prileti mimo?

Odvisno.

Če se gre za navadno priponko, bo Gmail z veliko verjetnostjo zaznal zadevo in jo blokiral (recimo 99,9% verjetnosti?).

Bolj problematično postane, če problematična priponka pride v obliki arhiva (zip, rar, arj,...). Če je tak arhiv pod geslom, je antivirus nemočen, dovolj naiven uporabnik jo bo prenesel, s pomočjo gesla v mailu odpakiral in voila, hudič je tu.

Podobne težave lahko nastopijo, če je datoteka večkratno komprimirana. Pojma nimam, do katerega nivoja Gmail takšne datoteke skenira. Če zgolj eden nivo, je problem hitro tu. Večkratno komprimiranje zmede tudi večino naprednih požarnih pregrad, ki izvajajo AV skeniranje v 'stream-u'. Zelo problematični so lahko tudi malenkostno redkeje uporabljeni postopki komprimiranja (npr. Unix compress), katere marsikateri proizvod ne zna 'brati'.

Dobra stran pri teh malo bolj kompliciranjih 'pakiranjih' pa je ta, da večina navadnih uporabnikov ne bo šla 3x odzipati neko datoteko, saj jim ne bo jasno, kaj vraga je to, da je zip v zip-u, kakšno unix komprimirano datoteko pa večinoma sploh ne bodo vedeli s čem odpreti.

Ker se tega zavedajo tudi tvorci ramsonware-a, se običajno teh metod ne poslužujejo. Kar pa ne more pomeniti, da ti ne more nekdo zelo načrtovano poslati prav za tebe pripravljen 'paket', ker ti je narisal tarčo na hrbet. V takem primeru imaš problem, ki pa je še nekoliko večji od zgolj ene datoteke z malware-om.

MIHAc27 ::

Mravlek je izjavil:

MIHAc27 je izjavil:

Jaz sem ta virus odstranjeval ravno včeraj. Po pogovoru, kako je do tega prišlo, se je izkazalo, da je odprl datoteko, ki je zgledala, kot da jo je poslal sam sebi po emailu.

Kot kaže ljudje še kar fino nasedajo na podobne trike.


In uspel z razbijanjem RSA-4096???


To itak da ne. Na srečo so obstajali backupi.

frke ::

Ali kaj pomaga blokirati izhodni promet na firewallu za vse office programe?

Ali pa še bolje: blokirati ves izhodni prometi, razen tistega, ki ga posebej odobri uporabnik.

SeMiNeSanja ::

frke je izjavil:

Ali kaj pomaga blokirati izhodni promet na firewallu za vse office programe?

Ali pa še bolje: blokirati ves izhodni prometi, razen tistega, ki ga posebej odobri uporabnik.

Blokirati VES outgoing promet je slaba ideja, saj potem uporabniki ne dobijo posodobitev OS in programov, AV signatur in podobno. Večinoma se da to nekako distribuirati tudi lokalno, vendar to ni ravno običaj.

Blokiranje vsega, kar ni izrecno dovoljeno je prava pot, vendar ne smeš pretirano ozko gledati na to, kaj boš dovolil. Sodobne požarne pregrade s pomočjo različnih naročniških storitev precej olajšujejo določanje in omejevanje dovoljenega prometa.

Snegec ::

SeMiNeSanja je izjavil:

johnnyyy je izjavil:

So se naši ITjevci s stranko pred meseci pogovarjali, da bi uporabljali našo cloud storitev, backup, antivirusni, firewall itd. Pa je bil odgovor: to je drago, mi tega ne rabimo. Da bi jim pa prodali svetovanje, to pa sploh ni možno.

Klasika.

Saj jih imaš tudi tu gor, ki so sveto prepričani, da je Mikrotik ultimativni firewall za podjetje in bi bil vsak cent več proč vržen denar. Da ne govorimo o tistih, ki še danes v podjetjih postavljajo razne Linksys WRT routerčke za povezavo z internetom.


S tehnicnega vidika, Linksys WRT za manjsa podjetja niso nic slabega. Za tiste stiri racunalnike, ki dostopajo do interneta ima pravzaprav vsako povprecno gospodinjstvo vecje in daljse obremenitve ter stevilo morebitnih grozenj.

Ce bi lepo folk, ki ponuja postne storitve blokiral vse te trojance ze na svojih mail serverjih polovico uporabnikov sploh nebi vedlo, da obstajajo. To, da dobis pa od povprecnega ISP-ja 150 mailov z zip fileticem, ki ima notri JS/Trojan downloader na dan/teden, je pa samo po sebi epic fail.

Prej ali slej, se bo nasel nek uporabnik, ki bo hote ali nehote odprl nekaj kar nebi smel in hopla, izguba podatkov je na dlani.
Snegec & Snežinka, mala potepinka.

Matwic ::

ISPji in ponudniki gostovanja e-pošte ne morejo kar generalno blokirati tovrstnih zadev (zip, ki vsebuje exe, ...), ker je na žalost stanje legitiminih strežnikov in tudi uporabnikov še vedno precej porazno in bi tako blokiral več prave epošte, kot pa virusev.

Je pa za neko resno podjetje vseeno precej enostavno se rešiti te epošte z virusi (pa še ogromno spama se elegantno znebiš):
- Na domeni za epošto se naredi strogi SPF
- Na sprejemnem strežniku za epošto podjetja se naredi preverjanje SPF zapisa (če je "fail" je sporočilo zavrženo). S tem se enostavno rešiš, da dobi uporabnik od "sam sebe" virus.
- Na sprejemnem strežniku se naredi preverjanje, če se IP naslov pošiljatelja resolva na FQDN hostname (s tem odleti ogromno te epošte z virusi)
- Na sprejemnem strežniku se naredi preverjanje, če se reverse DNS ujema s hostnamom, ki ga je sporočil pošiljateljev strežik (s tem odleti še skoraj ves ostali del epošte z virusi, ogromno spama, na žalost pa tudi kakšno legitimno sporočilo).

Zaenkrat nisem še naletel na to pošto, ki ne bi bila blokirana z enim izmed zgornjih pogojev (ustavi se ponavadi že pri tretji točki). Če to še ne zadostuje, gremo naprej:

- Blokirajo se gole nevarne priponke (.exe, .msi, vse razne variacije makro office dokumentom na podlagi končnice, ...)
- Tole je malo bolj zakomplicirano, niti ne vem kateri program bi to omogočal, ampak izjemno učinkovito. Kot je že Mercier napisal, blokirajo se tudi office dokumenti z makri (ne na podlagi končnice, ampak vsebine). Seveda se mora preverjati tudi vsebina .zip in .rar arhivov. Lahko nastane problem z zahtevnostjo te operacije.

Zdaj ostane edini vektor za virus, prenos iz interneta. To se lahko reši z aplication layer firewallow. Ostane še nek security program, ki omogoča kontrolo in blokado izvajanja procesov, če se kljub vsemu znajde virus na računalniku in ga nekdo hoče pognat. Potrebno je sicer nekaj dni ukvarjanja s takim programov, da se naredi baza zaupanja vrednih aplikacij, ampak potem je pa to izredno zanesljiva zašćita. Standardni antivirusi so pa postali popolnoma neuporabni za tovrstne viruse, ni ga antivirusa, ki bi prepoznal 0-day oz. 0-hour macro virus pa naj se še tako hvalijo kako dobro hevristiko imajo (nimajo je).


Prej, ko je bila še debata glede firewallow/routerjev. Ni važno katera firma je (naj bo Linksys, D-Link, Asus, Mikrotik, Ubiquiti ali pa Cisco), vsi bazirani na neki variaciji Unixa ponujajo enako varnost. Razlika je samo v življenki dobi, enostavnosti uporabe, v naprednih funkcijah za postavo omrežja in seveda v kapaciteti. Tudi kakšen zelo drag Cisco brez dokupljene licence za application layer filtriranje oz UTM ne bo nič boljši iz varnostnega stališča kot nek poceni Linksys (predpostavljam tudi, da ni hudih varnostnih lukenj ali stranskih vrat). Če kupuješ izredno drag enterprise level router/firewall pljuneš tudi denar za razne licence, če ne ostaneš pri Mikrotiku, Ubiquitiju ali pa celo consumer grade zadevah (pa imaš v omari nadomestek, ko se taprvi pokvari).

SeMiNeSanja ::

Snegec je izjavil:

S tehnicnega vidika, Linksys WRT za manjsa podjetja niso nic slabega. Za tiste stiri racunalnike, ki dostopajo do interneta ima pravzaprav vsako povprecno gospodinjstvo vecje in daljse obremenitve ter stevilo morebitnih grozenj.

Ce bi lepo folk, ki ponuja postne storitve blokiral vse te trojance ze na svojih mail serverjih polovico uporabnikov sploh nebi vedlo, da obstajajo. To, da dobis pa od povprecnega ISP-ja 150 mailov z zip fileticem, ki ima notri JS/Trojan downloader na dan/teden, je pa samo po sebi epic fail.

Prej ali slej, se bo nasel nek uporabnik, ki bo hote ali nehote odprl nekaj kar nebi smel in hopla, izguba podatkov je na dlani.

Če se ti v gospodinjstvu okužijo vsi računalniki, bo nekaj joka, ker bodo verjetno šle k vragu fotografije in video posnetki, spomini. Morda bo malo boleče, če je kdo pisal diplomsko, pa bo moral začeti še enkrat od začetka.

Če se to isto zgodi v podjetju, pa zadeva ne bo tako neboleča. Izguba podatkov lahko pomeni izgubo poslov, strank, neredko takšna podjetja celo propadejo.
Da potem trdiš, da je en navaden router za domačo rabo čisto dovolj, je popolnoma neodgovorno.
Delodajalec je odgovoren svojim zaposlenim. Ogrožanje njihovih delovnih mest s škrtarjenjem pri zaščiti omrežja, pa tudi če se na njemu nahajata zgolj dva računalnika, pa je čisto navadna malomarnost.

Najbolj me pa pogreje, ko škrtarijo taki, ki jim ni škoda metati denar skozi okno za najnovejši iPhone, ko se ta pojavi v trgovinah in podobno - za spodobno zaščito, pa trdijo, da je čisto dovolj najcenejše sranje, ki se ga dobi.

Kdor trditi, da Linksys WRT ni nič slabega za podjetje, nima pojma o tem kaj se danes uporablja za zaščito omrežij. To je tako, kot da bi rekel, da star Fičo ni nič slabega za službeno vozilo. Kakšen servo volan, ABS, ESP, airbagi, samozatezni varnostni pasovi,....neki. Nepotrebna navlaka, mar ne?
Ja, pri avtomobilih ste dojeli, da se je čas premaknil naprej. Pri 'routerjih' pa ne! Še vedno zagovarjate 20 let staro tehnologijo, kot da razvoj v tem času ni šel nikamor naprej.

Morda pa vam bo postalo jasno, da se s temi rečmi ni za hecati, ko bo prizadelo vaše podjetje in vam bo zamujala plača za teden dni - ali pa jo sploh ne boste dobili!

SeMiNeSanja ::

@MatWic - jaz na UTM izredno preprosto blokiram datoteke, ki jih ne želim prejemati.

Da je AV neučinkovit, ne bo držalo, ker meni AVG ravno s pomočjo heuristike najde 99,9% škodljive kode, preostali 0,1% pa mi prestrežejo še drugi napredni mehanizmi.

Jaz bi prepovedal, da se SPI filtrom sploh še reče 'Firewall'. Dejansko se s tem dela največ škode, ker ljudje preprosto ne ločijo, kaj je razlika med WRT 'firewall-om' in kakšnim UTM firewall-om.

Matwic ::

Seveda je Linksys slab za podjetje ampak nič slabši kot katerikoli drug router, ki ima v osnovi samo stateful firewall. Težko si mala novonastala podjetja privoščijo najmodernejšo network security tehnologijo, če pa že, pa zmanjka denarja za nekoga, ki bo to nadzoroval (kar je potem spet vse neuporabno). Za bolnišnico v novici, je seveda to katastrofa kar se jim je zgodilo in ni opravičila, ker ja obstajajo metode in tehnologija, ki učinkovito preprečijo tovrstne grožnje.

@SeMiNeSanja: Je blokiranje na podlagi končnice, headerja ali dejanske vsebine datoteke? Kot pravim je možno nastaviti, da spusti običajne nenavarne .doc datoteke, blokira pa .doc datoteko, ki vsebuje makre? Kaj če je ta zadeva zapikarana še v .zip ali .rar?

darkolord ::

Matwic je izjavil:

Za bolnišnico v novici, je seveda to katastrofa kar se jim je zgodilo in ni opravičila, ker ja obstajajo metode in tehnologija, ki učinkovito preprečijo tovrstne grožnje.
No ja, ni čisto tako enostavno.

Zdaj je sicer od tega že nekaj časa, tako da vsi antivirusni programi to dobro zaznajo.

Ampak čisto na začetku jih pač niso. Tudi po hevrističnih metodah je zadeva izgledala povsem nedolžno - payload ne izkorišča nobenega exploita, ne poskuša šariti po sistemu, ne spreminja nobenih nastavitev, ne prestreza nobenih podatkov ...

SeMiNeSanja ::

Matwic je izjavil:

@SeMiNeSanja: Je blokiranje na podlagi končnice, headerja ali dejanske vsebine datoteke? Kot pravim je možno nastaviti, da spusti običajne nenavarne .doc datoteke, blokira pa .doc datoteko, ki vsebuje makre? Kaj če je ta zadeva zapikarana še v .zip ali .rar?

SMTP priponke se filtrirajo tako glede na smtp content type, kot na filename.
Pri komprimiranih datotekah se razpakira arhive do 5 nivojev (default 3).
Tako pri content type, kot pri filename se nastavi default akcija (allow, lock, AV scan, strip, drop, block). Jaz imam default AV scan.
Nato določiš izjeme. Večina priporočljivih izjem je že preddefinirana, lahko pa dodajaš svoje.
Tako recimo narediš strip za vse tipe, ki že na daleč 'smrdijo' (*.exe, *.bat, *.chm,....) in z njimi ne obremenjuješ procesorja.
Pri *.doc imaš tudi določene kombinacije, ki so sumljive že na daleč (npr.: invoice_*_scan.doc, invoice_*_copy.doc,...), ki jih ravno tako brezkompromisno porežeš (strip). Če malo spremljaš loge, hitro vidiš, kaj se pošilja - priponke imajo dokaj podobna imena...

Kar ostane, gre na AV scan (tudi 3x zippane datoteke).
Če tega 'prestane', pa gre še na Sandbox testiranje (če imaš licenco).

Sandbox deluje tako, da najprej preveri, če je bila datoteka pod vprašajem že kdaj analizirana. Če je že kdaj bila, se izvede ustrezna akcija (datoteko prepusti ali briše/zakriptira/pošlje v karanteno).
Če datoteka še nikoli ni bila analizirana, se jo posreduje Sandbox strežniku v analizo, mail s priponko pa prepusti. Tak mail je lahko rizičen, če ga uporabnik prej odpre, kot se zaključi sandbox analiza. Žal tehnično za enkrat (še?) ni možno zadržati maila, dokler se ne izvede analiza.
V primeru, da bi analiza ugotovila nevarnost v priponki, bo administrator dobil sporočilo na mail. Nadaljni potek reševanja problema je potem v njegovih rokah.

Glede na to, da je mail šele prvi korak pri infekciji s raznimi 'lockerji', še ni konec sveta, če na tej stopnji vendarle kakšen mail ubeži filtriranju in uporabnik odpre priponko.

Če uporabnik odpre priponko in uspe aktivirati vključeni makro, bo ta skušal z interneta prenesti dejansko nevarni del izvršljive kode.
Pri tem ponavadi uporablja http ali https - ki ga enako kot mail filtriraš.
Pri tem imaš zadaj dodatno še filtriranje spletnih strani (known malware sites, new registered domains,...) in listo IP naslovov znanih botnet serverjev. Že samo ti filtri v veliki meri ne dovolijo prenosa, potem pa mora datoteka še ustrezati dovoljenim tipom datotek in prestati AV/Sandbox čekiranje.

Če kljub vsemu še vedno 'prebije zaščito' in odpove še AV na računalniku, se bo izvršljiva koda namestila in zagnala. Da bi lahko začela 'zaklepati' naše datoteke, pa se mora malware spet povezati s svojim botnetom, da bi si z njim izmenjal šifrirne ključe. Dokler teh nima, se še vedno ne bo nič 'zaklenilo'.
Ker spet filtriramo s spletnim filtrom in listo botnet IP naslovov, je to še tretja prepreka, ki jo mora malware premagati, da bi lahko povzročil dejansko škodo. Poleg tega lahko ta promet sproži IPS ali aplikacijsko blokado (če dovolimo samo izbranim aplikacijam komuniciranje preko http protokolov).

Nisem štel, ampak mislim, da je ene 12 različnih preprek, ki jih lahko na spodobni požarni pregradi nastaviš v napoto, predenj bo dejansko prišlo do tistega, kar ne želiš, da bi se zgodilo. Filtriranje maila je šele začetek. Dejansko ni nujno, da si uporabnik lockerja navleče preko maila - določeni tipi se distribuirajo tudi preko komprimitiranih spletnih strani (zadnje čase je v porastu malvertising kot priljubljen način okuževanja).

Tudi tu pametna zaščita z več nivoji zelo učinkovito prepreči okužbo in aktivacijo škodoželjne kode.

Seveda različne UTM rešitve delujejo različno, ampak v primerjavi z navadno SPI požarno pregrado je razlika gromozanska, ne glede na to, katero rešitev uporabljaš. Kar pa nekatere še vedno ne prepriča, da nebi priporočali Linksys-ov, Mikrotikov in podobne šare za na vhod v poslovna omrežja.
Ampak če je nekomu 1500€ preveč za napravo s 3-letnimi naročninami, potem pa naj plača po 1500€ za odklepanje posameznega računalnika... eni celo večkrat...
Neumnost ima pač svojo ceno.

Snegec ::

SeMiNeSanja je izjavil:

Snegec je izjavil:

S tehnicnega vidika, Linksys WRT za manjsa podjetja niso nic slabega. Za tiste stiri racunalnike, ki dostopajo do interneta ima pravzaprav vsako povprecno gospodinjstvo vecje in daljse obremenitve ter stevilo morebitnih grozenj.

Ce bi lepo folk, ki ponuja postne storitve blokiral vse te trojance ze na svojih mail serverjih polovico uporabnikov sploh nebi vedlo, da obstajajo. To, da dobis pa od povprecnega ISP-ja 150 mailov z zip fileticem, ki ima notri JS/Trojan downloader na dan/teden, je pa samo po sebi epic fail.

Prej ali slej, se bo nasel nek uporabnik, ki bo hote ali nehote odprl nekaj kar nebi smel in hopla, izguba podatkov je na dlani.

Če se ti v gospodinjstvu okužijo vsi računalniki, bo nekaj joka, ker bodo verjetno šle k vragu fotografije in video posnetki, spomini. Morda bo malo boleče, če je kdo pisal diplomsko, pa bo moral začeti še enkrat od začetka.

Če se to isto zgodi v podjetju, pa zadeva ne bo tako neboleča. Izguba podatkov lahko pomeni izgubo poslov, strank, neredko takšna podjetja celo propadejo.
Da potem trdiš, da je en navaden router za domačo rabo čisto dovolj, je popolnoma neodgovorno.
Delodajalec je odgovoren svojim zaposlenim. Ogrožanje njihovih delovnih mest s škrtarjenjem pri zaščiti omrežja, pa tudi če se na njemu nahajata zgolj dva računalnika, pa je čisto navadna malomarnost.

Najbolj me pa pogreje, ko škrtarijo taki, ki jim ni škoda metati denar skozi okno za najnovejši iPhone, ko se ta pojavi v trgovinah in podobno - za spodobno zaščito, pa trdijo, da je čisto dovolj najcenejše sranje, ki se ga dobi.

Kdor trditi, da Linksys WRT ni nič slabega za podjetje, nima pojma o tem kaj se danes uporablja za zaščito omrežij. To je tako, kot da bi rekel, da star Fičo ni nič slabega za službeno vozilo. Kakšen servo volan, ABS, ESP, airbagi, samozatezni varnostni pasovi,....neki. Nepotrebna navlaka, mar ne?

Ja, pri avtomobilih ste dojeli, da se je čas premaknil naprej. Pri 'routerjih' pa ne! Še vedno zagovarjate 20 let staro tehnologijo, kot da razvoj v tem času ni šel nikamor naprej.

Morda pa vam bo postalo jasno, da se s temi rečmi ni za hecati, ko bo prizadelo vaše podjetje in vam bo zamujala plača za teden dni - ali pa jo sploh ne boste dobili!


Ze vidim, da si ti eden tistih, ki se postavljajo ob stran Microsoftovim tehnikov, ki pravijo, da je "izklop UAC kontrole idiotsko in neodgovorno". Pa navkljub temu, majo po mojih izkusnjah, masine z vklopljenim UACjev se vec malwara in virusov kot pa tisti, ki se sploh ne zavedajo, da je izklopljen. False sense of security al kako ze? :)

Edino kar pozabljas, je to, da se pri dd-wrt (katerih najvecji podpornik je ravno linksys) routerjih da modificirat prakticno vse, vkljucno z firewall skripto, kar nekateri to redno naredimo. Isto z Mikrotik-ovimi routerji. Ampak lej, ne vem zakaj jamras. To, da se napadi dogajajo je kvecjemu dobro za IT. Prej ko se ljudje ozavestijo, da je potrebno zavarovati tudi podatke v prosti dostopnosti, boljse bo. Tako kot je bila recesija dobra zato, da ti je pobila vse tiste salabajzerje k so delal z minusi oz. 0% rvc-ja.

Btw. meni placa zamuja za 3 mesece ali vec. Pa ne zaradi pomanjkanja varnosti ampak placilne nediscipline v Republiki Sloveniji. Ki je konec koncev, se vedno bolj perec problem kot pa omrezna varnost in pomanjkanje backupov.

Pa uspesno jamranje se naprej.
Snegec & Snežinka, mala potepinka.

SeMiNeSanja ::

@Snegec - od kje si zdaj privlekel UAC?!?

Če bi vsaj 1x prebral napisano, bi točno vedel, da od vseh zgoraj naštetih 'ovir' za okužbo, ne moreš niti ene same implementirati na WRT ali Mikrotiku. Stateful packet filtering tega pač ne zmore, koneckoncev pa mu to tudi ni naloga. Ampak enim se to očitno ne da dopovedati.

darkolord ::

SeMiNeSanja je izjavil:

@Achim - morda ne boš verjel, ampak meni AVG antivirus na požarni pregradi s pomočjo heuristike izredno uspešno zaznava tovrstni malware, za katerega nima signature. Njegova uspešnost je cca. 99,9%!
Tole sem ravnokar potestiral:

 groza

groza

SeMiNeSanja ::

darkolord je izjavil:

SeMiNeSanja je izjavil:

@Achim - morda ne boš verjel, ampak meni AVG antivirus na požarni pregradi s pomočjo heuristike izredno uspešno zaznava tovrstni malware, za katerega nima signature. Njegova uspešnost je cca. 99,9%!
Tole sem ravnokar potestiral:

 groza

groza


Ne vem, kako deluje VirusTotal - predvidevam, da upošteva samo signature, ne pa tudi heuristike - še nikoli namreč nisem videl, da bi napisal 'zero day threat', temveč vedno navaja zaznane signature.

Kot sem pa že rekel, je meni AVG od 1010 malware priponk 1000 prepoznal kot 'zero day', torej na osnovi heuristike, ZGOLJ 5 pa preko signatur. Ali je to dobra ali slaba tolažna ne vem. Vem pa, da je pri 1010 malware priponkah 5 še vedno prišlo skozi. V odstotkih zanemarljivo - če pa ravno eno od tistih petih odpreš, ti 'solidni odstotek' prav nič ne koristi.
To je tudi razlog, zakaj se danes vse več podjetij odloča implementirati še sandbox preverbo datotek.

Zgodovina sprememb…

Mercier ::

Matwic je izjavil:


- Blokirajo se gole nevarne priponke (.exe, .msi, vse razne variacije makro office dokumentom na podlagi končnice, ...)
- Tole je malo bolj zakomplicirano, niti ne vem kateri program bi to omogočal, ampak izjemno učinkovito. Kot je že Mercier napisal, blokirajo se tudi office dokumenti z makri (ne na podlagi končnice, ampak vsebine). Seveda se mora preverjati tudi vsebina .zip in .rar arhivov. Lahko nastane problem z zahtevnostjo te operacije.

Zdaj ostane edini vektor za virus, prenos iz interneta. To se lahko reši z aplication layer firewallow. Ostane še nek security program, ki omogoča kontrolo in blokado izvajanja procesov, če se kljub vsemu znajde virus na računalniku in ga nekdo hoče pognat. Potrebno je sicer nekaj dni ukvarjanja s takim programov, da se naredi baza zaupanja vrednih aplikacij, ampak potem je pa to izredno zanesljiva zašćita. Standardni antivirusi so pa postali popolnoma neuporabni za tovrstne viruse, ni ga antivirusa, ki bi prepoznal 0-day oz. 0-hour macro virus pa naj se še tako hvalijo kako dobro hevristiko imajo (nimajo je)..


ClamAV to dela. Za makre je dovolj sprememba nastavitev pregrama, za tipe datotek pa dodati custom bazo z (ne)želenimi podatki. Za samo lovljenje virusov pa, kot si ugotovil, ta in ostali klasični AV pogrami nimajo za burek.

AppLocker ali Software Restriction Policies je možno v veliki večini primerov uporabiti brez dodatnih posegov v mošnjo.

harmony ::

Mi smo tudi v firmi dobili veliko datotek okuzenih z lokijem. Ravnal sem odgovorno, uporabnike hitro obvestil o nastali tezavi. Naredil GPO, kjer sem disejblal zacasno vse makroje. Obvestil provajdera antivirusne opreme in spam filterja.

Na koncu se od vodij nihce ni oglasil, da bi taksne zadeve znali se bolje preprecevati.

Me res zanima kako bi ravnalo podjetje, ko bi zakriptiralo pol fajl serverja. Ocitno bi jim bilo vseeno, ce nihce nezeli vlagati ne v security opremo ne v znanje it-jevcev.

Bellzmet ::

Malo izzivalno: verjetno je ceneje plačati tistih 1.500 EUR, da ti odklenjejo datoteke kakor pa prej zagonit za ne vem kakšen security...?

AmokRun ::

Sploh če je treba plačati vsak teden. :D

GupeM ::

Bellzmet je izjavil:

Malo izzivalno: verjetno je ceneje plačati tistih 1.500 EUR, da ti odklenjejo datoteke kakor pa prej zagonit za ne vem kakšen security...?

Sam sem si postavil isto vprašanje. Problem pa bo, ko bodo plačali 1.500€, datotek pa ne bodo odklenili.

Miha 333 ::

Za 1.500 dobiš že zelo spodobno backup rešitev.

SeMiNeSanja ::

Miha 333 je izjavil:

Za 1.500 dobiš že zelo spodobno backup rešitev.

Za 10-članski kolektiv dobiš za 1500EUR spodoben UTM firewall + spodoben backup.

Zataknilo se bo pri 1000EUR za strokovnjaka, ki bi to tudi ustrezno implementiral.
Če potem vzamejo šalabajzerja, ki ga plačajo 200EUR, pa ta lahko vso zadevo tako skonfigurira, da si vrgel 1700EUR skozi okno.
Končaš potem na koncu na šoli, ki te lahko stane 3200EUR (ker vseeno fašeš kriptovirus in spet plačaš odkupnino...).

Vse preveč podjetij misli 'saj imamo firewall, kaj se nam pa lahko zgodi' - pozabljajo pa na to, da je najpomembnejši faktor konfiguracija, ki lahko naredi iz najboljše rešitve najslabše možno skrpucalo, če se je loti nek mazač.

Če sam nimaš človeka, ki bi implementatorju gledal pod prste, je zelo priporočljivo, da dobiš nekoga, ki izvede pregled konfiguracije in te opozori na morebitne pomanjkljivosti v njej - predenj pride do kakšne polomije.

Zgodovina sprememb…

k4vz0024 ::

A ga Comodo sploh zazna?
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Locky dobil nov način širjenja

Oddelek: Novice / Kriptovalute
3912533 (9250) Jupito
»

izsiljevalski virus Locky (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
16943840 (34950) SeMiNeSanja
»

Truecrypt - napad s seznamom

Oddelek: Informacijska varnost
72223 (1653) mat xxl
»

Nov kriptovirus Locky na pohodu, napada tudi bolnišnice (strani: 1 2 )

Oddelek: Novice / Kriptovalute
7934535 (30521) misek
»

Losangeleška bolnišnica plačala odkupnino zaradi hekerskega napada

Oddelek: Novice / Kriptovalute
3516056 (13794) noraguta

Več podobnih tem