Kripto virus kako reševati če sploh, umrem sicer ne če ne restavriram

mat xxl je 17. maj 2016 ob 00:04 izjavil:

Torej kljub vsem posodobitvam sistema Norton Internet Securitiyu ,

Obstaja kaj boljšega kot Norton .

mtosev je 18. maj 2016 ob 10:03 izjavil:

Eno neumno vprašanje a system restore nič ne pomaga, če dobiš crypto virus?

Ja mene bolj skrbi, da mi bo hardware odpovedal kot, da bom dobil kakšen virus. NASi so fajn samo, da še nisem prišel do njih. Mogoče kupim nas kot kupim nov komp

Prav nič, ker je meni tudi to bazo povsem pokriptiral, ...,. no danes sem urejal in zanimivo, tam, kjer imam razne programe ipd. ni prav nič kriptiral, očitno malo pogleda kaj je noter če je veliko exe idr. vse pusti, tudi doc, pdf in ostalo v teh mapah, čeprav je na isti particiji pa vse slike skriptiral.

bambam20 je 18. maj 2016 ob 17:16 izjavil:

mat xxl je 17. maj 2016 ob 00:04 izjavil:

Torej kljub vsem posodobitvam sistema Norton Internet Securitiyu ,

Obstaja kaj boljšega kot Norton .

Ne vem menda Kaspersky internet security že verzija 2015 to ustavi.

Problem je, da kot sem pisal uporabi vgrajeno Win orodje da to naredi in ja butasti AV bi moral imeti omejitev, da ko nekdo v minuti uporabi 100 datotek, da se vsaj dvigne in vpraša je ok ali ni.... dobro tudi ko bi kaj bekapiral bi vprašal samo vseeno....

Kot sem že napisal, naj bi po oceni FBI ti kriminalci samo lani zaslužili, če sem si zapomnil preko 200 mil usd ... torej ta "busines" poriva denar in jasno imajo naj naj programerje jih dobro plačajo, tako, da jutri bo še huje, nekaj kar danes ustavi, jutri ne bo več......

Morda bo treba počasi na stare dobre rešitve 2 mašin ena za delo brez neta druga pa samo za net, vmes pa samo usb ključki......

Trenutno ni slaba rešitev pokvariti BitLocker da bo ob zagonu napisal EROR.....

ESET TeslaCrypt decrypter - dekoder za TeslaCrypt 3 - 4.2

http://www.bleepingcomputer.com/news/se...

McMallar je 19. maj 2016 ob 09:12 izjavil:

Mogoce kot zanimivost in idejo: pri nas smo tudi imeli nekaj okuzb s crypto locker-ji in je bilo potrebno datoteke kar nekajkrat obnavljati iz backupa. Kot enostavna resitev se je pokazalo blokiranje file extension-ov v profilu s pomocjo AV.

Recimo, Cryptolocker in Cryptowall med drugim kreirata *.scr datoteke na disku in *.exe datoteke v AppData mapi, Locky ustvari /Software/locky key v HKCU,... Ni optimalno in zahteva nekaj dela ampak po drugi strani nam so ta pravila baje ze nekajkrat preprecila enkripcijo datotek.

Lahko tole malo bolj podrobno razložiš za nespecialiste, oziroma, kako poblokirati kar Win Bit Locker, da ga AV ustavi ?

BTW vse odkodirnike sem sprobal nobeden ne deluje. Če bi kdo želel nekaj criptiranih slik ali fajlov in nekriptiranih istih iz BKP, mu lahko pošljem, če bi, kdo kaj probal, naj me kontaktira na ZS.

Kaj novega na tem področju ?

Kaj menite o Hitman pro alert? Ima zaščito proti kripto virusom.

Kaj menite o Hitman pro alert? Ima zaščito proti kripto virusom.

Na netu si imel neko free orodje, ki je popolnoma zaklenilo kakršno izvrševanje programov, script..in nekaj takega bolj naprednega dela tudi Hitman Pro. Če prepreči vse sitnosti, ne vem. Odvisno od podatkov in za kakšen namen imaš računalnik, teh 19 eur na leto tudi ne bo konec sveta.

Sem ga montiral s trial licenco. Zaenkrat ni opaziti konfliktov.

mat xxl je 2. jun 2016 ob 13:24 izjavil:

Tudi pri slovenskem Anniju ponujajo rešitve, kako učinkovite so, se pa ne ve .

http://sistem.anni.si/cryptolocker-zakr...

Misliš Panda AV, ki ga vsilijo vsakomur, ki pravočasno ne pobegne?
Ne vem. Še nikogar nisem slišal, ki bi Pando na vse pretege hvalil, jih pa poznam ene par, ki so Pando zamenjali za druge proizvode (kar samo zase še nič ne pomeni). Sam Pando nikoli nisem uporabljal, tako da ne morem nič reči o plusih in minusih. Za primerjavo splošne učinkovitosti pa je na spletu kar nekaj portalov, ki to spremljajo.

Bo pa treba počasi začeti opozarjati na to, da Kriptolockerji nikakor ni edina nadloga, ki si jo lahko na netu nakoplješ. Ker imajo konkreten finančni 'učinek', je bilo veliko vpitja na to temo - ampak vse ostale grožnje zato še zdaleč niso izginile! Še vedno imaš viruse, ki ne zahtevajo odkupnine, še vedno imaš trojance in črve, še vedno se računalniki združujejo v botnete, spamma se prav nič manj kot prej,.... Vse to je še vedno tu. Mi pa se pogovarjamo, kot da so Kriptolockerji edini 'nerešeni problem interneta'. Ne, zgolj še en dodatni problem predstavljajo, ki se je pridružil starim!

markosk je 3. jun 2016 ob 13:15 izjavil:

Še vedno pa ni uspelo kasperky, esetu ali komu drugemu razbiti tega virusa. Do sedaj torej ni druge možnosti, kot da se plača odkupnino in upa na najboljše.

Več je treba vlagat v preventivo, ni druge. Stvari bodo šle samo še na slabše, se bojim.

SeMiNeSanja je 3. jun 2016 ob 13:19 izjavil:

Več je treba vlagat v preventivo, ni druge.

Ne, samo ene avtorje takele zalege je treba spravit pred sodnika v ZDA, da naj dajo gesla sicer bodo v samici za nedoločen čas.

AC_DC je 3. jun 2016 ob 13:24 izjavil:

Ne v zapor, v pekel po hitrem postopku (Ceausescu press).

Na počitnice v Guantanamo...?

markosk je 3. jun 2016 ob 13:15 izjavil:

- plačali 1.2BTC za privat key.

Se pravi 600 EUR in kup dela... upam, da boste plačali še ene 600 in jih investirali v NAS in backuping.

jukoz je 3. jun 2016 ob 15:38 izjavil:

Matthai> Se pravi 600 EUR in kup dela... upam, da boste plačali še ene 600 in jih investirali v NAS in backuping.

Je to res potreben komentar?

In kaj ti bo NAS in backuping pomagal, če ga ne znaš implementirati pravilno? Matr ste eni pametni...

Po tej logiki, bi lahko tudi rekel 'kaj ti bo internet, če ne znaš svoje mreže pravilno zavarovat', ....

Matthaiev komentar je čisto na mestu. OP-u pa bi želel, da bi teh 600€ prej investiral v backup, namesto da se jih zdaj veselijo barabe izsiljevalske.

Mare2 je 3. jun 2016 ob 17:20 izjavil:

Sicer pa verjetno ni problem kupit kak zunanji disk USB (40EUR) in nanj z miško potegnit datoteke in počakat npr. pol ure da se skopira. :)

KARKOLI narediš za preventivo, je definitivno bolje, kot če ne narediš ničesar.

Po drugi strani pa podjetja zaposlene pošiljajo na tečaje ozaveščanja - evo, tole je bil ekspresni intenzivni tečaj ozaveščanja o grožnjah z interneta, cena mu je pa bila 600€.

Tudi tako se lahko gleda na zadevo.

Včasih rabiš eno po buči, da se zbudiš. Naslednja nadloga ki bi jo lahko staknili, bo morda že varianta za lastnostmi črva, ki ne bo okužila samo enega računalnika ampak vse na mreži. Potem pa računaj 600€ x 20, 30,....100 računalnikov? Cifre začno postajat grozljive.

Celo če imaš vse backup-e, te bo restore sistemov in čiščenje stalo kar nekaj denarja, če ti prizadane 100+ računalnikov, da ne pozabimo, da ti je poslovanje v tem času ohromljeno, kar povzroča dodatno škodo.

ZATO je dobro da se pravočasno zaveš, da zadeva ni trivialna, da ni več izgovorov v slogu 'jaz nimam zanimivih podatkov, kdo me bo pa našel,...' in podobno, na kar so se mnogi do zdaj izgovarjali. Treba se je podučiti o tem, kaj vse tam zunaj preži in kaj lahko narediš zoper te grožnje, preveriti kje ti zaščita šepa in to odpraviti kolikor se le da. Ali pa ne jamrat, ko se ti 'zgodi' in zaposlenim/sodelavcem razložiti, zakaj imate probleme z izplačilom plač, zakaj mora kolega X na čakanje, zakaj bo treba podjetje zapreti,....
Ja, tudi do tega lahko pripelje izguba podatkov, nikar si zatiskati oči. Resda so to najbolj črni scenariji, so se pa v svetu že ničkolikokrat zgodili. Mi pa nismo nobena izjema, da se tak črni scenarij ne more zgoditi tudi pri nas!

markosk je 3. jun 2016 ob 13:15 izjavil:

Dobili virus CryptXXX 3.0 (končnica datotek .crypt).

- plačali 1.2BTC za privat key.
- dobili smo private key in decryptor, ki pa nista delovala
- 3 dni kasneje so objavili novo verzijo decryptorja, saj stara naj nebi delovala
- tudi na novi verziji se datotek ni dalo odkleniti - error - 9 (pomeni wrong private key)
- na forumih veliko ljudi poroča, da še vedno kljub plačilu ni uspelo dobiti podatkov nazaj, saj ponujena rešitev ne deluje
- 3 dni kasneje ustvarjalci virusa odprejo na svoji strani "SUPPORT" - kjer se lahko z njimi pogovarjaš in ti nudijo pomoč - mislim, da prvič v zgodovini crypto virusov
- včeraj po 5 dneh "please wait" smo dobili pravi private key in brez težav obnovili vse datoteke

Še vedno pa ni uspelo kasperky, esetu ali komu drugemu razbiti tega virusa. Do sedaj torej ni druge možnosti, kot da se plača odkupnino in upa na najboljše.

No jaz sem fasal istega (odprl sem to temo) in nisem plačal, samo poznam pa primer, znanec reševal star 10 dni so plačali in dobili ključ, ki ni deloval... ali lahko tu pojasniš, kam na njihov suport ste se obrnili, ker menda je tam cela katastrofa, ker ne morejo rešiti..., računovodski servis pa brez bkp ... torej vsaj malo pojasni ...., da usmerim tega znanca ... sam pa svojih ne bom reševal, pač bkp .....

Cobian.

Takih in podobnih orodij je zadnje čase nastalo ogromno, težko pa boš našel koga, ki bi ti lahko iz prve roke poročal o svojih izkušnjah z njim.

Glede na to, da ponujajo free verzijo, te nič ne stane, če ga ti sprobaš in potem poročaš o njemu.

Drugače pa je pri tovrstnih 'noname' rešitvah vedno vprašanje, ali bo zadeva 'preživela' ali ne. Še pri bolj priznanih proizvajalcij z dolgoletno tradicijo se proizvode neha razvijati določeni proizvod, ti se pa potem znajdi kakor veš in znaš. Pri noname proizvajalcih pa je ta nevarnost še dosti večja.

Ampak baje, da se podarjenemu konju ne gleda na zobe?

Drugače pa lahko greš tudi na high-end gledat, npr. Hexis HawkEye G - trenutno eno najboljših rešitev na področju Endpoint Protection. Samo tam ne bo podarjenih konjev....

Vedno je vprašanje, kaj želiš doseči. Ali hočeš nekaj individualno krpati (tako, kot to počne vsak domači uporabnik), ali pa iščeš nekaj za podjetje, z možnostjo centraliziranega nadzora in obveščanja. Vmes med obema opcijama vlada kar precej praznine. Teško je najti in priporočiti nekaj, kar bi bilo primerno tudi za 5 uporabnikov v mikro podjetju, še težje, če to nima denarja predvidenega za takšne 'hece'. 'Resne' rešitve potem ponavadi še predvidevajo uporabo kakšnega namenskega strežnika ali virtualke, kar zna potem biti še dodatna ovira (rešljiva v oblaku).

Meni je všeč predvsem ta statistika - da je od 8.7 miljona zombijev v Necurs botnetu samo še dobrih 2300 'živih'. Ta botnet je bil eden glavnih zaslužnih za širjenje Dridexa in Lockija.

Po drugi strani pa mislim, da to tudi pomeni, da lahko pozabiš, da boš lahko odkupil svoje podatke, če to nisi do zdaj storil.

Šment je samo, da je to samo 'predah'. Upam, da ne zgolj zatišje pred neurjem.
Še veliko je drugih botnetov tam zunaj, tako da se ni kaj dosti za tolažiti. Lahko že jutri kakšne druge barabe podobno stvar na novo poženejo. Morda ne tako na veliko, ampak če se kombinira virus z lastnostmi črva, lahko še veliko sranja rata iz tega.

Sranje. Totalno.

Anyway. Upam, da se backuping sistemi počasi razširijo in bodo postali del standardne opreme. To bi namreč močno povečalo splošno varnost.

Ja, če si uspe uiti iz browser sandboxa lahko okuži vse, do česar ima dostop.
Če poganjaš browser kot admin imaš problem.

Za varno surfanje bo nekaj časa zadoščal VM (vmware player, virtual box - brez shared folder povezave do hosta), na njemu sandoxie in znotraj njega browser.


ali
Qubes OS @ Wikipedia

Si upa kdo staviti da v xen vm rešitvi ni več sorodnih hroščev ?
http://www.darkreading.com/endpoint/xen...

Ja samo naša inšpekcija ...... sem bral nekje v eni drugi temi, kaj jih je najbolj zmotilo na enem pregledu .

In ja to je bilo, da računalnik, ko so ga prižgali ni imel vstopnega gesla, torej so bili osebni podatki z nekih analiz bolnikov tako dostopni vsakemu, ki bi prišel, do sicer varovanih prostorov. Torej nastavite si vstope z kodo, pa bodo naši zadovoljni ;).

Sem pokasiral Cerber. Mi je zašifriral vse datotetke, ki pa jih mam na dveh ključih, tko da ni panike. Sam me zadeva zanima,

Zsdejle mam trend micro descriptor že 11 ur, pa še ni odkodiral.

Gre za 328 kb veliko zadevo, ULTIMAN LEX 2.7.0.5

Ki jo mam v košu in jo opazujem, čim jo restoriram, se požene, vidim v procesih, (Ultiman exe, in še par zadev....)pol jo seveda spet dam na hladno.

Če bo kej novega se oglasim...

Lah se ga najde, v procesih, ga tle ustaviš, pol ga poiščeš in odstraniš.

Problem je odkodiranje.