» »

Locky dobil nov način širjenja

Locky dobil nov način širjenja

Slo-Tech - Izsiljevalski virus Locky, ki že celo leto povzroča preglavice, ker žrtvam zašifrira vse podatke in za odklep zahteva plačilo pol bitcoina, kar je približno 350 evrov, je dobil nov način napada. V prvi polovici leta se je širil v glavnem z okuženimi makroji v Wordovih datotekah, se od septembra pospešeno širi med uporabniki omrežij, kot sta Facebook in LinkedIn. Raziskovalci so sedaj ugotovili, kako za okužbe izkorišča fotografije in luknje v omenjenih omrežjih.

Širi se prek slik, ki so jih napadalci uspeli naložiti na Facebook in LinkedIn ter druga družbena omrežja oziroma poslati prek vgrajenih orodij za komunikacijo. Okužene slike so oblikovane tako, da brskalnik prisilijo v prenos slikovne datoteke na disk (običajno se slike prenesejo v medpomnilnik in neposredno odprejo). Če uporabnik klikne odpri in odpre preneseno sliko, okuži svoj računalnik. Problematične so zlasti slikovne datoteke s končnicami SVG, JS in HTA, ki lahko vsebujejo skriptni del.

Podrobnosti še niso razkrili, ker še čakajo, da LinkedIn in Facebook zakrpata svoji strani, da napad ne bo več mogoč. Čeprav so jih o ranljivosti obvestili septembra, je še niso odpravili.

Po okužbi Locky zašifrira datoteke, strokovnjaki pa kljub trudu še niso uspeli izdelati orodja za odklep. Za zdaj zato žrtvam preostane le plačilo odkupnine, zato velja biti previden pri odpiranju datotek.

39 komentarjev

Phantomeye ::

Meni je pri teh izsiljevalskih forah všeč, da dejansko dobiš fajle nazaj, če plačaš.

Dober poslovni načrt, ki bi sicer hitro propadel, če bi pobral samo keš.

Izi ::

Problematične so zlasti slikovne datoteke s končnicami SVG, JS in HTA, ki lahko vsebujejo skriptni del.

To niso slikovne datoteke!
S slikami se nikoli ne moreš okužiti. Problem je, da ljudje ne vedo kakšne končnice imajo slike in potem klikajo na izvršne datoteke in s tem zaženejo virus na svojem računalniku.
HTA je izvršna datoteka za HTML jezik, JS je izvršna datoteka v Java Script jeziku, ...

Zgodovina sprememb…

  • spremenil: Izi ()

Nikonja ::

Backup, backup, backup..... pol pa ti ga locky lahko na kolenih.... :)

Ampal tragično je da 80% uporabnikov interneta pojma nimam kaj je backup

mtosev ::

na srečo tega še nisem fasal.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

Izi ::

Nikonja je izjavil:

Backup, backup, backup.....

Občasen backup je seveda nujen, ampak backup je kurativa. Boljša je preventiva, ali po domače "bolje preprečiti, kot zdraviti".

Prva in glavna stvar je, da v operacijskem sistemu najprej vklopiš prikazovanje končnic. Novejši Windows sistemi imajo to po defaultu izklopljeno, kar je raj za širjenje virusov in črvov. Še posebej pa trojanskih konjev, ki so glavni vir okužb v današnjem času.
Druga stvar je pa učenje končnic. Dokler ne poznaš vse glavne končnice roke stran od računalnika. Če naletiš na neznano končnico nikoli ne klikaj na to datoteko ampak najprej pogooglaj kaj ta končnica pomeni.

Slike: JPG, JPEG, BMP, PNG, GIF, TIF, TIFF, ... To so glavne in na te lahko vedno klikaš brez skrbi, ostalih pa se raje izogibaj.
Izvršne datoteke: exe, com, bat, cmd, vbs, vbe, wsf, wsh, js, jse, hta, ... To so datoteke, na katere ne smeš nikoli klikniti razen, če zatrdno veš kaj zaganjaš.

Mare2 ::

Izi ti bom jaz dal en link, na katerega lahko klikneš. :)
http://bit.ly/Navodilo123 Podpora za N26 Mastercard za Slovenijo

Malajlo ::

Obstajata dve sorti uporabnikov. Tisti, ki backupirajo, in tisti, ki bodo to začeli.

MrStein ::

Hmm, danes mi je FF že dvakrat crashnil... Še komu nagaja?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Pithlit ::

Izi je izjavil:

S slikami se nikoli ne moreš okužiti. Problem je, da ljudje ne vedo kakšne končnice imajo slike in potem klikajo na izvršne datoteke in s tem zaženejo virus na svojem računalniku.
HTA je izvršna datoteka za HTML jezik, JS je izvršna datoteka v Java Script jeziku, ...

SVG je izvršna datoteka za...?
Life is as complicated as we make it...

mtosev ::

a ni SVG vektorska grafika?
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

MrStein ::

Vsak fajl, ki ti ga obdela računalnik (torej "odpre") lahko z neko verjetnostjo okuži računalnik.
A je to slo-tech ali slovenske novice?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Rias Gremory ::

Izi je izjavil:

Problematične so zlasti slikovne datoteke s končnicami SVG, JS in HTA, ki lahko vsebujejo skriptni del.

To niso slikovne datoteke!
S slikami se nikoli ne moreš okužiti. Problem je, da ljudje ne vedo kakšne končnice imajo slike in potem klikajo na izvršne datoteke in s tem zaženejo virus na svojem računalniku.
HTA je izvršna datoteka za HTML jezik, JS je izvršna datoteka v Java Script jeziku, ...

The other answers mostly talk about attaching arbitrary code to images via steganographic techniques, but that's not very interesting since it requires that the user be complicit in extracting and executing that. The user could just execute malicious code directly if that's their goal.

Really you're interested in whether there's a possibility of unexpected, arbitrary code execution when viewing an image. And yes, there is such a possibility of an attacker constructing a malicious image (or something that claims to be an image) that targets specific image viewing implementations with known flaws.


vir: Can malware be attached to an image?
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

Invictus ::

MrStein je izjavil:

Hmm, danes mi je FF že dvakrat crashnil... Še komu nagaja?

Ga ne uporabljam več, ker občasno zmrzne za 5 minut. Na ssd... Kaj dela zadaj, nimam pojma.

Bi pa rekel da Add-On engine sux, ker brez add-onov dela kul...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Izi ::

mtosev je izjavil:

a ni SVG vektorska grafika?

Je. Vektorska slika v XML formatu, ki sam po sebi ni nevaren. Problem je, da lahko SVG format vsebuje tudi JavaScript kodo. Ta del v JS je nekdo zlorabil in ob odpiranju vektorske slike se je zraven odprla še neka okužena internet stran, ki je na računalnik avtomatsko naložila ZIP datoteko. V ZIP datoteki je bila pa datoteka z EXE končnico v kateri je bil Locky.
Ta EXE datoteka se seveda ne more zagnati sama ampak mora uporabnik še vedno sam klikniti nanjo. Ampak očitno je bilo kar nekaj takih, ki so potem kliknili na ta EXE.

Nauk: Vsaka datoteka, ki omogoča JavaScript je potencialno nevarna.
Ampak kot sem rekel, izvršne datoteke, ki pridejo na naš računalnik se ne morejo zagnati same. Na koncu se vedno računa na uporabnikovo neumnost, da bo kliknil na kakšno exe datoteko za katero ne ve kako se je znašla na njegovem računalniku. Zato se tem datotekam reče Trojanski konji.

OK.d ::

Izi je izjavil:

Nikonja je izjavil:

Backup, backup, backup.....

Občasen backup je seveda nujen, ampak backup je kurativa. Boljša je preventiva, ali po domače "bolje preprečiti, kot zdraviti".

Prva in glavna stvar je, da v operacijskem sistemu najprej vklopiš prikazovanje končnic. Novejši Windows sistemi imajo to po defaultu izklopljeno, kar je raj za širjenje virusov in črvov. Še posebej pa trojanskih konjev, ki so glavni vir okužb v današnjem času.
Druga stvar je pa učenje končnic. Dokler ne poznaš vse glavne končnice roke stran od računalnika. Če naletiš na neznano končnico nikoli ne klikaj na to datoteko ampak najprej pogooglaj kaj ta končnica pomeni.

Slike: JPG, JPEG, BMP, PNG, GIF, TIF, TIFF, ... To so glavne in na te lahko vedno klikaš brez skrbi, ostalih pa se raje izogibaj.
Izvršne datoteke: exe, com, bat, cmd, vbs, vbe, wsf, wsh, js, jse, hta, ... To so datoteke, na katere ne smeš nikoli klikniti razen, če zatrdno veš kaj zaganjaš.

No poduči nas nevedneže, kje se to vklopi:(
LPOK.d

zmaugy ::

Nikonja je izjavil:

Backup, backup, backup..... pol pa ti ga locky lahko na kolenih.... :)

Ampal tragično je da 80% uporabnikov interneta pojma nimam kaj je backup


Pri backupu je samo vprašanje koliko dni dela si izgubil. Kolikor vem če delaš backup ekstremno redno, ti ta nesnaga lahko zjaha tudi backup diske.
Po mojem je precej bolj varna reč (poleg zdrave pameti) uporaba linuxa.

Duhec ::

OK.d je izjavil:

...No poduči nas nevedneže, kje se to vklopi:(

Win8/10: odpri Raziskovalca, zavihek Datoteka in v oddelku Pokaži/skrij dodaj kljukico pri "Datotečne pripone" ali daljše : Nadzorna plošča/Možnosti raziskovalca/zavihek Pogled/in odstrani kljukico pred "Skrij pripone za znane vrste datotek"
XP: odpri Raziskovalca, Tools, Folder Options, zavihek Pogled in odstrani kljukico pred "Skrij pripone za znane vrste datotek"
http://blackbird.si/

Randomness ::

S slikami se nikoli ne moreš okužiti.
Sanja svinja kukuruz ...

Slike: JPG, JPEG, BMP, PNG, GIF, TIF, TIFF, ... To so glavne in na te lahko vedno klikaš brez skrbi, ostalih pa se raje izogibaj.
Tudi v sliki se seveda lahko skriva trojanec, ki izkorišča kako še nezakrpano ranljivost v programu, s katerim "odpreš" sliko. In ja, za okužbo potencialno zadostuje že dvoklik na tako sliko.

Zgodovina sprememb…

Izi ::

Randomness, to ne drži. Ne širi nepotrebne panike. Bitne slike, kot so JPG, BMP, PNG in podobne ne morejo vsebovati prav ničesar nevarnega.

Kar pa se tiče Ransomware, pa bi bilo dobro omeniti še, da vsa ta moderna nesnaga, ki ti zakodira datoteke, zakodira popolnoma VSE do česar lahko dostopa iz okuženega računalnika. Ne samo notranje enote, ampak tudi zunanje enote, ključke, NAS in celotno lokalno mrežo računalnikov, vse kar je v deljenju preko mreže.

Backup mora biti torej fizično popolnoma izključen iz lokalne mreže ali domačega NAS, drugače ti bo zakodiralo tudi backup in si oplel :P
Pravi backup je torej v oblaku ali na zunanji enoti, ki je ugasnjena in spravljena v omari.

Zgodovina sprememb…

  • spremenil: Izi ()

Rias Gremory ::

Bitne slike, kot so JPG, BMP, PNG in podobne ne morejo vsebovati prav ničesar nevarnega.
[citation needed]
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

Evolve ::

Backup mora biti torej fizično popolnoma izključen iz lokalne mreže ali domačega NAS, drugače ti bo zakodiralo tudi backup in si oplel :P


Nekako ni res. Če je to neka amaterska izvedba backupa, to drži. V primeru pravilne izvedbe backup sistema pa je ta strah odveč.

Pravi backup je torej v oblaku ali na zunanji enoti, ki je ugasnjena in spravljena v omari.


krpito virus popapa tudi oblačne datoteke(dropbox,gdrive,onedreive..)

N4g4c3N ::

Podrobnosti še niso razkrili, ker še čakajo, da LinkedIn in Facebook zakrpata svoji strani, da napad ne bo več mogoč.


Facebook in LinkedIn imata tukaj le delno vlogo - omogočata širjenje datotek. Glavno odgovornost tukaj nosi operacijski sistem, ki ob odpiranju končnic .svg, .js in .hta omogoča izvršbo zlobne kode. Te iste datoteke bi se recimo lahko širile tudi prek emaila ali drugih spletnih strani.

Evolve ::

N4g4c3N je izjavil:

Podrobnosti še niso razkrili, ker še čakajo, da LinkedIn in Facebook zakrpata svoji strani, da napad ne bo več mogoč.


Facebook in LinkedIn imata tukaj le delno vlogo - omogočata širjenje datotek. Glavno odgovornost tukaj nosi operacijski sistem, ki ob odpiranju končnic .svg, .js in .hta omogoča izvršbo zlobne kode. Te iste datoteke bi se recimo lahko širile tudi prek emaila ali drugih spletnih strani.


uporabnik je tukaj problem. OS sam od sebe ne počne traparij :) (običajno :)))

Spc ::

Narod ne vidi, da je to .hta file ?
 

[D]emon ::

Izi> Bitne slike, kot so JPG, BMP, PNG in podobne ne morejo vsebovati prav ničesar nevarnega.

Prodajas buce.
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.

jype ::

Izi> Bitne slike, kot so JPG, BMP, PNG in podobne ne morejo vsebovati prav ničesar nevarnega.

https://support.microsoft.com/en-us/kb/...

https://packetstormsecurity.com/files/1...

meacho ::

PARTyZAN ::

Izi, daj rajši nehaj, no. Smešiš se.

Izi ::

PARTyZAN je izjavil:

Izi, daj rajši nehaj, no. Smešiš se.

Hahaha, in to le naj bi bila računalniško tehnična stran. Prebiram pa mite in nebuloze, ki bi jih pričakoval na kakšni rumeni strani tipa 24ur. Dajte no malo pameti v glavo preden poberete vsako neumnost, ki ste jo nekje slišali.

McMallar ::

Gre za semantiko - kaj kdo razume kot nevarno kodo. Formati kot so jpg, bmp, jpg in podobni ne vsebujejo izvrsljive kode tako da slika v tem formatu ne predstavlja direktne nevarnosti. Ampak ce je slika pokvarjena na pravilen nacin in je na klientu namescena ranljiva programska oprema, potem lahko ta slika sesuje sistem oz. omogoci izvajanje druge kode.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Izi ::

McMallar je izjavil:

Gre za semantiko - kaj kdo razume kot nevarno kodo. Formati kot so jpg, bmp, jpg in podobni ne vsebujejo izvrsljive kode tako da slika v tem formatu ne predstavlja direktne nevarnosti. Ampak ce je slika pokvarjena na pravilen nacin in je na klientu namescena ranljiva programska oprema, potem lahko ta slika sesuje sistem oz. omogoci izvajanje druge kode.

V tem primeru bi šlo za bug v slikovnem programu in exploit buga. Bitne slike odpira cel kup različnih programov. Od najbolj enostavnih pregledovalnikov slik pa do najbolj profi obdelovalnikov slik kot je Photoshop. V "najslabšem" primeru lahko sliko res tako pokvariš, da se bo program sesul, ampak s tem ne boš dosegel nič.
Sploh pa to nima nobene veze z virusi, še posebej pa ne z CryptoLockerji, ki so že pravi programi in tako veliki, da se jih ne da podtakniti nikamor. Zaradi svoje velikosti so to vedno samostojne EXE datoteke, ki so kompresirane v ZIP, da se lahko v doglednem času prenesejo na računalnik tudi tistim s počasnejšim internetom.
Razlike so samo kako nepridipravi poskušajo to ZIP datoteko spraviti na tvoj računalnik. Na koncu pa moraš še sam zagnati tisto EXE datoteko.

Ta mit o škodljivih slikah je nastal zaradi tega, ker Windows po defaultu skriva končnice. Nekaj ljudi je tako kliknilo na "Sika.jpg" ne da bi vedeli, da je prava končnica skrita in je to v resnici "Slika.jpg.exe" In tako se je začel širiti mit da te slika lahko okuži.

Zgodovina sprememb…

  • spremenil: Izi ()

darkolord ::

Seveda se jih da podtakniti. Podtakne se loader, ki lockerja stanka z neta. Če je uporabljen exploit, ki omogoča izvrševanje kode, ga lahko tudi direkt požene.

PARTyZAN ::

Izi: velikokrat se vprašam, če si trol.

jype in meacho sta ti dala konkretne povezave, ti pa še vedno vrtiš tole svojo lajno. Datoteka kateregakoli formata lahko vsebuje zlonamerni payload, vse kar moraš naredit je zlorabit varnostno luknjo v programski opremi, ki jo žrtev uporablja za ogled.

mtosev ::

nisem vedel, da so lahko tudi virusi v slikah. a v videjih so tud lahko?
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

GupeM ::

Preberi si post nad tvojim. Da ti pomagam:

PARTyZAN je izjavil:

Izi: velikokrat se vprašam, če si trol.

jype in meacho sta ti dala konkretne povezave, ti pa še vedno vrtiš tole svojo lajno. Datoteka kateregakoli formata lahko vsebuje zlonamerni payload, vse kar moraš naredit je zlorabit varnostno luknjo v programski opremi, ki jo žrtev uporablja za ogled.

meacho ::

Dober primer je npr. lanskoletna stagefright Android luknja, kjer je napaka v multimedia playerju..
http://www.howtogeek.com/225834/stagefr...

bambam20 ::

MrStein je izjavil:

Hmm, danes mi je FF že dvakrat crashnil... Še komu nagaja?



Ja. Od, od kar je updejtan na najnovejšo verzijo 50.0. se tud men kar precej crasha.

SeMiNeSanja ::

Jao kakšne trditve o slikah....

Nekaj let nazaj je bila cela panika, ker so odkrili buffer overflow bug v windowsih, ki je omogočal ravno to, da si preko ustrezno 'preparirane' slikovne datoteke na računalnik namestil malware.

Takrat so zadevo pokrpali, ampak to ne pomeni, da ne obstajajo še kakšne druge podobne ranljivosti, ki še niso bile raz/od-krite.

V principu pa lahko vsaka aplikacija, ki ima neko buffer overflow ranljivost, do katere se pride preko odpiranja datotek, v sistem injicira malware. Pa nima veze, ali je to jpg, doc ali pdf. Zakaj pa mislite, da kar naprej krpajo pdf viewer?

Še to...kot primer 'problematične slike' - moj tamal ima PSP. Na njemu poganja homebrew igrice. Da bi jih lahko poganjal, najprej odpre eno 'slikico'. Ta sproži buffer overflow, preko katerega se potem 'ubeži' kontroli, ki si jo je izmislil Sony in zažene homebrew igrice. Sony bi temu rekel 'malware'.... ampak v tem primeru se gre za uporabniku 'prijazen malware'.

Jupito ::

Backup mora biti torej fizično popolnoma izključen iz lokalne mreže ali domačega NAS, drugače ti bo zakodiralo tudi backup in si oplel :P
Pravi backup je torej v oblaku ali na zunanji enoti, ki je ugasnjena in spravljena v omari.


Ravno to je razlog, da potem backup ni redno (ali nikoli) narejen (že pri domačih uporabnikih z eno mašino). Rešitev za bolj robusten on-site backup je npr. namenski backup server (podvajanje shranjenih podatkov "izven dosega" uporabnika, shranjevanje več verzij datotek) ali pa server + uporaba network (pxe) boot-a, tako da ne delaš backupa iz ranljivih sistemov in do shranjenih datotek ti tudi nimajo dostopa (nobenega ftp ali priklopljenih diskov in klientov v os...)
Potem pa lahko seveda avtomatiziraš še nalaganje v internete (pardon, ablak!) ali magari na kasete, če si ekstra paranoičen).

Avtomatizacija, pobje! It's teh fjučr. Menda bi zdaj radi bi avte, ki sami šofirajo, krompir bi pa na roke lupili?
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoft kupil LinkedIn (strani: 1 2 )

Oddelek: Novice / Nakupi / združitve / propadi
5823268 (15148) Malajlo
»

Locky dobil nov način širjenja

Oddelek: Novice / Kriptovalute
3912578 (9295) Jupito
»

LinkedIn izgubil 6,5 milijona gesel

Oddelek: Novice / Varnost
3819651 (17223) Jst
»

Še teden dni do javne ponudbe delnic LinkedIna

Oddelek: Novice / Ostale najave
103852 (3366) ravsek
»

LinkedIn želi s kotacijo prehiteti Facebook

Oddelek: Novice / Ostale najave
67003 (5891) Matevžk

Več podobnih tem