Locky

Kako ga sploh dobiš a moraš dejasnko odpreti word ali lahko kdo z katerim si deliš skupni folder ga zažene pa si tudi ti okužen ?
Ali je že kdo kaj uspel rešit ?

Ojoj ani pa nobene druge možnosti za rešitev datotek ?
Kako pa sploh to dobiš?

Jah nujne stvari se mi itak kopirrajo vsak dan drugam ampak vse ostale za katere v štartu misliš da niso pomembne vidiš da jih potem pogrešaš :)

Ponavadi nič ne namestijo na sistem. Samo štartajo programe , ki so že del sistemana samem računalniku in zakriptirajo datoteke.

kako to misliš ob 11:00 a si ga dobil =)

To 'bombardiranje' traja že ene 4 dni. Sprva so nabijali z xls in docm datotekami, danes pa so dejansko preklopili na xlsm variante.
Najbolje je kar generalno zakleniti oz. brisati vse *.docm in *.xlsm priponke.
Kdor si to ne more privoščiti, pa si spodaj lahko pogleda mojo zbirko filtrov kritičnih vrst datotek zadnjih dni.

Regexp izraz:    (Copy|Document|Invoice|Receipt|Report)_\d{2,}_final\.xlsm
Ta izraz bo zaklenil/brisal vse priponke z variacijami imen Report_492844_final.xlsm, Receipt_11645_final.xlsm, Invoice_123_final.xlsm, Document_6178_final.xlsm, Copy_510987_final.xlsm.             

Regexp Izraz:    (receipt|untitled|img|doc)\(\d{1,}\)\.docm
Ta izraz bo zaklenil/brisal vse priponke z imeni reciept(12).docm, untitled(1).docm, img(416).docm, doc(3).docm in podobno.

Regexp Izraz:    CARD\d{2,6} \d{5,9}\.docm
Ta izraz bo zaklenil/brisal vse priponke z imeni CARD909 6989047.docm, CARD25 15483.docm in podobno.

Regexp Izraz:    Invoice_INV\d{8,}\.xls
Ta izraz bo zaklenil/brisal vse priponke z imeni Invoice_INV0000517871.xls, Invoice_INV00000962.xls, Invoice_INV0000913290.xls in podobno.

Regexp Izraz:    [0-9A-F]{4,12}_\d{4,12}\.docm
Ta izraz bo zaklenil/brisal vse priponke z imeni A851388_583565.docm, DF860114_884097423.docm, 4536620_8858093357.docm in podobno.

Regexp Izraz:    \d{16,}\.xls
Ta izraz bo zaklenil/brisal vse priponke z imeni 2016120517041252678410.xls, 20161205171256775311746.xls, 20161205184632931.xls in podobno.

Če se da zaklenjena datoteka hitro na novo zloudati s torrenta po tem nebi tega delal, za vse ostalo pa ja.

Brez kančka slabe vesti?!?

Hja odvisno, če gre za življenje in smrt itak, da ne bi imel slabo vest, če pa bi nekdo zaradi šlamparije okužil moj komp potem pa itak zob za zob.

Kaj pa če te zalotijo? Če si se uspel sam okužiti, potem skoraj gotovo nisi tak profi, da boš uspel zakriti vse sledove za sabo....

Nisem sicer tak strokovnjak za to, ampak nekako bom že neopazno okužil še par računalnikov.

hja rabiš samo 2 računalnika, prej narediš backup potem pa ga "okužiš", ko ti odklenejo vse pobereš dol in na novo formatiraš, pri tistih 2 pcjih pa restoraš backup

How to Remove Locky Virus Ransomware File Encyption:

Seveda, lahko pa širi tudi legalna stran. Kar mi pade na pamet je recimo stran z nekimi tehničnimi zadevami, ki ima pripet en XLS s thničnimi podatki. Če ste kdaj kupovali kakšen prtljažnik za avto je to pri naših trgovcih pogost pojav - pripnejo en XLS s podatki kateri paše na kateri avto + nek makro ki updajta cene. Sedaj pa srečno pri odpiranju tega =)

SeMiNeSanja je 9. dec 2016 ob 22:58 izjavil:

Kam smo prišli......

Ravnokar sem na Spiceworks bral, da so odkrili varianto izsiljevalskih virusov, kjer obljubljajo brezplačen ključ za odklep - če okužiš dve novi žrtvi in ti plačata odkupnino!

Res ne vem....Koliko vas bi bilo pripravljenih okužiti nekoga drugega, da bi prišli do brezplačnega odklepa svojih datotek? Upam, da nihče!

Na darknetu je možno najeti tovrstne "storitve" oz. vložiti v ta "posel".

Miha 333 je 10. dec 2016 ob 13:53 izjavil:

Na darknetu je možno najeti tovrstne "storitve" oz. vložiti v ta "posel".

To ni nič novega. Tudi botnet frameworki so se že dolgo tega ponujali na darknetu. Iz tega se je tudi rodil izraz "Malware As a Service"...

Da pa računaš na brezskrupuloznost uporabnikov, da bodo šli okužiti druge (znance, sodelavce, sorodnike,...?), da bi sebi rešili rit, pa je dejansko nova dimenzija predrznosti avtorjev teh nadlog.

antonhac je 11. dec 2016 ob 11:26 izjavil:

S sošolci si izmenjujemo Excelove datoteke z makroji. Je kakšna možnost preveriti ali je datoteka okužena s to nesnago preden jo odprem? Ali je Mac kaj bolj varen pred tem?

Zelo težko. Vedno preveriš, od kje si datoteko dejansko dobil, da ni kaj podtaknjenega.
To, kar se 'podtika' preko raznih botov ima imena datotek, katera so dokaj značilna za tovrstni malware. To pa nikomur ne more preprečiti, da tako datoteko vzame, jo preimenuje in ti jo podtakne.
Problem je, če veš, da si izmenjuješ datoteko z makrom, ker boš dovolil zagon makro skripte, kar pa je lahko će uvod v polomijo, če imaš opravka z malwareom. Kljub temu, pa bi moral videt že predenj dovoliš aktivacijo makrojev, da se očitno ne gre za datoteko, katero si pričakoval.

Nekaj si lahko pomagaš na ta način, da takšne datoteke, katerim ne zaupaš 100% odpiraš v virtualki. AV bo mogoče zagnal kakšen alarm, vendar je bilo zadnje dni kar nekaj tega, kar se je AV proizvodom izmuznilo. Sumljive datoteke načeloma lahko pošlješ tudi v kakšno free sandbox analizo. Če pa imaš kakšnega znanca z komercialnim sandbox-o proizvodom, pa mu lahko pošlješ tako datoteko po mailu. Če se kaj odkrije v datoteki, ti bo to potem sporočil.

Vsekakor pa obvezno delati backup takega računalnika, na katerem odpiraš potencialno nevarne datoteke.

Dokler ti kakšen hudoben 'kolega' namerno ne podtakne škodljivca....

SeMiNeSanja je 11. dec 2016 ob 23:33 izjavil:

Dokler ti kakšen hudoben 'kolega' namerno ne podtakne škodljivca....

Nekje sem prebral da se širi nov crypto virus, ki ti brezplačno odklene datoteke če uspeš okužiti naprej dva druga (nekakšna crypto verzija verige sreče). To se mi zdi precej inovativna ideja...

dronyx je 12. dec 2016 ob 11:34 izjavil:

SeMiNeSanja je 11. dec 2016 ob 23:33 izjavil:

Dokler ti kakšen hudoben 'kolega' namerno ne podtakne škodljivca....

Nekje sem prebral da se širi nov crypto virus, ki ti brezplačno odklene datoteke če uspeš okužiti naprej dva druga (nekakšna crypto verzija verige sreče). To se mi zdi precej inovativna ideja...

O tem sem pisal par postov višje. Inovativno? Kaj pa vem, meni se zdi hinavsko!

V našemu podjetju uporabljamo blockliste, da blokiramo "zlobne" domene in ip naslove. Za testirati, ampak res samo testirat imate viruse na boljo na githabu.

Tako je, blocklista je samo manjši del rešitve. Popolne rešitve žal ni. Smo imeli že nekaj primerov okužb z kriptovirusi in kot pravimo, smo imeli DR test :) Restore in gremo dalje. Je pa praksa do sedaj pokazala, da večinoma fašejo kripto virus ne-IT osebje (razvijalci in ostali IT strokovnjaki ne klikajo vsepovprek), torej tajništvo, računovodstvo itd. Uporabnike poskušamo izobraževati kaj se sme oziroma ne sme, samo kaj, ko tako hitro vse pozabijo.

Ufff.
A ima kdo dejansko kakšen nasvet kako se lahko reši vsaj del Podatkov.
LPozdrav

Ali je še kdo opazil, da je bilo danes BISTVENO manj spama?
Zadnjih 24 ur (22.12.) mi ni vletelo niti eno sumljivo xls/xlsm/doc/docm sporočilo, od preostalih podvrsti pa sem prejel zgolj peščico *.vbs priponk.

Ali so odkrili kakšen večji izvor teh nadlog in ga onesposobili?
Ali pa ti lumpi že proslavljajo uspešen zaključek 'poslovnega leta'?

Glede na to, da za konec tedna ravno tako pride do bistvenega zmanjšanja spama in virusov, se bojim, da lumpi zgolj praznujejo in se bo vse skupaj po novem letu spet začelo s polnim zagonom.

ST-777 je 23. dec 2016 ob 07:18 izjavil:

SeMiNeSanja je 23. dec 2016 ob 00:43 izjavil:

Ali je še kdo opazil, da je bilo danes BISTVENO manj spama?

Ne spomnim se, da sem v decembru skupaj z ostalo e-pošto prejel en sam spam. Morda je razlog v tem, da moj internetni ponudnik blokira spam, še preden pride do mojega programa za pošto Mozilla Thunderbird.

Tak in drugačen spam najbolj opazimo tisti, ki imamo lastne strežnike elektronske pošte, tako da nam internetni ponudnik ne more/sme ničesar filtrirati. Tu moraš potem sam poskrbeti, da te nadloge spraviš nekam na stranski tir, kar danes v bistvu tudi ni noben tak poseben problem. Ti pa to omogoča malo vpogleda v dejansko dogajanje na internetu, za kar si sicer prikrajšan (kar pa povprečnega uporabnika interneta čisto nič ne sekira).

Pri 'poštnih predalih', katere ponujajo ponudniki interneta pa imaš velike razlike od ponudnika do ponudnika. Eni bolje, drugi slabše filtrirajo spam. 'Dobro' filtriranje je vedno povezano tudi z nevarnostjo, da boš morda odstranil tudi kakšno povsem legitimno sporočilo, kar lahko kateri od strank povzroči nevšečnosti. Če to počneš na način, da odstranjena sporočila ne vidiš niti v posebni mapi z vsiljeno pošto, imaš lahko resnejši problem.

SeMiNeSanja je 23. dec 2016 ob 09:50 izjavil:

ST-777 je 23. dec 2016 ob 07:18 izjavil:

SeMiNeSanja je 23. dec 2016 ob 00:43 izjavil:

Ali je še kdo opazil, da je bilo danes BISTVENO manj spama?

Ne spomnim se, da sem v decembru skupaj z ostalo e-pošto prejel en sam spam. Morda je razlog v tem, da moj internetni ponudnik blokira spam, še preden pride do mojega programa za pošto Mozilla Thunderbird.

Tak in drugačen spam najbolj opazimo tisti, ki imamo lastne strežnike elektronske pošte, tako da nam internetni ponudnik ne more/sme ničesar filtrirati. Tu moraš potem sam poskrbeti, da te nadloge spraviš nekam na stranski tir, kar danes v bistvu tudi ni noben tak poseben problem. Ti pa to omogoča malo vpogleda v dejansko dogajanje na internetu, za kar si sicer prikrajšan (kar pa povprečnega uporabnika interneta čisto nič ne sekira).

Pri 'poštnih predalih', katere ponujajo ponudniki interneta pa imaš velike razlike od ponudnika do ponudnika. Eni bolje, drugi slabše filtrirajo spam. 'Dobro' filtriranje je vedno povezano tudi z nevarnostjo, da boš morda odstranil tudi kakšno povsem legitimno sporočilo, kar lahko kateri od strank povzroči nevšečnosti. Če to počneš na način, da odstranjena sporočila ne vidiš niti v posebni mapi z vsiljeno pošto, imaš lahko resnejši problem.

Kakšno rešitev uporabljate proti smetenju? Mi smo pred kratkim namestili EFA (gre za appliance), ki ima gor postfix, mailscanner in clamd. Trenutno še peglamo nastavitve, ker default nastavitve so kar restriktivne.

Cowboy6 je 23. dec 2016 ob 10:27 izjavil:

Kakšno rešitev uporabljate proti smetenju? Mi smo pred kratkim namestili EFA (gre za appliance), ki ima gor postfix, mailscanner in clamd. Trenutno še peglamo nastavitve, ker default nastavitve so kar restriktivne.

Danes skorajda ni več potrebe po posebnem specializiranem appliance-u, če imaš kakšno UTM napravo z integriranim antispamom. WatchGuard, katerega jaz uporabljam, ima integriran spamfilter podjetja Cyren. Pri tem filtru nimaš skoraj nič za nastavljat, tako preprost je - a hkrati je tudi presenetljivo učinkovit. Ravno zato je Cyren priljubljen tudi pri drugih proizvajalcih UTM rešitev. Restriktivnost pri Cyren-u ni poseben problem, ker spam razvrsti v tri kategorije od 'Confirmed Spam' preko 'Suspected Spam' do 'Bulk Mail'. Prvo kategorijo dejansko lahko takoj pobrišeš, ostali dve pa preusmeriš v karanteno, od koder si uporabniki lahko kasneje še vedno zadevo prepošljejo na svoj mail account.
WatchGuard je do nedavnega tudi sam ponujal samostojno Antispam rešitev XCS - pa je opustil njen nadalni razvoj, ker so potrebe po tovrstnih specializiranih rešitvah v zadnjih letih drastično upadle. Največ so k temu prispevale Cloud storitve, veliko pa tudi široka adopcija UTM rešitev z integriranimi antispam filtri.

Za osebno/domačo rabo, pa mi je zelo všeč Mailwasher. Deluje kot nekakšen mail preview. Ko vanj vneseš vse svoje mail accounte, z njih potegne vse headerje in prvih nekaj bajtov vsebine ter to preveri s pomočjo več različnih blacklist in lastne liste, ki jo sproti gradi. Tako vidiš potem listo vseh mailov v rdeči in zeleni barvi. Preveriš kaj je rdečega (spam). Če je kaj pomotoma označeno, to odoznačiš in samo še stisneš delete tipko. Od tu potem tudi poženeš svoj mail program, s katerim potem dejansko preneseš maile na svoj računalnik.
Mailwasher Free verzija deluje samo z enim mail accountom, ampak za mnoge uporabnike je to več kot dovolj. PRO verzija deluje z poljubnim številom mailboxov, ampak jo moraš plačati - lifetime varianta pride 56,21€.
Imajo pa tudi brezplačno Mobile varianto, katero še nisem preizkusil, bi pa znala biti dokaj zanimiva opcija, saj nima omejitev na številu mail accountov.