Slo-Tech - V Ukrajini se je danes začel širiti nov računalniški virus, ki je ohromil delovanje številnih tamkajšnjih bank, prizadel pa je tudi centralno banko in nekatera podjetja. Po dosedanjih podatkih gre za virus iz družine Petya, napad se širi tudi v druge evropske države.
Spomnimo, da je bila konec minulega leta Ukrajina tarča hekerskega napada, ki je povzročil izpad električne energije. To pot naj se to ne bi zgodilo. Ukrajinski distributer Ukrenergo je potrdil, da so njegovi sistemi ponovno tarče napada, a da ne prihaja do motenj v oskrbi z električno energijo. Napadene so tudi banke; ena večjih ukrajinskih državnih bank Oschadbank je sporočila, da so nekatere njihove storitve zaradi napada nedostopne, a zagotovila, da so podatki komitentov varni. Centralna banka je sporočila, da gre za napad z izsiljevalskim virusom.
Prizadetih je tudi vrsta podjetij. Maersk je potrdil, da so njihovi informacijski sistemi mestoma nedosegljivi zaradi napada. Tarče so tudi pošta, vlada, letališča, mobilni operaterji in medijske hiše. Celo agencija za nadzor radioaktivnega območja v Černobilu ima težave. Kot kaže, gre ponovno za napad z izsiljevalskim virusom, ki zaklene datoteke na disku in za dešifriranje zahteva 300 dolarjev v bitcoinih. Virus najprej zašifrira posamezne datoteke, potem pa zašifrira še MFT na disku, da podatkov ne moremo reševati z živega CD-ja. Disk je v celoti šifriran, vidna ni niti drevesna struktura, česar dosedanji virusi niso počeli.
Po neuradnih podatkih virus izkorišča isto ranljivost kakor WannaCry, torej Eternalblue. Špekulira se tudi, da virus vsebuje modul Loki za krajo osebnih podatkov (zlasti bančnih), ki jih odtuji pred zaklepom diska. Okužba se širi tudi izven Ukrajine, saj ima Maersk težave tudi na Otoku.
Novice » Kriptovalute » V Ukrajini ogromne težave zaradi izsiljevalskega virusa, ki se že širi na Zahod
war-dog ::
On Tuesday, March 14, 2017, Microsoft issued security bulletin MS17-010
Resno? Še zdaj niso posodobili sistemov?
Object reference not set to an instance of an object.
Glugy ::
"Po neuradnih podatkih virus izkorišča isto ranljivost kakor WannaCry, torej Eternalblue. "
Pri tako kritičnih sistemih je posodobitve treba namestit takoj ko je to mogoče. Jz ne vem kaj jim ni jasn. Igrajo se z infrastrukturo. Lahko bi kej hudo narobe šlo zato ker ne jemljejo resno svoje službe.
Pri tako kritičnih sistemih je posodobitve treba namestit takoj ko je to mogoče. Jz ne vem kaj jim ni jasn. Igrajo se z infrastrukturo. Lahko bi kej hudo narobe šlo zato ker ne jemljejo resno svoje službe.
war-dog ::
Kaj več je napisal SI-CERT:
https://www.cert.si/si-cert-2017-05/
https://www.cert.si/si-cert-2017-05/
Object reference not set to an instance of an object.
ender ::
Tole skoraj zagotovo ni tipičen ransomware, pač pa gre verjetno za poizkus uničenja čim več računalnikov.
Očitno se je napad začel preko okuženega popravka za nek ukrajinski računovodski program (ki ga morajo uporabljati tudi tuje firme, ki poslujejo v Ukrajini - preko tega naj bi bil okužen Maersk), cilj pa je najverjetneje čim večje motenje delovanja sistemov (bitcoini se zbirajo v eni sami denarnici, žrtve pa naj bi potrdilo o plačilu poslale na en sam e-poštni naslov, ki je bil praktično takoj ukinjen, tako da tudi če plačaš, ni možnosti dobiti nazaj ključa za dešifriranje).
Črv se po lokalnem omrežju širi z uporabo precej naprednih taktik - in sicer uporablja kodo iz Mimikatza da dobi gesla lokalno prijavljenih uporabnikov, s pomočjo katerih se potem prekopira po vseh računalnikih, kjer imajo ti uporabniki dovolj pravic, zato ne pomaga niti to, da so nameščeni vsi popravki.
Očitno se je napad začel preko okuženega popravka za nek ukrajinski računovodski program (ki ga morajo uporabljati tudi tuje firme, ki poslujejo v Ukrajini - preko tega naj bi bil okužen Maersk), cilj pa je najverjetneje čim večje motenje delovanja sistemov (bitcoini se zbirajo v eni sami denarnici, žrtve pa naj bi potrdilo o plačilu poslale na en sam e-poštni naslov, ki je bil praktično takoj ukinjen, tako da tudi če plačaš, ni možnosti dobiti nazaj ključa za dešifriranje).
Črv se po lokalnem omrežju širi z uporabo precej naprednih taktik - in sicer uporablja kodo iz Mimikatza da dobi gesla lokalno prijavljenih uporabnikov, s pomočjo katerih se potem prekopira po vseh računalnikih, kjer imajo ti uporabniki dovolj pravic, zato ne pomaga niti to, da so nameščeni vsi popravki.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
cache invalidation, naming things and off-by-one errors.
mojster_joni ::
a so ga spet srali z rusijo
kam dat filme brez registracije
kam dat filme brez registracije
Zgodovina sprememb…
- predlagalo izbris: zee ()
dronyx ::
Črv se po lokalnem omrežju širi z uporabo precej naprednih taktik - in sicer uporablja kodo iz Mimikatza da dobi gesla lokalno prijavljenih uporabnikov, s pomočjo katerih se potem prekopira po vseh računalnikih, kjer imajo ti uporabniki dovolj pravic, zato ne pomaga niti to, da so nameščeni vsi popravki.
Če dobi administratorska gesla in so ta na računalnikih enaka lahko torej okuži tudi povsem posodobljene računalnike in tudi Windows 10? To se sliši huje kot wannacry.
ender ::
Ja, precej huje. Uporablja tudi luknje, ki jih je uporabljal WannaCry, poleg tega pa uporablja še WMIC in psexec z ukradenimi gesli.
https://medium.com/@thegrugq/pnyetya-ye...
https://medium.com/@thegrugq/pnyetya-ye...
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.
cache invalidation, naming things and off-by-one errors.
flyby ::
ESET researchers have located the origin of this global epidemic. Attackers have successfully compromised the accounting software M.E.Doc, popular across various industries in Ukraine, including financial institutions. A trojanized update of M.E.Doc allowed attackers to launch the massive ransomware campaign that spread across Ukraine and then to targets in other nations.
vir
vir
ikeman ::
SeMiNeSanja ::
Tem virusom manjka še ena stopnja 'inteligence' - da pri žrtvi ekstrahirajo vse mail naslove iz adresarja in subjecte zadnjih mailov, katere so si s temi osebami izmenjevali. Nato samo še RE:____ in v priponki virus.
Ker v osnovi širijo te viruse preko maila, v prvi fazi lahko prizadanejo zgolj tiste osebe, katerih maile imajo v svoji bazi. V preteklosti smo že imeli črve, ki so se več kot uspešno širili preko takega postopka.
Zanimivo bi bilo vedeti, če Petya pokradena gesla sporoča tudi na svoj C&C strežnik. Mimikatz, ki ga uporabljajo za ekstrakcijo gesel je kar presneto učinkovito orodje. Ampak pri meni ga je že Windows defender blokiral. Me vem, ali imajo kakšno recompilirano verzijo Mimikatz-a, da ga AV-ji ne zaznajo....?
Zdaj si pa predstavljajte, da vam pokradejo še vsa gesla, ki jih imate shranjene v brskalnikih in mailih. Samo s tem vam lahko zagrenijo življenje, pa če vam podatke na disku sploh ne kriptirajo. Ko enkrat imajo gesla vaših mail accountov, lahko ponastavijo še druga gesla vseh preostalih storitev, kjer ne uporabljate dvostopenjske avtentikacije.
Backup je že cool, da ga imaš. Pomaga pa izključno takrat, ko ti podatke uničijo. Niti malo pa ne takrat, ko ti jih kradejo.
Ker v osnovi širijo te viruse preko maila, v prvi fazi lahko prizadanejo zgolj tiste osebe, katerih maile imajo v svoji bazi. V preteklosti smo že imeli črve, ki so se več kot uspešno širili preko takega postopka.
Zanimivo bi bilo vedeti, če Petya pokradena gesla sporoča tudi na svoj C&C strežnik. Mimikatz, ki ga uporabljajo za ekstrakcijo gesel je kar presneto učinkovito orodje. Ampak pri meni ga je že Windows defender blokiral. Me vem, ali imajo kakšno recompilirano verzijo Mimikatz-a, da ga AV-ji ne zaznajo....?
Zdaj si pa predstavljajte, da vam pokradejo še vsa gesla, ki jih imate shranjene v brskalnikih in mailih. Samo s tem vam lahko zagrenijo življenje, pa če vam podatke na disku sploh ne kriptirajo. Ko enkrat imajo gesla vaših mail accountov, lahko ponastavijo še druga gesla vseh preostalih storitev, kjer ne uporabljate dvostopenjske avtentikacije.
Backup je že cool, da ga imaš. Pomaga pa izključno takrat, ko ti podatke uničijo. Niti malo pa ne takrat, ko ti jih kradejo.
Markoff ::
Update računovodske aplikacije M.E.Doc predstavlja pacienta zero.
Morda bi bilo pa bolje, da sistemov sploh ne bi patchali, če ti kar proizvajalci legalnega SW dostavijo malware?
Morda bi bilo pa bolje, da sistemov sploh ne bi patchali, če ti kar proizvajalci legalnega SW dostavijo malware?
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
MrStein ::
žrtve pa naj bi potrdilo o plačilu poslale na en sam e-poštni naslov, ki je bil praktično takoj ukinjen, tako da tudi če plačaš, ni možnosti dobiti nazaj ključa za dešifriranje).
Le v čigavem interesu je to?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
MrStein ::
So ga že uspeli narediti cepivo za tale virus:
Kaj, a AV produkti ga ne prepoznajo in blokirajo?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
SeMiNeSanja ::
So ga že uspeli narediti cepivo za tale virus:
Kaj, a AV produkti ga ne prepoznajo in blokirajo?
V startu sta dva AV-ja nekaj 'pojamrala', zjutraj jih je menda bilo okoli 40 od 60, ki so to nekaj zaznavali...
Očitno ni polimorfen (v RTF datoteki ne moreš glih čuda delat), pa so še kar hitro poštukali zadeve na AV fronti, čeprav 1/3 proizvodov še to ni uspela v 24 urah. Žalostno po svoje.
MrStein ::
Ah ja. "Uporabljajte AV, pa boste varni."
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
SeMiNeSanja ::
Ah ja. "Uporabljajte AV, pa boste varni."
V firmah ta zadeva niti čez firewall nebi smela priti, ne glede na to, kateri AV uporabljaš na računalniku.
Ne vem, ali Gmail blokira RTF priponke. Jaz jih vsekakor ne spuščam, ker nimam niti enega partnerja ali stranke, ki bi pošiljala RTF datoteke. Isto velja verjetno za večino podjetij.
Sandbox analitike bi zadevo morale ravno tako zaznat (Lastline, ki ga imam jaz gor, je zadevo blokiral takoj, ko je vletel prvi primerek). Blokirajo ga pa tudi različni IPS sistemi, itd.
Skratka ne jokat. Prizadeti so predvsem varnostno nepismeni, update-lenobe in škrtice ki vztrajajo na opremi in rešitvah, ki so že vsaj 10 let zastarele.
MrStein ::
Ja, ne jokat. Merklova pa uvaja SS zaradi kibergrožnje. No reason for panic.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
SeMiNeSanja ::
SS? Kakšen SS? Staatstrojaner? To bi bilo S-T...
Pa nima ta veze z kibergrožnjami. Tega rabijo, da bodo lahko sumljive osebe (prodajalci drog, potencialni teroristi, ...) nadziral.
Pa nima ta veze z kibergrožnjami. Tega rabijo, da bodo lahko sumljive osebe (prodajalci drog, potencialni teroristi, ...) nadziral.
Pac-Man ::
jukoz ::
SeMiNeSanja je izjavil:
Skratka ne jokat. Prizadeti so predvsem varnostno nepismeni, update-lenobe in škrtice ki vztrajajo na opremi in rešitvah, ki so že vsaj 10 let zastarele.
Prizadeti so predvsem uporabniki MS Office in pika.
Ker iz nekega razloga moraš imeti makroje vedno vklopljene, če jih slučajno nimaš jih pa kot neumen uporabnik seveda vklopiš v trenutku, ko prejmeš sumljivo priponko po mailu. Ker službeni avto gre najhitreje po makadamu, službeni računalnika pa ne vem... nekaj podobnega.
Pa prosim razloži mi kaj ti bo FW RTF datoteke blokiral?
Ne boš verjel, iz nekega razloga se to še vedno uporablja. Sicer pa kaj, bomo prešli na PDF-je? Super, bodo pa luknje v Adobe Readerju zlorabljali.
Mimogrede, si dejansko dobil tele viruse? Ker mi smo opazovali virozo po mailih do konca maja, potem pa kot da bi odrezal - nič več.
Mimogrede, MS naredi "varen" windows 10, na katerega lahko inštaliraš stvari samo preko Windows Store. Razen seveda MS Office makroji, to pa ostane...
https://arstechnica.com/information-tec...
Zgodovina sprememb…
- spremenilo: jukoz ()
MrStein ::
žrtve pa naj bi potrdilo o plačilu poslale na en sam e-poštni naslov, ki je bil praktično takoj ukinjen, tako da tudi če plačaš, ni možnosti dobiti nazaj ključa za dešifriranje).
Le v čigavem interesu je to?
V interesu vseh, ki nimajo okuženega računalnika.
Torej se bo virus ognil mojega računalnika, ker je tisti mail blokiran?
Lahko malo bolj razložiš?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
SeMiNeSanja ::
Ne samo RTF - na mailu enostavno blokiraš vse priponke, ki niso eksplicitno dovoljene - nujno potrebne za poslovanje. Samo če se tega držiš, si že kar nekaj potencialnih problemov porezal proč.
Petya me tokrat ni nadlegoval, mi je pa pri prejšnjih virozah kar nekaj vletavalo. Je pa tudi možno, da Petya nisem 'registriral', ker sem ravno včeraj imel tisti server 'v remontu', ki mi fura karanteno in poročila za te nadloge. Definitivno pa nisem dobil nobene RTF datoteke, ker te kratkomalo 'porežem' in vržem proč, ter se sploh ne ukvarjam z njimi.
Drugače virusne datoteke neprestano vletavajo - če jih ne vidiš, to pomeni, da je nekaj narobe s tvojim zaznavanjem ali pa ti jih že nekdo prej prefiltrira. Ta mesec jih je bilo manj kot prejšnji, ampak v povprečju jih je še vedno ene toliko kot prej. Odstopala sta predvsem November in December, ko je bilo dejansko ogromno 'grdih priponk'.
Drugo je, če govorimo o 0Day zadevah, ki jih odkrivaš z peskovnikom, pa zadeva takointako nima kaj delat, če že AV prepozna škodljivca. Da vendarle 'dela' opaziš šele pri takšnih naprednejših zadevah, kot je bil wannacry, kjer je vsak mail imel pripeto drugačno datoteko z isto nadlogo, ki jo AV ne uspe zaznati.
Od Wannacry naprej je bilo na tej fronti dejansko precej mirno. Sem pa slišal, da se je Petya zelo uspešno ujel v peskovniku.
O 'varnih' sistemih pa nima smisla izgubljati besed. Vsak sistem je varen, če ni povezan nikamor. Čim ga povežeš, pa si naiven, če se zanašaš zgolj na oglaševano 'varnost' tega sistema. Tako ali drugače moraš na nek način imeti pod nadzorom, kaj boš dovolil, da se dogaja na omrežju. Pa če to že delaš, potem to nredi kot se gre.
Petya me tokrat ni nadlegoval, mi je pa pri prejšnjih virozah kar nekaj vletavalo. Je pa tudi možno, da Petya nisem 'registriral', ker sem ravno včeraj imel tisti server 'v remontu', ki mi fura karanteno in poročila za te nadloge. Definitivno pa nisem dobil nobene RTF datoteke, ker te kratkomalo 'porežem' in vržem proč, ter se sploh ne ukvarjam z njimi.
Drugače virusne datoteke neprestano vletavajo - če jih ne vidiš, to pomeni, da je nekaj narobe s tvojim zaznavanjem ali pa ti jih že nekdo prej prefiltrira. Ta mesec jih je bilo manj kot prejšnji, ampak v povprečju jih je še vedno ene toliko kot prej. Odstopala sta predvsem November in December, ko je bilo dejansko ogromno 'grdih priponk'.
Drugo je, če govorimo o 0Day zadevah, ki jih odkrivaš z peskovnikom, pa zadeva takointako nima kaj delat, če že AV prepozna škodljivca. Da vendarle 'dela' opaziš šele pri takšnih naprednejših zadevah, kot je bil wannacry, kjer je vsak mail imel pripeto drugačno datoteko z isto nadlogo, ki jo AV ne uspe zaznati.
Od Wannacry naprej je bilo na tej fronti dejansko precej mirno. Sem pa slišal, da se je Petya zelo uspešno ujel v peskovniku.
O 'varnih' sistemih pa nima smisla izgubljati besed. Vsak sistem je varen, če ni povezan nikamor. Čim ga povežeš, pa si naiven, če se zanašaš zgolj na oglaševano 'varnost' tega sistema. Tako ali drugače moraš na nek način imeti pod nadzorom, kaj boš dovolil, da se dogaja na omrežju. Pa če to že delaš, potem to nredi kot se gre.
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
MrStein ::
SeMiNeSanja je izjavil:
SS? Kakšen SS? Staatstrojaner? To bi bilo S-T...
Pa nima ta veze z kibergrožnjami.
Na poti k Evropski obrambni uniji: Čas je dozorel
Evropska komisija predlaga tri scenarije obrambne integracije EU-ja
28. junij 2017 ob 09:21
Ljubljana - MMC RTV SLO
"Svet, v katerem se globalne in regionalne sile ponovno oborožujejo, svet, v katerem teroristi napadajo v središču evropskih mest, in svet, v katerem se kibernetski napadi vrstijo, tudi Evropi ne zagotavlja več miru in varnosti."
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
SeMiNeSanja ::
Torej se bo virus ognil mojega računalnika, ker je tisti mail blokiran?
Lahko malo bolj razložiš?
Stop trolling!
Seveda je v interesu vsem, da se prepreči zaslužkarstvo z izsiljevalskimi virusi.
Manj ko bo izplena, manj se jim bo splačalo pošiljati take viruse v svet.
Če si pa slučajno med prizadetimi, si pa sam kriv. Že slišal za backup in podobne zadeve? Ti bo pač šola za drugič.
PrihajaNodi ::
Če si pa slučajno med prizadetimi, si pa sam kriv. Že slišal za backup in podobne zadeve? Ti bo pač šola za drugič.
Težava je ko ti zjebe tudi diske v raid fildu.
SeMiNeSanja ::
PrihajaNodi je izjavil:
Če si pa slučajno med prizadetimi, si pa sam kriv. Že slišal za backup in podobne zadeve? Ti bo pač šola za drugič.
Težava je ko ti zjebe tudi diske v raid fildu.
Zato pa pravim, da se ni samo na backup za zanašat. Backup je ok za doma, tudi v podjetju mora biti, ampak moraš podvzet še dodatne ukrepe, da ti nebi bilo treba posegat po backup-u.
Že ves čas pravim: ko enkrat rabiš restavrirat z backup-a, si že naredil celo vrsto napak, ki si jih nebi smel privoščiti.
Žal vsi vedno omenjajo backup kot ultimativno rešitev vseh težav. Pa ni tako. Backup je zgolj izhod v skrajni sili.
PrihajaNodi ::
Najboljša varianta je da imaš nek tretji medij na katerega se sistem priključuje po določenem času nato pa izklopi iz mreže (recimo vsake tri dni).
SeMiNeSanja ::
Maloprej sem bral en članek, ki opisuje tipično okužbo korak po korak.
Skupna ugotovitev na koncu je, da je z vsakim naslednjim korakom reševanje situacije bolj boleče.
Torej je treba naresti vse, kar je možno, da zadevo preprečiš čim prej. Tu veliko vlogo igra ozaveščenost uporabnikov, pa tudi proaktivno delovanje adminov, da tovrstnim zadevam že v osnovi onemogočijo dostop do omrežja in uspešno aktivacijo na njemu.
Če zadeve ustaviš že v kali, se ne rabiš ukvarjati z restorom raidov, ali celo nakupovanjem Bitcoinov. Pa tudi takšnih prizorov potem nisi deležen:
Skupna ugotovitev na koncu je, da je z vsakim naslednjim korakom reševanje situacije bolj boleče.
Torej je treba naresti vse, kar je možno, da zadevo preprečiš čim prej. Tu veliko vlogo igra ozaveščenost uporabnikov, pa tudi proaktivno delovanje adminov, da tovrstnim zadevam že v osnovi onemogočijo dostop do omrežja in uspešno aktivacijo na njemu.
Če zadeve ustaviš že v kali, se ne rabiš ukvarjati z restorom raidov, ali celo nakupovanjem Bitcoinov. Pa tudi takšnih prizorov potem nisi deležen:
jukoz ::
SeMiNeSanja je izjavil:
Ne samo RTF - na mailu enostavno blokiraš vse priponke, ki niso eksplicitno dovoljene - nujno potrebne za poslovanje. Samo če se tega držiš, si že kar nekaj potencialnih problemov porezal proč.
Petya me tokrat ni nadlegoval, mi je pa pri prejšnjih virozah kar nekaj vletavalo. Je pa tudi možno, da Petya nisem 'registriral', ker sem ravno včeraj imel tisti server 'v remontu', ki mi fura karanteno in poročila za te nadloge. Definitivno pa nisem dobil nobene RTF datoteke, ker te kratkomalo 'porežem' in vržem proč, ter se sploh ne ukvarjam z njimi.
Drugače virusne datoteke neprestano vletavajo - če jih ne vidiš, to pomeni, da je nekaj narobe s tvojim zaznavanjem ali pa ti jih že nekdo prej prefiltrira. Ta mesec jih je bilo manj kot prejšnji, ampak v povprečju jih je še vedno ene toliko kot prej. Odstopala sta predvsem November in December, ko je bilo dejansko ogromno 'grdih priponk'.
Drugo je, če govorimo o 0Day zadevah, ki jih odkrivaš z peskovnikom, pa zadeva takointako nima kaj delat, če že AV prepozna škodljivca. Da vendarle 'dela' opaziš šele pri takšnih naprednejših zadevah, kot je bil wannacry, kjer je vsak mail imel pripeto drugačno datoteko z isto nadlogo, ki jo AV ne uspe zaznati.
Od Wannacry naprej je bilo na tej fronti dejansko precej mirno. Sem pa slišal, da se je Petya zelo uspešno ujel v peskovniku.
O 'varnih' sistemih pa nima smisla izgubljati besed. Vsak sistem je varen, če ni povezan nikamor. Čim ga povežeš, pa si naiven, če se zanašaš zgolj na oglaševano 'varnost' tega sistema. Tako ali drugače moraš na nek način imeti pod nadzorom, kaj boš dovolil, da se dogaja na omrežju. Pa če to že delaš, potem to nredi kot se gre.
Mnja, seznam dovoljenih datotek je tako dolg da je lahko v uporabi le seznam prepovedanih. Pri nas svet na žalost ni tako preprost.
Si pa potrdil moje odkritje: "Petya me tokrat ni nadlegoval", kar pomeni da so tudi pri tebi AVji uspešno prestregli to virozo.
Ampak moja trditev ostaja, večinoma so žrtve uporabniki MS Office, zaradi makrojev in možnosti Office programov, da delajo svašta.
Tale mi zmaga:
"Banking trojan executes when targets hover over link in PowerPoint doc"
https://arstechnica.com/security/2017/0...
SeMiNeSanja ::
Zelo težko je reči, kje so se napajali z naslovi, kamor so Petyo distribuirali.
Dejansko pri nobeni analizi email malware-a doslej nisem zasledil raziskave distribucijskega mehanizma mailov. Ali se uporabljajo običajne spam baze, ali so naslovi ukradeni s kakšnih kompromitiranih portalov,....
Glede na to, da je prvi val udaril Ukraino, bi lahko posumil, da naslovi izvirajo iz kakšnih lokalnih baz, ki so jim kasneje dodali neke mednarodne, ki pa niso imele tolikšnega obsega kot lokalne. Ampak tu lahko samo ugibam....
Kar se tiče tipov priponk v mailih, pa teh ni toliko, da se nebi mogel iti whitelisting pristopa. Pravzaprav bi bil presenečen, kako malo različnih tipov datotek se običajno izmenjuje. Mogoče je kakšn izobraževalna ustanova malo bolj pestra glede tega, v poslovnih okoljih pa tega ni ravno prav veliko.
Splet (http) je tu bistveno bolj problematičen. Tukaj pa dejansko ne moreš iti po whitelisting metodi. Se pa potem lotiš blokiranja izvršljivih datotek za navadne uporabnike in upaš, da nisi pozabil na kakšno nevšečno varianto.
Office pa je pač tak kakršen je, in tu nimamo kaj. Ni naloga admina, da jamra. Se pač prilagodiš in narediš kar je v tvoji moči. Hover je lahko nevšečen kjerkoli, ne samo v powerpointu. Ampak saj je tudi avto/zdravilo/nož/... lahko koristen ali nevaren, mar ne? Hover sam po sebi ni noben problem. Problematičen šele postane, ko uporabniku dovoliš, da prenaša potencialno nevarne vsebine. Tu si pa spet na istem, kot pri splošnem brskanju po spletu.
Dejansko pri nobeni analizi email malware-a doslej nisem zasledil raziskave distribucijskega mehanizma mailov. Ali se uporabljajo običajne spam baze, ali so naslovi ukradeni s kakšnih kompromitiranih portalov,....
Glede na to, da je prvi val udaril Ukraino, bi lahko posumil, da naslovi izvirajo iz kakšnih lokalnih baz, ki so jim kasneje dodali neke mednarodne, ki pa niso imele tolikšnega obsega kot lokalne. Ampak tu lahko samo ugibam....
Kar se tiče tipov priponk v mailih, pa teh ni toliko, da se nebi mogel iti whitelisting pristopa. Pravzaprav bi bil presenečen, kako malo različnih tipov datotek se običajno izmenjuje. Mogoče je kakšn izobraževalna ustanova malo bolj pestra glede tega, v poslovnih okoljih pa tega ni ravno prav veliko.
Splet (http) je tu bistveno bolj problematičen. Tukaj pa dejansko ne moreš iti po whitelisting metodi. Se pa potem lotiš blokiranja izvršljivih datotek za navadne uporabnike in upaš, da nisi pozabil na kakšno nevšečno varianto.
Office pa je pač tak kakršen je, in tu nimamo kaj. Ni naloga admina, da jamra. Se pač prilagodiš in narediš kar je v tvoji moči. Hover je lahko nevšečen kjerkoli, ne samo v powerpointu. Ampak saj je tudi avto/zdravilo/nož/... lahko koristen ali nevaren, mar ne? Hover sam po sebi ni noben problem. Problematičen šele postane, ko uporabniku dovoliš, da prenaša potencialno nevarne vsebine. Tu si pa spet na istem, kot pri splošnem brskanju po spletu.
b3D_950 ::
Bi bilo dobro izvedet kaj so spremenile firme (renault, honda, itd. v prejšnjih napadih zaradi WannaCry), da se ne morejo spet okužit s čim podobnim (petya).
Zdaj ko je mir, jemo samo krompir.
jukoz ::
Par let nazaj so prihajali maili z nekim kvazi zip ali jpg ali neki. Dobil sem jih skupaj s CCjem razreda iz srednje šole. Seveda sem odprl zadevo, na srečo na linuxu. Ampak ja, dobro targetirano.
Seznam dovoljenih/prepovedanih priponk mi že izvajamo, te pa začudi kaj se uporablja v poslovnih okoljih - recimo XLSX. DOCX smo lahko blokirali, XLSX pa ne, ker ga ljudje uporabljajo. Kdo bi si mislil.
Pa ne da jammram, bolj se čudim kako kompleksno orodje je Office, ki pa ga povprečen uporabnik uporablja kake 2% funkcionalnosti. In se vprašam zakaj mora biti tako kompleksen. Zakaj mora poganjati PowerShell skripte?
No ja, stay safe vsi skupaj =)
Pri naših strankah smo admine prosili naj naložijo MSjeve popravke oz naj povejo za mašine ki jih ne morejo dobiti, da jih izločimo. Po nekem čudežu je bila pri eni stranki samo ena WannaCry okužba, ki pa se ni razširila. Res pa je da smo zelo sitni z nalaganjem popravkov, nergamo adminom naj poskrbijo za omrežje in kdaj pa kdaj izvedemo tudi šolanje uporabnikov (kar je sicer bolj kot ne brez veze - služben računalnik pa to). Ampak ja, začuda zaenkrat še nič resnega, pa imamo za stranke tako proizvodnje kot pisarne.
Je pa res da se ne da prepričat ljudi da bi razdelili omrežje in onemogoči dostope iz pisarn do računalnikov v proizvodnji. Ni časa, osebja, volje, denarja, ...
Seznam dovoljenih/prepovedanih priponk mi že izvajamo, te pa začudi kaj se uporablja v poslovnih okoljih - recimo XLSX. DOCX smo lahko blokirali, XLSX pa ne, ker ga ljudje uporabljajo. Kdo bi si mislil.
Pa ne da jammram, bolj se čudim kako kompleksno orodje je Office, ki pa ga povprečen uporabnik uporablja kake 2% funkcionalnosti. In se vprašam zakaj mora biti tako kompleksen. Zakaj mora poganjati PowerShell skripte?
No ja, stay safe vsi skupaj =)
Pri naših strankah smo admine prosili naj naložijo MSjeve popravke oz naj povejo za mašine ki jih ne morejo dobiti, da jih izločimo. Po nekem čudežu je bila pri eni stranki samo ena WannaCry okužba, ki pa se ni razširila. Res pa je da smo zelo sitni z nalaganjem popravkov, nergamo adminom naj poskrbijo za omrežje in kdaj pa kdaj izvedemo tudi šolanje uporabnikov (kar je sicer bolj kot ne brez veze - služben računalnik pa to). Ampak ja, začuda zaenkrat še nič resnega, pa imamo za stranke tako proizvodnje kot pisarne.
Je pa res da se ne da prepričat ljudi da bi razdelili omrežje in onemogoči dostope iz pisarn do računalnikov v proizvodnji. Ni časa, osebja, volje, denarja, ...
SeMiNeSanja ::
*.docx in *.xlsx so itak normalne priponke, katerih se ne moreš ogniti.
Bolj problematične so *docm in *.xlsm - variante dokumentov z makroji. Jaz jih blokiram pri sebi, pri eni stranki pa ni šlo - imajo dobavitelja, ki jim ravno v *.xlsm pošilja cenike. Pa smo tudi to rešili, da lahko samo on pošilja tovrstne datoteke, drugi pa ne.
Drugače pa je z večino zadev tako, da postajajo vse bolj kompleksne, uporabniki jih pa v čedalje manjšem obsegu še znajo uporabljati. Dovolj, da že pogledaš en malenkost bolj soliden avtoradio. Bog ne daj, da pogledaš tehnološke zadeve. Se še spomniš začetka Netscape-a in html-a iz tistih časov? Kaj so naredili iz html-a? Kdo danes še obvlada 100%? Večina nas komaj 2%, če nismo glih poklicni web programerji. Se je potem za čuditi, da se je Office tako 'napihnil'?
Bolj problematične so *docm in *.xlsm - variante dokumentov z makroji. Jaz jih blokiram pri sebi, pri eni stranki pa ni šlo - imajo dobavitelja, ki jim ravno v *.xlsm pošilja cenike. Pa smo tudi to rešili, da lahko samo on pošilja tovrstne datoteke, drugi pa ne.
Drugače pa je z večino zadev tako, da postajajo vse bolj kompleksne, uporabniki jih pa v čedalje manjšem obsegu še znajo uporabljati. Dovolj, da že pogledaš en malenkost bolj soliden avtoradio. Bog ne daj, da pogledaš tehnološke zadeve. Se še spomniš začetka Netscape-a in html-a iz tistih časov? Kaj so naredili iz html-a? Kdo danes še obvlada 100%? Večina nas komaj 2%, če nismo glih poklicni web programerji. Se je potem za čuditi, da se je Office tako 'napihnil'?
MrStein ::
SeMiNeSanja je izjavil:
Torej se bo virus ognil mojega računalnika, ker je tisti mail blokiran?
Lahko malo bolj razložiš?
Stop trolling!
Seveda je v interesu vsem, da se prepreči zaslužkarstvo z izsiljevalskimi virusi.
Manj ko bo izplena, manj se jim bo splačalo pošiljati take viruse v svet.
Če si pa slučajno med prizadetimi, si pa sam kriv. Že slišal za backup in podobne zadeve? Ti bo pač šola za drugič.
Če bi že bil okužen me ne bi skrbela možnost okužbe, se ti ne zdi?
Sicer pa: Vsakič ko pišeš o meni, se motiš.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
SeMiNeSanja ::
SeMiNeSanja je izjavil:
Torej se bo virus ognil mojega računalnika, ker je tisti mail blokiran?
Lahko malo bolj razložiš?
Stop trolling!
Seveda je v interesu vsem, da se prepreči zaslužkarstvo z izsiljevalskimi virusi.
Manj ko bo izplena, manj se jim bo splačalo pošiljati take viruse v svet.
Če si pa slučajno med prizadetimi, si pa sam kriv. Že slišal za backup in podobne zadeve? Ti bo pač šola za drugič.
Če bi že bil okužen me ne bi skrbela možnost okužbe, se ti ne zdi?
Sicer pa: Vsakič ko pišeš o meni, se motiš.
Narobe si razumel - tisti del "če si slučajno med prizadetimi..." ni bil mišljen osebno ampak splošno v smislu "kdorkoli je med prizadetimi...."
Glede trollanja pa ni dileme. Tu ni kaj dosti za motiti se. Točno veš, koliko ukrepov je možnih za samozaščito, pišeš pa, kot da nič ne veš o ničemer. Temu jaz pravim trollanje.
GrX ::
Načeloma si ogromne probleme podjetja in organizacije nakopljejo same, ker pač ne redno ne posodabljajo programske opreme..
krneki0001 ::
Pravijo da je pri nas TNT nastradal. In da je nemški Metabo tudi ugasnil vse serverje, pa ne morejo nič delat.
SeMiNeSanja ::
Morda pa imajo prav tisti, ki pravijo, da je bila vsa stvar targetirana na Ukraino, kot nekakšen povračilni ukrep - in ne kot izsiljevalski, temveč uničevalni virus.
Če je temu tako, potem so snovalci tega napada pozabili, da živimo v tesno povezanem svetu, da ne moreš ciljati samo eno tarčo, ne da bi povzročil še celo goro kolateralne škode. Če so res Rusi stali izza Petya, potem jim je bumerang priletel nazaj naravnost v glavo, saj so sesuli tudi lepo število ruskih računalnikov. To ti je tako, kot če vržeš atomsko bombo, potem pa odnese radioaktivni oblak naravnost nad tebe.
Če je temu tako, potem so snovalci tega napada pozabili, da živimo v tesno povezanem svetu, da ne moreš ciljati samo eno tarčo, ne da bi povzročil še celo goro kolateralne škode. Če so res Rusi stali izza Petya, potem jim je bumerang priletel nazaj naravnost v glavo, saj so sesuli tudi lepo število ruskih računalnikov. To ti je tako, kot če vržeš atomsko bombo, potem pa odnese radioaktivni oblak naravnost nad tebe.
srnjak ::
PrihajaNodi je izjavil:
Če si pa slučajno med prizadetimi, si pa sam kriv. Že slišal za backup in podobne zadeve? Ti bo pač šola za drugič.
Težava je ko ti zjebe tudi diske v raid fildu.
Kakšno zvezo pa ima raid polje z backupom?
MrStein ::
Veza obstaja v glavi tistih, ki se ne poznajo na te zadeve.
Nisem nič pisal o (samo)zaščiti.
SeMiNeSanja je izjavil:
. Točno veš, koliko ukrepov je možnih za samozaščito, pišeš pa, kot da nič ne veš o ničemer. Temu jaz pravim trollanje.
Nisem nič pisal o (samo)zaščiti.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
SeMiNeSanja ::
Veza obstaja v glavi tistih, ki se ne poznajo na te zadeve.
SeMiNeSanja je izjavil:
. Točno veš, koliko ukrepov je možnih za samozaščito, pišeš pa, kot da nič ne veš o ničemer. Temu jaz pravim trollanje.
Nisem nič pisal o (samo)zaščiti.
Točno. Zato je tvoje jadanje navadno trollanje.
Doma tudi ne jamraš, da moraš vrata zakleniti, da ti ne odnesejo iz stanovanja vse, kar ni pribito ali privijačeno. Pri računalniku pa hočeš, da se mu bodo barabe same od sebe ognile v velikem loku, ali pa da de bo kar sam od sebe 'zaklenil' pred barabami. That's not the way it works.
Sploh pa, kot se je očitno izkazalo, tale Petja takointako ni bil planiran, da bi kdo uspel kdaj rešiti podatke. S tem, da so zelo kmalu zaklenili navedeni mail account in to objavili, so zgolj omogočili, da vsaj malo bolje obveščene žrtve niso nasedle in plačale odkupnino s katero takointako nebi rešili svojih podatkov.
Skratka čas bo, da se snegulčica zbudi in nekaj naredi za samozaščito. Komur po Petya ni jasno, da tudi ob plačilu odkupnine ne sme računati na to, da mu bodo povrnili podatke, ta si dejansko zasluži, da jih izgubi.
Dejansko so vsi tisti, ki niso nič naredili za svojo samozaščito samo podžigali vso to ransomware štalo. Vsega tega nebi bilo, če bi ljudje imeli računalnike in omrežja ustrezno zavarovana in se vsaj malenkost razgledala glede tega, kdaj in kam se lahko klika.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Hekerski napad ohromil največjega norveškega proizvajalca aluminijaOddelek: Novice / Varnost | 5684 (4353) | AštiriL |
» | Boeing in mesto Atlanta prizadel izsiljevalski virusOddelek: Novice / Kriptovalute | 5914 (4464) | ZigaZiga |
» | Po Ukrajini in Rusiji pustoši BadRabbitOddelek: Novice / Kriptovalute | 8653 (6847) | MrStein |
» | O virusu NotPetya še manj jasnegaOddelek: Novice / Kriptovalute | 9187 (8322) | SeMiNeSanja |
» | Prvi izsiljevalski virus za AndroidOddelek: Novice / Varnost | 11477 (8884) | boolsheat |