» »

Nov kriptovirus Locky na pohodu, napada tudi bolnišnice

1
2
»

darkolord ::

k4vz0024 ::

Pa kaj čakajo?>:D

A obstaja, od teh, ki ga zaznajo, tudi v portable verziji?

Zgodovina sprememb…

  • spremenil: k4vz0024 ()

SeMiNeSanja ::

Najcenejši in najbolj učinkovit AV je pri teh rečeh zdrav človeški razum.
Komur ni jasno, da mu nekdo, za kogar še živ dan ni slišal, nima kaj pošiljati maile s kakršnimikoli priponkami, še manj pa jih ima po nepotrebnem za odpirat, temu še tako pameten antivirus ne bo pomagal, saj ga bo na koncu šel celo izklopiti, da bi se lahko napasel na tisti hudo pomembni priponki.

Pameten človek, pa bo celo pri kolegu/šefu/stranki preveril, kaj mu pošilja, če od njega nič ne pričakuje in šele potem odprl priponko, ko bo prepričan, da mu res kolega/šef/stranka nekaj pošilja.

Če bi se ljudje SAMO TEGA držali, bi bilo 90% manj virusov na računalnikih!

A kaj ko je firbec hujši kot pamet in priponke nujno treba odpreti prej, kot se prepričati, če jih je pametno odpreti....

Zgodovina sprememb…

Xserces ::

Kakšen je potek dela tega lockyja? Dobiš mail al pa karkol, odpreš... potem kaj? ti iz šusa kriptera?
Intel i5-3570k @4.7GHz|MSI GTX 970 4G|MSI Z77 MPower|
G. Skill 8 GB 1600MHz|Corsair AX750|Seagate Barracuda 2TB|NZXT Gamma|

Zgodovina sprememb…

  • spremenil: Xserces ()

darkolord ::

Dobiš mail, odpreš. Stanka ti fajl z neta, odpreš(?). Pol ti pa začne takoj na polno "kripterat", ja.

Xserces ::

torej morš 2x odpret al 1x? :D
Intel i5-3570k @4.7GHz|MSI GTX 970 4G|MSI Z77 MPower|
G. Skill 8 GB 1600MHz|Corsair AX750|Seagate Barracuda 2TB|NZXT Gamma|

Miha 333 ::

Odpreš email sporočilo, odpreš priponko, ta zahteva, da za pravilen prikaz vsebine vklopiš makre. Ko to narediš, ta makro naloži in zažene virus.

Glugy ::

Kr mal neverjetno se mi zdi kako veliko antivirusnih tega virusa ne zazna. Virus je zunaj že kr nekaj časa pa še zdej niso zrihtal. Kaj čakajo?

SeMiNeSanja ::

Glugy je izjavil:

Kr mal neverjetno se mi zdi kako veliko antivirusnih tega virusa ne zazna. Virus je zunaj že kr nekaj časa pa še zdej niso zrihtal. Kaj čakajo?

Še nisi slišal, da se viruse 'prepakira', da vsakič drugače zgledajo?
Datoteko pošiljajo toliko časa skozi 'mlinček', kjer se jo prekodira, dokler jo večina AV proizvodov ne prepozna več kot virus, potem pa ti jo pošljejo.

darkolord ::

 28.3.2016

28.3.2016


 30.3.2016

30.3.2016

opeter ::

AmokRun je izjavil:

Sploh če je treba plačati vsak teden. :D


Tedensko? Kaj pa, če se ti isto zgodi vsak dan?
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

SeMiNeSanja ::

opeter je izjavil:

AmokRun je izjavil:

Sploh če je treba plačati vsak teden. :D


Tedensko? Kaj pa, če se ti isto zgodi vsak dan?

Baje, da se na napakah učimo.....?

DSI ::

Je več vrst tega lockya. Ponavadi dobiš po e-mailu zip priponki, ki vsebuje .js datoteko (včasih je tudi dvojna končnica, npr doc.js).
V tem fajlu je "hudo" obfuskirana JavaScript koda. Bistvena stvar, ki se notri skriva je link do enega ali večih strežnikov (večinoma gre za razna pohekana WP, Joomla, itd. spletišča), kjer je naložena exe datoteka.
Ta exe datoteka pa potem poskrbi za šifriranje fajlov. Med šifriranjem se na več strežnikov (tudi v tem primeru gre večinoma za slabo zaščitene strežnike) pošlje šifrirni ključ, ki ti ga potem po plačilu odkupnine posredujejo (skupaj s programom za dekripcijo). Stran za plačilo odkupnine je tipično v tor omrežju.
Druga varianta, ki deluje sicer po enakem principu pa je preko Office macrov - v tem primeru je pač najpogosteje v mailu priponka z .docm končnico.

darkolord ::

DSI je izjavil:

Med šifriranjem se na več strežnikov (tudi v tem primeru gre večinoma za slabo zaščitene strežnike) pošlje šifrirni ključ, ki ti ga potem po plačilu odkupnine posredujejo (skupaj s programom za dekripcijo).
Majhen detajlček - iz strežnika se pošlje javni ključ za enkripcijo. Ključ za dekripcijo pa vedno ostane pri njih.

rokp ::

Kako se pa potem dekriptira? Gredo, ko placas, podatki kriptirani do njih in se vrnejo dekriptirani?

Xserces ::

Ne. pošljejo ti ključ
Intel i5-3570k @4.7GHz|MSI GTX 970 4G|MSI Z77 MPower|
G. Skill 8 GB 1600MHz|Corsair AX750|Seagate Barracuda 2TB|NZXT Gamma|

solatko ::

Ali pa tudi ne.
Delo krepa človeka

rokp ::

Potem pa verjetno pri zgornjem opisu (o kljucih) nekaj ne stima?

SeMiNeSanja ::

solatko je izjavil:

Ali pa tudi ne.

Večinoma ga pošljejo - nekako bi slabo delovalo na bizniz, če bi se enkrat razvedelo, da je čista tombola, če boš dobil ključ za dekripcijo.

Me pa malo preseneča, da nihče še ni pogruntal, kako prestreči ključ, ko ti ponujajo 'demo' za dekripcijo parih izbranih datotek (ne vem, ali je bilo to pri Lockiju ali keri drugi inačici).

Drugače pa zdaj baje po novem grozijo, da bodo v primeru, da ne plačaš odkupnine, na internetu objavili tvoje osebne podatke, kompromitirajoče fotke, dokumente,....
Za enkrat je zgolj pri grožnji. Če jo bodo udejanili, bo pa sploh še pestro. Kar na enkrat bodo vsi imeli tvoje dokumente, samo ti ne :|

Je pa to kar precejšen korak naprej, če bi to hoteli udejaniti. Vprašanje, kje bi to potem objavljali, kako,....

darkolord ::

Me pa malo preseneča, da nihče še ni pogruntal, kako prestreči ključ, ko ti ponujajo 'demo' za dekripcijo parih izbranih datotek (ne vem, ali je bilo to pri Lockiju ali keri drugi inačici).
Nazadnje ko sem gledal, si uploadal zaklenjeno datoteko, dobil pa odklenjeno. Nisi dejansko dobil ključa.

SeMiNeSanja ::

darkolord je izjavil:

Me pa malo preseneča, da nihče še ni pogruntal, kako prestreči ključ, ko ti ponujajo 'demo' za dekripcijo parih izbranih datotek (ne vem, ali je bilo to pri Lockiju ali keri drugi inačici).
Nazadnje ko sem gledal, si uploadal zaklenjeno datoteko, dobil pa odklenjeno. Nisi dejansko dobil ključa.

Potem pa dejansko nimaš kaj prestreči, razen IP naslova strežnika, ki izvaja te dekripcije (ki pa ima dostop do ključev). Ampak ta verjetno leži nekje na TOR omrežju in ti IP naslov nič ne koristi....

zero_max ::

Kolikor berem... Locky...napada le podatke na računalniku (npr. word dokumente, pdfe, slike uporabnika, itd.)...ostale fajle pa ne... tiste, ki skrbijo da OS dela normalno, programe,itd.... a se ne bi moglo narediti nekega programa, nekakšne specifične zaščite le za podatke...torej le tisti del stvari na disku, ki so na udaru.

Zgodovina sprememb…

  • spremenilo: zero_max ()

johnnyyy ::

darkolord je izjavil:

Me pa malo preseneča, da nihče še ni pogruntal, kako prestreči ključ, ko ti ponujajo 'demo' za dekripcijo parih izbranih datotek (ne vem, ali je bilo to pri Lockiju ali keri drugi inačici).
Nazadnje ko sem gledal, si uploadal zaklenjeno datoteko, dobil pa odklenjeno. Nisi dejansko dobil ključa.

Mi smo imeli primer, da smo dobili le link na TORu. Gor so bili podatki, na kater BTC račun se naj denar nakaže. Po transakciji pa smo lahko download-ali .exe program, ki avtomatsko dešifrira vse šifrirane datoteke.

Stvari so avtomatizirane. Ob nakazilu denarja, se je takoj pojavil status, da je denar v sprejemanju.

misek ::

DSI je izjavil:

Je več vrst tega lockya. Ponavadi dobiš po e-mailu zip priponki, ki vsebuje .js datoteko
No, to sem dobil jaz. In kako se js sploh zažene? Preko brskalnika?

harmony ::

SeMiNeSanja je izjavil:


Drugače pa zdaj baje po novem grozijo, da bodo v primeru, da ne plačaš odkupnine, na internetu objavili tvoje osebne podatke, kompromitirajoče fotke, dokumente,....
Za enkrat je zgolj pri grožnji. Če jo bodo udejanili, bo pa sploh še pestro. Kar na enkrat bodo vsi imeli tvoje dokumente, samo ti ne :|

Je pa to kar precejšen korak naprej, če bi to hoteli udejaniti. Vprašanje, kje bi to potem objavljali, kako,....

Uf to bi rad videl. Posebej od firem, ki dnevno sluzijo od nekaj par 100.000 € do nekaj mil €. Mogoce bi se pa koncno zmigali investirati v IT tako kot se zagre, ne pa neko sljakanje z neki "Home made" fajrwolcki in no name antivirusnimi programi. Seveda se ne sme pozabiti tudi vlaganje v ljudi, ki delajo v IT...

sandmodnigga ::

Ahim je izjavil:

SeMiNeSanja je izjavil:

Treba je počasi razumeti, da je treba začet gledat, KAJ spustiš do uporabnika, ne pa zgolj po katerih portih mu boš dovolil komunicirat.


"Saj imam antivirusnik" (po moznosti luknjast, nikoli nadgrajen ali z 'izposojeno' licenco in zaradi tega nenadgrajen)

Mnogi racunalnisko-neuki ljudje dejansko verjamejo, da jih bo antivirusnik zascitil pred lastno nepazljivostjo, nekako tako kot da bi te poznavanje CPP carobno zascitilo pred senilnim starckom, ki zapelje na avtocesto v nasprotni smeri.

Tezko jim je dopovedati, da najboljsi antivirusnik ne pomaga proti 0-day nadlogam, se tezje pa, da vecina tezav sploh ne pride sama od sebe ampak jih zakrivijo uporabniki na najbolj naivne mozne nacine ("saj mi je poslal sodelavec z druge strani pisarne, sicer ne vem zakaj v zulu-slovenscini, ampak ce je zraven priponka sexxxx_must_see.exe.doc jo moram pa res odpreti, kaj pa ce je kaj zelo pomembnega?! najboljse da ga ne vprasam cez mizo kaj je zdaj to ampak cim prej kliknem").

Zdravilo za neumnost je samo eno in ima prevec stranskih ucinkov za resno uporabo.

Najboljši antivirusniki ne pomagajo niti proti x-let starim nesnagam. Saj če bi ljudje razumeli, da so antivirusniki isto sranje drugo pakovanje kot zavarovalnice pri recimo avtomobilih, bi šlo. Zavarovalnice tudi ne preprečujejo nesreč, le pomagajo pri posledicah.

misek ::

In kako antivirusni program pomaga pri posledicah?

AC_DC ::

misek je izjavil:

DSI je izjavil:

Je več vrst tega lockya. Ponavadi dobiš po e-mailu zip priponki, ki vsebuje .js datoteko
No, to sem dobil jaz. In kako se js sploh zažene? Preko brskalnika?

Preko email klienta.
https://blogs.mcafee.com/mcafee-labs/lo...

Campaign Version Three
https://blog.avast.com/a-closer-look-at...

sandmodnigga ::

darkolord je izjavil:

 28.3.2016

28.3.2016


 30.3.2016

30.3.2016


A ni zanimivo? Čuri-muri kvazi zahodni plačljiv AV ne zazna tega, en za đabe kitajc pa ga? Plačaš za premium, pa še premiuma vidiš ne.

misek je izjavil:

In kako antivirusni program pomaga pri posledicah?

Vsi, vsi namreč odstranjujejo, ko ga že imaš.

Zgodovina sprememb…

misek ::

sandmodnigga je izjavil:


misek je izjavil:

In kako antivirusni program pomaga pri posledicah?

Vsi, vsi namreč odstranjujejo, ko ga že imaš.

Ja, ampak kakšno povezavo ima to z zavarovalnicami? Pri njih ponavadi dobiš nekaj denarja.
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Locky dobil nov način širjenja

Oddelek: Novice / Kriptovalute
3911906 (8623) Jupito
»

izsiljevalski virus Locky (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
16940526 (31636) SeMiNeSanja
»

Truecrypt - napad s seznamom

Oddelek: Informacijska varnost
72082 (1512) mat xxl
»

Nov kriptovirus Locky na pohodu, napada tudi bolnišnice (strani: 1 2 )

Oddelek: Novice / Kriptovalute
7932379 (28365) misek
»

Losangeleška bolnišnica plačala odkupnino zaradi hekerskega napada

Oddelek: Novice / Kriptovalute
3515071 (12809) noraguta

Več podobnih tem