» »

Locky dobil nov način širjenja

Locky dobil nov način širjenja

Slo-Tech - Izsiljevalski virus Locky, ki že celo leto povzroča preglavice, ker žrtvam zašifrira vse podatke in za odklep zahteva plačilo pol bitcoina, kar je približno 350 evrov, je dobil nov način napada. V prvi polovici leta se je širil v glavnem z okuženimi makroji v Wordovih datotekah, se od septembra pospešeno širi med uporabniki omrežij, kot sta Facebook in LinkedIn. Raziskovalci so sedaj ugotovili, kako za okužbe izkorišča fotografije in luknje v omenjenih omrežjih.

Širi se prek slik, ki so jih napadalci uspeli naložiti na Facebook in LinkedIn ter druga družbena omrežja oziroma poslati prek vgrajenih orodij za komunikacijo. Okužene slike so oblikovane tako, da brskalnik prisilijo v prenos slikovne datoteke na disk (običajno se slike prenesejo v medpomnilnik in neposredno odprejo). Če uporabnik klikne odpri in odpre preneseno sliko, okuži svoj računalnik. Problematične so zlasti slikovne datoteke s končnicami SVG, JS in HTA, ki lahko vsebujejo skriptni del.

Podrobnosti še niso razkrili, ker še čakajo, da LinkedIn in Facebook zakrpata svoji strani, da napad ne bo več mogoč. Čeprav so jih o ranljivosti obvestili septembra, je še niso odpravili.

Po okužbi Locky zašifrira datoteke, strokovnjaki pa kljub trudu še niso uspeli izdelati orodja za odklep. Za zdaj zato žrtvam preostane le plačilo odkupnine, zato velja biti previden pri odpiranju datotek.

39 komentarjev

Phantomeye ::

Meni je pri teh izsiljevalskih forah všeč, da dejansko dobiš fajle nazaj, če plačaš.

Dober poslovni načrt, ki bi sicer hitro propadel, če bi pobral samo keš.

Izi ::

Problematične so zlasti slikovne datoteke s končnicami SVG, JS in HTA, ki lahko vsebujejo skriptni del.

To niso slikovne datoteke!
S slikami se nikoli ne moreš okužiti. Problem je, da ljudje ne vedo kakšne končnice imajo slike in potem klikajo na izvršne datoteke in s tem zaženejo virus na svojem računalniku.
HTA je izvršna datoteka za HTML jezik, JS je izvršna datoteka v Java Script jeziku, ...

Zgodovina sprememb…

  • spremenil: Izi ()

Nikonja ::

Backup, backup, backup..... pol pa ti ga locky lahko na kolenih.... :)

Ampal tragično je da 80% uporabnikov interneta pojma nimam kaj je backup

mtosev ::

na srečo tega še nisem fasal.
i like:) [Dell Inspiron 13 7000 - i7 6500U, 8gb ddr3, 256gb samsung, ips fhd]
moj oče darko 1960-2016
moj labradorec max 2002-2013

Izi ::

Nikonja je izjavil:

Backup, backup, backup.....

Občasen backup je seveda nujen, ampak backup je kurativa. Boljša je preventiva, ali po domače "bolje preprečiti, kot zdraviti".

Prva in glavna stvar je, da v operacijskem sistemu najprej vklopiš prikazovanje končnic. Novejši Windows sistemi imajo to po defaultu izklopljeno, kar je raj za širjenje virusov in črvov. Še posebej pa trojanskih konjev, ki so glavni vir okužb v današnjem času.
Druga stvar je pa učenje končnic. Dokler ne poznaš vse glavne končnice roke stran od računalnika. Če naletiš na neznano končnico nikoli ne klikaj na to datoteko ampak najprej pogooglaj kaj ta končnica pomeni.

Slike: JPG, JPEG, BMP, PNG, GIF, TIF, TIFF, ... To so glavne in na te lahko vedno klikaš brez skrbi, ostalih pa se raje izogibaj.
Izvršne datoteke: exe, com, bat, cmd, vbs, vbe, wsf, wsh, js, jse, hta, ... To so datoteke, na katere ne smeš nikoli klikniti razen, če zatrdno veš kaj zaganjaš.

Mare2 ::

Izi ti bom jaz dal en link, na katerega lahko klikneš. :)

Malajlo ::

Obstajata dve sorti uporabnikov. Tisti, ki backupirajo, in tisti, ki bodo to začeli.

MrStein ::

Hmm, danes mi je FF že dvakrat crashnil... Še komu nagaja?
Teštiram če delaž - umlaut dela: ä ?

Pithlit ::

Izi je izjavil:

S slikami se nikoli ne moreš okužiti. Problem je, da ljudje ne vedo kakšne končnice imajo slike in potem klikajo na izvršne datoteke in s tem zaženejo virus na svojem računalniku.
HTA je izvršna datoteka za HTML jezik, JS je izvršna datoteka v Java Script jeziku, ...

SVG je izvršna datoteka za...?
Life is as complicated as we make it...

mtosev ::

a ni SVG vektorska grafika?
i like:) [Dell Inspiron 13 7000 - i7 6500U, 8gb ddr3, 256gb samsung, ips fhd]
moj oče darko 1960-2016
moj labradorec max 2002-2013

MrStein ::

Vsak fajl, ki ti ga obdela računalnik (torej "odpre") lahko z neko verjetnostjo okuži računalnik.
A je to slo-tech ali slovenske novice?
Teštiram če delaž - umlaut dela: ä ?

Rias Gremory ::

Izi je izjavil:

Problematične so zlasti slikovne datoteke s končnicami SVG, JS in HTA, ki lahko vsebujejo skriptni del.

To niso slikovne datoteke!
S slikami se nikoli ne moreš okužiti. Problem je, da ljudje ne vedo kakšne končnice imajo slike in potem klikajo na izvršne datoteke in s tem zaženejo virus na svojem računalniku.
HTA je izvršna datoteka za HTML jezik, JS je izvršna datoteka v Java Script jeziku, ...

The other answers mostly talk about attaching arbitrary code to images via steganographic techniques, but that's not very interesting since it requires that the user be complicit in extracting and executing that. The user could just execute malicious code directly if that's their goal.

Really you're interested in whether there's a possibility of unexpected, arbitrary code execution when viewing an image. And yes, there is such a possibility of an attacker constructing a malicious image (or something that claims to be an image) that targets specific image viewing implementations with known flaws.


vir: Can malware be attached to an image?
Stop war, fund cat girls
Glorious PC gaming master race https://www.reddit.com/r/pcmasterrace/

Invictus ::

MrStein je izjavil:

Hmm, danes mi je FF že dvakrat crashnil... Še komu nagaja?

Ga ne uporabljam več, ker občasno zmrzne za 5 minut. Na ssd... Kaj dela zadaj, nimam pojma.

Bi pa rekel da Add-On engine sux, ker brez add-onov dela kul...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Izi ::

mtosev je izjavil:

a ni SVG vektorska grafika?

Je. Vektorska slika v XML formatu, ki sam po sebi ni nevaren. Problem je, da lahko SVG format vsebuje tudi JavaScript kodo. Ta del v JS je nekdo zlorabil in ob odpiranju vektorske slike se je zraven odprla še neka okužena internet stran, ki je na računalnik avtomatsko naložila ZIP datoteko. V ZIP datoteki je bila pa datoteka z EXE končnico v kateri je bil Locky.
Ta EXE datoteka se seveda ne more zagnati sama ampak mora uporabnik še vedno sam klikniti nanjo. Ampak očitno je bilo kar nekaj takih, ki so potem kliknili na ta EXE.

Nauk: Vsaka datoteka, ki omogoča JavaScript je potencialno nevarna.
Ampak kot sem rekel, izvršne datoteke, ki pridejo na naš računalnik se ne morejo zagnati same. Na koncu se vedno računa na uporabnikovo neumnost, da bo kliknil na kakšno exe datoteko za katero ne ve kako se je znašla na njegovem računalniku. Zato se tem datotekam reče Trojanski konji.

OK.d ::

Izi je izjavil:

Nikonja je izjavil:

Backup, backup, backup.....

Občasen backup je seveda nujen, ampak backup je kurativa. Boljša je preventiva, ali po domače "bolje preprečiti, kot zdraviti".

Prva in glavna stvar je, da v operacijskem sistemu najprej vklopiš prikazovanje končnic. Novejši Windows sistemi imajo to po defaultu izklopljeno, kar je raj za širjenje virusov in črvov. Še posebej pa trojanskih konjev, ki so glavni vir okužb v današnjem času.
Druga stvar je pa učenje končnic. Dokler ne poznaš vse glavne končnice roke stran od računalnika. Če naletiš na neznano končnico nikoli ne klikaj na to datoteko ampak najprej pogooglaj kaj ta končnica pomeni.

Slike: JPG, JPEG, BMP, PNG, GIF, TIF, TIFF, ... To so glavne in na te lahko vedno klikaš brez skrbi, ostalih pa se raje izogibaj.
Izvršne datoteke: exe, com, bat, cmd, vbs, vbe, wsf, wsh, js, jse, hta, ... To so datoteke, na katere ne smeš nikoli klikniti razen, če zatrdno veš kaj zaganjaš.

No poduči nas nevedneže, kje se to vklopi:(
LPOK.d

zmaugy ::

Nikonja je izjavil:

Backup, backup, backup..... pol pa ti ga locky lahko na kolenih.... :)

Ampal tragično je da 80% uporabnikov interneta pojma nimam kaj je backup


Pri backupu je samo vprašanje koliko dni dela si izgubil. Kolikor vem če delaš backup ekstremno redno, ti ta nesnaga lahko zjaha tudi backup diske.
Po mojem je precej bolj varna reč (poleg zdrave pameti) uporaba linuxa.

Duhec ::

OK.d je izjavil:

...No poduči nas nevedneže, kje se to vklopi:(

Win8/10: odpri Raziskovalca, zavihek Datoteka in v oddelku Pokaži/skrij dodaj kljukico pri "Datotečne pripone" ali daljše : Nadzorna plošča/Možnosti raziskovalca/zavihek Pogled/in odstrani kljukico pred "Skrij pripone za znane vrste datotek"
XP: odpri Raziskovalca, Tools, Folder Options, zavihek Pogled in odstrani kljukico pred "Skrij pripone za znane vrste datotek"
http://blackbird.si/

Randomness ::

S slikami se nikoli ne moreš okužiti.
Sanja svinja kukuruz ...

Slike: JPG, JPEG, BMP, PNG, GIF, TIF, TIFF, ... To so glavne in na te lahko vedno klikaš brez skrbi, ostalih pa se raje izogibaj.
Tudi v sliki se seveda lahko skriva trojanec, ki izkorišča kako še nezakrpano ranljivost v programu, s katerim "odpreš" sliko. In ja, za okužbo potencialno zadostuje že dvoklik na tako sliko.

Zgodovina sprememb…

Izi ::

Randomness, to ne drži. Ne širi nepotrebne panike. Bitne slike, kot so JPG, BMP, PNG in podobne ne morejo vsebovati prav ničesar nevarnega.

Kar pa se tiče Ransomware, pa bi bilo dobro omeniti še, da vsa ta moderna nesnaga, ki ti zakodira datoteke, zakodira popolnoma VSE do česar lahko dostopa iz okuženega računalnika. Ne samo notranje enote, ampak tudi zunanje enote, ključke, NAS in celotno lokalno mrežo računalnikov, vse kar je v deljenju preko mreže.

Backup mora biti torej fizično popolnoma izključen iz lokalne mreže ali domačega NAS, drugače ti bo zakodiralo tudi backup in si oplel :P
Pravi backup je torej v oblaku ali na zunanji enoti, ki je ugasnjena in spravljena v omari.

Zgodovina sprememb…

  • spremenil: Izi ()

Rias Gremory ::

Bitne slike, kot so JPG, BMP, PNG in podobne ne morejo vsebovati prav ničesar nevarnega.
[citation needed]
Stop war, fund cat girls
Glorious PC gaming master race https://www.reddit.com/r/pcmasterrace/

Evolve ::

Backup mora biti torej fizično popolnoma izključen iz lokalne mreže ali domačega NAS, drugače ti bo zakodiralo tudi backup in si oplel :P


Nekako ni res. Če je to neka amaterska izvedba backupa, to drži. V primeru pravilne izvedbe backup sistema pa je ta strah odveč.

Pravi backup je torej v oblaku ali na zunanji enoti, ki je ugasnjena in spravljena v omari.


krpito virus popapa tudi oblačne datoteke(dropbox,gdrive,onedreive..)

N4g4c3N ::

Podrobnosti še niso razkrili, ker še čakajo, da LinkedIn in Facebook zakrpata svoji strani, da napad ne bo več mogoč.


Facebook in LinkedIn imata tukaj le delno vlogo - omogočata širjenje datotek. Glavno odgovornost tukaj nosi operacijski sistem, ki ob odpiranju končnic .svg, .js in .hta omogoča izvršbo zlobne kode. Te iste datoteke bi se recimo lahko širile tudi prek emaila ali drugih spletnih strani.

Evolve ::

N4g4c3N je izjavil:

Podrobnosti še niso razkrili, ker še čakajo, da LinkedIn in Facebook zakrpata svoji strani, da napad ne bo več mogoč.


Facebook in LinkedIn imata tukaj le delno vlogo - omogočata širjenje datotek. Glavno odgovornost tukaj nosi operacijski sistem, ki ob odpiranju končnic .svg, .js in .hta omogoča izvršbo zlobne kode. Te iste datoteke bi se recimo lahko širile tudi prek emaila ali drugih spletnih strani.


uporabnik je tukaj problem. OS sam od sebe ne počne traparij :) (običajno :)))

Spc ::

Narod ne vidi, da je to .hta file ?
Telemach is a land of confusion in Slo-tech je podkupljen iz strani ProPlus-a.
https://tinyurl.com/lr8hydo

[D]emon ::

Izi> Bitne slike, kot so JPG, BMP, PNG in podobne ne morejo vsebovati prav ničesar nevarnega.

Prodajas buce.
I'm really easy to get along with, once you cretins learn to worship me.

jype ::

Izi> Bitne slike, kot so JPG, BMP, PNG in podobne ne morejo vsebovati prav ničesar nevarnega.

https://support.microsoft.com/en-us/kb/...

https://packetstormsecurity.com/files/1...

meacho ::

PARTyZAN ::

Izi, daj rajši nehaj, no. Smešiš se.
i7 6700K | GTX970 | Z170 PG | 16 GB DDR4-2666
Leadex Gold 650W | Xonar Phoebus | Samsung 830 256GB

Izi ::

PARTyZAN je izjavil:

Izi, daj rajši nehaj, no. Smešiš se.

Hahaha, in to le naj bi bila računalniško tehnična stran. Prebiram pa mite in nebuloze, ki bi jih pričakoval na kakšni rumeni strani tipa 24ur. Dajte no malo pameti v glavo preden poberete vsako neumnost, ki ste jo nekje slišali.

McMallar ::

Gre za semantiko - kaj kdo razume kot nevarno kodo. Formati kot so jpg, bmp, jpg in podobni ne vsebujejo izvrsljive kode tako da slika v tem formatu ne predstavlja direktne nevarnosti. Ampak ce je slika pokvarjena na pravilen nacin in je na klientu namescena ranljiva programska oprema, potem lahko ta slika sesuje sistem oz. omogoci izvajanje druge kode.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Izi ::

McMallar je izjavil:

Gre za semantiko - kaj kdo razume kot nevarno kodo. Formati kot so jpg, bmp, jpg in podobni ne vsebujejo izvrsljive kode tako da slika v tem formatu ne predstavlja direktne nevarnosti. Ampak ce je slika pokvarjena na pravilen nacin in je na klientu namescena ranljiva programska oprema, potem lahko ta slika sesuje sistem oz. omogoci izvajanje druge kode.

V tem primeru bi šlo za bug v slikovnem programu in exploit buga. Bitne slike odpira cel kup različnih programov. Od najbolj enostavnih pregledovalnikov slik pa do najbolj profi obdelovalnikov slik kot je Photoshop. V "najslabšem" primeru lahko sliko res tako pokvariš, da se bo program sesul, ampak s tem ne boš dosegel nič.
Sploh pa to nima nobene veze z virusi, še posebej pa ne z CryptoLockerji, ki so že pravi programi in tako veliki, da se jih ne da podtakniti nikamor. Zaradi svoje velikosti so to vedno samostojne EXE datoteke, ki so kompresirane v ZIP, da se lahko v doglednem času prenesejo na računalnik tudi tistim s počasnejšim internetom.
Razlike so samo kako nepridipravi poskušajo to ZIP datoteko spraviti na tvoj računalnik. Na koncu pa moraš še sam zagnati tisto EXE datoteko.

Ta mit o škodljivih slikah je nastal zaradi tega, ker Windows po defaultu skriva končnice. Nekaj ljudi je tako kliknilo na "Sika.jpg" ne da bi vedeli, da je prava končnica skrita in je to v resnici "Slika.jpg.exe" In tako se je začel širiti mit da te slika lahko okuži.

Zgodovina sprememb…

  • spremenil: Izi ()

darkolord ::

Seveda se jih da podtakniti. Podtakne se loader, ki lockerja stanka z neta. Če je uporabljen exploit, ki omogoča izvrševanje kode, ga lahko tudi direkt požene.
spamtrap@hokej.si
spamtrap@gettymobile.si

PARTyZAN ::

Izi: velikokrat se vprašam, če si trol.

jype in meacho sta ti dala konkretne povezave, ti pa še vedno vrtiš tole svojo lajno. Datoteka kateregakoli formata lahko vsebuje zlonamerni payload, vse kar moraš naredit je zlorabit varnostno luknjo v programski opremi, ki jo žrtev uporablja za ogled.
i7 6700K | GTX970 | Z170 PG | 16 GB DDR4-2666
Leadex Gold 650W | Xonar Phoebus | Samsung 830 256GB

mtosev ::

nisem vedel, da so lahko tudi virusi v slikah. a v videjih so tud lahko?
i like:) [Dell Inspiron 13 7000 - i7 6500U, 8gb ddr3, 256gb samsung, ips fhd]
moj oče darko 1960-2016
moj labradorec max 2002-2013

GupeM ::

Preberi si post nad tvojim. Da ti pomagam:

PARTyZAN je izjavil:

Izi: velikokrat se vprašam, če si trol.

jype in meacho sta ti dala konkretne povezave, ti pa še vedno vrtiš tole svojo lajno. Datoteka kateregakoli formata lahko vsebuje zlonamerni payload, vse kar moraš naredit je zlorabit varnostno luknjo v programski opremi, ki jo žrtev uporablja za ogled.

meacho ::

Dober primer je npr. lanskoletna stagefright Android luknja, kjer je napaka v multimedia playerju..
http://www.howtogeek.com/225834/stagefr...

rupsi31 ::

MrStein je izjavil:

Hmm, danes mi je FF že dvakrat crashnil... Še komu nagaja?



Ja. Od, od kar je updejtan na najnovejšo verzijo 50.0. se tud men kar precej crasha.

SeMiNeSanja ::

Jao kakšne trditve o slikah....

Nekaj let nazaj je bila cela panika, ker so odkrili buffer overflow bug v windowsih, ki je omogočal ravno to, da si preko ustrezno 'preparirane' slikovne datoteke na računalnik namestil malware.

Takrat so zadevo pokrpali, ampak to ne pomeni, da ne obstajajo še kakšne druge podobne ranljivosti, ki še niso bile raz/od-krite.

V principu pa lahko vsaka aplikacija, ki ima neko buffer overflow ranljivost, do katere se pride preko odpiranja datotek, v sistem injicira malware. Pa nima veze, ali je to jpg, doc ali pdf. Zakaj pa mislite, da kar naprej krpajo pdf viewer?

Še to...kot primer 'problematične slike' - moj tamal ima PSP. Na njemu poganja homebrew igrice. Da bi jih lahko poganjal, najprej odpre eno 'slikico'. Ta sproži buffer overflow, preko katerega se potem 'ubeži' kontroli, ki si jo je izmislil Sony in zažene homebrew igrice. Sony bi temu rekel 'malware'.... ampak v tem primeru se gre za uporabniku 'prijazen malware'.

Jupito ::

Backup mora biti torej fizično popolnoma izključen iz lokalne mreže ali domačega NAS, drugače ti bo zakodiralo tudi backup in si oplel :P
Pravi backup je torej v oblaku ali na zunanji enoti, ki je ugasnjena in spravljena v omari.


Ravno to je razlog, da potem backup ni redno (ali nikoli) narejen (že pri domačih uporabnikih z eno mašino). Rešitev za bolj robusten on-site backup je npr. namenski backup server (podvajanje shranjenih podatkov "izven dosega" uporabnika, shranjevanje več verzij datotek) ali pa server + uporaba network (pxe) boot-a, tako da ne delaš backupa iz ranljivih sistemov in do shranjenih datotek ti tudi nimajo dostopa (nobenega ftp ali priklopljenih diskov in klientov v os...)
Potem pa lahko seveda avtomatiziraš še nalaganje v internete (pardon, ablak!) ali magari na kasete, če si ekstra paranoičen).

Avtomatizacija, pobje! It's teh fjučr. Menda bi zdaj radi bi avte, ki sami šofirajo, krompir bi pa na roke lupili?
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Locky dobil nov način širjenja

Oddelek: Novice / Varnost
395709 (2426) Jupito
»

Microsoftu bržkone tudi evropska zelena luč za prevzem LinkedIna

Oddelek: Novice / Nakupi / združitve / propadi
263186 (1817) FTad
»

LinkedIn spam?

Oddelek: Loža
111068 (500) kunigunda
»

LinkedInu leta 2012 ukradli 100 milijonov gesel, ne le 6

Oddelek: Novice / Varnost
283808 (1937) [D]emon
»

LinkedIn želi s kotacijo prehiteti Facebook

Oddelek: Novice / Ostale najave
64984 (3872) Matevžk

Več podobnih tem