Informacije o CryptoLocker, CryptoWall i ostalim Ransomware klonovima. Prevencija !

1

Informacije o CryptoLocker, CryptoWall i ostalim Ransomware klonovima. Prevencija !

online
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6040

Ovih dana primecena je pojacana aktivnost CryptoWall ver_3.0 (najnovija varijanta) i slicnih varijanti ove vrste u Ambulanti. CryptoWall je generalno poboljsana varijanta CryptoDefence ransoma, klon poznatog CryptoLocker-a.


Informacije o CrypotWall, saveti, sva potrebna uputstva i svi potrebni linkovi mozete naci u ovom vodicu. Procitajte ceo clanak pazljivo.




Ransomware poznati kao CryptoWall ili CryptoLocker i druge varijante spadaju trenutno u jedno od najopasnijih infekcija danasnjice.
Crypto Ransomware je toliko ozbiljno shvacen da US-CERT i DHS preporucuju Administratorima a i korisnicima da kontaktiraju FBI ukoliko neki korisnik bude inficiran CryptoLocker varijantom.
https://www.us-cert.gov/ncas/alerts/TA13-309A



Exclamation Vise o ovome procitajte na ovom linku. Svrha ovog teksta jeste prvenstveno preventiva.
http://www.mycity.rs/Zastita/Ransomware-kriptovira.....oWall.html


Cisto informativno, preporuka da bacite pogled na sledeci clanak:
https://www.htbridge.com/blog/ransomweb_emerging_website_threat.html

+ Citat: Klikni me




Da, kao sto vidite stvar je vrlo ozbiljna. Ukoliko 'Crypto' Ransomware prodje pored zastitnog programa i ucita svoje maliciozne fajlove, istog momenta pocinje da trazi sledece fajlove sa extenzijama na disku i kriptuje ih RSA kljucem. Lista extenzija koje neka Crypto-Ransom varijanta trazi i kriptuje je sledeca. Ova lista verovanto nije konacna:

*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm,
 *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2,
*.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng,
 *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf,
 *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12,
*.p7b, *.p7c






Pored svakog fajla koji 'Crypto-Ransom' kriptuje, vecina ima obicaj da ostavi poruku gde trazi od korisnika odredjenu novcanu sumu i uputstvo kako dekriptovati zahvacene fajlove. Tako na primer, mozda primetite sledece fajlove:
HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.TXT, HELP_DECRYPT.URL ili HOW_DECRYPT.HTML, HOW_DECRYPT.TXT i slicno



Kripcija je veoma mocna, konkretno CriptoWall koristi RSA-2048 tehnologiju.



Ukloniti sam malware nije veci problem za experta. Sami AntiMalware programi su vecinom dovoljno pametni da adresiraju poznate varijante.

Problem nastaje sa licnim fajlovima korisnika koji sam ransom pocinje da kriptuje od trenutka kada sam malware postaje aktivan pa do njegovog uklanjanja ili dok malware ne zavrsi sa kripcijom svih dokumenata pronadjenih na disku.




Exclamation    Na nasu zalost, leka za dekripciju trenutno nema.  Sad

Dok neka AV kompanija ne konfiskuje C&C server (citajte to kao sam pocetak ili originalni izvor ransoma) leka za dekrpiciju na zalost nema. Cak i tada, postoje mnoge varijante koje dolaze sa razlicitih izvora ...

 Idea Znajte, kod nekih prostijih ili starijih varijanti i postoji nada da se kriptovani fajlovi vrate u originalno stanje ali savremenim varijantama, konkretno za CrypotWall i slicne nove varijante malware-a na zalost trenutnog leka nema. Taktika povratka fajlova koristeci ShadowCopy tehnologiju koja je nekada bila nada, danas i sada biva 'obradjena' od strane svih varijanti po defaultu.





No, ono sto mozemo da savetujemo jeste preventiva.  Naravno, aktivan AntiVirus i AntiMalware softver i da pazite sta radite i preuzimate preko interneta.
Vise saveta u Ransomware / kriptoviralne infekcije (CryptoLocker, CryptoWall...) clanku.







* * * * *   Prevencija   * * * * *






Prevencija specijalizovanim programom:

Preporuka da imate instaliran MCShield. Postoje varijatne koje nameravaju da se prenesu i inficiraju sistem preko nekih USB prenosnih uredjaja.
MCShield poseduje posebnu Anti-CryptoLocker rutinu detekcije dizajnirana da adresira i varijatne koje nameravaju da se prosire putem USB uredjaja.





CryptoPrevent je mala aplikacija koja sprecava instaliranje svake poznate i nepoznate varijante CryptoLocker-a ali i svakog drugog 'Crypto' Ransom klona, i generalno malware-a koji koriste slicne rutine.

CryptoPrevent's FAQ <= Procitati!

Za razliku od AntiVirus ili AntiMalware programa koji ce uglavnom zaustaviti samo one varijante koje poznaju, CryptoPrevent koristi pametnu rutinu koja bi trebala da zaustavi svaki poznat ili nepoznat Crypto-Ransom malware jer blokira izvrsenje izvrsnih fajlova na onim lokacijama za koje je poznato da neka varijatna to moze da zloupotrebi.
Imajte na umu da malware postaje aktivan i opasan tek onda kada se njegovi izvrsni fajlovi ucitaju, a to ova aplikacija ce pokusati da spreci.


Preciznije, ova aplikacija kreira pametnu GPO polisu i na taj nacin sprecava ucitavanje svakog malicioznog fajla za koje je poznato da neka varijanta ovih ransoma moze da iskoristi da bi se ucitao u sistem.
Za strucnija lica, ova aplikacija formira zabrane nad sledecim extenzijama i lokacijama:
+ Primenjene polise na 'Default' opciji; Klikni Me







Uputstvo za upotrebu:
---   ---   ---   ---   ---
Preuzmite CryptoPrevent sa Officialnog FoolishIt sajta.
http://www.foolishit.com/vb6-projects/cryptoprevent/

- Dvoklikom na setup (CryptoPreventSetup.exe) pokrece se instalacija programa.
Process instalacije je klasican (Next > I agree > Next > Install> Finish)

- Na pitanje "Have you purchased a Product Key for Automatic Updates?" klik na No.

- Na pitanje "Are you interesting in learning more abaut automatic updates, or to purchase a product key" mozete izabrati No. Besplatna varijanta ce odraditi posao.
Ukoliko vas zanima da kupite Pro varijatnu ove aplikacije i nesto vise o auto-azuriranju aplikacije, izaberite Yes.  Browser ce se strartovati sa offical stranicom gde mozete naci vise informacija.

- U sledecem prozoru klik Ok da bi podesili samu aplikaciju.



* Default podesavanja za kucne korisnike bi trebala da odrade zadovoljavajuci posao.
Ukoliko zelite pojacati nivo zastite i agresivnosti aplikacije, mozete birati izmedju mocne 'Maximum Protections' opcije koja je mnogo agresivnija i osnovne 'Basic' zastite koja vas stiti samo od poznatih CryptoLocker varijanti.

- Po izboru, klik na Apply dugme.

- Po prvom startovanju aplikacije dobijate prozor i izbor gde birate da snimite postojece programe i ubacite ih u belu listu (whitelist) ignorisanja legitimnih programa koji su mozda zahvaceni CryptoPrevent rutinom zastite.
Exclamation Ako je vas sistem 'malware free', klik na Yes, program cita i refreshuje GPO i automacki pravi listu postojecih legitimnih programa.

- Da bi podesavanja GPO-a bila primenjena, potrebno je restartovati racunar.
---   ---   ---   ---   ---



Alternativni programi:


Arrow CryptoMonitor by Nathan.

Official site:
https://www.easysyncsolutions.com/cryptomonitordetails.html

Official disuciona tema na Bleeping Computer forumu:
http://www.bleepingcomputer.com/forums/t/572146/cr.....your-data/




Specijalno dizajniran program koji nastoji da spreci izvrsenje file encrypting malware. Ovo je dakle nova prava alternativa CryptoPrevent alatke predstavljena gore.

Alat nisam predstavljao ranije jer nije bio u tkz. stable (stabilnoj) verziji. Ovo azuriranje je prva stabilna verzija alata.

Alat je pod budnim okom razvoja nasih kolega sa bleeping computer foruma i svih ostalih vip security clanova.





--- --- --- --- ---




Idea Mozete koristiti i neki alternativni program od poznate AV kompanije, BitDefender.
Ova aplikacija radi isto kao i CryptoPrevent, nema razlike.

http://download.bitdefender.com/removal_tools/BDAntiCryptoLocker_Release.exe
http://download.bitdefender.com/removal_tools/BDAntiCryptoWall_Release.exe

Ne preporucuje se koriscenje oba programa (BitDefender i CryptoPrevent) istovremeno radi njihove prirode posla i moguceg konflikta.




Arrow Mozete probati i Malwarebytes Anti-Exploit - aplikacija dizajnirana da sprecava zero-day malware da iskoriscava ranjiv softver, infekcioni vektor koji cesto koristi ransomware.
No, MBAE je malo efikasan (ali i dalje koristan) u besplatnoj varijanti. Puna zastita MBAE se placa.






* * * * *   Legenda   * * * * *





Crypto' Ransom Malware - Timeline
File Encrypting Malware Timeline
- ACCDFISA [FEB '12] - CryptoLocker [SEP '13] - CryptorBit [DEC '13] - CryptoDefense [FEB '14] - BitCypt [MAR '14] - CryptoWall [APR '14] - CTB-Locker/Critroni [JUL '14] -
SynoLocker [AUG '14] - How-To-Decrypt [AUG '14] - ZeroLocker [AUG '14] - CryptoGraphic Locker [SEP '14] - TorrentLocker [SEP '14] - Supercrypt [OCT '14] -
CryptoWall 2.0 [OCT '14] - CoinVault [NOV '14] - KeyBTC [NOV '14] - Axcrypt [NOV '14] - KEYHolder [DEC '14] - Operation Global III [DEC '14] -
OphionLocker [DEC '14] - Shade [DEC '14] - BUYUNLOCKCODE [JAN '15] - PClock [JAN '15] - CryptoWall 3.0 [JAN '15] -
CryptoTorLocker2015 [JAN '15] - VaultCrypt [FEB '15] - TeslaCrypt [FEB '15] - CryptoFortress [MAR '15] -
Trojan.Encoder.741 [MAR '15] -




Navedena tabela komplentih infekcija koje su ugasene i one koje su i danas aktivne i pustene u divljini (in the wild a.k.a internet)







Arrow Ransomware ovog tipa koji su i dan danas aktivni i kruze internetom su sledece. Sve ostale varijante su trenutno ugasene.

CTB Locker/Critroni; SynoLocker; TorrentLocker/CryptoLocker Copycat;
CryptoWall 2.0; CoinVault; KeyBTC; Axcrypt,
KEYHolder; Operation Global III; OphionLocker; BUYUNLOCKCODE;
PClock; CryptoWall 3.0; CryptoTorLocker2015 i CryptoFortress.










*   Kratak brifing CryptoWall_ver 3.0
http://www.bleepingcomputer.com/forums/t/563169/af.....towall-30/






> ----- ----- ----- ----- ----- <

Arrow Linkovi.
Sve sto nasa Malware Removal zajednica zna o ovim infekcijama skuplja se i Grinler, Administrator Bleeping Computer sajta i foruma redovo ih osvezava.
Bitno je prouciti ih ! !


CryptoWall:
http://www.bleepingcomputer.com/virus-removal/cryp.....ryptowall3

CryptoLocker:
http://www.bleepingcomputer.com/virus-removal/cryp.....nformation

CryptoDefense:
http://www.bleepingcomputer.com/virus-removal/cryp.....nformation

TorrentLocker:
http://www.bleepingcomputer.com/virus-removal/torr.....nformation

CryptorBit:
http://www.bleepingcomputer.com/virus-removal/cryptorbit-ransomware-information

CTB Locker i Critroni Ransomware:
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

CryptoFortress
http://www.bleepingcomputer.com/forums/t/569157/cr.....rk-shares/
- analiza CryptoFortress - Kafeine's analysist
- analiza CryptoFortress - White Hat Mike's analysist

VaultCrypt (u proslosti nekima poznat kao 'BAT.Encoder.27')
http://www.bleepingcomputer.com/forums/t/570390/va.....s-hostage/

CoinVault
http://www.bleepingcomputer.com/virus-removal/coinvault-ransomware-information


> ----- ----- ----- ----- ----- <





* * * * *   Dekripcija   * * * * *



Dekripcija se zasniva na BruteForce tehnologiji. Od trenutno aktivnih ransom infekcija, samo za sledece varijante postoji metod moguce (ne zagarantovane) dekripcije:


CoinVault decrypter by Kaspersky

Alternativni izvrsni file:
https://noransom.kaspersky.com/static/kaspersky-coinvault-decryptor.exe


Dekripcioni alat koji je u stanju da otkljuca fajlove koji su zakljucani (kriptovani) od strane CryptoVault

Sve informacije na jednom mestu, diskusiona tema na bleeping computer forumu;





TorrentLocker/CryptoLocker Copycat. Dekripcija je moguca koristeci TorrentUnlocker
Fajlovi koji su kriptovani ovim malware-om pre 9. Septembra 2014 god. mogu biti dekriptovani.
Fajlovi koji su kriptovani ovim malware-om posle 9. Sep. '14 god. ne mogu biti dekriptovani.
quote: Due to Digital-forensics publicly releasing TorrentLocker flaw, files encrypted after cannot.



PClock
Zavisi od varijante. Procitati Fabian's FAQ


CryptoTorLocker2015
Dekripcija je moguca koristeci CryptoTorLocker2015_Decrypter.






Alternativne metode:
Rucno vracanje kriptovanih fajlova:

Po objavi ovih varijanti malware-a, prva nada za dekriptiju koju bi nasi alati koristili su Shadow Volume Copies. No, svaka novija varijanta ransoma, bila trenutno aktivna ili ne obradjuje SVC.

Imati na umu da 'Previous Versions' metoda i alat ShadowExplorer najverovatnije nece uspeti da vam povrati fajlove, ali nista vas ne kosta da probate.

Arrow  Preuzmite [url=https://www.mycity.rs/must-login.png alat i sacuvajte ga na Desktop

- desni klik na ShadowExplorer-0.9-portable.zip i klik Extract All. Izabrati Desktop za lokaciju i klik Extract
- desni klik ShadowExplorer.exe i izabrati Run as administrator
- prikazace se 'drop-down' meni sa izlistanim tkz. shadow kopijama odrejenog diska koji je prisutan.
- Klik C:\ sa tog 'drop-down' menija
- sa desne strane izabrati datum pre same infekcije za 'drop-down' menija.
- za vracanje celog foldera, desni klik na zeljeni folder i klik Export. U sledecem prozoru izabrati lokaciju gde zelite da vratite sadrzaj fajla ili foldera tj. njegovo stanje pre infekcije.



Arrow Mozete probati neki File Recovery Programe.
Ukoliko je ransom obrisao originalan file i zamenio ga sa kriptovanim, taj originalan file je mozda moguce povratiti, ako je fizicki i dalje prisutan na disku. Naime, kada se file obrise, originalni file se i dalje fizicki nalazi na disku, upisan u odredjenim sektorima i ceka da bude prepisan nekim drugim podatkom, Windows brise samo 'pointer' ka samom fajlu. Originali file je mozda i dalje tamo. Ali, imajte na umu da ransom mozda i ne brise originalan file. Svakako, vredi pokusati.

1. R-Studio  2. Photorec  3. Recuva





* * * * *   Dijagnostika   * * * * *




Predstavljam vam mali Grinler-ovog alat ListCwall koji iz registry izvlaci info o svim fajlovima koji su kriptovani. Ovaj alat ne vrsi dekripciju.
Ovo je cisto informacioni-dijagnosticni, non-invasive alat.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • SlobaBgd  Male
  • SuperModerator
  • Supermoderator tech foruma
  • Pridružio: 10 Okt 2005
  • Poruke: 12877
  • Gde živiš: Beograd

Koliko Group Policy ograničenja koja postavlja CryptoPrevent utiču na normalno korišćenje računara? Tu prvenstveno mislim na instalacije programa koje se raspakuju u temp foldere, kao i na portabilne aplikacije koje se takođe raspakuju u privremene foldere korisničkog profila. Takođe, da li CryptoPrevent sprečava da se kreiraju privremene datoteke kada preuzimamo fajlove preko download managera ili torrent klijenata?



online
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6040

Alat poseduje svoj whitelist. Po default podesavanjima, tempolary folder nije obuhvacen. Ako je aktivirana Max. protections, tada ce biti ukljucena polisa i za %localappdata% a to ukljucuje i %temp%.

Generalno, i pored whiteliste moze se desiti da alat blokira i neki legitimni file koja se izvrsava u %temp%. Naravno, to je za ocekivati usled prirode same aplikacije. Ali to ne bi trebalo da se desava cesto.

U svakom slucaju, u obicnom okruzenju, gde korisnici koriste ogranicen broj aplikacija na koji su navikli (browser, mozda app za muziku, neka igrica i sl.) i ne instaliraju nove aplikacije na dnevnom nivou, ovaj pristup je dobar i jedini pravi ako zelimo 97% sigurnosti.


Svakako, sve to je lako kontrolisano tako sto se na ikonicu startuje GUI programa, preko Advanced menu pristupiti Software Restriction Policies i Show More AdvancedOptions.

Na drugo pitanje, mislim da isto vazi kao i za ovo gore ako je selektovana Maximum Protections. Mr. Green

offline
  • Pridružio: 19 Dec 2010
  • Poruke: 1105
  • Gde živiš: Beograd

Moze li neko da mi obrazlozi zasto Dr.Web tvrdi da u 90% slucajeva imaju resenje?
Nije "clickable" pa ne mogu detaljnije da procitam sta tacno zele da kazu, ali su napisali da je rec o dekripciji.

offline
  • Research Engineer @MalwareBytes
  • Pridružio: 09 Avg 2011
  • Poruke: 15858
  • Gde živiš: Beograd

Cryptolocker je stara infekcija i za njega i postoje neke dekripcije. Za Cryptowall naprotiv nema resenja.

offline
  • Pridružio: 19 Dec 2010
  • Poruke: 1105
  • Gde živiš: Beograd

Tako sam i mislio. Dobra im je fora Smile

offline
  • Pridružio: 12 Feb 2007
  • Poruke: 1178

Lepo su napisali na koji problem imaju rešenje, na starije verzije, tako da nije nikakvo muljanje.

offline
  • higuy  Male
  • Legendarni građanin
  • penzionisani tabijatlija
  • crni hronicar
  • Pridružio: 21 Apr 2010
  • Poruke: 8565
  • Gde živiš: Dubocica

Mislim da bi ste trebali da proverite kretanje/posetu sajtovima, clanova sa CriptoWall 3 i ostalim Ransom infekcijama, potvrdjenim u Ammbulanti. Mr. Green

offline
  • Pridružio: 12 Feb 2007
  • Poruke: 1178

Imam dva zeta koji vole da klkću svuda gde im nešto šljašti pa tako i na FB i drugim sajtovima. Instalirao bih ovaj CryptoPrevent kod njih, samo me zanima kako se ažurira, pošto u free verziji nema automatsko ažuriranje. Da li se ažuriranje vrši instalacijom nove verzije programa ili na neki drugi način?

offline
  • higuy  Male
  • Legendarni građanin
  • penzionisani tabijatlija
  • crni hronicar
  • Pridružio: 21 Apr 2010
  • Poruke: 8565
  • Gde živiš: Dubocica

http://www.foolishit.com/vb6-projects/cryptoprevent/cryptoprevent-faq/

Ko je trenutno na forumu
 

Ukupno su 548 korisnika na forumu :: 60 registrovanih, 3 sakrivenih i 485 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1567 - dana 15 Jul 2016 20:18

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: _Petar, aljosa7, aramis s, bojank, Boris902, Botovac, brana959, bulma.daca98, CyberWarrior, d.arsenal321, darkomisic895, Dimitrise93, drimer, DucicM, Fisherman, flash12, Futurama, Gargantua2, goran.vvv, goxin, helen1, indja2, ivan979, Koca Popovic, Kožedub, kuntalo, Lošmi, magna86, Marko Marković2, Mercury2, Mihajlo2, Milos ZA, mongolac2, mushroom, N.e.m.a.nj.a., nenad812, NenadG, ololosh, plavii, Recce, Ridiger_Reptyl, S-lash, sakota79, Sale.S, sekretar, slonic_tonic, Snorks, Srbin do koske, Srki94, Srky Boy, Srpska zauvjek, thristoska, Toni, vathra, VJ, vladetije, Voja1978, zarkopanic6, 119, 79693