Informacije o CryptoLocker, CryptoWall i ostalim Ransomware klonovima. Prevencija !

4

Informacije o CryptoLocker, CryptoWall i ostalim Ransomware klonovima. Prevencija !

online
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6040

Small update:

- Dodat link ka BC forumu sa informacijama o VaultCrypt, u proslosti poznat kao BAT.Encoder.27;
- Estetski izdvojena glupa sa linkovima, cisto da privuce necije oko tokom citanja;



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
online
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6040

Uskoro update clanka na tkz. Trojan.Encoder.741. Infekcija je trenutno aktivna, siri se koristeci exploit kits i putem piratskog sadrzaja. Trazi oko ~ 300$ i koristi AES 256 encryption. Izgleda da postoji bruteforce dekripcija no trenutno su kljucevi skladisteni u drWeb Labu.




online
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6040

Update:

- Azurirani "Alternativni Programi" sekcija, predstavljen novi CryptoMonitor program;
delo jednog vrsnog MalwareRemoval experta i coveka koji jos od pocetka nadgleda razvoj ransomwera i azurira jedan nas interni dijagnosticki alat koji sticajem slucajnih okolnosti nije tako cesto koriscen u Ambulanti.

- Azurirana "Dekripcija" sekcija, predstavljen CoinVault decrypter by Kaspersky

- Azurirana "Crypto' Timeline sekcija

online
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6040

...i posto trenutno nemam neki javni link ili clanak, za sada cisto informativno ovde. Ovaj info nije stavljen u clanak na prvoj strani.


Nov ransomware koji je napravio mali haos na Ruskim sajtovima, za sada poznat kao:
Trojan.Encoder.858, Trojan-Ransom.Win32.Shade.

Release date je ~ December 2014 god, koristi explot kits, piratski sadrzaj i slab password kao vektor napada.
Trenutno je i dalje aktivan u divljini (na internetu), ransom trazi oko 100$, koristi metodu RSA enkripticije, i za sada ne postoji metod brute force dekripcije.

AV/AM programi ce flagovati sledeci path.
- %systemroot%\readme.txt (10-ak takvih fajlova)
- C:\ProgramData\Windows\csrss.exe ili C:\Documents and Settings\All Users\application data\windows\csrss.exe

Ransom sadrzi sledece aktivne vrednosti u regeditu:

- HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Client Server Runtime Subsystem

- HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, <random 8 karaktera>



offline
  • _Sale 
  • Prijatelj foruma
  • Pridružio: 30 Jul 2010
  • Poruke: 10094

@magna86, sass drake, ...
Vezano za ovu temu: http://www.mycity.rs/Ambulanta/Infekcija-cryptolockerom.html#p1789909 , imate li saznanja da li i dalje CryptoPrevent pruža dovoljan stepen zaštite? Ažuran AV i oprez se podrazumevaju.
U tom programu, na default nivou piše da on pruža zaštitu, ali ne garantuju da će taj nivo biti dovoljan da zaustavi najnovije verzije ove pretnje.

offline
  • Research Engineer @MalwareBytes
  • Pridružio: 09 Avg 2011
  • Poruke: 15858
  • Gde živiš: Beograd

CryptoPrevent radi tako sto postavlja takozvane polise koje blokiraju pokretanje bilo kojeg izvrsnog fajla (.exe, .com, .pif, .scr i jos mnogo drugih u koje ulaze i skript fajlovi, kao sto je javascript .js)na odredjenim lokacijama gde je poznato da se malware obicno pokrece. Kod mene to izgleda ovako:

+ polise

Takodje, novije varijante se maskiraju, i sto ti mislis da izgleda kao .jpg ekstenzija je ustvari .exe ekstenzija. CryptoPrevent blokira i to.

Milsim da je CryptoPrevent i dalje itekako dobra zastita jer je konstantno azuriran. E sad postoji maksimalna zastita u okviru programa, ali ce ti blokirati sve zivo, tako da se ne preporucuje, barem ne za neiskusne korisnike.

offline
  • _Sale 
  • Prijatelj foruma
  • Pridružio: 30 Jul 2010
  • Poruke: 10094

Ja sam, videvši linkovani slučaj iz Ambulante, skinuo novu verziju CP i postavio na Maximum. Ne vidim nikakav problem u radu, jer sam štiklirao opciju da postojeći programi na računaru uđu u "belu listu". Prethodno "čist" sistem od malware-a je obaveza! Jedini koji je bio kolateralna šteta je uTorrent, koji se više ne pokreće sa Windows-om.
Inače, možda malo paničim ali na slave HDD-u imam gomilu privatnih slika i fajlova u vezi posla. Bila bi prava katastrofa da postanu nedostupni. Sam sistemski SSD mi nije nikakav problem, jer na njemu ne držim ništa bitno (što i ostalima toplo preporučujem).

online
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6040

Default podesavanja su dovoljna. Bolji i poznati AV/AM programi bi ovaj malware sprecili od izvrsenja, korisnik kao i obicno ne bi bio ni svestan sta je blokirano.
Nije ovaj tip bas toliko komplikovan (te ga je lako i blokirati). Problem nastaje ako se izvrsi.
Sto ne koristis i neki cloud based storage kao ne daj boze rezervni backup?

offline
  • _Sale 
  • Prijatelj foruma
  • Pridružio: 30 Jul 2010
  • Poruke: 10094

Imam eksterni HDD, ali mi nedostaje vreme da uradim jedan dobar bekap svega što je bitno, uključujući i bekap sistema.
Hvala obojici na iznetom mišljenju, danas ću vratiti podešavanje CP na default. Very Happy

offline
  • Pridružio: 27 Sep 2012
  • Poruke: 492
  • Gde živiš: BGD

http://www.techspot.com/news/64271-new-form-ransom.....-lock.html

Evil or Very Mad

Ko je trenutno na forumu
 

Ukupno su 523 korisnika na forumu :: 51 registrovanih, 7 sakrivenih i 465 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1567 - dana 15 Jul 2016 20:18

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: _Petar, aljosa7, aramis s, bojank, Boris90, botest, Botovac, brana959, CyberWarrior, d.arsenal321, darkomisic895, Dimitrise93, djonsule, drimer, DucicM, Gargantua2, goran.vvv, goxin, helen1, indja2, ivan979, Koca Popovic, Kožedub, kuntalo, magna86, Mercury2, Mihajlo2, Milos ZA, mladen.zovko, mongolac2, mushroom, N.e.m.a.nj.a., NenadG, ololosh, plavii, Ridiger_Reptyl, S-lash, sakota79, sekretar, slonic_tonic, Snorks, Srbin do koske, Srki94, Srpska zauvjek, Toni, vathra, VJ, vladetije, Voja1978, 119, 79693