Informacije o CryptoLocker, CryptoWall i ostalim Ransomware klonovima. Prevencija !

4

Informacije o CryptoLocker, CryptoWall i ostalim Ransomware klonovima. Prevencija !

online
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6044

Small update:

- Dodat link ka BC forumu sa informacijama o VaultCrypt, u proslosti poznat kao BAT.Encoder.27;
- Estetski izdvojena glupa sa linkovima, cisto da privuce necije oko tokom citanja;



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
online
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6044

Uskoro update clanka na tkz. Trojan.Encoder.741. Infekcija je trenutno aktivna, siri se koristeci exploit kits i putem piratskog sadrzaja. Trazi oko ~ 300$ i koristi AES 256 encryption. Izgleda da postoji bruteforce dekripcija no trenutno su kljucevi skladisteni u drWeb Labu.




online
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6044

Update:

- Azurirani "Alternativni Programi" sekcija, predstavljen novi CryptoMonitor program;
delo jednog vrsnog MalwareRemoval experta i coveka koji jos od pocetka nadgleda razvoj ransomwera i azurira jedan nas interni dijagnosticki alat koji sticajem slucajnih okolnosti nije tako cesto koriscen u Ambulanti.

- Azurirana "Dekripcija" sekcija, predstavljen CoinVault decrypter by Kaspersky

- Azurirana "Crypto' Timeline sekcija

online
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6044

...i posto trenutno nemam neki javni link ili clanak, za sada cisto informativno ovde. Ovaj info nije stavljen u clanak na prvoj strani.


Nov ransomware koji je napravio mali haos na Ruskim sajtovima, za sada poznat kao:
Trojan.Encoder.858, Trojan-Ransom.Win32.Shade.

Release date je ~ December 2014 god, koristi explot kits, piratski sadrzaj i slab password kao vektor napada.
Trenutno je i dalje aktivan u divljini (na internetu), ransom trazi oko 100$, koristi metodu RSA enkripticije, i za sada ne postoji metod brute force dekripcije.

AV/AM programi ce flagovati sledeci path.
- %systemroot%\readme.txt (10-ak takvih fajlova)
- C:\ProgramData\Windows\csrss.exe ili C:\Documents and Settings\All Users\application data\windows\csrss.exe

Ransom sadrzi sledece aktivne vrednosti u regeditu:

- HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, Client Server Runtime Subsystem

- HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, <random 8 karaktera>



offline
  • _Sale 
  • Prijatelj foruma
  • Pridružio: 30 Jul 2010
  • Poruke: 10161

@magna86, sass drake, ...
Vezano za ovu temu: http://www.mycity.rs/Ambulanta/Infekcija-cryptolockerom.html#p1789909 , imate li saznanja da li i dalje CryptoPrevent pruža dovoljan stepen zaštite? Ažuran AV i oprez se podrazumevaju.
U tom programu, na default nivou piše da on pruža zaštitu, ali ne garantuju da će taj nivo biti dovoljan da zaustavi najnovije verzije ove pretnje.

offline
  • Research Engineer @MalwareBytes
  • Pridružio: 09 Avg 2011
  • Poruke: 15859
  • Gde živiš: Beograd

CryptoPrevent radi tako sto postavlja takozvane polise koje blokiraju pokretanje bilo kojeg izvrsnog fajla (.exe, .com, .pif, .scr i jos mnogo drugih u koje ulaze i skript fajlovi, kao sto je javascript .js)na odredjenim lokacijama gde je poznato da se malware obicno pokrece. Kod mene to izgleda ovako:

+ polise

Takodje, novije varijante se maskiraju, i sto ti mislis da izgleda kao .jpg ekstenzija je ustvari .exe ekstenzija. CryptoPrevent blokira i to.

Milsim da je CryptoPrevent i dalje itekako dobra zastita jer je konstantno azuriran. E sad postoji maksimalna zastita u okviru programa, ali ce ti blokirati sve zivo, tako da se ne preporucuje, barem ne za neiskusne korisnike.

offline
  • _Sale 
  • Prijatelj foruma
  • Pridružio: 30 Jul 2010
  • Poruke: 10161

Ja sam, videvši linkovani slučaj iz Ambulante, skinuo novu verziju CP i postavio na Maximum. Ne vidim nikakav problem u radu, jer sam štiklirao opciju da postojeći programi na računaru uđu u "belu listu". Prethodno "čist" sistem od malware-a je obaveza! Jedini koji je bio kolateralna šteta je uTorrent, koji se više ne pokreće sa Windows-om.
Inače, možda malo paničim ali na slave HDD-u imam gomilu privatnih slika i fajlova u vezi posla. Bila bi prava katastrofa da postanu nedostupni. Sam sistemski SSD mi nije nikakav problem, jer na njemu ne držim ništa bitno (što i ostalima toplo preporučujem).

online
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6044

Default podesavanja su dovoljna. Bolji i poznati AV/AM programi bi ovaj malware sprecili od izvrsenja, korisnik kao i obicno ne bi bio ni svestan sta je blokirano.
Nije ovaj tip bas toliko komplikovan (te ga je lako i blokirati). Problem nastaje ako se izvrsi.
Sto ne koristis i neki cloud based storage kao ne daj boze rezervni backup?

offline
  • _Sale 
  • Prijatelj foruma
  • Pridružio: 30 Jul 2010
  • Poruke: 10161

Imam eksterni HDD, ali mi nedostaje vreme da uradim jedan dobar bekap svega što je bitno, uključujući i bekap sistema.
Hvala obojici na iznetom mišljenju, danas ću vratiti podešavanje CP na default. Very Happy

offline
  • Pridružio: 27 Sep 2012
  • Poruke: 492
  • Gde živiš: BGD

http://www.techspot.com/news/64271-new-form-ransom.....-lock.html

Evil or Very Mad

Ko je trenutno na forumu
 

Ukupno su 381 korisnika na forumu :: 12 registrovanih, 1 sakriven i 368 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1567 - dana 15 Jul 2016 20:18

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: BSD, chester_perry, drasko003, ILGromovnik, Iwo Jima, magna86, mačković, miodrag2, Niko Bitan2, petar_asroma, Roxy music, sasa76