Крипто-вируси /ransomware/

[FearMe]

макар името да не е коректно, защото това не са вируси, а зловреден софтуер, криптиращ и искащ откуп, нека за по-лесно ги наричаме така

кои от вас колко и и какъв опит имат, защото от миналото лято насам доста хора изреваха?
на някои успях да помогна, на други - не

причината да пусна темата е, че имам човек, който за 4-ти (четвърти) път вече лепи подобна гадина!
първия път положението беше неспасяемо, втория изкара късмет и разбиването на паролата беше възможно, макар да отне 28 часа брутфорс на клокнатата ми i5-ца
третият и четвъртият път се случиха в рамките на 1 седмица, като този път поразен беше само партишън С, което беше "ново 20" за мен

не знам къде и как ги лови, компютърът е в домашна локална с още един, който остава чист, интернетът е от м-тел, уж не отваря атачмънти, файлове по скайпа и т.н.
при това не говорим за 15-но надървено хлапе, а за интелигентен и образован (но не и компютърно) човек

въпросните 3-ти и 4-ти път бяха дори с версии, които още не бяха известни на търсачките (4-тият път е от днес следобед), така че дори не мога да проверя дали е мод-ната версия на предната гадина или е нова (макар че ограниченото поразяване само на С ме навежда на първия вариант)

преди седмица разширението на енкриптнатите файлове беше muujo, но още няма оплакали се от такова нещо в нета

някой да го е срещал под това име или да го разпознава по поразяването само на С: ?

[ivodivo]

Обикновено идват прикачени уордовски файлове с макрос, който инжектира криптовируса. Мейла и файла са уж фактура...
Не знам как си го разбил ключа за 30 часа - това нещо не е било явно от сорта на познатите ми гадинки - криптира ли ти файловете пиеш студена вода.
Обаче за спирането на криптовируси трябва читав антивирус с апликейшън активити мониторинг... Разширенията дето си измислят все различни срещам - предполагам са случайно генерирани за машината жертва. Някои от криптовирусите криптират и споделените папки по мрежата... След като си свърши мръсната работа се самоунищожават за да няма следи от кода...

[glowndark]

Варианти от където да идват много. Прикачени фаилове - word - pdf, Флашки, adobe flash, мрежа.
Защитата като цяло - ползване на не администраторки акаунт, забрана на флаш, акуална версия на пдф и не отваряна на файлове от непознати. Също така един периодичен бекъп на важните фаилове, но така направен, че гадината да не може да направи бели и да криптира и него...

Също така добър антивирус с firewall би помогнал. Примерно Internet Security (разбира се не кракнат)

[Mr.TECHNO]

засега само Авира и касперски го засичат , нод-а се издъни.
веднъж се хванах и на неклокната i5-a, за 2 часа и половина с подходящия софтуер се справих но разширение him0m не можа да се справи никое тулче.

Идва през IE i ot webmail . Спасението е потребителски акаунт за работа и админ акаунт защитил дяла с по-сложна парола за важното инфо.

[Jack Krauser]

Ползата от антивирусни програми срещу криптовирусите е нулева. Доказано на практика. Всички заразени компютри до сега са били с включени антивирусни. Ефект никакъв. Даже напротив, антивирусните са сериозен пробив в сигурността.
Аз от години съм без никаква антивирусна програма, само със защитната стена на Уиндоус, браузвам из всякакви сайтове и до сега не съм имал случай вирус или зараза да ми поразят важни файлове на компютъра.

Самият уиндоус има достатъчно защити, заразяването в повечето случаи става изцяло по вина на задклавиатурното устройство. Дори ако се опитаме директно да стартираме зловредния файл, ще се включат поне няколко предупреждения, които потребителя игнорира и накрая сам си инсталира вируса.

Спазвам няколко прости правила и от години не съм имал проблеми с вируси и зарази:
1. Задължителен бекъп на системният дял. Използвам програмата R-Drive Image. Изключително лесна и удобна за правене на имиджи на дялове, а възстановяването с нея е елементарно. И е само 16 мегабайта.
2. Задължителен бекъп на важните файлове(снимки, документи, пароли и т.н.) на оптичен диск, като предварително са архивирани с възстановяващ запис в архива.
3. Задължително включена и правилно конфигурирана защитна стена и изключване на потенциално опасните услуги в Уиндоус като remote registry, server, file and printer sharing, remote asissitance и други.
4. Избягвам да инсталирам екзета и програми, които нямат валиден цифров подпис, освен това съм задал да се показват всички разширения на файловете.

Това са елементарните мерки, които вземам, всичко в браузъра ми е разрешено(включително флаш, джаваскрипт), акаунта ми е администраторски, нямам антивирусна, браузвам навсякъде
и до сега не съм имал случай вирус или зловреден софтуер да проникне отвън в компютърът ми,
освен ако аз самият нарочно не го инсталирам.

[panevdd]

Вчера попаднах на един такъв красавец - отворен е документ с макрос, 2 часа по-късно (когато ме извикаха) всички документи бяха с разширение .locky.
Антивирусните няма да се обадят, ако вируса е нов и не е описан в дефинициите - много фирми използват макроси за обработка на групи от документи, няма как да се знае кое действие ще доведе до загуба на информация.
Работата с ограничен акаунт ще помогне за да не се зарази цялата система, но документите на конкретния потребител + споделените ресурси, до които той има достъп "изгарят".
Засега решението е редовен backup - на някои компютри съм сложил един .bat файл, който при стартиране на компютъра архивира документите и ги качва на ftp сървър.
Малко теория на конспирацията: големите "играчи" (Google, Microsoft, вероятно и Apple) си осигуриха подслушването на потребителите по един или друг начин, сега ще направят така, че всеки да си "качва" документите в "облачните" им услуги. Естествено, в началото ще е по желание и безплатно, а след това (когато въведат общ стандарт за "облачен" документ) ще стане и платено. Т. е., "на ти този Windows/Android/Mac безплатно, пък каквото напишеш/произведеш/изобретиш остава за нас". Криптовирусите са за подсилване на мотивацията - все пак някои потребители не се блазнят от безплатния салам, трябва и тояга да има.

[ivodivo]

Ползата от антивирусни програми срещу криптовирусите е нулева. Доказано на практика. Всички заразени компютри до сега са били с включени антивирусни. Ефект никакъв. Даже напротив, антивирусните са сериозен пробив в сигурността.

Какви антивируси ползваш че такива изказвания? По спокойно - повярвай има и хващат с правилните настройки на политиките доста пазят - дори понякога в повече от необходимото - търси се компромис между комфорта на работа и защита. Не всеки в една фирма е хакер и не става без защита щото си цъкат дето сварят без да мислят повечето хора.

- - - - - - - - - -

Вчера попаднах на един такъв красавец - отворен е документ с макрос, 2 часа по-късно (когато ме извикаха) всички документи бяха с разширение .locky.

Засега решението е редовен backup - на някои компютри съм сложил един .bat файл, който при стартиране на компютъра архивира документите и ги качва на ftp сървър.

locky е коварен - типичен криптовирус. Обаче с този бач файл дето архивираш при старт на уина какво ще стане ако някой рестартира понеже са му се криптирали файловете - хоп ще замени читавите архиви с нови които са с криптирани файлове вътре... И още по гадното е че някой рестартират примерно 4-5 пъти за да проверяват дали аджеба няма да му се върнат файловете - та дори да се пазят 2-3 назад архива пак няма да помогне. Имахме случай след близо 2 месеца разбираме, че е имало заразена машина и е криптирала на споделено място файловете (рядко се ползват) - после архивите на архивния сървър са с криптирани вътре файлове и те назад с 2 месеца... За в къщи става лесно ама в една фирма с много служители и данни - трябва сериозна антивирусната защита с централизиран сървър с политики...

[panevdd]

... какво ще стане ако някой рестартира понеже са му се криптирали файловете - хоп ще замени читавите архиви с нови които са с криптирани файлове вътре...

Ще се възстановява архива от предишния ден - всеки архив е именуван с текущата дата.
Ето командите за архивирането, ползвам IZArc:

Код:

izarcc -a -r -p -cx "D:\N\net.zip" "C:\net\*.*" 
 
for /f "delims=" %%a in ('wmic OS Get localdatetime  ^| find "."') do set dt=%%a 
set YYYY=%dt:~0,4% 
set MM=%dt:~4,2% 
set DD=%dt:~6,2% 
 
rem set HH=%dt:~8,2% 
rem Min=%dt:~10,2% 
rem Sec=%dt:~12,2% 
rem set stamp=%YYYY%-%MM%-%DD%_%HH%-%Min%-%Sec% 
 
set stamp=%YYYY%%MM%%DD% 
d: 
cd d:\N 
ren d:\N\net.zip %stamp%.zip

След това има команди за качване на сървъра с WinSCP.

[VanDan]

Ето в тази тема Борба с криптовируси и всякакъв ransomware има дълго и широко обсъждано по въпроса. За някои видове след време се появяват тулчета за оправяне. Има обсъждани решения, но като цяло единственото е - бекъп на отделна машина (и) само с права за четене. И при важни неща и на външен носител.

[FearMe]

ъпдейт по "моя" казус

въпросният късметлия не ме послушал и си пуснал компа, в резултат на което забелязал, че изведнъж започват да изчезват и нещата по D:

това е абсолютно куриозно, защото принципно крипто-то си прави зулумите и се самоизтрива, а сега се активира повторно (освен ако не е ново )
умникът си закачил външния хард и започнал да "спасява" D-то....

ужас ме обзема какво ще заваря, ама като не слушат хората, така е!

няма антивирус/файъруол, който да ги спре
нито админ/гест акаунти, нито права за достъпи и т.н.

бекъп на външен хард и точка, иначе домашното порно става история

[oddi]

@Страх, пиши после дали сте спасили "Д-то".
И около мен е голяма веселба с тези криптота. На няколко мои познати успях да спася информацията, на други - цъ.
Последният ми случай е с крипто "мп3", всички файлове стават на музикални, голяма свирня ти казвам, хората плачеха като малки деца , не можах да им помогна.
Разбрах, че е от тези новите тесла криптове които нямат разбиване.
От началото на годината съм купил около 100 харда + няколко нас-а ( за роднини, познати , клиенти и т.н. ). Пари за хардове вече не се жалят.

[FearMe]

новини от поредния изревал преди няколко часа с лаптоп - разширение h3ll, който е пропуснал всичките снимки и медия, които имат кирилски символ в името или папката...

току виж това се окаже удачен метод за защита...

[glowndark]

Ползата от антивирусни програми срещу криптовирусите е нулева. Доказано на практика. Всички заразени компютри до сега са били с включени антивирусни. Ефект никакъв. Даже напротив, антивирусните са сериозен пробив в сигурността.
Аз от години съм без никаква антивирусна програма, само със защитната стена на Уиндоус, браузвам из всякакви сайтове и до сега не съм имал случай вирус или зараза да ми поразят важни файлове на компютъра.

Самият уиндоус има достатъчно защити, заразяването в повечето случаи става изцяло по вина на задклавиатурното устройство. Дори ако се опитаме директно да стартираме зловредния файл, ще се включат поне няколко предупреждения, които потребителя игнорира и накрая сам си инсталира вируса.

Спазвам няколко прости правила и от години не съм имал проблеми с вируси и зарази:
1. Задължителен бекъп на системният дял. Използвам програмата R-Drive Image. Изключително лесна и удобна за правене на имиджи на дялове, а възстановяването с нея е елементарно. И е само 16 мегабайта.
2. Задължителен бекъп на важните файлове(снимки, документи, пароли и т.н.) на оптичен диск, като предварително са архивирани с възстановяващ запис в архива.
3. Задължително включена и правилно конфигурирана защитна стена и изключване на потенциално опасните услуги в Уиндоус като remote registry, server, file and printer sharing, remote asissitance и други.
4. Избягвам да инсталирам екзета и програми, които нямат валиден цифров подпис, освен това съм задал да се показват всички разширения на файловете.

Това са елементарните мерки, които вземам, всичко в браузъра ми е разрешено(включително флаш, джаваскрипт), акаунта ми е администраторски, нямам антивирусна, браузвам навсякъде
и до сега не съм имал случай вирус или зловреден софтуер да проникне отвън в компютърът ми,
освен ако аз самият нарочно не го инсталирам.

Да нямаш антивирус, и да ползваш и разчиташ на 'firewalla' на микрософт....
По горе казах, да има надежден антивирус с firewall, защото тези гадини даже и да влязат искат да контактуват с 'сървъра' и firewall веднага ще я засече блокира тази активност (не маикрософтския разбира се)...

[blue1]

Много интересна тема! Аз като пълен лаик, да попитам дали правилно съм разбрал- снимки, видео и документи качени в облак, засягат ли се?

[Jack Krauser]