1. Здраво и добредојдовте на форумот на IT.mk.

    Доколку сеуште не сте дел од најголемата заедница на ИТ професионалци и ентузијасти во Македонија, можете бесплатно да се - процесот нема да ви одземе повеќе од 2-3 минути, а за полесна регистрација овозможивме и регистрирање со Facebook и Steam.
    Сокриј

Crypto Locker - превенција

Дискусија во форумот 'Компјутерска безбедност' започната од FLEGMA, 6 ноември 2013.

  1. FLEGMA

    FLEGMA
    Epic

    8,378
    12,504
    2 Август 2012
    Машко
    Веројатно имате слушнато за Crypto Locker вирус односно ransom тројан кој ги енкриптира податоците на локалните и мрежните дискови и кој бара откупнина за декрипција во висина од 300$ односно 300 евра.

    IMHO
    После CIH вирусот кој оштетуваше хардвер ова е најопасниот вирус од поново време. Лек за заразените нема освен да се плати откупнина или да се форматираат дисковите или враќање од бекап.


    Меѓутоа вечерва прочитав радосна вест од творците на Hitman Pro. Го направиле Hitman Pro Alert 2.5 со CryptoGuard кој, судејќи од промотивното видео, одлично ја врши својата работа односно го спречува и го неутрализира овој злонамерен код.

    http://www.surfright.nl/nl/alert/cryptoguard



    Јас веќе го инсталирав покрај NIS 2013
     
    На Kajsibebraat, psyside, StalkeR и уште 5 други им се допаѓа ова.
  2. xhktw

    xhktw
    Practice makes perfect

    1,128
    1,114
    2 Август 2009
    Wow shit, ова можеби и ќе ме натера да инсталирам антивирус повторно. Што нема да се изуми веќе.

    Благодарам на информацијата!
     
    На FLEGMA му/ѝ се допаѓа ова.
  3. FLEGMA

    FLEGMA
    Epic

    8,378
    12,504
    2 Август 2012
    Машко
    Опортунистите што не инсталираат антивирус лајкс дис

    Иако ова умее да се протне. Никој не знае дали ќе мутира или е мутирано.
    До сега идеше како атачмент со скриена екстензија но ликот од видеото се зарази со посета на веб страна што беше нов момент за мене (мислев дека треба да се егзекутира лично)
     
    На doctorwho123 му/ѝ се допаѓа ова.
  4. xhktw

    xhktw
    Practice makes perfect

    1,128
    1,114
    2 Август 2009
    Одамна постои вирус кој сам може да се покрене (поготово ако UAC е исклучен) а тоа е наречено java drive by. Најчесто тоа се случува кога ќе се влезе на random страна со explicit content и ќе ти рече нешто во смисол: "Почекајте толку и толку за видеото да се лоадира".

    Најтрагично е што е и лесно за set up, поготово ако имаш некое предходно познавање во таа област. Мислам дека @MarkoHF може да го потврди ова (предпоставувам дека HF stands for HackForums).

    Како и да е, вакво нешто сеуште не бев видел. Паметна изведба, се прашувам што е следно.
     
  5. FLEGMA

    FLEGMA
    Epic

    8,378
    12,504
    2 Август 2012
    Машко
    Јас да сум како вас нема да губам ни една минута и ќе го инсталирам. Реинсталација/форматирање - НЕ ПОМАГА

    Податоците, секаде, се енкриптирани. Немој да мислите дека творецот кој го направил и пуштил вирсов коси ќе корне кога ќе наиде на вашите партиции. Го прошол пола интернет, заразил еден куп вмрежени компјутери, прерипнал firewall-и и антивирус ама кога ќе дојде кај вас и подалеку од C:\ - ЈОК.
     
    На xhktw му/ѝ се допаѓа ова.
  6. NecrotoX

    NecrotoX
    Unstoppable

    2,821
    2,665
    4 Март 2013
    Машко
    Илустратор
  7. xhktw

    xhktw
    Practice makes perfect

    1,128
    1,114
    2 Август 2009
    Попара напраил вирусов низ Америките, ошурил безброј батки, а и се шири низ мрежа. Читав дека главниот компјутер во некоја мрежа го фатил и кај сите други се појавил подоцна. Многу уникатен е начинот на кој е направен овој вирус, i like it. Ме потсеќа на ILOVEYOU a.k.a Love Letter или како и да беше:
    http://en.wikipedia.org/wiki/ILOVEYOU
     
  8. NecrotoX

    NecrotoX
    Unstoppable

    2,821
    2,665
    4 Март 2013
    Машко
    Илустратор
    Има некој начин намерно да се заразам? Сакам да тестирам.
     
    Boldozer, bokiscout и на ImTheDude им се допаѓа ова.
  9. MarkoHF

    MarkoHF
    Practice makes perfect

    846
    1,108
    30 Септември 2008
    Машко
    Internet Marketing
    Java driveby отвараш вебстрана и ти дава Java Warning диајалог за дали сакаш да се пушти Java апликацијата, ако кликнеш Allow што од брзање може на секој да му се случи веќе си инфициран.
    Silent Java driveby е истот само без тој дијалог.

    Успешно круптиран вирус не се брише никако освен со формат, се друго што е слабо лесно се брише.
    Најефикасно да се заштите е со користење на Avira + Internet Explorer бидејќи и така пола вебстрана нема да ја лоадира а не па Java пликација.
    А пак Avira најлесно детектира се што е криптувано, никој друг антивирус неможе да го победи Avira во детектирани круптирани вируси. Тоа е факт.
     
    Boldozer, bokiscout и на xhktw им се допаѓа ова.
  10. xhktw

    xhktw
    Practice makes perfect

    1,128
    1,114
    2 Август 2009

    Добро е, ми останало во меморија по нешто :)


    Wut. Why?

    Ако толку сакаш пробај влези на таа страната што влагаше овој батката од видеото.
     
    На MarkoHF му/ѝ се допаѓа ова.
  11. MarkoHF

    MarkoHF
    Practice makes perfect

    846
    1,108
    30 Септември 2008
    Машко
    Internet Marketing
    Ако ти е за тестирање на дали ти функционира антивирусот тогаш: http://www.eicar.org/86-0-Intended-use.html
     
  12. NecrotoX

    NecrotoX
    Unstoppable

    2,821
    2,665
    4 Март 2013
    Машко
    Илустратор
    Влегов одма на таа страната од видеото, ништо нема, а за еicar знам, мислев со Crypto Locker да тестирам.
     
  13. D3N1EL

    D3N1EL
    Practice makes perfect

    2,841
    1,368
    10 Август 2010
    Машко
    Гледам тајмер има, само не контам што ќе се случи по неговото истекување? Поголема сума треба да плаќа?
     
  14. FLEGMA

    FLEGMA
    Epic

    8,378
    12,504
    2 Август 2012
    Машко
    EICAR е само да видите дали исправно реагира проактивната компонента на антивирусот. На пример дали ќе дозволи извршување за време на отпакување на rar или zip во %temp% фолдер итн.
    Најпаметно е EICAR да се спакува во 2-3 zip или rar архиви да се види дали овој умее да ги избрише. На пример во криптирана rar датотека нема да биде детектиран.


    @NecrotoX
    Имаш вреќи со вируси на интернет. Линкови можеш да најдеш на Comodo форумите или форуми за безбедност каде што тестираат антивируси.
    Никако не ти препорачувам да го правиш ова на виртуелна машина без да и оневозможиш пристап на физичката мрежна карта и оневозможи пристап на clipboard.


    Куриозитет за некои вируси е тоа што умеат да детектираат sandbox околина или виртуелна па се деактивираат и нема да дадат знаци на малициозност. Значи,откако видоа дека не можат да го прескокнат Sandboxie прибегнаа кон овој трик.

    Уште една напомена. Shadow Copy aka System Restore може прилично да помогне кај Crypto Locker ама во првите моменти.
    Со помош на програма која може да пребарува низ Previous Versions може да се вратат некриптирани датотеки.

    Најдобра превентива од Crypto Locker и од вируси општо:
    Ажуриран и непиратизиран антивирус, закрпен Windows, закрпен Flash, закрпена Java + Sandboxie кога се сурфа на warez или порно страни.
     
    На NecrotoX му/ѝ се допаѓа ова.
  15. FLEGMA

    FLEGMA
    Epic

    8,378
    12,504
    2 Август 2012
    Машко
    После тоа клучот за декриптирање ќе биде избришан од нивните сервери и нема да вреди да плаќаш откупнина. Ова е еквивалент на физичко оштетување на дискот. Овдека има фора од 2-3 дена да платиш 300$ да го добиеш клучот.
     
  16. xhktw

    xhktw
    Practice makes perfect

    1,128
    1,114
    2 Август 2009
    Ако пројде тајмерот нема враќање односно декриптирање на податоците, отиде јабана дискот :)


    Некој ваков сличен проект бил започнат пред година-две, но немало доволно луѓе кои го поддржувале за да продолжи напредокот. Сега гледам дека ова ги поттикнало некоја Холандска група да се нафатат и да го продолжат проектот за создавање на вирус сличен на овој, во рана фаза е сеуште.

    Радознал сум за вакви работи, али никако на своја кожа :D
     
  17. FLEGMA

    FLEGMA
    Epic

    8,378
    12,504
    2 Август 2012
    Машко
    Дискот користење само после фул формат.

    Целта на овој вирус не е да го онеспособи Windows туку да бара откупнина. После добивањето на клучот, наводно, се ќе биде во ред.
    На нет има воркараунди со secpol.smc каде што може да се забрани извршување на exe во %Users% и подфолдерите но ова е ужасна гњаважа.
    Сега за сега единствена заштита е она програмче кое го постирав.
     
  18. comedian

    comedian
    Gaining Experience

    118
    56
    23 Февруари 2012
    Не користам антивируси, ама си го инсталирав програмчево за секој случај, не штети да го имаш :)
    Не ми е дојдено до нов HDD да земам! :D
     
  19. FLEGMA

    FLEGMA
    Epic

    8,378
    12,504
    2 Август 2012
    Машко
    Ама немаш битни, за тебе, податоци. Така? :)
     
    На masterficx му/ѝ се допаѓа ова.
  20. eX3v1l

    eX3v1l
    On your way to fame

    1,095
    631
    2 Мај 2011
    Добро една работа не ми е јасна, ако човекот заразил пола Америка и притоа бара откупнина, он мора тие пари да ги подгине или да легнат на некоја сметка, зарем неможе да го откријат така ?
     
  21. comedian

    comedian
    Gaining Experience

    118
    56
    23 Февруари 2012
    не немам, по некој ворд фајл за на факс шо ми се вртка така, тоа побитно :)
     
  22. FLEGMA

    FLEGMA
    Epic

    8,378
    12,504
    2 Август 2012
    Машко
    Уф, не ме држете за збор и ме мрзи да барам ама плаќање со кредитна или PayPal не е можно. Ликот имаше најдено начин да остане анонимен. Ваљда користи услуги од банка во Пакистан :D
     
  23. FLEGMA

    FLEGMA
    Epic

    8,378
    12,504
    2 Август 2012
    Машко
    Па добро, ако немаш тогаш некој твој пријател ќе има кој ќе го добие од тебе преку твојот стик.

    Е ова е моментот каде што не ве разбирам вас „дисциплинираните“ на кои не ви треба антивирус. Значи, да имате/ќе имате е ваша работа. Ама зошто да страдаат заради вас други луѓе?
     
  24. bokiscout

    bokiscout
    Unstoppable

    1,706
    2,001
    17 Март 2011
    Машко
    Embedded C, Linux Kernel
  25. FLEGMA

    FLEGMA
    Epic

    8,378
    12,504
    2 Август 2012
    Машко
    Во таа верзија не е вклучена Crypto Lock компонентата.
     
    На bokiscout му/ѝ се допаѓа ова.

Сподели

Вчитување...