Hirdetés

2024. március 29., péntek

Gyorskeresés

Hozzászólások

(#1) joghurt


joghurt
addikt

A heurisztikus ellenőrzésekkel az az "apró" probléma, hogy jó esély van a téves riasztásra is.

Termékünket a Chrome letöltője azért bélyegzi meg veszélyesnek a kettős digitális aláírás stb. ellenére, mert kevésszer töltik le, és ez gyanús. Hát csókoltatom őket a független fejlesztőkkel együtt. Ha elintézik nekünk a milliós letöltésszámot, akkor semmi gond. Addig viszont a kis szereplőket nyírják ki ezzel, mert hát ki is akarna bármit használni, amiről a Chrome azt állítja, hogy veszélyes.
Ráadásul transzparens módszer sincs rá, hogy a Google leszedjen a halállistájáról, hiába van tanúsítványa a szerverünknek is, hiába a Search Console stb.

A Nortonnak szintén az egyik kifogása, hogy kevés a letöltés a programunkra. A másik gyanús tényező, hogy "túl friss" (két hetes).

Egyre inkább ott tartunk, hogy a Google-Facebook által megszűrtön túli világ nem is létezik, ne is létezhessen. A Google eldönti, hogy te nemszemély vagy, a terméked nemtermék.

A tej élet, erő, egészség.

(#2) t72killer


t72killer
titán
LOGOUT blog

Béna volt a crypter írója... Nem értem, miért nem vették a fáradtságot egy normális algo megírásához.

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

(#3) saelin


saelin
veterán

Egy ilyen vírus ellen egy rendszervisszaállítás segít? A Windows beépített megoldására gondolok itt.

Szerk:
Oh, és a dropbox új szinkronizációs megoldásával mi a helyzet? Azokat a fájlokat tudja titkosítani, ami valójában a felhőben van, csak látszik a gépen is? :o

[ Szerkesztve ]

"It is only with heart that one can see rightly; what is essential is invisible to the eye."

(#4) t72killer válasza saelin (#3) üzenetére


t72killer
titán
LOGOUT blog

A rendszervisszaállítás csak a rendszerfájlokkal foglalkozik, nem a doksijaiddal. A ransomware pedig pont az utóbbira utazik, nem lenne nagy biznisz a windows kinyírása (#1: ha idejekorán nyírná ki a rendszert, nem férne hozzá az értékesebb személyes fájlokhoz, #2: egy win újrarakás azért kb mindenkinek hamarabb kézre áll, mint 1-2BTC kiperkálássa, #3: tönkrevágott winnél az áldozattal közölni is nehéz, hova küldje a lóvét, lévén lehet el se indul a gépe.)

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

(#5) KaiotEch válasza t72killer (#2) üzenetére


KaiotEch
nagyúr

Én inkább örülnék, hogy "béna", így nem kell fizetni, egyébként meg sok ember nála is bénább és befizeti.

(#6) joghurt válasza saelin (#3) üzenetére


joghurt
addikt

Az árnyékmásolatok (shadow copy) segíthet, ha van belőle egy korábbi állapot.

Én úgy tippelem, hogy minden file-t el tud titkosítani, ami az adott gépen elérhető. Legyen az beépített vinyó, pendrive, hálózati meghajtó, vagy felhős. (Egészen pontosan a SkyDrive/OneDrive tárhelyet a Windows 8 API-val megírt programok tudják ugyanúgy elérni, mint ha belső meghajtó lenne. Ha a kártevő Win32 API-t használ, akkor nem. Viszont akkor is ott van a OneDrive HTTP-s API-ja.)

A tej élet, erő, egészség.

(#7) t72killer válasza KaiotEch (#5) üzenetére


t72killer
titán
LOGOUT blog

Nyilván, örvendetes ha váltságdíj nélkül meg lehet úszni:R. Csak csodálkoztam, hogy ilyen alapdolgot elhibáztak.

#6: az ügyesebb zsarolók (egyre több van belőlük) mindent titkosítanak, ami nincs jelszóval védve/mountolva van.

[ Szerkesztve ]

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

(#8) saelin válasza joghurt (#6) üzenetére


saelin
veterán

Azért ez valamilyen szintem ijesztő. :(

"It is only with heart that one can see rightly; what is essential is invisible to the eye."

(#9) Real_Gabe


Real_Gabe
tag

Tegnap bent a cégnél sikerült befertőzni egy régi XP-s gépet, amin volt ugyan egy Eset Endpoint Security 5-ös védelem, viszont nem írtam be az új licence-t így majdnem 1 éve nem frissült, valamin kint van már az újabb 6-os verzió, de nem foglalkoztam a géppel, mert nem igazán volt használva.
Az Eset-et mindig a legszigorúbbra, legaprólékosabban beállítom ennek ellenére a heurisztika nem fogta meg!

A Locky nevezetű zsaroló kódolta le a fájlokat az összes meghajtón.
Azt nem tudom, hogy miként jutott be, mert az illető aki használja váltig állítja, hogy ő aztán semmit nem csinált, csak egyszerűen ott volt és kész.
Hálózaton nem mászott át másik gépre.

A legszebb, hogy beírtam az új licencet az Esetnek, lefrissítettem és lefuttattam egy teljes ellenőrzést de nem talált semmit!
Feltelepítettem a legújabb 6-os verziót, azzal is átnézettem az egész gépet, az sem talált semmit.

Olyan mintha nem is lenne vírus a gépen. Lehet, hogy miután lekódolt mindent és kirakta az utasításokat, eltüntette magát a gépről?

Egyébként a rendszer visszaállítást azt kinyírta a vírus, mert hiába van rengeteg visszaállítási pont egyikre sem tudott visszaállni a windows.
Olvastam is, hogy az ilyen vírusok kiszokták csinálni a visszaállítási pontokat meg törlik a VSS-t, hogy a fájlokat ne lehessen visszaállítani.

Nem tudjátok, hogy van-e ehhez a locky.hoz visszafejtő?
Egyébként nem ért kár a gépen lévő fájlok miatt mert nem volt fontos dolog rajta, meg van egy régebbi mentés a gépről.

[ Szerkesztve ]

sáríála

(#10) t72killer válasza Real_Gabe (#9) üzenetére


t72killer
titán
LOGOUT blog

Ez érdekes, az Eset elvileg ismeri, sőt decryptelni is tud.

Az XP amúgy kőkori rendszer, nekem is van egy, de hímestojásként vigyázok rá (netre sosincs kötve, és szigorúan csak egy, ellenőrzött pendrive járhat a gépben). A kolléga simán lehet ártatlan, az xp mára egy ementáli sajt biztonsági szempontból, akármiről átmehetett a kártevő.

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

(#11) modeller válasza t72killer (#4) üzenetére


modeller
aktív tag

"A rendszervisszaállítás csak a rendszerfájlokkal foglalkozik"

A shadow copy windows 7-en alapból védi a filejaidat is és vissza is tudja állitani.
Ha rendszergazdaként futtatod a ransomware-t, akkor elvileg törölheti a shadow files-t, de még ehhez is feljön egy uac prompt, hogy engedélyezed-e. Sima userként futtatva nem tudja törölni.

W8-tól felfelé file history van ami nincs alapból bekapcsolva, az védi a filejaidat, ha bekapcsolod, a törlésére ugyanaz vonatkozik mint fent. (shadow copy w8-tól felfelé csak a rendszerfileokat védi)

Egyébként a legtöbb ransomware meg sem próbálja törölni az ilyen védelmeket, mert arra mennek, hogy semmi ne ugorojon fel, sima userként futnak.

(#12) t72killer válasza modeller (#11) üzenetére


t72killer
titán
LOGOUT blog

Kivéve, ha meg tudják trükközni az UAC-t. Előfordult már a világtörténelemben...

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

(#13) joghurt válasza saelin (#8) üzenetére


joghurt
addikt

Ezért is "jó", hogy Windows Phone-t csak és kizárólag a felhőbe lehet "biztonsági" menteni, PC-re (és így pl. DVD-re) nem.

A tej élet, erő, egészség.

(#14) Real_Gabe válasza t72killer (#10) üzenetére


Real_Gabe
tag

Szia!

Köszi a linket!
A leírás alapján van egy olyan zsaroló ami a Lockyt imitálja és a visszafejtő ahhoz van, de sajnos a gépet az igazi Locky kapta el, de azért bepróbálkozom vele.

A kollégát azért "gyanúsítottam" meg, mert hát valahogy be kellett jutnia a vírusnak!
Egy pendrive-on vagy e-mailen keresztül, vagy megnézet valamit a neten amit nem kellett volna de váltig állítja, hogy ő csak odaült, nem dugott semmit a gépre, nem levelezett, egyszerűen csak nem tudta használni a gépet és ott volt a vírus.
Megnéztem a naplófájlokat és az előző alkalommal, amikor használva volt a gép akkor is ő használta.
Ráadásul 1 hete nem volt bekapcsolva a gép.
Így, hogy nem tudom beazonosítani a forrást, főleg úgy, hogy az ESET meg se mukkan rá, kissé aggódom a többi kolléga gépéért és adataiért.
A többi gépen a legfrissebb 9-es verziójú Smart Security van.

sáríála

(#15) t72killer válasza Real_Gabe (#14) üzenetére


t72killer
titán
LOGOUT blog

EEK-val vagy bootolható Kaspersky rescue diskkel nézz rá, ha megfogja, akkor a többi gépen is érdemes lefuttatni, megkérve a bandát, hogy mindenki mindet dugjon rá a gépére vírusgyalulás céljából. Ha 1 mód van rá, az XP-t is cserélni kéne, mert alapvető lyukak vannak benne, amitől semmilyen védelmi szoftver nem véd meg.

[ Szerkesztve ]

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

(#16) modeller válasza t72killer (#12) üzenetére


modeller
aktív tag

Ezért nem kell admin jogú userrel böngészni.
De nem jellemző, hogy az uac promptot átugorják. Sokkal nagyobb baj, hogy a szerencsétlen user rányom azért is és engedélyezi.

A ransomware-ekben pont az az érdekes és veszélyes, hogy nem valami trükkös biztonsági hibát használnak ki, nem emelnek jogosultságot, tök egyszerű user szintű programok, amik irnak azokba a fileokba, ahova a usernek joga van irni.

(#17) Real_Gabe válasza t72killer (#15) üzenetére


Real_Gabe
tag

Hát igen, kéne váltani, de ahhoz pénz kell, illetve olyan döntéshozó, aki hajlandó ilyesmire költeni.
De igazából új számítógép kellene, mert 6-8 éves gépre már nem biztos, hogy érdemes pénzt költeni.

Egy laptopunkon van még XP a többin Win 7, pár gépen már Win 10 van, amire volt időm és lehetőségem frissíteni. :DDD

Az ESET-nek is van ilyen boot-olható cucca.

[ Szerkesztve ]

sáríála

(#18) t72killer válasza modeller (#16) üzenetére


t72killer
titán
LOGOUT blog

Elég sok fertőzésről hallani mostanában a vállalati szektorból (kórházak, stb, nem csak a veszprémi eset, de jóval pénzesebb helyekről is jelentettek eseteket), itt ugyebár nem olyan egyszerű telepíteni valamit, kétlem, hogy adminjoga lett volna a usernek. Persze jogos, rengetegen maguk telepítik a vírusokat mindenféle crackekkel, amiknél a használati utasítás első sora, hogy futtasd adminként és lődd ki a vírusirtót... :W

#17: nem tudom, milyen licenszetek van a gépek számától függően lehet érdemes lenne valami csomagra előfizetni, olcsóbb lehet, mint az egyedi licenszek és alkalmasint át lehet vinni új hardverre. Az XP-re ingyenes megoldás, hogy elvileg van egy registry hack, amivel VIP frissítéseket lehet még rá szerezni. Böngészni pedig a legszigorúbb biztonsági intézkedések mellett szabad, hosts fájl, bdtl, script-whitelisting, adblock... Asszem csak firefox-ból van már csak friss verzió XP-re, ezt kell felöltöztetni. Ezenkívül a pendriveokat erősen szűrni kell.

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

(#19) Amacs


Amacs
aktív tag

Az ilyen hírek után mindig csinálok teljes vizsgálatot a gépen :(
Még szerencse, hogy vannak ilyen hírek, máskülönben nem nagyon lenne használva szerencsétlen vírusirtó :D

(#20) t72killer válasza Amacs (#19) üzenetére


t72killer
titán
LOGOUT blog

Jah, nálam is egy armada várja a rosszfiúkat, egyelőre szerencsére munka nélkül. Mondjuk nem tudom, mennyi marad kint a mindenféle blokkoló szolgáltatások eredményeként (hosts, adblock, notscript - ezeknél nem látszik, hogyha férget blokkolnak).

[ Szerkesztve ]

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

(#21) modeller válasza t72killer (#18) üzenetére


modeller
aktív tag

Én is éppen ezt mondom, általában nem kérnek admin jogot a ransomware-ek, mivel semmi szükségük nincs rá. A usernek mindig irás joga van ott ahol dolgozik, dokumentumokat tárol, akár helyben, akár hálózaton. Nincs semmi szükség ennél magasabb jogra, ezek a fileok jelentik a legnagyobb értéket általában a usernek és nem a telepitett rendszer. (aminek elrontásához már admin jog kellene)

(#22) demagóg válasza t72killer (#18) üzenetére


demagóg
aktív tag

Az XP-re ingyenes megoldás, hogy elvileg van egy registry hack, amivel VIP frissítéseket lehet még rá szerezni.

Ez működik, és nem csak elvileg. De csak angol XP-n (tapasztalatom szerint). Magyaron pl. nem frissített az XP. A kipróbált megoldás, hogy az NTLDR-t le kell cserélni angolra (ja ez volt a megoldás akkor is, ha valakinek más nyelvre kellett az aktiválás mint amire a licenc eredetileg szólt). Persze ez már valóban a legalitás határa, mert rendszerkomponens módosul, de a posready.reg is határeset. MS még nem küldött senkit börtönbe emiatt. Van amikor nem lehet a régi rendszert lecserélni valamilyen HW és/vagy SW ok miatt, mert a rendszer szorosan kötődik valamilyen konkrét céges tevékenységhez. Ilyenkor sajnos marad az XP.

-De ez hogy lehet? ... Tegnap még működött! ...

(#23) Real_Gabe válasza t72killer (#18) üzenetére


Real_Gabe
tag

A WIndows-ok mind OEM-ek.
Anno érdeklődtem, hogy nem lehetne-e mennyiségi licence-re vagy ilyesmire Windows-t venni, de azt mondták, hogy nem lehet, és nem is érdemes ilyesmit venni mert még drágább lenne mintha darabra vennénk. Mondjuk ez volt már vagy 4 éve, nem tudom, hogy azóta a Microsoft változtatott-e ezen.

ESET-től meg vállalati licence-t vásároltunk így az összes terméküket tudjuk használni.
Anno a Business kiadást telepítettem minden gépre, amiből lett mostanra az Endpoint Security, de váltottam a sima Smart Security-ra, mert mire a vállalati vírusirtó frissült egy verziót, addig a Smart Security 3-at lépet ellőre és úgy láttam, éreztem, hogy fejlettebb és több mindent tud, mint a vállalati társa.

A linket köszönöm!

sáríála

(#24) atike


atike
nagyúr

Örvendetes, hogy van ez a feloldó.

De miben hazudtak a ransomware írói? Mármint az (számomra) nem derült ki a cikkből... Nem úgy kódoltak ahogy mondták vagy mi? :F

(#25) PistiSan válasza atike (#24) üzenetére


PistiSan
addikt

kártevő tájékoztatása szerint RSA-4096 titkosítással dolgozik, a feloldásért 1,2 bitcoint, azaz mintegy 150 ezer forintot követel. A tájékoztató azonban valótlanságot állít, ennek köszönhetően a Kaspersky Lab malware elemzői képesek voltak visszafejteni a fájlokat,

Úgy sejtem, hogy nem a 150k kifizetéséről hazudtak, hanem a titkosítás mértékéről.

(#26) JohnnyX


JohnnyX
senior tag

Ezt kiprobalom en is. Nemreg mentettem le egy disket vhd-ba ujrahuzas elott.
Orulnenek a visszanyert adatoknak még most is.

_Z87-Extreme3_-_4670k_-_16Gb_-_1050Ti_

(#27) DRB


DRB
senior tag

A Malwarebytes Anti-Malware hogy áll ezekhez, felismeri már őket? Az UAC meg nem sokat ér, ha megkérdezi az átlag usert, hogy mi legyent, akkor kb ez a reakció: „Ez megint mi a f...t akar? Jól van, csináld b...meg!” És nyomja az okét, ez kb a 90%, a maradék 10-ből kb. kilenc annyival tud többet, hogy megtanulta hogy kell kilőni az UAC-t, a végeredmény nyilván ugyan az. :D A fennmaradó 1% meg az, aki próbálja megoldani a 99% hülyesége miatti problémákat.

[ Szerkesztve ]

(#28) saelin válasza DRB (#27) üzenetére


saelin
veterán

" Az UAC meg nem sokat ér, ha megkérdezi az átlag usert ... "

Nemrég futottam ebbe bele egyik haver gépén. Ő nem okézta le, viszont állandóan a párbeszédablakot feldobálta hiába nyomtál rá nemet. Nagy nehezen csökkentett módban sikerült leszednem. Erre azért lehetne valami build in megoldás a windows 10-ben. Pl megvonni bizonyos appoktól a jogosultságok kérését.

"It is only with heart that one can see rightly; what is essential is invisible to the eye."

(#29) ncc1701 válasza joghurt (#6) üzenetére


ncc1701
veterán

Shadow copy csak addig segít, míg nem adminként használja az user a gépét. Mert akkor az az első dolga, h kikapcsolja.

Amúgy ezek titkosítanak mindent, amit elérnek. Ha van a hálózaton másik gép, aminek van írható megosztása, azt is, nem kell, h fel legyen mappelve.

Irodában ezért kellett újratenni a file szervert, átálltunk zfs-re, illetve kibővítettük kissé, most lett 10T hely, az jó sok snapshotnak elég, mert csak kb 5T adatunk van.

(#30) t72killer válasza ncc1701 (#29) üzenetére


t72killer
titán
LOGOUT blog

Ráadásképp igenis vannak jogosultsági szint emelésére képes férgek, ilyet is be lehet szívni. Ezek ellen semmilyem shadow copy meg file history meg anyámkínja nem segít. Egyedül a szerveroldalról jelszó és esetleg törlésvédett vagy simán fizikailag leválasztott meghajtó ér valamit, esetleg eszközkezelőben kilőtt winyó.

[ Szerkesztve ]

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

(#31) InfiniteReality válasza Real_Gabe (#23) üzenetére


InfiniteReality
őstag

25 licensz felett mindenképp megéri a mennyiségi és / vagy KMS. Win7nél ez már így volt, gondolom a 10 esetében sem változtattak ezen.

http://logout.hu/cikk/samsung_led_tv_tudastar_d_szeria/alapok.html

(#32) Real_Gabe válasza InfiniteReality (#31) üzenetére


Real_Gabe
tag

Szia!

Jelenleg 2 gépünkön van csak XP amik használatba vannak a többi WIN 7, meg egy-kettő WIN 10, de az összes 7-es gépet 10-esre akarom frissíteni, amíg még ingyenes.

Az infót köszönöm, észben tartom!

Az érdekes az, hogy anno pályázati pénzből vásároltunk 20db számítógépet.
Én személyesen bementem a számtek boltba utánakérdezni a mennyiségi licencelésnek.
A csávó fel is hívta a Microsoft-os kontaktját, fél óra oda-vissza telefonálgatásnak az lett a vége, hogy nem igazán van lehetőség windows (7) mennyiségi licencelésére, meg amúgy sem érné meg.
Így lett hát a 20 gépre külön megvásárolva 20db OEM WIN 7 Pro.

sáríála

(#34) InfiniteReality válasza Real_Gabe (#32) üzenetére


InfiniteReality
őstag

Mivel 25 a limit, ezért a 20-nál még okés. Lehet venni 20 gépre is, csak tényleg nem érdemes. Viszont gondolva a jövőre, talán igen.

http://logout.hu/cikk/samsung_led_tv_tudastar_d_szeria/alapok.html

(#35) ncc1701 válasza t72killer (#30) üzenetére


ncc1701
veterán

Linux szerveren zfs+snapshot, és legalább az adatokat vissza lehet állítani korábbi snapshotból. ASztali gép meg imageből visszaránt.

(#36) t72killer válasza ncc1701 (#35) üzenetére


t72killer
titán
LOGOUT blog

Ez így korrekt, a snapshothoz nem fér hozzá a windowsos kliens, ill az azon garázdálkodó kártevők:R.

Mindig meglep milyen sokan hiszik el, hogy van ingyen ebéd.

(#37) asus1


asus1
aktív tag

Tudna nekem valaki segíteni, hogyan működik ez a program?

(#38) kymera válasza joghurt (#13) üzenetére


kymera
senior tag

WP ? Hát köszönöm de nem ...... :)

1151,AM4,1366,2011, - Lapok,procik,vinyók,tápok,vga-k -akciósan. - 70-2340239

(#39) M3lakH


M3lakH
tag

Sziasztok. Éppen egy ilyen csoda vírussal próbálok szívni, le is szedtem mind az ESET-es, mind a Kasperkys dekódoló programot, de:
ESET-es elvileg csekkolja a fájlokat, de látszólag nem történik semmi már vagy fél órája.
Kasperksy pedig azon a gépen nem hajlandó elindulni amelyik fertőzött.
A gépen eredeti symontech endpoint-van, csak nem volt frissítve, így beszopta (azóta fel frissítettem, elvileg az is scanneli a gépet, és teszi szépen karanténbe a cuccokat)..:S
Tud valaki segíteni valami 5 lettel, esetleg sikerült már valakinek visszaállítani a fájlokat, vagy ez csak mese?

Előre is köszi! :R

(#40) asus1 válasza M3lakH (#39) üzenetére


asus1
aktív tag

Nem fogod tudni visszaállítani a fájlokat, én sem tudtam!
De, ha esetleg sikerül valahogy, akkor írj egy privátot légy szíves!

(#41) M3lakH válasza asus1 (#40) üzenetére


M3lakH
tag

Pedig itt mintha valaki pont lebénázta volna a vírus íróját, mert simán vissza állítható.. :S :S Csak nemtudom akkor miért írják meg hír gyanánt, hogy van progi ami megcsinálja.... Ha esetleg jutok valamire, írom ;)

(#42) joghurt válasza asus1 (#40) üzenetére


joghurt
addikt

http://index.hu/tech/2016/05/23/bocsanatot_kert_a_zsarolovirus_fejlesztoje/

Legalább a TeslaCrypt-hez is van már.

[ Szerkesztve ]

A tej élet, erő, egészség.

(#43) csabili74


csabili74
aktív tag

Most akkor van vagy nincs szoftvare?

"Úgy kell nekem, minek jöttem a világra!" Rejtő Jenö

Copyright © 2000-2024 PROHARDVER Informatikai Kft.