2024. március 28., csütörtök

Gyorskeresés

20 év fertőzésmentesen

Írta: | Kulcsszavak: windows . defender . ransomware . zsarolóvírus . stop . djvu . 2020 . mitm

[ ÚJ BEJEGYZÉS ]

TROLLKODÓK MIATT AZ ELŐZŐ BLOG TÖRLÉSRE KERÜLT!

A cím kicsit félre érthető. Nem velem kapcsolatos,megnyugtatok mindenkit. Kezdem az elején.
1999/2000-es tanévben végeztem az általános iskolát. Ballagási pénzemből vettem egy 386-os hordozható laptopot 15.000 Ft-ért(akkoriban még nagy pénz volt), ami nem akkora volt,mint a mostaniak :DDD Kicsit kutatgattam és megtaláltam. Toshiba T5100 .

Akkoriban még nem volt tömeges szolgáltatási cikk az otthoni internet, akkoriban az "internet kávézókban" és "erre szakosodott üzletekben" volt netezési lehetőség átlag 150-200Ft/óra díjért . Nyári szünetben töltögettem le játékokat erre a laptopra és az egyik játék vírusos volt mint utólag kiderült.

El kezdett rosszalkodni a gép, visszavittem a boltba és kiderült,hogy vírusos. Akkoriban még nem nagyon voltam benne ebben a témában. Hát jó, 5.000Ft volt a vírus mentesítési munkadíj... Egy OneHalf vírust kaptam be, ami nem éppen jóindulatú. Ez a vírus,minden bootoláskor titkosított 2 titkosítatlan Cylindert(magyarul sávot),majd egy idő után nem boot többet a HDD.

Ez volt 2000-ben. De ugorjunk előre 20 évet. Igen, ilyen sokat, mivel ez idő alatt egyszer sem szenvedtem el vírusos fertőzést egyetlen számítógépemen sem. 2020.március 27-et írunk. A laptopok fejlettebbek, modernebbek, tömeges szolgáltatási cikk lett az otthoni internet, az akkori internet kávézók megszűntek már,sőt,erre szakosodott üzletek se nagyon vannak már :DDD Ez idő alatt sokat olvastam, tanultam a témában, de a digitális világban nincs olyan, hogy 100%-os védelem, mindig van rés a pajzson. Az óvszer sem nyújt 100%-os védelmet :D

Helyszín:Otthon, Fujitsu T730 laptop: Windows 10 Insider(Fast Ring) utolsó előtti kiadása meghülyült, állandóan összeomlott a Gépház és a Window Update is megkettyent, az .1001-es végű frissítést sem tudta feltelepíteni, hiába írta ki,hogy "Újraindítás és Frissítés"... Igen, tudom, a gyors körös tesztverzió ilyen, de nem is ezzel volt a baj. Fogtam és újratelepítettem a gépet. Telepítem vissza a programjaim, de ami régi volt(mert akadt pár ilyen), abból töltöttem le frissebbet(Itt leszögezem a sok gátlástalan márkahívő és trollkodó PH-s és nem PH-s tagok előtt, hogy nem kétes forrásból lettek letöltve programok amiket használok és nem járok pornó oldalakra. Remélem trollok agysejtjei képesek értelmezni ezt rövidke mondatot! Nem rendelkezik egy alkalmazás sem hivatalos ellenőrzőösszeggel ami tanusíthatja,hogy a forrás és a cél között nem történt módosítás,illetve nem áll rendelkezésre ip cím követő adatbázis, hogy a csomagok milyen ip címeken jártak a forrástól a célig!). Majd feltűnt a programok telepítése közben, hogy felpörög a laptop ventilátora és nem halkul el. A feladatkezelőben furcsa nevű programok jelentek meg és egy python.exe alkalmazás(amit sosem használtam, sem telepítettem windows-ra). Megnéztem a D: meghajtómat és ezt fedeztem fel:

és minden mappában egy _readme.txt-t az alábbi tartalommal:

Hát, több se kellett, laptop azonnal kikapcsol... Biztonsági Mentés visszaállítás(szerencsére volt)... A fertőzöttség ugyan megszűnt, de a fájloknak már túl késő volt... kb. 5 perc alatt letitkosított 150GB-nyi adatot az SSD-n(ennyi adatom volt összesen a D: meghajtón), amiben az a furcsa, hogy a Windows Bitlocker kb.2óráig eldolgozik egy hasonló adattitkosítással, ennek kb.5 perc kellett. Na mind1 is... Megcsináltam a kárfelmérésemet. Tehát a Bruttó adatveszteségem 122.2GB, mert a 150GB-ból, kb.28GB csak a 3db játékom volt, azokért nem kár. Továbbá a telefonom belső tárhely mentése volt még fent, ami 26.5GB, ezek megvannak a telefonon. Szerencsére volt archívumom 2019.Decemberéről, ebből 5,4GB-ot tudtam visszaállítani, amik DVD-n voltak. Így a Nettó adatveszteségem 90.3GB-ra redukáltam, azaz az adataim megközelítőleg 5.98%-át tudtam visszanyerni archívumból.

Igen,ransomware(zsarolóvírus) fertőzés kaptam. és a blog címében erre utlatam

Senkinek se kívánom, főleg akinek alapszintű ismeretei vannak, hogy bekapjon egy ilyet.MEg azoknak sem, akik nem rendelkeznem mentésekkel! A legfőbb szabály ilyenkor, NE FIZESS! Elmondhatom, hogy azon kevés károsultak közé tartozom, akik valamennyi adatot vissza tudtak állítani. Az a kb.5.9% is több mint a semmi!

Most jön a kérdés, hogy mind - ez - hogyan?
Mivel a rendszer még szinte "szűz" volt, és az AV-Test szerint a Windows Defender jó eredményt ért el, bíztam benne, hogy amit kell megfog majd addig, míg a vírusírtóm felteszem(ESET Smart Security). Hát nem így lett :( Valamelyik frissebb alkalmazásban lehetett benne ez a ransomware. Kicsit kutatgattam és meglett a bűnös,hogy mi is bújt meg az egyik appban:
STOP.DJVU Ransomware [link]. Ez a kártevő nem csak a fájlokat titkosítja, hanem a Kötet Árnyék Másolatokat is törli!. A titkosítást AES RSA1024 katonai szintű algoritmussal végzi. Ezt a szép gif-es animációt találtam a fertőzési folyamatról(én valahol a 6.dik képkockás jelenetnél kapcsoltam ki a gépet)

Itt van némi fontos technikai információ a hozzáértőknek [link]

Ez a Ransomware a TOP5-ös lista aranyérmes tagja:

és az érintett helyszínek ahol már felbukkant és aktívan tevékenykedik:

Térjünk vissza Windows 10-hez. A Defender ezzel a kártevővel nagyot bukott! Ezek és a tesztek alapján így lehet bízni benne! SEHOGY! A másik furcsaság, az UAC(Felhasználói fiók Felügyelet)! Miért nem kérdezett? Nálam maximumra van...volt állítva. A válasz szerintem az lehet, hogy valószínű megkerülte egy 0day(nulladik napi) sebezhetőség révén. DE csak talán. Ezzel a mai nap végleg szakítok a Windows-zal és áttérek Linuxra. Windows-t maximum VirtualBoxban izolálva net nélkül fogok használni!
Lefuttatam több adatvisszaállítót(GetDataBack,Recuva,DiskGenius), mindegyik talált törölt de ép fájlokat: képek, zenék, videók stb... de mind csak szám és a normál kiterjesztés... Nem, neeeeeem!.... Nem nyálazok végig közel 40ezer fájlt :DDD és nevezgetem át őket. Annyira nem voltak fontosak :DDD

Visszaállítottam Linux mentésem. Kicsivel biztonságosabbnak tartom a Linux-ot a Windows-nál, de a "jobb félni mint megijedni" alapon,használok rajta NOD32-őt. Amikor a _readme.txt-t meg akartam nyitni, ez ugrott fel:

A NOD32 felismerte,pusztán egy szöveges fájlból(aminek a tartalma visszább olvasható volt) de a legfrissebb Windows Defender nem.

Egyesek joggal fikázzák a Windows-t és becézik Winfos-nak. Az okát már korábban is tudtam miért, de ezek után én sem fogok máshogy hivatkozni rá. A Windows egy fos! Ez már tény. Oké, sok előnye van,igazából majdnem monopol helyzetben van,mivel sokkal több alkalmazás van Winfos-ra.

De térjünk vissza a zsarolóvírusra. Nem törötlem a titkosított fájlokat. Kimentettem egy külső tárhelyreAz EMSISOFT-nak van erre egy visszafejtő programja(a legfrissebb 1.0.0.4-es) ami képes "lenne" visszafejteni, de ez teljesen új variáns és a program nem tudja még visszafejteni. Szerencsére van nekik egy olyan oldaluk, ahol mintát lehet küldeni, és tudtam is küldeni, ugyanis volt egy titkosítatlan példányom az egyik fájlból, egy alkatrész leírás PDF-ben. Most már csak idő kérdése és legyen rá gyógymód.
Linux alatt is veszélyesek lehetnek a winfos-os kártevők, ha a Wine vagy más alternatív winfos app futtató környezet telepítve van!

Ezzel a képpel zárom soraim.

Trollkodók miatt a hozzászólási lehetőség kikapcsolva!

Végszó:

Hogyan történhetett a fertőződés? Sokan trollkodva írnák, hogy biztos kétes eredetű oldalról vagy pornó oldalról. Hát igen, ugye milyen egyszerű megérteni Occam borotváját? :D egy ékes példa amit a trollok előszerettel használnak :D azaz "Két, az adott jelenséget egyformán jól leíró magyarázat közül azt érdemes választani, amelyik az egyszerűbb." csak ez az elv mindig érvényesül a valóságban. Részletesebben:
Egy "offline" telepítőbe(nem kell hozzá net) kártevőt rejteni könnyű, de hamar lebukik. A másik az "online" telepítő(amihez net kell),ami úgy működik, hogy egy hivatalos oldalról le kell tölteni egy pár száz vagy pár megabájt méretű fájlt, azt elindítva egy adott szerverről letölti a telepítőt.

Ha ezt a kommunikációs vonalat véletlenszerűen közbeékelődéses támadással módosítják és mellékelik hozzá a ransomware telepítő scriptet,akkor egy hivatalos forrásból letöltött telepítő is képes fertőzni! Több programfejlesztőnek van ilyen "online" telepítős megoldása: Adobe,Microsoft,Eset,torrent appok, DaemonTools,Macrium,stb... csak néhány így hirtelen ennyi jutott eszembe. Ezt a fajta fertőzést, csak jó vírusvédelemmel lehet kivédeni, de a Winfos Defender nem tartozik közéjük. Sajnos! Pedig az AV-test.org elég jóra értékelte:


A nulladik napi kártevők és a webes/email-es védelmi tesztben átlag 99.8%-ot ért el(402 mintát használtak)!
"Az elmúlt 4 hét során felfedezett széles körben elterjedt és elterjedt rosszindulatú programok észlelése" tesztben 100%-ot ért el,20606 mintával tesztelték. Ennek ismeretében mégis hogyan fordulhatott elő, hogy bekapcsolt Winfos Defenderrel megtörtént, ha a trollok által terjesztett elméletet kivonjuk az egyetleből? Ha hihető az amit az AV-Test ír, akkor elméletileg sehogyan sem, gyakorlatilag meg megtörtént.

  • Nem lehet hozzászólni
Copyright © 2000-2024 PROHARDVER Informatikai Kft.