Hirdetés
Új hozzászólás Aktív témák
-
http://index.hu/tech/2016/05/23/bocsanatot_kert_a_zsarolovirus_fejlesztoje/
Legalább a TeslaCrypt-hez is van már.
-
M3lakH
tag
Sziasztok. Éppen egy ilyen csoda vírussal próbálok szívni, le is szedtem mind az ESET-es, mind a Kasperkys dekódoló programot, de:
ESET-es elvileg csekkolja a fájlokat, de látszólag nem történik semmi már vagy fél órája.
Kasperksy pedig azon a gépen nem hajlandó elindulni amelyik fertőzött.
A gépen eredeti symontech endpoint-van, csak nem volt frissítve, így beszopta (azóta fel frissítettem, elvileg az is scanneli a gépet, és teszi szépen karanténbe a cuccokat)..:S
Tud valaki segíteni valami 5 lettel, esetleg sikerült már valakinek visszaállítani a fájlokat, vagy ez csak mese?Előre is köszi!
-
Real_Gabe
tag
válasz
InfiniteReality
#31
üzenetére
Szia!
Jelenleg 2 gépünkön van csak XP amik használatba vannak a többi WIN 7, meg egy-kettő WIN 10, de az összes 7-es gépet 10-esre akarom frissíteni, amíg még ingyenes.
Az infót köszönöm, észben tartom!
Az érdekes az, hogy anno pályázati pénzből vásároltunk 20db számítógépet.
Én személyesen bementem a számtek boltba utánakérdezni a mennyiségi licencelésnek.
A csávó fel is hívta a Microsoft-os kontaktját, fél óra oda-vissza telefonálgatásnak az lett a vége, hogy nem igazán van lehetőség windows (7) mennyiségi licencelésére, meg amúgy sem érné meg.
Így lett hát a 20 gépre külön megvásárolva 20db OEM WIN 7 Pro. -
Ráadásképp igenis vannak jogosultsági szint emelésére képes férgek, ilyet is be lehet szívni. Ezek ellen semmilyem shadow copy meg file history meg anyámkínja nem segít. Egyedül a szerveroldalról jelszó és esetleg törlésvédett vagy simán fizikailag leválasztott meghajtó ér valamit, esetleg eszközkezelőben kilőtt winyó.
-
ncc1701
veterán
Shadow copy csak addig segít, míg nem adminként használja az user a gépét. Mert akkor az az első dolga, h kikapcsolja.
Amúgy ezek titkosítanak mindent, amit elérnek. Ha van a hálózaton másik gép, aminek van írható megosztása, azt is, nem kell, h fel legyen mappelve.
Irodában ezért kellett újratenni a file szervert, átálltunk zfs-re, illetve kibővítettük kissé, most lett 10T hely, az jó sok snapshotnak elég, mert csak kb 5T adatunk van.
-
saelin
veterán
" Az UAC meg nem sokat ér, ha megkérdezi az átlag usert ... "
Nemrég futottam ebbe bele egyik haver gépén. Ő nem okézta le, viszont állandóan a párbeszédablakot feldobálta hiába nyomtál rá nemet. Nagy nehezen csökkentett módban sikerült leszednem. Erre azért lehetne valami build in megoldás a windows 10-ben. Pl megvonni bizonyos appoktól a jogosultságok kérését.
-
DRB
senior tag
A Malwarebytes Anti-Malware hogy áll ezekhez, felismeri már őket? Az UAC meg nem sokat ér, ha megkérdezi az átlag usert, hogy mi legyent, akkor kb ez a reakció: „Ez megint mi a f...t akar? Jól van, csináld b...meg!” És nyomja az okét, ez kb a 90%, a maradék 10-ből kb. kilenc annyival tud többet, hogy megtanulta hogy kell kilőni az UAC-t, a végeredmény nyilván ugyan az.
A fennmaradó 1% meg az, aki próbálja megoldani a 99% hülyesége miatti problémákat. -
PistiSan
addikt
kártevő tájékoztatása szerint RSA-4096 titkosítással dolgozik, a feloldásért 1,2 bitcoint, azaz mintegy 150 ezer forintot követel. A tájékoztató azonban valótlanságot állít, ennek köszönhetően a Kaspersky Lab malware elemzői képesek voltak visszafejteni a fájlokat,
Úgy sejtem, hogy nem a 150k kifizetéséről hazudtak, hanem a titkosítás mértékéről.
-
Real_Gabe
tag
válasz
t72killer
#18
üzenetére
A WIndows-ok mind OEM-ek.
Anno érdeklődtem, hogy nem lehetne-e mennyiségi licence-re vagy ilyesmire Windows-t venni, de azt mondták, hogy nem lehet, és nem is érdemes ilyesmit venni mert még drágább lenne mintha darabra vennénk. Mondjuk ez volt már vagy 4 éve, nem tudom, hogy azóta a Microsoft változtatott-e ezen.ESET-től meg vállalati licence-t vásároltunk így az összes terméküket tudjuk használni.
Anno a Business kiadást telepítettem minden gépre, amiből lett mostanra az Endpoint Security, de váltottam a sima Smart Security-ra, mert mire a vállalati vírusirtó frissült egy verziót, addig a Smart Security 3-at lépet ellőre és úgy láttam, éreztem, hogy fejlettebb és több mindent tud, mint a vállalati társa.A linket köszönöm!
-
demagóg
aktív tag
válasz
t72killer
#18
üzenetére
Az XP-re ingyenes megoldás, hogy elvileg van egy registry hack, amivel VIP frissítéseket lehet még rá szerezni.
Ez működik, és nem csak elvileg. De csak angol XP-n (tapasztalatom szerint). Magyaron pl. nem frissített az XP. A kipróbált megoldás, hogy az NTLDR-t le kell cserélni angolra (ja ez volt a megoldás akkor is, ha valakinek más nyelvre kellett az aktiválás mint amire a licenc eredetileg szólt). Persze ez már valóban a legalitás határa, mert rendszerkomponens módosul, de a posready.reg is határeset. MS még nem küldött senkit börtönbe emiatt. Van amikor nem lehet a régi rendszert lecserélni valamilyen HW és/vagy SW ok miatt, mert a rendszer szorosan kötődik valamilyen konkrét céges tevékenységhez. Ilyenkor sajnos marad az XP.
-
modeller
aktív tag
válasz
t72killer
#18
üzenetére
Én is éppen ezt mondom, általában nem kérnek admin jogot a ransomware-ek, mivel semmi szükségük nincs rá. A usernek mindig irás joga van ott ahol dolgozik, dokumentumokat tárol, akár helyben, akár hálózaton. Nincs semmi szükség ennél magasabb jogra, ezek a fileok jelentik a legnagyobb értéket általában a usernek és nem a telepitett rendszer. (aminek elrontásához már admin jog kellene)
-
-
Elég sok fertőzésről hallani mostanában a vállalati szektorból (kórházak, stb, nem csak a veszprémi eset, de jóval pénzesebb helyekről is jelentettek eseteket), itt ugyebár nem olyan egyszerű telepíteni valamit, kétlem, hogy adminjoga lett volna a usernek. Persze jogos, rengetegen maguk telepítik a vírusokat mindenféle crackekkel, amiknél a használati utasítás első sora, hogy futtasd adminként és lődd ki a vírusirtót...
#17: nem tudom, milyen licenszetek van a gépek számától függően lehet érdemes lenne valami csomagra előfizetni, olcsóbb lehet, mint az egyedi licenszek és alkalmasint át lehet vinni új hardverre. Az XP-re ingyenes megoldás, hogy elvileg van egy registry hack, amivel VIP frissítéseket lehet még rá szerezni. Böngészni pedig a legszigorúbb biztonsági intézkedések mellett szabad, hosts fájl, bdtl, script-whitelisting, adblock... Asszem csak firefox-ból van már csak friss verzió XP-re, ezt kell felöltöztetni. Ezenkívül a pendriveokat erősen szűrni kell.
-
Real_Gabe
tag
válasz
t72killer
#15
üzenetére
Hát igen, kéne váltani, de ahhoz pénz kell, illetve olyan döntéshozó, aki hajlandó ilyesmire költeni.
De igazából új számítógép kellene, mert 6-8 éves gépre már nem biztos, hogy érdemes pénzt költeni.Egy laptopunkon van még XP a többin Win 7, pár gépen már Win 10 van, amire volt időm és lehetőségem frissíteni.
Az ESET-nek is van ilyen boot-olható cucca.
-
modeller
aktív tag
válasz
t72killer
#12
üzenetére
Ezért nem kell admin jogú userrel böngészni.
De nem jellemző, hogy az uac promptot átugorják. Sokkal nagyobb baj, hogy a szerencsétlen user rányom azért is és engedélyezi.A ransomware-ekben pont az az érdekes és veszélyes, hogy nem valami trükkös biztonsági hibát használnak ki, nem emelnek jogosultságot, tök egyszerű user szintű programok, amik irnak azokba a fileokba, ahova a usernek joga van irni.
-
válasz
Real_Gabe
#14
üzenetére
EEK-val vagy bootolható Kaspersky rescue diskkel nézz rá, ha megfogja, akkor a többi gépen is érdemes lefuttatni, megkérve a bandát, hogy mindenki mindet dugjon rá a gépére vírusgyalulás céljából. Ha 1 mód van rá, az XP-t is cserélni kéne, mert alapvető lyukak vannak benne, amitől semmilyen védelmi szoftver nem véd meg.
-
Real_Gabe
tag
válasz
t72killer
#10
üzenetére
Szia!
Köszi a linket!
A leírás alapján van egy olyan zsaroló ami a Lockyt imitálja és a visszafejtő ahhoz van, de sajnos a gépet az igazi Locky kapta el, de azért bepróbálkozom vele.A kollégát azért "gyanúsítottam" meg, mert hát valahogy be kellett jutnia a vírusnak!
Egy pendrive-on vagy e-mailen keresztül, vagy megnézet valamit a neten amit nem kellett volna de váltig állítja, hogy ő csak odaült, nem dugott semmit a gépre, nem levelezett, egyszerűen csak nem tudta használni a gépet és ott volt a vírus.
Megnéztem a naplófájlokat és az előző alkalommal, amikor használva volt a gép akkor is ő használta.
Ráadásul 1 hete nem volt bekapcsolva a gép.
Így, hogy nem tudom beazonosítani a forrást, főleg úgy, hogy az ESET meg se mukkan rá, kissé aggódom a többi kolléga gépéért és adataiért.
A többi gépen a legfrissebb 9-es verziójú Smart Security van. -
modeller
aktív tag
"A rendszervisszaállítás csak a rendszerfájlokkal foglalkozik"
A shadow copy windows 7-en alapból védi a filejaidat is és vissza is tudja állitani.
Ha rendszergazdaként futtatod a ransomware-t, akkor elvileg törölheti a shadow files-t, de még ehhez is feljön egy uac prompt, hogy engedélyezed-e. Sima userként futtatva nem tudja törölni.W8-tól felfelé file history van ami nincs alapból bekapcsolva, az védi a filejaidat, ha bekapcsolod, a törlésére ugyanaz vonatkozik mint fent. (shadow copy w8-tól felfelé csak a rendszerfileokat védi)
Egyébként a legtöbb ransomware meg sem próbálja törölni az ilyen védelmeket, mert arra mennek, hogy semmi ne ugorojon fel, sima userként futnak.
-
Ez érdekes, az Eset elvileg ismeri, sőt decryptelni is tud.
Az XP amúgy kőkori rendszer, nekem is van egy, de hímestojásként vigyázok rá (netre sosincs kötve, és szigorúan csak egy, ellenőrzött pendrive járhat a gépben). A kolléga simán lehet ártatlan, az xp mára egy ementáli sajt biztonsági szempontból, akármiről átmehetett a kártevő.
-
Real_Gabe
tag
Tegnap bent a cégnél sikerült befertőzni egy régi XP-s gépet, amin volt ugyan egy Eset Endpoint Security 5-ös védelem, viszont nem írtam be az új licence-t így majdnem 1 éve nem frissült, valamin kint van már az újabb 6-os verzió, de nem foglalkoztam a géppel, mert nem igazán volt használva.
Az Eset-et mindig a legszigorúbbra, legaprólékosabban beállítom ennek ellenére a heurisztika nem fogta meg!A Locky nevezetű zsaroló kódolta le a fájlokat az összes meghajtón.
Azt nem tudom, hogy miként jutott be, mert az illető aki használja váltig állítja, hogy ő aztán semmit nem csinált, csak egyszerűen ott volt és kész.
Hálózaton nem mászott át másik gépre.A legszebb, hogy beírtam az új licencet az Esetnek, lefrissítettem és lefuttattam egy teljes ellenőrzést de nem talált semmit!
Feltelepítettem a legújabb 6-os verziót, azzal is átnézettem az egész gépet, az sem talált semmit.Olyan mintha nem is lenne vírus a gépen. Lehet, hogy miután lekódolt mindent és kirakta az utasításokat, eltüntette magát a gépről?
Egyébként a rendszer visszaállítást azt kinyírta a vírus, mert hiába van rengeteg visszaállítási pont egyikre sem tudott visszaállni a windows.
Olvastam is, hogy az ilyen vírusok kiszokták csinálni a visszaállítási pontokat meg törlik a VSS-t, hogy a fájlokat ne lehessen visszaállítani.Nem tudjátok, hogy van-e ehhez a locky.hoz visszafejtő?
Egyébként nem ért kár a gépen lévő fájlok miatt mert nem volt fontos dolog rajta, meg van egy régebbi mentés a gépről. -
-
Az árnyékmásolatok (shadow copy) segíthet, ha van belőle egy korábbi állapot.
Én úgy tippelem, hogy minden file-t el tud titkosítani, ami az adott gépen elérhető. Legyen az beépített vinyó, pendrive, hálózati meghajtó, vagy felhős. (Egészen pontosan a SkyDrive/OneDrive tárhelyet a Windows 8 API-val megírt programok tudják ugyanúgy elérni, mint ha belső meghajtó lenne. Ha a kártevő Win32 API-t használ, akkor nem. Viszont akkor is ott van a OneDrive HTTP-s API-ja.)
-
A rendszervisszaállítás csak a rendszerfájlokkal foglalkozik, nem a doksijaiddal. A ransomware pedig pont az utóbbira utazik, nem lenne nagy biznisz a windows kinyírása (#1: ha idejekorán nyírná ki a rendszert, nem férne hozzá az értékesebb személyes fájlokhoz, #2: egy win újrarakás azért kb mindenkinek hamarabb kézre áll, mint 1-2BTC kiperkálássa, #3: tönkrevágott winnél az áldozattal közölni is nehéz, hova küldje a lóvét, lévén lehet el se indul a gépe.)
-
Béna volt a crypter írója... Nem értem, miért nem vették a fáradtságot egy normális algo megírásához.
-
A heurisztikus ellenőrzésekkel az az "apró" probléma, hogy jó esély van a téves riasztásra is.
Termékünket a Chrome letöltője azért bélyegzi meg veszélyesnek a kettős digitális aláírás stb. ellenére, mert kevésszer töltik le, és ez gyanús. Hát csókoltatom őket a független fejlesztőkkel együtt. Ha elintézik nekünk a milliós letöltésszámot, akkor semmi gond. Addig viszont a kis szereplőket nyírják ki ezzel, mert hát ki is akarna bármit használni, amiről a Chrome azt állítja, hogy veszélyes.
Ráadásul transzparens módszer sincs rá, hogy a Google leszedjen a halállistájáról, hiába van tanúsítványa a szerverünknek is, hiába a Search Console stb.A Nortonnak szintén az egyik kifogása, hogy kevés a letöltés a programunkra. A másik gyanús tényező, hogy "túl friss" (két hetes).
Egyre inkább ott tartunk, hogy a Google-Facebook által megszűrtön túli világ nem is létezik, ne is létezhessen. A Google eldönti, hogy te nemszemély vagy, a terméked nemtermék.
A fennmaradó 1% meg az, aki próbálja megoldani a 99% hülyesége miatti problémákat.
Új hozzászólás Aktív témák
it A zsarolóprogram nem okoz több fejfájást a felhasználóknak, készítői hazudtak az RSA-4096 algoritmus használatáról.
- One otthoni szolgáltatások (TV, internet, telefon)
- gban: Ingyen kellene, de tegnapra
- Autós topik
- Samsung Galaxy A55 - új év, régi stratégia
- Szeged és környéke adok-veszek-beszélgetek
- E-roller topik
- Netflix
- Interactive Brokers társalgó
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- Windows 10
- További aktív témák...
- Bomba ár! Lenovo ThinkPad E14 Gen2 - Ryzen 7 4700U I 16GB I 256SSD I 14" FHD I Cam I W11 I Garancia!
- Bomba ár! Lenovo L13 Yoga Gen4 - AMD Ryzen 7 7730U I 16GB I 256SSD I 13,3" Touch I W11 I Gari!
- Bomba ár! Lenovo ThinkPad X395 - AMD Ryzen PRO 5 I 8GB I 512GB SSD I 13,3" FHD I Cam I W11 I Gari!
- Bomba ár! Lenovo ThinkPad X280 - i5-G8 I 8GB I 512GB SSD I 12,5" FHD I HDMI I Cam I W10 I Gari!
- Bomba ár! Lenovo ThinkPad T495 - AMD Ryzen PRO 5 I 16GB I 256GB SSD I 14" FHD I Cam I W11 I Gari!
- Azonnali készpénzes INTEL CPU AMD VGA számítógép felvásárlás személyesen / postával korrekt áron
- Apple AirPods Max (2024), Újszerű, 1 Év Garanciával
- Eszpresszóképes kávéfőző 15 bar nyomással
- Bomba ár! Dell 17-7779 2in1 - i7-7G I 16GB I 512SSD I 17,3" Touch I Nvidia I HDMI I Cam I W11 I Gar
- ÁRGARANCIA!Épített KomPhone i5 12400F 16/32/64GB RAM RX 7600 XT 16GB GAMER PC termékbeszámítással
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest