TR/Crypt.XPACK.Gen3 - гадост и зараза

[_koko_]

 Вече и за Мак:

 

http://www.theverge.com/2016/3/6/11170214/first-known-os-x-ransomware-spotted-in-mac-torrenting-app

[N1995]

За мак ама не баш за мак щото трябва да си мега прост да си го инсталираш на ръка вируса едва ли не Да не говорим, че вече май е пачнат проблема. 

[TiL]

Ихааа тва не ми беше минало през акъла, че ако се зарази някой сиидър можеш да лепнеш вируса и ти от него.

 

П.с. Затва си гледам порното онлайн       

[Smokie]

Успях да изолирам вируса и да го пусна, като записвах трафика, който генерира и по кои файлове и регистри пипа. Рабата му хич не е проста и използва библиотеките на windows за криптиране...

Заразяването може да стане всякак, защото вирусът се изтегля и изпълнява от друго място. Линк за изтеглянето и изпълняването му може да се вкара почти навсякъде от документи до уеб страница, отваряна с internet exploiter. 

Интересен е този анализ http://thisissecurity.net/2016/03/02/lets-ride-with-teslacrypt/

А на мен ми беше много интересна тази графика:

 

Ако някой желае да разгледа къде и какво пипа вируса, мога да пусна линк с .pcap .pml файловете.

[sky]

http://www.dnes.bg/technology/2016/03/07/apple-spria-pyrvata-hakerska-ataka-sreshtu-mac.295177

[Smokie]

Това е друго. Заместен е пакет със заразена програма. Това е все едно втория вторник на месеца през windows update да се инсталира заразен ъпдейт, който предварително е бил сменен на сървърите на М$.

Ефектът е същия, но все пак методът е много по-брутален, защото е компрометиран един от основните методи за предпазване от зарази - редовния ъпдейт.

[_koko_]

Един декриптор за по- старите версии на крипто вируса:

HydraCrypt and UmbreCrypt Decrypter

[ogip]

Днес една колежка хвана такава гад пак от нищото. Цял ден е отваряла само ексел, уърд и пдф. Не е стартирала никакви ексе и бат файлове. Проверих какво е ровила в нета - само гугъл транслейт и новини, нищо подозрително.

 

Някаква нова версия е - този път не сменя разширенията на файловете, остават си същите, само са криптирани и негодни за употреба... и така целия комп. Останалото е стандартно - картинки и инструкции за плащане във всички папки + старт-ап.

Пуснах онлайн скенера на есет от любопитство - откри само някакyв безобиден адуеър 1бр.

[CVT]

Има един доста прост начин чрез който .exe файлове могат да бъдат направени да приличат на .pdf, .doc, или каквото си поискаш. Става въпрос за този "характер":

 

 

Ако да кажем си имаш вирусче в някой фаил и той се казва sfdp.exe. Колежката ти със сигурност няма да го стартира. Но ако го копираш този карактър от Character Map и го пастнеш точно между s и fdp.exe, тогава името на файла ще стане sexe.pdf но само нагледно а в реалност ще си бъде .exe и само ще чака някой да го отвори.

 

Просто опитай да копираш това: s‮‮‮fdp.exe

 

След това преименувай някоя програма (която не е вирус разбира се) на това. Ще можеш да си я стартирваш без проблем. Този юникод знак просто обръща посоката на всички бyкви след него, така че от fdp.exe става на exe.pfd. Но реално името си остава: s←fdp.exe

 

Това е най-простия пример, само с един такъв юникод знак. С няколко можеш да разместиш всички букви.

Редактирано 19 Април 2016 от CVT

[Smokie]

4 hours ago, ogip said:

 

При мен се случи да дойде при ъпдейт на acrobat reader.

На пръв поглед всичко е ок, но докато се сваля се промъква и гадта.

Всъщност... виждал съм го да идва от уеб страница, дори не от реклама, от ъпдейти на официални програми, от doc и pdf, но отварян с акробат. Същият pdf отварян 10 мин по-късно с foxit reader не свали вируса. 
В някои от случаите ми се изплъзва без да разбера от къде е дошъл.

 

Механизмът на гадта е такъв, че след като премине отвсякъде и направи безсмислена информацията, се самоизтрива.

 

Схемата се подобрява... вече криптира диска и се записва в MBR, където не позволява дори да се стартира Windows.

http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

Тази Petya обаче е преборена.

[PESHO OT MARS]

В крайна сметка антивирусните програми успяват ли да го гепцат ако не е най-последната версия в трафика и помага ли ми ако ползвам компа не като админ а като юзер с ограничени права?

[ogip]

Преди 8 часа, Smokie написа:

Механизмът на гадта е такъв, че след като премине отвсякъде и направи безсмислена информацията, се самоизтрива.

Зависи от вируса. При мен си оставаше, тъй като при опит да махна мизерии се възстановяваха. System restore не помагаше и веднага се инсталираше след него, само Backup на уиндоуса.

Преди 7 часа, PESHO OT MARS написа:

В крайна сметка антивирусните програми успяват ли да го гепцат ако не е най-последната версия в трафика

При мен мина през W Essentials. Ако вируса е бил в субтитри-файла, втория път го хвана.

 

П.П. Ако някой чуе за декриптор за Tesla Crypt v3.0  (*,МР3) да свирка, че имам доста загубена информация...

[nytro]

Определено работата с минимални права помага.

[netizen]

Това работи, спира го

 

https://www.foolishit.com/cryptoprevent-malware-prevention/

[Wizi]

Един симпатяга от Trend Micro ми обясни, че се справяли успешно с крипто локъра, защото не разчитали на това да следят дали си заразен или не, а улавяли момента на размяна на сертификати между хакера и жертвата, които са нужни за да се осъществи криптирането. Тоест ти реално може и да си останеш заразен, но процес по криптиране няма да се осъществи. 

[Smokie]

Имам много подробен лог както и самия крипто вирус TeslaCrypt 3.0, който mp3-фицира файловете. Не извършва никаква комуникация с хакера в началото. Използва криптиращите механизмите на джама. Като приключи успешно се самоизтрива и изпраща нещо като ключ и IP, но това е накрая. Няколко мнения по-назад съм пуснал линк с анализ работата на вируса... или поне една от версиите му. Ако процесът по криптиране по някакъв начин се прекъсне, то вируса остава в системата.

 

За съжаление, все още няма декриптиращ механизъм за TeslaCrypt 3.0. 

[ogip]

Открих още следи от крипто вирусчето на работа (новата версия, която не сменя разширенията). На един компютър (друг, не заразения) чрез вътрешната мрежа е криптирал на шерната папка 18 000 ПДФ файла по около 100кб за 15 мин!!! Бассси изрода....

[sky]

Добре де, кви пари искат за ключа? И като платиш и вземеш ключа няма ли как да разгадаеш логиката на кода и да се декриптира и на други места?

 

Ето нещо полезно на някой ако му се случи

 

https://www.avira.com/en/support-for-home-knowledgebase-detail/kbid/1251

Редактирано 28 Април 2016 от sky

[kvm_88]

1-2 биткойна.

 Ключа е индивидуален за всеки компютър.

[zlobil]

Май плащането зависи, тоя приятел на който продадох му търсеха 5. 

[Wizi]

И отделно от това много хора се оплакват, че въпреки заплащането нищо не им е било отключено 

 

Определено е индивидуално ценообразуването. На един фотограф му бяха поискали 15 биткойна (!!!) да му отключат всичките снимки. 

[sky]

А колко е един бит?

[Smokie]

http://lmgtfy.com/?q=bitcoin+exchange+rate&l=1

[dojnitsa]

един бит е една българска заплата  : "the affected user needs to pay 1.2 Bitcoins, or 500 USD, during 96 hours" http://nabzsoftware.com/types-of-threats/crypt-file

 

Редактирано 12 Май 2016 от dojnitsa

[CVT]

On 4/28/2016 at 6:47 PM, sky said:

Добре де, кви пари искат за ключа? И като платиш и вземеш ключа няма ли как да разгадаеш логиката на кода и да се декриптира и на други места?

 

Ето нещо полезно на някой ако му се случи

 

https://www.avira.com/en/support-for-home-knowledgebase-detail/kbid/1251

 

Да, бе ще разгадаеш - тези пичове не използват шифър на Цезар. Ако се занимаваш с криптология и имаш работещ квантов компютър може да имаш шанс и пак не се знае. Иначе този вирус може да се спре по един начин - никой да не им плаща, и всеки да пише в Нета че им е платил но не е получил кода.

Редактирано 12 Май 2016 от CVT