_koko_ Публикувано 7 Март 2016 Доклад Share Публикувано 7 Март 2016 Вече и за Мак: http://www.theverge.com/2016/3/6/11170214/first-known-os-x-ransomware-spotted-in-mac-torrenting-app Адрес на коментара Сподели в други сайтове More sharing options...
N1995 Публикувано 7 Март 2016 Доклад Share Публикувано 7 Март 2016 За мак ама не баш за мак щото трябва да си мега прост да си го инсталираш на ръка вируса едва ли не Да не говорим, че вече май е пачнат проблема. Адрес на коментара Сподели в други сайтове More sharing options...
TiL Публикувано 7 Март 2016 Доклад Share Публикувано 7 Март 2016 Ихааа тва не ми беше минало през акъла, че ако се зарази някой сиидър можеш да лепнеш вируса и ти от него. П.с. Затва си гледам порното онлайн Адрес на коментара Сподели в други сайтове More sharing options...
Smokie Публикувано 7 Март 2016 Доклад Share Публикувано 7 Март 2016 Успях да изолирам вируса и да го пусна, като записвах трафика, който генерира и по кои файлове и регистри пипа. Рабата му хич не е проста и използва библиотеките на windows за криптиране...Заразяването може да стане всякак, защото вирусът се изтегля и изпълнява от друго място. Линк за изтеглянето и изпълняването му може да се вкара почти навсякъде от документи до уеб страница, отваряна с internet exploiter. Интересен е този анализ http://thisissecurity.net/2016/03/02/lets-ride-with-teslacrypt/А на мен ми беше много интересна тази графика: Ако някой желае да разгледа къде и какво пипа вируса, мога да пусна линк с .pcap .pml файловете. Адрес на коментара Сподели в други сайтове More sharing options...
sky Публикувано 7 Март 2016 Доклад Share Публикувано 7 Март 2016 http://www.dnes.bg/technology/2016/03/07/apple-spria-pyrvata-hakerska-ataka-sreshtu-mac.295177 Адрес на коментара Сподели в други сайтове More sharing options...
Smokie Публикувано 7 Март 2016 Доклад Share Публикувано 7 Март 2016 Това е друго. Заместен е пакет със заразена програма. Това е все едно втория вторник на месеца през windows update да се инсталира заразен ъпдейт, който предварително е бил сменен на сървърите на М$.Ефектът е същия, но все пак методът е много по-брутален, защото е компрометиран един от основните методи за предпазване от зарази - редовния ъпдейт. Адрес на коментара Сподели в други сайтове More sharing options...
_koko_ Публикувано 9 Март 2016 Доклад Share Публикувано 9 Март 2016 Един декриптор за по- старите версии на крипто вируса: HydraCrypt and UmbreCrypt Decrypter Адрес на коментара Сподели в други сайтове More sharing options...
ogip Публикувано 19 Април 2016 Доклад Share Публикувано 19 Април 2016 Днес една колежка хвана такава гад пак от нищото. Цял ден е отваряла само ексел, уърд и пдф. Не е стартирала никакви ексе и бат файлове. Проверих какво е ровила в нета - само гугъл транслейт и новини, нищо подозрително. Някаква нова версия е - този път не сменя разширенията на файловете, остават си същите, само са криптирани и негодни за употреба... и така целия комп. Останалото е стандартно - картинки и инструкции за плащане във всички папки + старт-ап. Пуснах онлайн скенера на есет от любопитство - откри само някакyв безобиден адуеър 1бр. Адрес на коментара Сподели в други сайтове More sharing options...
CVT Публикувано 19 Април 2016 Доклад Share Публикувано 19 Април 2016 (Редактирано) Има един доста прост начин чрез който .exe файлове могат да бъдат направени да приличат на .pdf, .doc, или каквото си поискаш. Става въпрос за този "характер": Ако да кажем си имаш вирусче в някой фаил и той се казва sfdp.exe. Колежката ти със сигурност няма да го стартира. Но ако го копираш този карактър от Character Map и го пастнеш точно между s и fdp.exe, тогава името на файла ще стане sexe.pdf но само нагледно а в реалност ще си бъде .exe и само ще чака някой да го отвори. Просто опитай да копираш това: sfdp.exe След това преименувай някоя програма (която не е вирус разбира се) на това. Ще можеш да си я стартирваш без проблем. Този юникод знак просто обръща посоката на всички бyкви след него, така че от fdp.exe става на exe.pfd. Но реално името си остава: s←fdp.exe Това е най-простия пример, само с един такъв юникод знак. С няколко можеш да разместиш всички букви. Редактирано 19 Април 2016 от CVT Адрес на коментара Сподели в други сайтове More sharing options...
Smokie Публикувано 19 Април 2016 Доклад Share Публикувано 19 Април 2016 4 hours ago, ogip said: При мен се случи да дойде при ъпдейт на acrobat reader. На пръв поглед всичко е ок, но докато се сваля се промъква и гадта. Всъщност... виждал съм го да идва от уеб страница, дори не от реклама, от ъпдейти на официални програми, от doc и pdf, но отварян с акробат. Същият pdf отварян 10 мин по-късно с foxit reader не свали вируса. В някои от случаите ми се изплъзва без да разбера от къде е дошъл. Механизмът на гадта е такъв, че след като премине отвсякъде и направи безсмислена информацията, се самоизтрива. Схемата се подобрява... вече криптира диска и се записва в MBR, където не позволява дори да се стартира Windows. http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/ Тази Petya обаче е преборена. Адрес на коментара Сподели в други сайтове More sharing options...
PESHO OT MARS Публикувано 19 Април 2016 Доклад Share Публикувано 19 Април 2016 В крайна сметка антивирусните програми успяват ли да го гепцат ако не е най-последната версия в трафика и помага ли ми ако ползвам компа не като админ а като юзер с ограничени права? Адрес на коментара Сподели в други сайтове More sharing options...
ogip Публикувано 20 Април 2016 Доклад Share Публикувано 20 Април 2016 Преди 8 часа, Smokie написа: Механизмът на гадта е такъв, че след като премине отвсякъде и направи безсмислена информацията, се самоизтрива. Зависи от вируса. При мен си оставаше, тъй като при опит да махна мизерии се възстановяваха. System restore не помагаше и веднага се инсталираше след него, само Backup на уиндоуса. Преди 7 часа, PESHO OT MARS написа: В крайна сметка антивирусните програми успяват ли да го гепцат ако не е най-последната версия в трафика При мен мина през W Essentials. Ако вируса е бил в субтитри-файла, втория път го хвана. П.П. Ако някой чуе за декриптор за Tesla Crypt v3.0 (*,МР3) да свирка, че имам доста загубена информация... Адрес на коментара Сподели в други сайтове More sharing options...
nytro Публикувано 20 Април 2016 Доклад Share Публикувано 20 Април 2016 Определено работата с минимални права помага. Адрес на коментара Сподели в други сайтове More sharing options...
netizen Публикувано 20 Април 2016 Доклад Share Публикувано 20 Април 2016 Това работи, спира го https://www.foolishit.com/cryptoprevent-malware-prevention/ Адрес на коментара Сподели в други сайтове More sharing options...
Wizi Публикувано 20 Април 2016 Автор Доклад Share Публикувано 20 Април 2016 Един симпатяга от Trend Micro ми обясни, че се справяли успешно с крипто локъра, защото не разчитали на това да следят дали си заразен или не, а улавяли момента на размяна на сертификати между хакера и жертвата, които са нужни за да се осъществи криптирането. Тоест ти реално може и да си останеш заразен, но процес по криптиране няма да се осъществи. Адрес на коментара Сподели в други сайтове More sharing options...
Smokie Публикувано 22 Април 2016 Доклад Share Публикувано 22 Април 2016 Имам много подробен лог както и самия крипто вирус TeslaCrypt 3.0, който mp3-фицира файловете. Не извършва никаква комуникация с хакера в началото. Използва криптиращите механизмите на джама. Като приключи успешно се самоизтрива и изпраща нещо като ключ и IP, но това е накрая. Няколко мнения по-назад съм пуснал линк с анализ работата на вируса... или поне една от версиите му. Ако процесът по криптиране по някакъв начин се прекъсне, то вируса остава в системата. За съжаление, все още няма декриптиращ механизъм за TeslaCrypt 3.0. Адрес на коментара Сподели в други сайтове More sharing options...
ogip Публикувано 28 Април 2016 Доклад Share Публикувано 28 Април 2016 Открих още следи от крипто вирусчето на работа (новата версия, която не сменя разширенията). На един компютър (друг, не заразения) чрез вътрешната мрежа е криптирал на шерната папка 18 000 ПДФ файла по около 100кб за 15 мин!!! Бассси изрода.... Адрес на коментара Сподели в други сайтове More sharing options...
sky Публикувано 28 Април 2016 Доклад Share Публикувано 28 Април 2016 (Редактирано) Добре де, кви пари искат за ключа? И като платиш и вземеш ключа няма ли как да разгадаеш логиката на кода и да се декриптира и на други места? Ето нещо полезно на някой ако му се случи https://www.avira.com/en/support-for-home-knowledgebase-detail/kbid/1251 Редактирано 28 Април 2016 от sky Адрес на коментара Сподели в други сайтове More sharing options...
kvm_88 Публикувано 29 Април 2016 Доклад Share Публикувано 29 Април 2016 1-2 биткойна. Ключа е индивидуален за всеки компютър. Адрес на коментара Сподели в други сайтове More sharing options...
zlobil Публикувано 29 Април 2016 Доклад Share Публикувано 29 Април 2016 Май плащането зависи, тоя приятел на който продадох му търсеха 5. Адрес на коментара Сподели в други сайтове More sharing options...
Wizi Публикувано 29 Април 2016 Автор Доклад Share Публикувано 29 Април 2016 И отделно от това много хора се оплакват, че въпреки заплащането нищо не им е било отключено Определено е индивидуално ценообразуването. На един фотограф му бяха поискали 15 биткойна (!!!) да му отключат всичките снимки. Адрес на коментара Сподели в други сайтове More sharing options...
sky Публикувано 29 Април 2016 Доклад Share Публикувано 29 Април 2016 А колко е един бит? Адрес на коментара Сподели в други сайтове More sharing options...
Smokie Публикувано 29 Април 2016 Доклад Share Публикувано 29 Април 2016 http://lmgtfy.com/?q=bitcoin+exchange+rate&l=1 Адрес на коментара Сподели в други сайтове More sharing options...
dojnitsa Публикувано 12 Май 2016 Доклад Share Публикувано 12 Май 2016 (Редактирано) един бит е една българска заплата : "the affected user needs to pay 1.2 Bitcoins, or 500 USD, during 96 hours" http://nabzsoftware.com/types-of-threats/crypt-file Редактирано 12 Май 2016 от dojnitsa Адрес на коментара Сподели в други сайтове More sharing options...
CVT Публикувано 12 Май 2016 Доклад Share Публикувано 12 Май 2016 (Редактирано) On 4/28/2016 at 6:47 PM, sky said: Добре де, кви пари искат за ключа? И като платиш и вземеш ключа няма ли как да разгадаеш логиката на кода и да се декриптира и на други места? Ето нещо полезно на някой ако му се случи https://www.avira.com/en/support-for-home-knowledgebase-detail/kbid/1251 Да, бе ще разгадаеш - тези пичове не използват шифър на Цезар. Ако се занимаваш с криптология и имаш работещ квантов компютър може да имаш шанс и пак не се знае. Иначе този вирус може да се спре по един начин - никой да не им плаща, и всеки да пише в Нета че им е платил но не е получил кода. Редактирано 12 Май 2016 от CVT Адрес на коментара Сподели в други сайтове More sharing options...
Recommended Posts
Създайте нов акаунт или се впишете, за да коментирате
За да коментирате, трябва да имате регистрация
Създайте акаунт
Присъединете се към нашата общност. Регистрацията става бързо!
Регистрация на нов акаунтВход
Имате акаунт? Впишете се оттук.
Вписване