MyCity » Ambulanta -> MyCity Laboratorija » Članak: Informacije o CryptoLocker, CryptoWall i ostalim Ransomware klonovima. Prevencija !

Informacije o CryptoLocker, CryptoWall i ostalim Ransomware klonovima. Prevencija !

Napisano na dan: 1.2.2015

Strana:
1
2
3
4

Informacije o CryptoLocker, CryptoWall i ostalim Ransomware klonovima. Prevencija !

Sledeća strana

Pagination

Odgovori

Strana:
1
2
3
4

magna86 Poslao: 01 Feb 2015 21:44 Idi na vrh
offline magna86 Anti Malware Fighter Rank 2 Pridružio: 21 Jun 2008 Poruke: 6104	21Ovo se svidja korisnicima: Ričard, E.L.I.T.E., SlobaBgd, Aco, boki199777, iCho, higuy, TwinHeadedEagle, bojan1000, dr_Bora, _Sale, Black Code, 1l padr1n0, djolew, skender-boy, code381, Mila_90, MinerFull, mcrule, AV Gurus, eleutheros Registruj se da bi pohvalio/la poruku! Uloguj se preko Facebooka da bi skinuo fajl: Ovih dana primecena je pojacana aktivnost CryptoWall ver_3.0 (najnovija varijanta) i slicnih varijanti ove vrste u Ambulanti. CryptoWall je generalno poboljsana varijanta CryptoDefence ransoma, klon poznatog CryptoLocker-a. Informacije o CrypotWall, saveti, sva potrebna uputstva i svi potrebni linkovi mozete naci u ovom vodicu. Procitajte ceo clanak pazljivo. Ransomware poznati kao CryptoWall ili CryptoLocker i druge varijante spadaju trenutno u jedno od najopasnijih infekcija danasnjice. Crypto Ransomware je toliko ozbiljno shvacen da US-CERT i DHS preporucuju Administratorima a i korisnicima da kontaktiraju FBI ukoliko neki korisnik bude inficiran CryptoLocker varijantom. https://www.us-cert.gov/ncas/alerts/TA13-309A Vise o ovome procitajte na ovom linku. Svrha ovog teksta jeste prvenstveno preventiva. http://www.mycity.rs/Zastita/Ransomware-kriptovira.....oWall.html Cisto informativno, preporuka da bacite pogled na sledeci clanak: https://www.htbridge.com/blog/ransomweb_emerging_website_threat.html + Citat: Klikni me Da, kao sto vidite stvar je vrlo ozbiljna. Ukoliko 'Crypto' Ransomware prodje pored zastitnog programa i ucita svoje maliciozne fajlove, istog momenta pocinje da trazi sledece fajlove sa extenzijama na disku i kriptuje ih RSA kljucem. Lista extenzija koje neka Crypto-Ransom varijanta trazi i kriptuje je sledeca. Ova lista verovanto nije konacna: .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .eps, .ai, .indd, .cdr, ????????.jpg, ????????.jpe, img_.jpg, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c Pored svakog fajla koji 'Crypto-Ransom' kriptuje, vecina ima obicaj da ostavi poruku gde trazi od korisnika odredjenu novcanu sumu i uputstvo kako dekriptovati zahvacene fajlove. Tako na primer, mozda primetite sledece fajlove: HELP_DECRYPT.HTML, HELP_DECRYPT.PNG, HELP_DECRYPT.TXT, HELP_DECRYPT.URL ili HOW_DECRYPT.HTML, HOW_DECRYPT.TXT i slicno Kripcija je veoma mocna, konkretno CriptoWall koristi RSA-2048 tehnologiju. Ukloniti sam malware nije veci problem za experta. Sami AntiMalware programi su vecinom dovoljno pametni da adresiraju poznate varijante. Problem nastaje sa licnim fajlovima korisnika koji sam ransom pocinje da kriptuje od trenutka kada sam malware postaje aktivan pa do njegovog uklanjanja ili dok malware ne zavrsi sa kripcijom svih dokumenata pronadjenih na disku. Na nasu zalost, leka za dekripciju trenutno nema. Dok neka AV kompanija ne konfiskuje C&C server (citajte to kao sam pocetak ili originalni izvor ransoma) leka za dekrpiciju na zalost nema. Cak i tada, postoje mnoge varijante koje dolaze sa razlicitih izvora ... Znajte, kod nekih prostijih ili starijih varijanti i postoji nada da se kriptovani fajlovi vrate u originalno stanje ali savremenim varijantama, konkretno za CrypotWall i slicne nove varijante malware-a na zalost trenutnog leka nema. Taktika povratka fajlova koristeci ShadowCopy tehnologiju koja je nekada bila nada, danas i sada biva 'obradjena' od strane svih varijanti po defaultu. No, ono sto mozemo da savetujemo jeste preventiva. Naravno, aktivan AntiVirus i AntiMalware softver i da pazite sta radite i preuzimate preko interneta. Vise saveta u Ransomware / kriptoviralne infekcije (CryptoLocker, CryptoWall...) clanku. * * * * Prevencija * * * * * Prevencija specijalizovanim programom: Preporuka da imate instaliran MCShield. Postoje varijatne koje nameravaju da se prenesu i inficiraju sistem preko nekih USB prenosnih uredjaja. MCShield poseduje posebnu Anti-CryptoLocker rutinu detekcije dizajnirana da adresira i varijatne koje nameravaju da se prosire putem USB uredjaja. CryptoPrevent je mala aplikacija koja sprecava instaliranje svake poznate i nepoznate varijante CryptoLocker-a ali i svakog drugog 'Crypto' Ransom klona, i generalno malware-a koji koriste slicne rutine. CryptoPrevent's FAQ <= Procitati! Za razliku od AntiVirus ili AntiMalware programa koji ce uglavnom zaustaviti samo one varijante koje poznaju, CryptoPrevent koristi pametnu rutinu koja bi trebala da zaustavi svaki poznat ili nepoznat Crypto-Ransom malware jer blokira izvrsenje izvrsnih fajlova na onim lokacijama za koje je poznato da neka varijatna to moze da zloupotrebi. Imajte na umu da malware postaje aktivan i opasan tek onda kada se njegovi izvrsni fajlovi ucitaju, a to ova aplikacija ce pokusati da spreci. Preciznije, ova aplikacija kreira pametnu GPO polisu i na taj nacin sprecava ucitavanje svakog malicioznog fajla za koje je poznato da neka varijanta ovih ransoma moze da iskoristi da bi se ucitao u sistem. Za strucnija lica, ova aplikacija formira zabrane nad sledecim extenzijama i lokacijama: + Primenjene polise na 'Default' opciji; Klikni Me Uputstvo za upotrebu: --- --- --- --- --- Preuzmite CryptoPrevent sa Officialnog FoolishIt sajta. http://www.foolishit.com/vb6-projects/cryptoprevent/ - Dvoklikom na setup (CryptoPreventSetup.exe) pokrece se instalacija programa. Process instalacije je klasican (Next > I agree > Next > Install> Finish) - Na pitanje "Have you purchased a Product Key for Automatic Updates?" klik na No. - Na pitanje "Are you interesting in learning more abaut automatic updates, or to purchase a product key" mozete izabrati No. Besplatna varijanta ce odraditi posao. Ukoliko vas zanima da kupite Pro varijatnu ove aplikacije i nesto vise o auto-azuriranju aplikacije, izaberite Yes. Browser ce se strartovati sa offical stranicom gde mozete naci vise informacija. - U sledecem prozoru klik Ok da bi podesili samu aplikaciju. * Default podesavanja za kucne korisnike bi trebala da odrade zadovoljavajuci posao. Ukoliko zelite pojacati nivo zastite i agresivnosti aplikacije, mozete birati izmedju mocne 'Maximum Protections' opcije koja je mnogo agresivnija i osnovne 'Basic' zastite koja vas stiti samo od poznatih CryptoLocker varijanti. - Po izboru, klik na Apply dugme. - Po prvom startovanju aplikacije dobijate prozor i izbor gde birate da snimite postojece programe i ubacite ih u belu listu (whitelist) ignorisanja legitimnih programa koji su mozda zahvaceni CryptoPrevent rutinom zastite. Ako je vas sistem 'malware free', klik na Yes, program cita i refreshuje GPO i automacki pravi listu postojecih legitimnih programa. - Da bi podesavanja GPO-a bila primenjena, potrebno je restartovati racunar. --- --- --- --- --- Alternativni programi: CryptoMonitor by Nathan. Official site: https://www.easysyncsolutions.com/cryptomonitordetails.html Official disuciona tema na Bleeping Computer forumu: http://www.bleepingcomputer.com/forums/t/572146/cr.....your-data/ Specijalno dizajniran program koji nastoji da spreci izvrsenje file encrypting malware. Ovo je dakle nova prava alternativa CryptoPrevent alatke predstavljena gore. Alat nisam predstavljao ranije jer nije bio u tkz. stable (stabilnoj) verziji. Ovo azuriranje je prva stabilna verzija alata. Alat je pod budnim okom razvoja nasih kolega sa bleeping computer foruma i svih ostalih vip security clanova. --- --- --- --- --- Mozete koristiti i neki alternativni program od poznate AV kompanije, BitDefender. Ova aplikacija radi isto kao i CryptoPrevent, nema razlike. http://download.bitdefender.com/removal_tools/BDAntiCryptoLocker_Release.exe http://download.bitdefender.com/removal_tools/BDAntiCryptoWall_Release.exe Ne preporucuje se koriscenje oba programa (BitDefender i CryptoPrevent) istovremeno radi njihove prirode posla i moguceg konflikta. Mozete probati i Malwarebytes Anti-Exploit - aplikacija dizajnirana da sprecava zero-day malware da iskoriscava ranjiv softver, infekcioni vektor koji cesto koristi ransomware. No, MBAE je malo efikasan (ali i dalje koristan) u besplatnoj varijanti. Puna zastita MBAE se placa. * * * * * Legenda * * * * * Crypto' Ransom Malware - Timeline File Encrypting Malware Timeline - ACCDFISA [FEB '12] - CryptoLocker [SEP '13] - CryptorBit [DEC '13] - CryptoDefense [FEB '14] - BitCypt [MAR '14] - CryptoWall [APR '14] - CTB-Locker/Critroni [JUL '14] - SynoLocker [AUG '14] - How-To-Decrypt [AUG '14] - ZeroLocker [AUG '14] - CryptoGraphic Locker [SEP '14] - TorrentLocker [SEP '14] - Supercrypt [OCT '14] - CryptoWall 2.0 [OCT '14] - CoinVault [NOV '14] - KeyBTC [NOV '14] - Axcrypt [NOV '14] - KEYHolder [DEC '14] - Operation Global III [DEC '14] - OphionLocker [DEC '14] - Shade [DEC '14] - BUYUNLOCKCODE [JAN '15] - PClock [JAN '15] - CryptoWall 3.0 [JAN '15] - CryptoTorLocker2015 [JAN '15] - VaultCrypt [FEB '15] - TeslaCrypt [FEB '15] - CryptoFortress [MAR '15] - Trojan.Encoder.741 [MAR '15] - Navedena tabela komplentih infekcija koje su ugasene i one koje su i danas aktivne i pustene u divljini (in the wild a.k.a internet) Ransomware ovog tipa koji su i dan danas aktivni i kruze internetom su sledece. Sve ostale varijante su trenutno ugasene. CTB Locker/Critroni; SynoLocker; TorrentLocker/CryptoLocker Copycat; CryptoWall 2.0; CoinVault; KeyBTC; Axcrypt, KEYHolder; Operation Global III; OphionLocker; BUYUNLOCKCODE; PClock; CryptoWall 3.0; CryptoTorLocker2015 i CryptoFortress. * Kratak brifing CryptoWall_ver 3.0 http://www.bleepingcomputer.com/forums/t/563169/af.....towall-30/ > ----- ----- ----- ----- ----- < Linkovi. Sve sto nasa Malware Removal zajednica zna o ovim infekcijama skuplja se i Grinler, Administrator Bleeping Computer sajta i foruma redovo ih osvezava. Bitno je prouciti ih ! ! CryptoWall: http://www.bleepingcomputer.com/virus-removal/cryp.....ryptowall3 CryptoLocker: http://www.bleepingcomputer.com/virus-removal/cryp.....nformation CryptoDefense: http://www.bleepingcomputer.com/virus-removal/cryp.....nformation TorrentLocker: http://www.bleepingcomputer.com/virus-removal/torr.....nformation CryptorBit: http://www.bleepingcomputer.com/virus-removal/cryptorbit-ransomware-information CTB Locker i Critroni Ransomware: http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information CryptoFortress http://www.bleepingcomputer.com/forums/t/569157/cr.....rk-shares/ - analiza CryptoFortress - Kafeine's analysist - analiza CryptoFortress - White Hat Mike's analysist VaultCrypt (u proslosti nekima poznat kao 'BAT.Encoder.27') http://www.bleepingcomputer.com/forums/t/570390/va.....s-hostage/ CoinVault http://www.bleepingcomputer.com/virus-removal/coinvault-ransomware-information > ----- ----- ----- ----- ----- < * * * * * Dekripcija * * * * * Dekripcija se zasniva na BruteForce tehnologiji. Od trenutno aktivnih ransom infekcija, samo za sledece varijante postoji metod moguce (ne zagarantovane) dekripcije: CoinVault decrypter by Kaspersky Alternativni izvrsni file: https://noransom.kaspersky.com/static/kaspersky-coinvault-decryptor.exe Dekripcioni alat koji je u stanju da otkljuca fajlove koji su zakljucani (kriptovani) od strane CryptoVault Sve informacije na jednom mestu, diskusiona tema na bleeping computer forumu; TorrentLocker/CryptoLocker Copycat. Dekripcija je moguca koristeci TorrentUnlocker Fajlovi koji su kriptovani ovim malware-om pre 9. Septembra 2014 god. mogu biti dekriptovani. Fajlovi koji su kriptovani ovim malware-om posle 9. Sep. '14 god. ne mogu biti dekriptovani. quote: Due to Digital-forensics publicly releasing TorrentLocker flaw, files encrypted after cannot. PClock Zavisi od varijante. Procitati Fabian's FAQ CryptoTorLocker2015 Dekripcija je moguca koristeci CryptoTorLocker2015_Decrypter. Alternativne metode: Rucno vracanje kriptovanih fajlova: Po objavi ovih varijanti malware-a, prva nada za dekriptiju koju bi nasi alati koristili su Shadow Volume Copies. No, svaka novija varijanta ransoma, bila trenutno aktivna ili ne obradjuje SVC. Imati na umu da 'Previous Versions' metoda i alat ShadowExplorer najverovatnije nece uspeti da vam povrati fajlove, ali nista vas ne kosta da probate. Preuzmite [url=https://www.mycity.rs/must-login.png alat i sacuvajte ga na Desktop - desni klik na ShadowExplorer-0.9-portable.zip i klik Extract All. Izabrati Desktop za lokaciju i klik Extract - desni klik ShadowExplorer.exe i izabrati Run as administrator - prikazace se 'drop-down' meni sa izlistanim tkz. shadow kopijama odrejenog diska koji je prisutan. - Klik C:\ sa tog 'drop-down' menija - sa desne strane izabrati datum pre same infekcije za 'drop-down' menija. - za vracanje celog foldera, desni klik na zeljeni folder i klik Export. U sledecem prozoru izabrati lokaciju gde zelite da vratite sadrzaj fajla ili foldera tj. njegovo stanje pre infekcije. Mozete probati neki File Recovery Programe. Ukoliko je ransom obrisao originalan file i zamenio ga sa kriptovanim, taj originalan file je mozda moguce povratiti, ako je fizicki i dalje prisutan na disku. Naime, kada se file obrise, originalni file se i dalje fizicki nalazi na disku, upisan u odredjenim sektorima i ceka da bude prepisan nekim drugim podatkom, Windows brise samo 'pointer' ka samom fajlu. Originali file je mozda i dalje tamo. Ali, imajte na umu da ransom mozda i ne brise originalan file. Svakako, vredi pokusati. 1. R-Studio 2. Photorec 3. Recuva * * * * * Dijagnostika * * * * * Predstavljam vam mali Grinler-ovog alat ListCwall koji iz registry izvlaci info o svim fajlovima koji su kriptovani. Ovaj alat ne vrsi dekripciju. Ovo je cisto informacioni-dijagnosticni, non-invasive alat.

Profil
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.

SlobaBgd Poslao: 01 Feb 2015 22:10 Idi na vrh
offline SlobaBgd Mod u pemziji Pridružio: 10 Okt 2005 Poruke: 13526 Gde živiš: Beograd	1Ovo se svidja korisniku: eleutheros Registruj se da bi pohvalio/la poruku! Koliko Group Policy ograničenja koja postavlja CryptoPrevent utiču na normalno korišćenje računara? Tu prvenstveno mislim na instalacije programa koje se raspakuju u temp foldere, kao i na portabilne aplikacije koje se takođe raspakuju u privremene foldere korisničkog profila. Takođe, da li CryptoPrevent sprečava da se kreiraju privremene datoteke kada preuzimamo fajlove preko download managera ili torrent klijenata?

Profil

magna86 Poslao: 01 Feb 2015 22:43 Idi na vrh
offline magna86 Anti Malware Fighter Rank 2 Pridružio: 21 Jun 2008 Poruke: 6104	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Alat poseduje svoj whitelist. Po default podesavanjima, tempolary folder nije obuhvacen. Ako je aktivirana Max. protections, tada ce biti ukljucena polisa i za %localappdata% a to ukljucuje i %temp%. Generalno, i pored whiteliste moze se desiti da alat blokira i neki legitimni file koja se izvrsava u %temp%. Naravno, to je za ocekivati usled prirode same aplikacije. Ali to ne bi trebalo da se desava cesto. U svakom slucaju, u obicnom okruzenju, gde korisnici koriste ogranicen broj aplikacija na koji su navikli (browser, mozda app za muziku, neka igrica i sl.) i ne instaliraju nove aplikacije na dnevnom nivou, ovaj pristup je dobar i jedini pravi ako zelimo 97% sigurnosti. Svakako, sve to je lako kontrolisano tako sto se na ikonicu startuje GUI programa, preko Advanced menu pristupiti Software Restriction Policies i Show More AdvancedOptions. Na drugo pitanje, mislim da isto vazi kao i za ovo gore ako je selektovana Maximum Protections.

Profil

Stewdza Poslao: 02 Feb 2015 11:07 Idi na vrh
offline Stewdza Super građanin Pridružio: 19 Dec 2010 Poruke: 1106 Gde živiš: Beograd	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Moze li neko da mi obrazlozi zasto Dr.Web tvrdi da u 90% slucajeva imaju resenje? Nije "clickable" pa ne mogu detaljnije da procitam sta tacno zele da kazu, ali su napisali da je rec o dekripciji.

Profil

TwinHeadedEagle Poslao: 02 Feb 2015 11:32 Idi na vrh
offline TwinHeadedEagle Anti Malware Fighter Rank 2 Pridružio: 09 Avg 2011 Poruke: 15879 Gde živiš: Beograd	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Cryptolocker je stara infekcija i za njega i postoje neke dekripcije. Za Cryptowall naprotiv nema resenja.

Profil

Stewdza Poslao: 02 Feb 2015 11:36 Idi na vrh
offline Stewdza Super građanin Pridružio: 19 Dec 2010 Poruke: 1106 Gde živiš: Beograd	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Tako sam i mislio. Dobra im je fora

Profil

Wisdomseeker Poslao: 02 Feb 2015 12:10 Idi na vrh
offline Wisdomseeker Super građanin Pridružio: 12 Feb 2007 Poruke: 1239	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Lepo su napisali na koji problem imaju rešenje, na starije verzije, tako da nije nikakvo muljanje.

Profil

higuy Poslao: 02 Feb 2015 12:56 Idi na vrh
offline higuy Legendarni građanin penzionisani tabijatlija crni hronicar Pridružio: 21 Apr 2010 Poruke: 8565 Gde živiš: Dubocica	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Mislim da bi ste trebali da proverite kretanje/posetu sajtovima, clanova sa CriptoWall 3 i ostalim Ransom infekcijama, potvrdjenim u Ammbulanti.

Profil

Wisdomseeker Poslao: 02 Feb 2015 13:00 Idi na vrh
offline Wisdomseeker Super građanin Pridružio: 12 Feb 2007 Poruke: 1239	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Imam dva zeta koji vole da klkću svuda gde im nešto šljašti pa tako i na FB i drugim sajtovima. Instalirao bih ovaj CryptoPrevent kod njih, samo me zanima kako se ažurira, pošto u free verziji nema automatsko ažuriranje. Da li se ažuriranje vrši instalacijom nove verzije programa ili na neki drugi način?

Profil

higuy Poslao: 02 Feb 2015 13:17 Idi na vrh
offline higuy Legendarni građanin penzionisani tabijatlija crni hronicar Pridružio: 21 Apr 2010 Poruke: 8565 Gde živiš: Dubocica	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! http://www.foolishit.com/vb6-projects/cryptoprevent/cryptoprevent-faq/

Profil

MyCity » Ambulanta -> MyCity Laboratorija » Članak: Informacije o CryptoLocker, CryptoWall i ostalim Ransomware klonovima. Prevencija !

Ko je trenutno na forumu

Ukupno su 906 korisnika na forumu :: 22 registrovanih, 3 sakrivenih i 881 gosta :: [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:: Korisnici trenutno na forumu: acatomic, bolenbgd, cavatina, Dogma21, draganl, flash12, Georgius, Jeremiah, LUDI, Marko Marković, Mendonca, mercedesamg, mnn2, predragc, Sirius, skvara, theNedjeljko, Udvar, vathra, Vlada78, x9, YugoSlav

Svaki korisnik ovog sajta je odgovoran za sadržaj svoje poruke koju objavi na sajtu. Sajt se odriče svake odgovornosti za sadržaj tih poruka.
Postavljanjem vaše poruke ili vašeg autorskog dela na ovaj sajt, saglasni ste da ovaj sajt postaje distributer vašeg dela, i odričete se mogućnosti njegovog povlačenja ili brisanja, bez saglasnosti uprave sajta.
Distribucija sadržaja sa ovog sajta je dozvoljena samo u nekomercijalne svrhe, uz obaveznu napomenu da je sadržaj preuzet sa ovog sajta, i uz obavezno navođenje adrese MyCity sajta. Za sve ostale vidove distribucije obavezni ste da prethodno zatražite odobrenje od vlasnika MyCity sajta.
MyCity pokrenuo, administrira i razvija Predrag Damnjanović, a o uređenju sajta se brine MyCity Tim.
Ukoliko želite da nas kontaktirate kliknite ovde.
Naši sajtovi:
Vesti, Vojni forum, Zaštita od virusa, TekstPesme.rs

This content is licensed under a Creative Commons License.
Based on phpBB 2, translated by Simke, designed by