CryptoLocker

[starovaroshki]

Prijateljica je nedje, nekako, pokupila, virus, koji sam uz pokusavanje rjesavanja problema, malo bolje upoznao. Radi se o zakljucavanju svih dokumenata u racunaru. U svakom ''ostecenom'' folderu ostaje link za otkljucavanje fajlova. Link vodi do sajta na kojem se uplacuje novac za otkljucavanje. 256-bitna enkripcija je u pitanju. Racunar je reinstaliran, fajlovi su i dalje mrtvi. Je li imao ko slicno iskustvo ?

Podaci kazu, da zarazenost racunara ovim virusom trenutno izgleda ovako

http://www.enigmasoftware.com/crypto...mware-removal/

[ILEW]

Prijateljica je nedje, nekako, pokupila, virus, koji sam uz pokusavanje rjesavanja problema, malo bolje upoznao. Radi se o zakljucavanju svih dokumenata u racunaru. U svakom ''ostecenom'' folderu ostaje link za otkljucavanje fajlova. Link vodi do sajta na kojem se uplacuje novac za otkljucavanje. 256-bitna enkripcija je u pitanju. Racunar je reinstaliran, fajlovi su i dalje mrtvi. Je li imao ko slicno iskustvo ?

Podaci kazu, da zarazenost racunara ovim virusom trenutno izgleda ovako

http://www.enigmasoftware.com/crypto...mware-removal/

prije desetak dana isti virus na poslu shebao jedan komp, tj. fajlove. nidje nijesmo nasli rjesenje, raspitivali smo se, ali djao popio. prvi put sam cuo za takvo nesto taman tad. ako ko ima rjesenje, mada nesto ne vjerujem, neka javi.

[starovaroshki]

Prilicno dosta ljudi u zadnje vrijeme ima problem sa ovim.

Sent from my SM-N910C using Tapatalk

[ILEW]

Prilicno dosta ljudi u zadnje vrijeme ima problem sa ovim.

Sent from my SM-N910C using Tapatalk

koliko shvatih pokrece se iz emaila, tj. spam poruka. ranije je valjda sistem ristor mogao rijesit problem ali ovo su naprednije verzije virusa. a i pozeljno je gasit remote.

[starovaroshki]

Tacno ! Sve sam procitao to sinoc, do 4.30 sam ostao da trazim rjesenje. Kazu, da ima par tool_ova, koji otkljucaju podatke, nego je problem sa ovim racunarom jer je odradjena reinstalacija a posle toga je vec nemoguce.

Sent from my SM-N910C using Tapatalk

[smfilip]

ima prosto resenje,ali posto je reinstaliran,slobodno obrisi sve to,vise vratiti ne mozes...
a ima i tool koji moze da sprijeci narednu infekciju:
https://www.foolishit.com/cryptoprev...re-prevention/

mada i ako je na tom racunaru bio neki normalan antivirus,i on je trebao da sprijeci pokretanje...

[Sandor Kolar]

Nema rjesenja. Ko kaze da ima - laze. Bilo je za prvi Cryptolocker, jer je baza provaljena i svaki decryption key je postao javan. To nije virus nego enkripcija, koju po defaultu ima Windows.
Crypto wall 3.0 nije zajebancija, a crypto wall 4.0 jos manja. Ko ne plati, vidimo se.

[BlackVelvet]

A sta ko plati Sandor? Da neces dobiti kljuc, jesi li probao?
Ne znam ko moze da nasjeda na te fore. Podaci su izgubljeni i neka se taj kome se to desi pomiri s tim.

[Bugi]

Ima li neđe spisak AV koji ga blokiraju?

Poslato sa tranje

[Sandor Kolar]

A sta ko plati Sandor? Da neces dobiti kljuc, jesi li probao?
Ne znam ko moze da nasjeda na te fore. Podaci su izgubljeni i neka se taj kome se to desi pomiri s tim.

Moj drug platio juce 1.2 k $ i dobio podatke nazad. Odje je cryptolocker novost, ja to pratim odavno.Od 2013. 350 miliona isplacenih ransoma u poslednja 4 mjeseca.

@Bugi

Imaju crypteri koji se plate i server(trojanac) postane FUD ( fully undetectable) . I onda je FUD jedno vrijeme dok fajl ne bude uploadovan na virustotal. Tu ga odma registruju, updateuju se antivirusi i onda je detectable dok ga opet neko ne kriptuje kako treba.

[LINK servis]

Problem sa datacrypterima je što i alati koji odkčjučavaju podatke ne rade to stvarno, već ih varaćaju iz obrisanih (tj. virus prvo pravi enkriptovanu kopiju podataka, onda obriše originalne podatke i onda ostaje samo zaključana verzija; a predhodna se može vratiti većinom data recovery programa ako nisu originalni prepisani). Mene jedino nije jasno kako ovako lako prolaze u sistem, jer ih skoro svi antivirusi detektuju i blokiraju lako. Inače spadaju u "ransomware" grupu, a tvorci obično debelo naplaćuju iznudu...

[Sandor Kolar]

Razumijem da je neko skeptican po tom pitanju placanja i ima razloga da bude, ali proces placanje-dekripcija je totalno automatizovan.
Nije to da neko gleda jesi li ti platio ili nijesi pa te otkljuca ili zakljuca. To je sad biznis i "hackerima" nije u interesu da te ostave zakljucanog, jer onda niko ne bi placao.

Cryptowall je najveca internet poshast trenutno, a ransomware as a service ce da je prevazidje.

[Sandor Kolar]

E problem je sto se ne sire samo mail methodom, torrentima, crackovima isl..Java apleti su kriticni. Ne smije se Java enableovat na sajtu sto se neces dobro zamisliti. Mapirane racunare takodje napada.

[smfilip]

Nema rjesenja. Ko kaze da ima - laze. Bilo je za prvi Cryptolocker, jer je baza provaljena i svaki decryption key je postao javan. To nije virus nego enkripcija, koju po defaultu ima Windows.
Crypto wall 3.0 nije zajebancija, a crypto wall 4.0 jos manja. Ko ne plati, vidimo se.

znaci ako ti ne znas nacin-ne postoji? bravo ti ga... kakvih ljudi ima ovde,sta je ovo
da je tacno ovo sto pricas,niko ne bi ni instalirao AV i slicne programe,nego bi se pomirili sa sudbinom...nego ne vrijedi pricati kad imamo ovakve strucnjake
za sve koji ne teoretisu,nego imaju stvaran problem-ne postoji nacin dekripcije samo za najnoviju ver,ali i ta se situacija mijenja iz dana u dan,samo treba pratiti reddit

[LINK servis]

Evo vam fora koju sam ja pre X godina provalio za izbjegavanje većine virusa koji kriptiju podatke:

1. Imati 2 ili više diskova ili particija
2. Iz nekog drugog operativnog sistema (ili portabilnog Windowsa) prebaciti sve bitne podatke (foldere) na drugu particiju: Desktop, Documents itd. (voditi računa da su diskovi i particije sa istim slovima, jer NTFS junction neće raditi kad se butuje primarni sistem).
3. Napraviti NTFS Junction (hardlink, ne symlink) koji će linkovat podatke na originalne lokacije

E sad, iz nekog razloga, kad virus pokuša da kriptuje podatke na C:\Users\<user>\Desktop, pošto ga NTFS Junction vodi do lokacije, navedena "pukne" i desktop (tj. linkovani podaci) ostaje nedostupan. Naravno, vraćanje hardlinka će povratiti lokacije, a fajlovi neće biti enkriptovani. Pojma nemam zašto se ovo događa, i provalio sam ovo još kad je na WinXP harala iritacija slična ovoj, i vjerovatno je zbog traljave specifikacije NTFS fajl sistema tj. samog načina na koji hardlinkovi rade. Nemam pojma da li ovo još uviijek radi za novije viruse, ali ako neko ima arhiviran virus možemo probati.

[LINK servis]

Evo vam fora koju sam ja pre X godina provalio za izbjegavanje većine virusa koji kriptiju podatke:

1. Imati 2 ili više diskova ili particija
2. Iz nekog drugog operativnog sistema (ili portabilnog Windowsa) prebaciti sve bitne podatke (foldere) na drugu particiju: Desktop, Documents itd. (voditi računa da su diskovi i particije sa istim slovima, jer NTFS junction neće raditi kad se butuje primarni sistem).
3. Napraviti NTFS Junction (hardlink, ne symlink) koji će linkovat podatke na originalne lokacije

E sad, iz nekog razloga, kad virus pokuša da kriptuje podatke na C:\Users\<user>\Desktop, pošto ga NTFS Junction vodi do lokacije, navedena "pukne" i desktop (tj. linkovani podaci) ostaje nedostupan. Naravno, vraćanje hardlinka će povratiti lokacije, a fajlovi neće biti enkriptovani. Pojma nemam zašto se ovo događa, i provalio sam ovo još kad je na WinXP harala iritacija slična ovoj, i vjerovatno je zbog traljave specifikacije NTFS fajl sistema tj. samog načina na koji hardlinkovi rade. Nemam pojma da li ovo još uviijek radi za novije viruse, ali ako neko ima arhiviran virus možemo probati.

I što se tiče kreiranja hardlinkova, može se odraditi i iz Hirensovih PE Windowsa, i iz Sergei Strelec boot diska, i iz DLCboota, samo da su drive letters isti kao i pod Windowsom.

[LINK servis]

znaci ako ti ne znas nacin-ne postoji? bravo ti ga... kakvih ljudi ima ovde,sta je ovo
da je tacno ovo sto pricas,niko ne bi ni instalirao AV i slicne programe,nego bi se pomirili sa sudbinom...nego ne vrijedi pricati kad imam ovakve strucnjake
ne postoji nacin dekripcije samo za najnoviju ver,ali i ta se situacija mijenja iz dana u dan,samo treba pratiti reddit

AV je tu da spriječi problem, ne da ga riješi kad već nastane... ali, o svemoćni, objasni nam kako da krekujemo AES256 koji koriste neka od ove gamadi, ako nisi došao iz budućnosti i imaš kvantni procesor u podrumu?

[smfilip]

mislim (ali napominjem da nisam 100% siguran)da ovaj nacin vise ne stiti...ali zato ovaj free programcic sto sam stavio gore stiti 100% od svih do sada poznatih-probao sam skoro u sandboxu

[smfilip]

AV je tu da spriječi problem, ne da ga riješi kad već nastane... ali, o svemoćni, objasni nam kako da krekujemo AES256 koji koriste neka od ove gamadi, ako nisi došao iz budućnosti i imaš kvantni procesor u podrumu?

odgovoricu ti samo sa: prelistaj REDDIT
kljucevi se generisu na TVOM kompjuteru,i mogu da se izvuku uz neko malko naprednije poznavanje windowsa,i pod uslovom da nije formatiran,jer je ovo dijelom windows feature,a kao svi win based programi-pun je rupa

P.S. malo kulture ti ne bi skodilo,ja pokusavam da pomognem ljudima,a ne da se pravim pametan

I da,ja sam zavrsio sa raspravom sa vama teoreticarima,kome treba pomoc,naveo sam dje moze naci,ili se obratite ovim strucnjacima,da vam pomognu da formatirate particiju i da se pozdravite sa podacima- jer ipak,lakse je to nego se malo pomuciti

[^^0LIvEr_QuEeN^^]

znaci ako ti ne znas nacin-ne postoji? bravo ti ga... kakvih ljudi ima ovde,sta je ovo
da je tacno ovo sto pricas,niko ne bi ni instalirao AV i slicne programe,nego bi se pomirili sa sudbinom...nego ne vrijedi pricati kad imamo ovakve strucnjake
za sve koji ne teoretisu,nego imaju stvaran problem-ne postoji nacin dekripcije samo za najnoviju ver,ali i ta se situacija mijenja iz dana u dan,samo treba pratiti reddit

Dekriptovat bez koda ih mozes samo sa nekim NSA grade kompjuterom, i to bi trajalo godinu

[smfilip]

ja nisam ni pricao o bruteforce

nesto slicno ovome sam nalazio na redditu,i radilo je:
http://www.zdnet.com/article/free-se...ocker-victims/

mada vidim da ovaj decryptolocker vise ne radi,vec je prepustio to proizvodjacima AV softvera

I opet napominjem-jedino je jos kriticna zadnja verzija,od prije nekih mjesec dana,ostale mogu da se rijese
Ako neko misli da ja ovo pisem da bih se pravio pametan,a ne da bih pomogao,evo ja se izvinjavam,necu vise nikad

[LINK servis]

odgovoricu ti samo sa: prelistaj REDDIT

Na reddit sam nalazio tvrdnje da su neki hakovali Bila Gejtsa, tako da ne uzimam tamo sve zdravo za gotovo. Od skoro ugl. nalazim third wave feministe i minecraft pedofile, pa ne provodim puno vremena tamo.

kljucevi se generisu na TVOM kompjuteru,i mogu da se izvuku uz neko malko naprednije poznavanje windowsa,i pod uslovom da nije formatiran,jer je ovo dijelom windows feature,a kao svi win based programi-pun je rupa

Možda za cryptolocker generiše ključeve, ali dosta ovih virusa ne koristi windows enkripciju, niti čuvaju ključeve lokalno... takođe dosta ovih virusa se "updejtuje" ko normalni programi u pozadini, putem botneta, tako da kad tad riješe ove "siguronosne propuste".

P.S. malo kulture ti ne bi skodilo,ja pokusavam da pomognem ljudima,a ne da se pravim pametan

Dolazi od nekoga ko je 10 minuta prije postavio citiram "znaci ako ti ne znas nacin-ne postoji? bravo ti ga... kakvih ljudi ima ovde,sta je ovo". Kako serviraš tako ti se služi jbg. Kultura je opcionalna.

I da,ja sam zavrsio sa raspravom sa vama,kome treba pomoc,naveo sam dje moze naci,ili se obratite ovim strucnjacima,da vam pomognu da formatirate particiju i da se pozdravite sa podacima- jer ipak,lakse je to nego se malo pomuciti

Hvala na informacijama.

[smfilip]

tip iznad je rekao da lazem,odgovorio sam njemu,tako da je tvoja kultura i dalje upitna, s obzirom da te nicim licno nisam izazvao...
na redditu ima svasta,ali ako ne listas sve redom,nego znas sta trazis,nacices mnogo korisnih stvari.
Pitanje je bilo za cryptolocker, moj odg je bio za isti,kad neko pita za neku varijaciju,mozda ce se odgovor razlikovati

[Sandor Kolar]

Uf...Ne mogu ja ovo. Co'ek treba da razumije asimetricnu kriptologiju da bi razumio u cemu je problem. Srecom, pa je to bio jedini predmet na fakultetu, koji me interesovao.
Nije problem u detektovanju cryptolockera, manje od 2% koji se vrte po netu su FUD, tj., oni koje ne prepoznaje antivirus.
Kad se aktivira cryptolocker ,problem vise nije virus nego savrseni sistem enkripcije koji nije provaljen zadnjih 30 godina. Navodno, samo NSA ima lijek za njega, jer su ga oni i napravili , tj., preuzeli sa MIT-a.
Virus moze biti odstranjen sa kriptovanog racunara, ali fajlovi ne mogu biti dekriptovani bez kodova, koje ima napadac!
Ovaj sajt decryptcryptolocker sadrzi kodove za dekripciju prvog cryptolockera, jer je FBI fizickom zaplijenom kompjutera kreatora cryptolockera dosao do njih i tako su postali javni. Nije, dakle, do toga doslo tako sto je neko aktivirao neki racunar i sve to dekriptovao.

Nije svaki cryptolocker savrsen, jer to moze svaki programer da napravi. Onaj koji je sad aktuelan je cryptowall. On je najsavrseniji i nemoguce ga je kupiti na crnom trzistu. Odavno postoji misljenje da ovo nije projekat random likova vec da su u pitanju neke vece igre.

Moj savjet je da updateujete browsere i fajlove drzite u cloudu.

[smfilip]

ja razumijem kripciju (mozda manje od tebe,ko zna,ali ovo nije takmicenje,vec sam pokusao da pomognem),isto tako razumijem da je "nemoguce" dekrpitovati bez kljuca,ali originalni cryptolocker, sa svoje 3 ili 4 verzije (za koje znam) prilikom kriptovanja ostavlja nedje u svakom kriptovanom fajlu fragmente kljuca koje neki tool koji sam nalazio na redditu uspjesno izvlaci i na taj nacin spasava podatke. (mislim da je tako-nisam ulazio duboko u princip rada,bilo mi je dovoljno da radi)
Za sve druge varijacije originalnog cryptolockera sam se ogradio,jer vecina koristi istu zamisao,ali drugacije je rijeseno samo kriptovanje,nazalost. Pitanje je bilo za cryptolocker, za njega sam dao i odgovor.