[Tanel]

CERT-EE hoiatab taas hoogustunud lunavara levitamise kampaaniate eest! Kasutajate nakatamine toimub e-kirjade teel, mis sisaldavad erineva nimega ZIP-faile: Payment / Invoice / Document + pikem numbrikombinatsioon.

ZIP-faili lahtipakkimisel käivituvad javascript failid, mille tagajärjel kasutaja arvuti ja võrguketas krüpteeritakse ning kasutajale edastatakse juhised lunaraha maksmiseks.



E-kirja sisu on üldiselt korrektses inglise keeles ning teavitab kasutajat tema arve/maksekorralduse/dokumendi e-kirjaga edastamisest, tuletab meelde maksmata arvet või isegi teavitab kasutajat, et on külastanud tema veebilehte ning edastab talle oma CV.

Erinevalt eelmise aasta lõpus toimunud kampaaniatest, on kiri suunatud ainult ühele isikule ning saatja aadressi pole kohandatud näitamaks saatja nime tuttava inimese nimena.

Juhul, kui andmetest puudub varukoopia, on kasutaja valik: kas jääda failidest ilma või maksta kurjategijatele lunaraha, mida me tungivalt ei soovita teha.

Juhul, kui Teile või Teie asutusse jõuab kirjeldatud e-kiri, palume see edastada koos manusega aadressile cert@cert.ee ning kiri ilma manust avamata koheselt kustutada.

Allikas: RIA hoiatab taas krüptovara levitavate kirjade eest

[Tanel]

Loe ka RIA KÜBERTURVALISUSE TEENISTUSE KOKKUVÕTE https://www.ria.ee/public/Kuberturvalisus/RIA_KTT_kokkuvote_veebruar_2016.pdf

[laurx]

kui kellelgi on kokkupuuteid, võiks ekraanilasu siia pasteerida. saaks puust ja punaseks tegemiseks materjali.

[LKits]

Kellelgi kokkupuuteid Windows 10-l programmide "whitelist"-imisega?

Et näiteks programm skänneerib arvutis kõik programmid, koostab nimekirja ning lisad need white-listi. Igasugu uute programmide käivitamine ja whitelisti paigutamine toimub ainult kasutaja nõusolekul.
Whitelistis olevad programmid saavad kirjutamiseõiguse ka "Documents" kataloogile, muidu on õigus ainult APPDATA-le ja programmi enda kataloogile.

On selline asi üldse võimalik Windows all? Et igal programmil ei oleks õigus kirjutada "lubamatutes" kohtades, vaid ainult programmi enda kataloog ja %APPDATA%\programminimi.
Lugemisõigust ei pea ju piirama, lihtsalt kirjutamise õigus.

[sooty]

laurx, Võin sulle soovi korral lausa ~10tk saata, mille see nädal sain.
Koos manustega ja puha. Või jätan manused välja.

NIS märgib spämmiks ära, aga ei oska sisust midagi arvata. FSecure virustotal järgi kõige nobedam nende kirjade tuvastamisel.

[oncleuno]

Endalegi on viimastel päevadel mitu ZIP manusega kirja tulnud, mõni tavakasutaja võib huvi pärast avada ja siis on jama käes...

[laurx]

tee screenshotid lihtsalt.

[oncleuno]

[NightStriker]

--

[laurx]

mul on vaja dummy user ile puust ja punaseks teha.

[NightStriker]

--

[Tanel]

radist87, tänud
Lisasin selle ka esimesse postitusse.

[sooty]

radist87, sinu oma on ikka väga tasemel.
Olen siiani näinud ainult 1-2 realiseid variante.

[Dogbert]

Kui on tundmatu saatja, siis manust ei avata, misiganes laiendiga see siis ei paista olevat. Polegi midagi keerulist.

Kui on tuttav saatja ja ajab "imelikku" juttu ja on mingi manus, mida ta väga soovitab sul avada, siis tuleb tuttavalt üle küsida, kas tal on tervis ikka korras, et sellist pada ajama kukkus . Ja alles siis vaatad, mis seal manuses on, kui on kindel et tema saatis.

Sest mitte ainult zipid pole ohtlikud, vaid kõik pakitud asjad, lisaks doc ja docx jm MS Office formaadid (makroviirused!), rääkimata exe, scr, cmd, bat, lnk laienditest (mille korralik server võiks kohe igasuguse lisakontrollita kukele saata, vastates saatjale, et sellised manused ei ole lubatud)

Seega ei pea oskama kirja headerist välja lugeda, kust kiri pärit on, seda enam et tuttava konto võib olla kaaperdatud ja kiri pärit õigest kohast.

[Freezedude]

https://technet.microsoft.com/en-us/library/mt592642(v=vs.85).aspx

Juhul kui whitelistitud programmi turvaauke ära kasutatakse (nt: pdf reader, flash, java, word jne), siis tehakse ikka 1:0 ära.

[jägaja]

Dogbert, mp3, jpeg ja muud meediafailide laiendid võivad samuti soovimatut endas peita.
Pole õnneks nii laialt levinud.
Ise pole ka õnneks ühtegi sellist manusega soovimatut kirja saanud.

[Dogbert]

Jah, on olnud jpg, mp3 ja kas mitte png viiruseid ka? Rääkimata siis online DRM-i võimaldavatest MS formaatidest nagu wma ja wmv, millel saab siis DRM litsentsi asemel mingi "pommi" lasta alla laadida. Ja siis muidugi PDF - isegi kui mingit turvaauku pole, saab sinna linke sisse toppida, millel klõpsates siis uudishimulikud endale troojalase alla saavad laadida ja käima tõmmata.
____________

Väike otsing: jep, PNG oli ka.

Ohtlikuks saavad need jpg, png ja mp3 failid siiski vaid juhul kui arvutis leidub nende failide avamiseks mingisugust vana ja aegunud tarkvara (teeke peamiselt), kus on veel sees vastav turvaauk, mille jaoks see viirus on valmistatud. wmv ja wma on vist kahtlased formaadid siiani. Igatahes automaatne litsentside allalaadimine võiks väljalülitatud olla pleieris.

[Betamax]

Mul on serveri spämifiltris attachmenti filter peal, kus kõik exed, batid, javaskriptid keelatud. Aasta algusest alates iga paari nädala järel tuleb järjekordne krüptoviiruse laine ja karantiin pilgeni seda saasta täis. Ca 2000 või rohkem viirust kandvat kirja päevas. Siis see raugeb jälle mõneks ajaks.

[Dijital]

Kah mingi viimased kuu aega kõikvõimalikke invoice' ja paymente saanud, 5-10tk päevas.

[tahanteada]

Ja ärge siis, kirjakasti-möllus, ka muid ründeversioone ära unustage. Ransomware-maailm on lihtsalt selline kus toimuvad pidevad uuendused ning arendused ja seetõttu tuleb ikkagi silmad lahti hoida.

1. Antiviirused: Antiviirustest on ainult siis kasu kui on sisse lülitatud Full Scann. Ehk siis, skännida tuleb 100% kõik failid, mitte ainult see väike osa mida skänneerib Defaultina olev Quick Scan.

2. MAC-i arvuteid rünnati hoopis programmi Transmission kaasabil ja kui info õige, siis sattus löögi alla 7500 MAC-i, enne kui Transmission suudeti "ära puhastada sellest pahategijast".

3. Venelaste poolt leiutatud kõige uuem Ransomware, nimega Cerber, kasutab juba mitmetasandilist muudatust, et teha võimatuks krüptitud failide lahtitegemine kasutaja poolt:
A. Kõigepealt on teade ekraanil: Teie arvutis on Error ja tuleb teha arvutile Restart.
B. pärast Restarti käivitatakse arvuti versioonis: Safe mode ja internetiühendus.
C. Siis krüptitakse failid.
D. Lisaks veel muudetakse ära ka failide nimed, tehes sellega võimatuks omanikupoolse failide taastamise.

Cerberist on juttu ka järgmises teemas:
https://foorum.hinnavaatlus.ee/viewtopic.php?t=670134

[softis]

tahanteada, hea jutt kõik aga antiviirusel peab tänapäeval just hea pro-aktiivne kaitse olema, mitte ainult tugev full scan võimekus.
Kui kasutaja juba ise saab käima lasta potentsiaalse pahalase, ei pruugi hilisemast skänneerimisest enam muhvigi kasu olla.

[LKits]

Mis kasu sellest skänneerimisest on, kui täiesti tavaline programm pääseb lugemise ja kirjutamise õigustega tervele kasutaja kataloogile (s.h dokumendid, pildid, desktop ...) ligi ning saab sealseid faile lugeda, muuta, luua.
Viirusetõrje võib kobisema hakata, kui programm tahab Internetti ligipääsu, aga lokaalselt failide muutmisel midagi erilist ei kobiseta.

Jah, katsetatud. Pole keeruline avaliku võtmega krüpteerida tervet kasutaja kataloogi.
Tegin mõned kuud tagasi VM Windows installi ja käivitasin enda tehtud programmi ning terve kasutaja kataloog läks krüpto alla ilma, et miski oleks karjuma hakanud. Võttis aega, aga taustal käis, ei pruugi arugi saada, et miski toimetab.
Virustotal näitas vist 1/54.

[Karzum]

LKits, tasuta ja väga hästi toimiv whitelistimise lahendus on (aegade algusest peale) Windowsile juba sisse ehitatud. Midagi alla laadida ja installeerida ei ole vaja.
Lahenduse nimi on Applocker ja selle leiab Start>gpedit.msc>Local Computer Policy>Computer Configuration>Windows Settings>Security Settings>Application Control Policies>Applocker. Netist leiab tonnide viisi kasulikke nippe ja videoõpetusi, et kuidas kasutada. Siin on väga lihtne Microsofti õpetus: https://technet.microsoft.com/en-us/library/mt592642(v=vs.85).aspx
Panin ka siia teemasse mõned kasulikud näpunäited: https://foorum.hinnavaatlus.ee/viewtopic.php?t=662088

Kui sul on ainult Windows-i "Home" versioon, siis selle jaoks on loodud CryptoPrevent (tasuta)
https://www.foolishit.com/cryptoprevent-malware-prevention/

[Tanel]

http://geenius.ee/uudis/nakkus-levib-eestis-votab-uha-enam-arvuteid-pantvangi-krupto-lunavara

[Tanel]

http://www.postimees.ee/3621589/pealtnagija-eestis-on-kubervaljapressimise-ohvriks-sattunud-tavaliste-inimeste-korval-ka-mitmed-riigiasutused