[gynterk]

link :: CryptoLockeri info


2013. aasta septembrist on levima hakanud pahavara nimega CryptoLocker, mis krüpteerib ära nii arvutis kui ka sinna ühendatud võrguketastel ja andmetalletusseadmetel (mälupulgad, välised kõvakettad jms) olevad teatud failid - põhiliselt dokumendid, fotod ja levinumate tarkvaradega (nt Adobe Photoshop ja CorelDRAW) seotud failid. Pärast krüpteerimist kuvatakse nakatunud arvutis ekraanile teavitus, kus nõutakse faile dekrüpteeriva privaatvõtme eest tasu ($100 või $300, olenevalt pahavara variandist).

Juhul, kui ülekannet kolme ööpäeva (72 tunni) jooksul ei teostata, siis kustutatakse privaatvõti ja failide dekrüpteerimine ei ole enam võimalik, mis tähendab seda, et antud failid on igaveseks lukus ja nendele sisule ei pääse enam kunagi ligi. Maksevõimalustena on välja toodud GreenDot MoneyPak ja uuemas variandis lisaks ka Bitcoinid (2 BTC).

Mitmed viirusetõrjetarkvara tootjad ja IT eksperdid tegelevad lahenduse leidmisega pahavara poolt tehtud kahju ennistamiseks, kuid hetkel on olnud ainukeseks toimivaks lahenduseks väljapressijatele allumine ning lunaraha üle kandmine. Pärast ülekande teostamist võib tehingu kinnitamine aega võtta 3-4 tundi. Kontrolli õnnestumisel algatatakse failide dekrüpteerimine, mis võib olenevalt failide kogustest ning suurustest aega võtta tunde.

Levinumad viirusetõrjeprogrammid suudavad küll antud pahavara tuvastada, kuid alles siis, kui kahju on juba tehtud. Seetõttu on soovitatav teostada failidest perioodilisi varukoopiaid välisele kõvakettale, mis ei ole arvutiga pidevas ühenduses. Samuti tuleks vältida e-kirjade manustes, sotsiaalmeedias ning erinevates suhtluskanalites (nt Skype) levivaid tundmatuid programmifaile (EXE faile) ja iga väiksemagi kahtluse korral faili saatjalt üle küsida, et millega tegu ja kas Ta ikka saatis selle Teile.
Ühe ennetusviisina on soovitatav ka ära keelata EXE failide käivitamine Windowsi tarkvara piiramise reeglite kaudu. Täpsemad juhised leiate siit (inglise keeles).

MUUDATUS: NB! Välja on tulnud uuem versioon, mis on veelgi halvem. Nimelt levib see nüüdsest väliste andmekandjate (mälupulgad, välised kõvakettad jms) kaudu. Samuti levib erinevate P2P saitide kaudu tuntud tarkvarade (nt Adobe Photoshop või Microsoft Office) aktivaatoriks maskeerituna.

MUUDATUS 2: Riigi Infosüsteemi Ameti kodulehel avaldatud uudise andmetel on tuvastatud juhtumeid ka Eestis.

[Osiris]

Vanad kombed tulevad tagasi. mõned aastad tagasi liikus samasuguse ideoloogiaga viirus ringi. Aunult, et peale maksmist ei saanud sa ikka datat tagasi.....

[Etz]

[mteachx]

BTC rocks my socks ;D

Äge

[ewur]

Kui ise vajalikud failid ennetavalt ära krüptida, see ei aita?

[pois11]

[wirx]

Hehe, IT mehed on hakanud katust pakkuma - vanasti põletasid kandid baari maha, kui omanik raha ei maksnud, nüüd siis "põletatakse" ähvarduste saatel failid

[Etz]

[mTim]

kust seda tõmmata saab?

[asjameez]

Linuxile see viirus külge ei hakka.

[Ragnar7474]

Idee on küll hea .

[K3891]

Eriti hea on ka tulevikus raha saada, kui rahvas ka peale tasumist oma asjad tagasi saab.... ehk kiirelt ei levi kuulujutt, et ei saa asju nii või naa tagasi

[UB]

Äkki see paneb inimesed mõtlema, et varukoopiad on ikka väga olulised asjad. Endal arvutis olevad failid kõik ilusti pilvedega sünkroonis, nii et viska karp kasvõi vastu seina puruks, mina ei kaota sellega midagi.
See krüptimine ju võtab ka meeletu aja kui failide kogused on suured. Seda protsessi peaks saama ju siis kuidagi peatada, kui ta hakkab gigasid krüptima...

[LKits]

Krüpteerimise käigus võtit hijackida ei saa? Tõmmata mingi anti-CryptoLocker, mis jookseb taustal ja tunneb kohe ära CryptoLockeri olemasolu ja injectib ennast sinna sisse, hijackib krüptovõtme, kui krüpteerimiseks läheb.

[namstoop]

Atsa, mu poole eelmisel nädalal just üks vanema generatsiooni esindaja pöördust küsimusega, et mida teha, tal pidavat kodus arvutis lahti hüppama mingi teade, et maksa raha muidu failid krüpteeritakse Aga kuna tal oli keegi teine, kes appi läks, siis ma ei teagi mis saanud on. Et kas jäigi siis failides ilma või. Ma mõtlesin, et mingi niisaama spyware mis mingeid pop-up'e genereerib vms.

[mteachx]

[namstoop]

Just rääkisin temaga, ega ta täpselt ei teagi mis tehti. Põhimõtteliselt tal on kõik olulised asjad erinevate mälupulkade peal dubleeritud, mida kasutab siis, kui vaja on. Pidevalt arvutil järgi ühesõnaga pole. Nii et kui arvutis miskit kaotsi läks, siis suurt kadu polnud.

[tahanteada]

Symantec vist reklaamis, et temal on olemas ka vastav skänner juba, mis siis seda pahategelast avastada suudab.

[ASSAA! elektroonika]

Selle uudise taustal pigem tekib küsimus, kas inimesed on kaotanud liiga vähe kordi oma olulisi faile neid vaid ühes füüsilises hoidlas hoides ja failidest regulaarselt back-upe tegemata? Kõvakettaruum maksab täna vähem kui ei kunagi varem ning tihtipeale ületavad juba üksikute failide endi väärtused kõvaketta hinna kordades, kui mitte kümnetes kordades. Selmet hakata toitma kurikaelu, võiks rohkem mõelda oma vara (failide) kindlustamise peale nii riistvaraprobleemide, omaenda rumaluse kui ka kurikaelte vastu...

[euforia]

Tea kas see CryptoLocker ka võrgukettani ulatub, mis ei ole masinasse mapitud, aga on üle kohaliku võrgu leitavad?
Login request peks olema ilmselt piisav, mis pahalase NAS'ist eemal hoiab. Või olen ma naiivne?

[LKits]

Kui veel mitte, siis võib-olla varsti.

Iseenesest ei ole väga raske sellist programmi peita peaaegu ükskõik, millise exe sisse kasutades justnimelt näiteks TrueCrypt commandline lahendust, mis ei ole blokeeritud viirusetõrjete poolt.
Krüptovõti on kas juba eelnevalt genereeritud või genereeritakse ohvri arvutis endas, koostatakse nimekiri krüpteeritavatest failidest/kaustadest ja TrueCrypt teeb enda töö...

[Marie]

[tahanteada]

[nexus]

[tahanteada]

Järgmisel lehel natuke ka lahtikrüptimis-õpetust - ehk sobib kunagi kellelegi.

Wednesday, October 16, 2013
Remove CryptoLocker virus and restore encrypted files
http://deletemalware.blogspot.com/2013/10/remove-cryptolocker-virus-and-restore.html

[vallo]

[gynterk]

[LKits]

asym võti genereeritakse küll serveris, aga meetod, kuidas see kliendini toimetatakse, on ju pealtkuulatav.

[gynterk]

[LKits]

Ja krüpteerimisprotsessi reverse-ida ei saagi?

[Sold OUT]

[LKits]

Kõik läks sassi - vabandust. Teen endale selgeks public-key krüpteerimise põhimõtted.

[Lord Ami]

Panda tasuta Cloud AV pakub "Data Shield'i", mis on täpselt selliste krüpteerijate jaoks mõeldud (et nt kaustu nende eest kaitsta).
http://www.ekaitse.ee/turbetarkvara-ulevaated/panda-cloud-antivirus

Eelmise lehe lõpus olevale Ransomware juhtumile leiab kiiresti abi
http://www.surfright.nl/en/alert

Mõistagi on taolised viirused "klass omaette", sest libatõrjete/ransomware'dele lisaks on ka sellel juhul tegemist probleemiga, mida tavakasutaja reeglina lahendada ei suuda. Tavaviirused võivad aga vaikselt taustalt töötada, ilma kasutajat segamata.

[Juan Pablo]

Kas see tuleb ainult läbi windowsi keskkonna või nakatub mac-i ja linuxi?

[gynterk]

[HacaX]

[salatoimik]

Dokumente pole, pildid istuvad välisel kettal (mis püsivalt küljes pole) ning picasas ja photoshopi ning corelit ei kasuta - simple

[ewur]

Mis selle eelnevalt lingitud Panda juures häirib, on see, et minnes nende lehele, sealt enam praktiliselt "tagasi" ei saa. Ehk sind hoitakse nende lehel kinni, back nupp "ei tööta". Loomulikult ma võin selle tabi kinni panna lihtsalt, aga see on siiski mingi häiriv märk. Tavaliselt ma taoliselt käituva firma tarkvara väldin. Isegi kui see vabavara on:
http://www.cloudantivirus.com/en/#!/panda-cloud-office-protection

[Marie]

[indreek]

http://deletemalware.blogspot.com/2013/10/remove-cryptolocker-virus-and-restore.html

Äkki toimib?

[sukelduja]

[salatoimik]

mis põhimõttel see moneypak toimib? Seod krediitkaartiga konto vms ja siis maksad, võib peab sinna enne raha laadima ja sealt edasi?

[Lord Ami]

Rohtu ka selle vastu:
http://www.youtube.com/watch?v=5M8YYnXIAlw

[sukelduja]

[LKits]

Pigem tekib küsimus, et kuidas saab browser automaatselt ilma kasutaja nõusolekuta mingi .exe alla laadida ja käima panna...
Ja lisaks - ma arvan, et ei kulu palju aega, kui lastakse välja mingi koodijupp, mis injectib ennast suvalise .exe (või eelnevalt valitud) külge ja kasutab seda programmi krüpteerimise teostamiseks. Näiteks mingid üldlevinud programmid, millele on antud adminniõigused - ehk siis too programm saab teostada kõiki funktsioone ja sinna külge puugitud koodijupp saab seda ära kasutada.

[Lord Ami]

[HacaX]

[gynterk]

Välja on tulnud uuem versioon, mis on veelgi halvem. Nimelt levib see nüüdsest väliste andmekandjate (mälupulgad, välised kõvakettad jms) kaudu. Samuti levib erinevate P2P saitide kaudu tuntud tarkvarade (nt Adobe Photoshop või Microsoft Office) aktivaatoriks maskeerituna.

[asterum]

Mine või pliiatsi ja paberi peale tagasi.

[Taavi©]

Otsi veel piraattarkvara netist, saad "kokkuhoitud" raha ikka kellelegi ära anda
Ma ise sain ka samasuguse viiruse aasta tagasi, aga seal oli tegemist lihtsalt mingi windowsi lukuga, shut down, resa, ctrl/shift/esc, miski ei muutnud asja, koguaeg oli pilt ees, et maksa või läheb süsteem igaveseks lukku.
Mina sain lahti nii, et safe modes kustutasin viimati tehtud failid ära, neid oli kokku ca 5tk üle kaustade, peale resa voilaa, korras.
Kusjuures huvitav oli see, et ei olnud midagi kahtlast alla laadinud, ühelgi "sellist" lehte külastanud, aga ühtäkki delfi lehel lõi sellise jama ette.
Ilmselt nüüd asi nii lihtne pole.