[Tanel]

Eesti juhtiv sanitaartehnika hulgi- ja jaemüügiga tegelev ettevõte AS FEB sulges väidetava küberrünnaku tõttu nädala lõpuni kõik oma kauplused.

Loe edasi: https://tehnika.postimees.ee/6139316/feb-sulges-nadala-lopuni-koik-poed-kuberrunnak-tegi-serverid-tuhjaks

Pilt: http://feb.ee/avaleht/seoses-tehnilise-rikkega-on-kauplused-kuni-2708-suletud-vabandame-ebamugavuste-parast/

[Magic]

Nojah. Alles üksnädal muutsid/kolisid poodi, siis oli kõik maas. Nüüd siis nii... Ainult Onninen jääb, aga seal ei saa eraklient osta.
TNT vol.2 siis

[Tanel]

Alles just kiideti Eesti küberhügieeni. Ilmselgelt on veel palju selliseid inimesi, kes suudavad avada viirusega nakatatud kirju.

[Magic]

[Dirty Harry]

[Killer85]

[Magic]

Ma tean vaid niipalju nende süsteemide tausta, et kogu jama on olnud selles, et sellest samast nakatunud arvutist saab igale poole. See levinud jama.
Ehk nagu öeldud piisab ühest valest liigutusest.
//
Mida ma ise tean enda töökoha põhjal. Raha nõuda pole mõtet, sest kahju on arved ja tootekataloogid. Need backupitud iganädalaselt.
Kõik uued arved pilves ja kirjad ka. Seega töö tegemist ei sega.

[Killer85]

Ryukist veidi huvitavat lugemist:
https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/

[mahno]

Jälle üks tore eksiarvamus, et kui andmed on pilves, siis ei saa midagi juhtuda

[Killer85]

[Magic]

[tahanteada]

[Magic]

Esmakäivitust on ikka vaja ja seda teeb vaid loll.
Eeldame, et keegi pole nii loll, et las ma teen kaughaldust su arvutile.

[netmaster]

[mahno]

Kulla magic, inimesed ongi lollid tihti. Heausksed ja lollid. Nad on hajevil, ei ole teadlikud, kiirustavad jne.

Võtame sihitud ründe. Toon oma lemmiknäited - saadame personalitöötajale emaili, lisaks paneme manusena cv.docm. Kui tõenäoline on, et tädi personalitöötaja seda ei ava? Edasine on arvuti seadete ja kasutaja teadlikkuse küsimus. Või saadame mõnele lapsevanemale, kelle laps käib näiteks jalkatrennis maili, et Tere, Joonase (Mati, Malle) isa siin....vaata läinud nädalavahetuse võistluse pilte siit lingilt... Kui suure tõenäosusega jäetakse klikkimata, eriti kui sel ajal päriselt võistlus oli ka (info saad näiteks ohvri fb-st või spordiklubi veebist)? Kõikide Matide-Katide nimed on spordiklubi veebist saada meeskonnaliikmete nimekirjast.

Lisaks on olemas näiteks drive-by tüüpi asjad, kus sa külastad oma lappimata või niisama zero day turvaveaga veebibrauseriga mingit (häkitud) lehte ja pistetakse sulle pahalane läbi brauseri arvutisse ja tõmmatakse käima. On olemas reaalsed õnnestunud ründed mõne aasta tagant läbi lappimata flashi ja ie. Siin pole kasutaja tarkusega mingit pistmist, sest eelnimetatud näite puhul olid pahalase allikateks täiesti respektaablid eesti veebilehed.

[Magic]

Võimalik muidugi, aga terve serveri jaoks tähendab see ikka mitut möödalasku mitte ühte.
Ehk nagu ka eelpool kirjeldatud kõik oli koos ja kõigele olid ilmselt õigused.
Oma olemuselt on see ikka lollusele rõhuv.
//
FEB hiljuti ka uuendas oma süsteeme, ju siis midagi kuskil veel logises.

[mahno]

Jah, kaitse peab olema kihiline, aga see kipub olema ebamugav, sest üks inimene ei saa ühe kontoga ühest kohast kõike teha. Sellepärast kiputaksegi reeglitest "üle laskma".

Aga halvim, mida saab teha, on mõelda "Minuga ei juhtu, sest ma olen tark".

[LKits]

Ah eks see admin õigustega tavakasutaja teema ole jälle... ning muidugi on sel kasutajal ka võrgus vaba voli iga SMB sheerile ligi pääseda, et nohu ikka korralikult levida saaks.

[tahanteada]

[LKits]

[tahanteada]

Üks link kah - kus tegeldakse selle "pahareti" tõrjumisega.
Eks igaüks ise uurib, kas on kasu või mitte. Oletada võib, et selliseid puhastus-versioone on peagi kümneid liikumas.

RYUK ransomware removal instructions
What is RYUK?

RYUK is a high-risk ransomware-type virus that infiltrates the system and encrypts most of stored data, thereby making it unusable. Due to it's similarities with Hermes ransomware, there's a high credibility that developers of these two viruses are the same. Unlike vast majority of other viruses, this malware does not rename, nor append any extension to encrypted files. It does, however, create a text file ("RyukReadMe.txt"), dropping it's copy in every existing folder.

As usually, created text file delivers a message that informs victims about the encryption and encourages them to pay a ransom in if they want to restore them. Be aware that RYUK uses RSA-4096 and AES-256 encryption algorithms. Therefore, each victim gets several unique keys that are necessary to restore data. The problem is that cyber criminals hide all keys in a remote server. Therefore, since restoring data without them is impossible, each victim is forced to pay a ransom in exchange for release of one's keys. The price is not confirmed - all information is provided via email. However, it is sure that size of ransom depends on each victim.

Edasi:
https://www.pcrisk.com/removal-guides/13394-ryuk-ransomware

[Reaper]

Kõige kindlam, tehke backuppi.

Veel parem, kui on olemas ka offline backupid. Sinna ei pääse ka kõige kirjemad viirused ja häkkerid ligi.

[jägaja]

Kuidas sa sinna offline bäkuppi siis oma bäkuppe ise teed? Vahel peab see ju ka online olema, või viid koos oleva mälupulgal viirusega juba sinna offline asjad?

Krüptoviirused võivad ka väga pika peiteajaga ja muid võimalikke kasutajamustreid arvestavad olla, et saaks sulle krüptokoodi igale bäkupile ka peale sügada. Kuidas siis muidu su käest raha kätte saab, kui offlinest taaatad uesti

[Reaper]

Palun too välja näiteid, kus selline juhtum on olnud, et ka offline backupid ära krüptitud on?

Seda tean küll, et online offsite backup tehti tühjaks... saadi paroolidele ligi ja tehti ära... samal ajal kõigi muu firma arvutite krüpteerimisega. Ainuke lahendus oli bitcoini kohida. Allikas: reddit

[netmaster]