-
Fototrend
Vírusirtó Topic 2019
Új hozzászólás Aktív témák
-
robi0
csendes tag
"Ezt elkerülendő ne csatold fel meghajtóként a NAS-t külön betűjellel, hanem mindig \\gépnév\megosztás\elérési út hálózati megosztáson keresztül kezeld, ezzel tudomásom szerint kivéded az összes jelenleg fertőző ransomware esetében, hogy a PC-dről kiindulva titkosítsák a NAS-on tárolt adatokat is."
A betűjel már nem igazán számít...
Pár napja indult útjára a Locky: The Locky Ransomware Encrypts Local Files and Unmapped Network Shares
Valószínűleg a jövőben egyre több ilyen lesz..."Az igazán biztos megoldás erre és egyéb adatvesztési problémákra a NAS-ról rendszeresen készített offline mentés (pár külső HDD, amelyek csak a mentés idejére kapnak áramot)."
Így van. Csak sajnos még mindig elég kevés az olyan ember aki egyáltalán csinál mentést. Amikor meg jön a ransomware (vagy akár csak elromlik a HDD), akkor már késő gondolkozni.[ Szerkesztve ]
-
robi0
csendes tag
válasz zazenke #39556 üzenetére
"nem tudom mennyire igaz a hír amúgy hogy a nevesebb vírusírtók is tehetetlenek ez ellen a vírus ellen."
Egy új ransomware megjelenésekor természetes, hogy rosszabbal teljesítenek a vírusirtók az átlagosnál. Utána is sok mindentől függ a dolog. Inkább egy (vagy inkább két külön helyen tárolt) backup. -
robi0
csendes tag
válasz t72killer #39924 üzenetére
"Hitmanból én csak az alert-et használom ingyenes verzióban. Elvileg a böngészőket védi - hogy van-e olyan megbízható, mint régen, nem tudom."
Pár hónapja még az Alert (CryptoGuard) egész jól védett a zsarolóprogramok ellen. De ugye itt akár naponta is változhat a helyzet, fogalmam sincs, hogy pl. a Locky ellen mennyire hatásos.
A legjobb védelem még mindig a biztonsági mentés.[ Szerkesztve ]
-
robi0
csendes tag
válasz t72killer #39930 üzenetére
Még el sem kezdődött a hét, és már van is egy új zsarolóprogram: Maktub Locker.
daimonion (#39929): "Én nem járok olyan helyeken ahonnan ezt megkaphatom ."
El kellene már ezt felejteni. Exploit kit-ekről hallottál már? Egy példa: Large Angler Malvertising Campaign Hits Top Publishers
És ez egyre gyakoribb...Restart® (#39931): Ha már fizetsz, akkor válasz valami jobbat.
-
robi0
csendes tag
válasz daimonion #39942 üzenetére
"Ha ésszel netezel akkor nincs miért félned.Nem kell ezt túlragozni."
Pont arról van szó, hogy magában ez az "ésszel netezel" már közel semmit sem ér (kivéve, ha ebbe beletartozik az is, hogy reklám és szkript blokkoló böngészőkiegészítőket használsz). De szerintem erről a topikgazdák tudnak mesélni neked... Persze egy figyelmetlen, mindenre rákattintó felhasználó sokkal hamarabb fog bekapni valamit, mint mondjuk te malvertising-nek köszönhetően."Azt vagy elhiszed vagy nem nincs a gépen vírus."
Örülj neki, hogy nincs. Mondjuk az EMET pont nem egy olyan dolog, amit minden gépen megtalálsz. -
robi0
csendes tag
válasz Tappancs2001 #39997 üzenetére
Több kárt okoz, mint hasznot. A cég pedig... inkább nem is írom le a véleményen.
AdwCleaner-nek +1. -
robi0
csendes tag
Pedig el.
Más:
Azonnal frissítse a Flasht, ha nem hiányzik a titkosítás és zsarolás"Szélsebesen terjed a zsarolóvírus, ne engedjen neki!"
Aha. Évek óta használják ki az EK-k a Silverlight, Flash, stb hibáit, nem értem miért csak most kell erről írni."Cerber vírus fertőzött hirdetési platformokon keresztül támad, a különféle vissza nem térő ajánlatra kattintgatás kerülendő."
Nem maga a Cerber, hanem az EK, aminek a payload-ja ebben az esetben a Cerber.
Kattintgatni pedig nem kell, az oldal (vagyis a reklám) betöltésekor már indul is az EK. Ezért is írtam itt, hogy az "Én nem járok olyan helyeken ahonnan ezt megkaphatom" dolog már nem aktuális. Kb. reklám illetve szkript blokkolók nélkül teljesen mindegy milyen weboldalak látogatsz. Illetve még egy anti exploit, pl. MBAE mellé.A legfontosabb, mint mindig: biztonsági mentés.
[ Szerkesztve ]
-
robi0
csendes tag
válasz blattida #40181 üzenetére
"Szerintem olyat senki sem írt, hogy ne lehetne újra ellenőriztetni egy már feltöltött fájlt (magam is tettem már így jó néhányszor)"
Azelőtt még ezt írtad: "Igen meglepő lenne, de valóban csak az ellenőrző hash-t tárolják.""ráadásul igen gyakran meglehetősen eltérő eredményeket mutat az egyes av motorok vt -s és desktop változatai között"
Ennek oka az About "Important notes and remarks" részében ez el van magyarázva. Illetve vannak olyan AV-k, amelyeknek a VT-n használt verziójában ki vannak kapcsolva egyes modulok, amik egyébként működnének a parancssoros verzióban..."A szememben a vt valóban nem minősül normális védelmi megoldásnak"
Senki nem mondta, hogy az. Egy weboldal hogyan is lehetne "normális védelmi megoldás"?[ Szerkesztve ]
-
robi0
csendes tag
válasz blattida #40184 üzenetére
Akkor itt mindenki félreértett mindenkit. Bocs.
(#40189) gt7100:
Frissíts rá, most már egy 50 perccel ezelőtti ellenőrzés a legfrissebb (ugyan az az eredmény mint 16 órája volt).(#40192) szenesember:
"most már reklámra kattintás nélkül is megfertőződhet a gép, ha betöltődik a reklám."
Ez már pár éve így van, csak Magyarország még nem volt a célpontok között az esetek nagyon nagy százalékában. Most sincs, de lassan egyre többször lesz, illetve ha 100-ból 1-szer van csak ott, és éppen akkor nyitsz meg egy olyan oldalt...[ Szerkesztve ]
-
robi0
csendes tag
válasz gt7100 #40195 üzenetére
Nem lett újra feltöltve (legalábbis most nem).
"Arra lennék kíváncsi, hogy én hogyan tudnám újra scannelni. "
Hát, ha nincs jobb, akkor írsz és újraellenőrzöm neked, már ha itt vagyok..."de az első ellenőrzésnél még csak 11 kereső látta fertőzöttnek, most meg 30+."
Az a 11 még jó is (mármint az átlaghoz képest). De ahogy már tegnap is beszéltük, a VT eredménye nem mérvadó.(#40198) szenesember:
"Köszönöm, így már értem, szal nem nagyon kell tartani tőlük."
Hát, pont nem ezt akartam mondani, hanem, hogy egyre jobban kell (majd) itthon is. Attól, hogy jelenleg mondjuk egy amerikainak legalább 100* nagyobb az esélye, hogy egy EK segítségével bekap valamit, még nem vagy biztonságban.
Reklám és szkript blokkoló kiegészítők, plusz MBAE már komoly védelmet ad a jelenleg elterjedt EK-k ellen. Ugye olyan nincs, hogy 100%-os védelem, de azt simán ki lehet jelenteni, hogy ma kb. közel lehetetlen, hogy egy fertőzött hirdetéses EK sikeresen megfertőzze a gépedet ha használsz (megfelelően beállított) reklám és szkript blokkoló kiegészítőket, plusz MBAE-et.
De ugye az EK-k fejlesztői is folyamatosan dolgoznak, ki tudja meddig marad ez így... -
robi0
csendes tag
válasz gt7100 #40211 üzenetére
"És te megosztanád velünk a kevésbé egyszerűt?"
API."Eredetileg az url végi analisys szót kellett reanalyse-ra cserélni."
Mintha rémlene valami hasonló, de az már nem mostanában volt."(túl sokat árultál el magadról, attól tartok)"
Nem tudom mire gondolsz...(#40212) gt7100:
Jelenleg tényleg nem érhető el.[ Szerkesztve ]
-
robi0
csendes tag
válasz gt7100 #40214 üzenetére
"API? Erről még nem hallottam. Megnézem, hátha csak az emlékeim hiányosak."
Pedig nem új dolog."Wow... milyen rendesek, hogy Python példát raktak mellé. "
Van ott sok más nyelven is példa (oldal alján)."Belső munkának tűnt "
Nem tudom, hogy miből következtettél erre, de ok.(#40215) gt7100:
Egy hónapja? Az tényleg érdekes...[ Szerkesztve ]
-
robi0
csendes tag
Ha valakinek szüksége lenne rá, megoldás a Petya zsarolóprogramhoz:
https://github.com/leo-stone/hack-petya
https://petya-pay-no-ransom.herokuapp.com/Jelenleg ennyi van, gondolom később lesz egyszerűbb megoldás is.
-
robi0
csendes tag
válasz Winnie The P #40326 üzenetére
Ez jól fel lett fújva.
"A legnépszerűbb torrentkliensbe bújva fertőz egy új zsarolóvírus"
Nem bújt az semmibe. Pont fordítva. Azért nagyon nem mindegy."ami nemcsak a fájlokat képes titkosítani, de leállítja a vírusirtóinkat is."
Akkor tudja csak leállítani, ha te is letudod a Windows feladatkezelője segítségével...Egyébként pedig a WinRAR parancssoros verzióját használja, a dw kapcsolóval. Illetve csak a C meghajtón lévő fájlokhoz nyúl.
-
robi0
csendes tag
válasz blattida #40379 üzenetére
A kiterjesztés alapján CryptXXX lehet. Az viszont nagy gond, mert úgy tűnik, hogy csak EK-val terjed (legalábbis eddig más módról nincs információ), és eddig Magyarország nem nagyon volt a cél országok között...
Jó lenne ha kicsit többet tudnánk...
Vegitaa: de_crypt_readme.txt (esetleg html vagy bmp) fájlokat is létrehozott? Ha igen, meg tudnád nekünk mutatni valamelyiket (fénykép, képernyőkép)?[ Szerkesztve ]
-
robi0
csendes tag
-
robi0
csendes tag
válasz akaido #40599 üzenetére
Ha a RannohDecryptor sem tudja, akkor semmi, mivel CryptXXX által titkosított fájlokat csak az tudja visszafejteni (legalábbis eddig tudta).
(#40602) t72killer:
Nem ajánlatos a fizetés még akkor sem, mert a visszafejtő programjuk nem működik megbízhatóan...[ Szerkesztve ]
-
robi0
csendes tag
válasz t72killer #42519 üzenetére
" "Óvatos" géphasználat mellett (~amit leírtál+adblock) extrém kicsi az esélye a fertőzésnek. "
Pár napos cikk.
"In an added twisted, if you visited the Hungarian website directly, you would be redirected to the Neutrino exploit kit and get infected with the CrypMIC ransomware."
Tehát elég volt mstsz pont hu-t megnyitni és már jött is a CrypMIC ha nem volt minden friss / nem volt script és adblocker. -
robi0
csendes tag
A Cerber zsarolóvírus (v1 és v2) által kódolt fájlok visszaállíthatóak: https://www.cerberdecrypt.com/RansomwareDecryptionTool/
-
robi0
csendes tag
(#43100) rokafiu77:
Amit te linkelsz, az a "tiszta" fájl.A Cerber-es fájl (letölthető a hozzászólásban linkelt oldalról): https://www.virustotal.com/en/file/99b84137b5b8b3c522414e332526785e506ed2dbe557eafc40a7bcf47b623d88/analysis/
(#43102) UserX:
Az előbbi link.
Illetve ha maga a Cerber fájl (loader) érdekel: https://www.virustotal.com/en/file/ee16c3c1592c0ed7465dbbc43d31b596b6a702d016ed6ac279b707b47c961c55/analysis/Ezzel kapcsolatban egy cikk:
http://news.softpedia.com/news/ammyy-admin-website-compromised-to-spread-cerber-3-ransomware-508330.shtmlAmúgy senkinek sem ajánlom az Ammyy használatát (ha éppen sikerül tiszta verziót letölteni)...
[ Szerkesztve ]
-
robi0
csendes tag
Ha valakinek tesztelhetnéke van : https://www.virustotal.com/en/file/35145f73c840d9e6bb8a7ed632de5b8a80d771a52e761cfab5a375487c135392/analysis/1474015440/
Friss Fantom variáns, jelenleg 2 találat a VT-n.[ Szerkesztve ]
-
robi0
csendes tag
Röviden: jó pénzért, sajnos. De inkább menj a hozzászólások fülre. A Payload Security hozzászólásában megtalálod ezt a linket: https://www.hybrid-analysis.com/sample/35145f73c840d9e6bb8a7ed632de5b8a80d771a52e761cfab5a375487c135392?environmentId=100
Itt, a Download Sample gombra kattintva lehet letölteni, ha be vagy jelentkezve (ingyenes a regisztráció és a használata is).Amúgy itt óránként 1-2 friss zsarolóvírust általában lehet találni (van amikor sokkal többet, illetve általában hétvégén kevesebbet). Vagy van az advanced search, amivel tudsz szűrni, ha csak a zsarolóvírusok érdekelnek.
[ Szerkesztve ]
-
robi0
csendes tag
válasz Kékes525 #43155 üzenetére
Nem tűnik veszélyesnek.
Az ESET riasztása annak köszönhető, hogy ez a fájl megtalálható a fájlodban. Amúgy tiszta ez a fájl, csak mivel "rossz" célokra is használható, ezért az ESET riaszt. Bővebben: Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP
Amit pedig az F-Secure ír (Predator), lehetetlen. Ha van lehetőség jelentsd nekik az FP-t.
"bankoltam a ESET Netbank- és tranzakcióvédelemmel és chipkártyával lépek be az e-bankba. Nem tudom, hogy kezdjek aggódni?".
Emiatt, nem.[ Szerkesztve ]
-
robi0
csendes tag
válasz Kékes525 #43159 üzenetére
Nem a Fidelizert, hanem a linkelt "process.exe" fájlt.
Szerk:
"Bocs, nem értem mire gondolsz?"
Tehát a feltöltött fájlod tartalmazza a process.exe fájlt, amit vírusok, stb-k is használnak (illetve mostanában már nem hiszem, de megtörténhet). Ezt jelzi az ESET."Miért a Predátor milyen ragadozó? Mit csinál?"
Egyetlen Predator nevű keylogger-ről tudok, ami pedig a Predator Pain. Ez egy, a HawkEye családba tartozó keylogger és stealer (böngészőkbe elmentett jelszavakra, stb-re utazik). A fájlodnak pedig köze sincs ehhez.[ Szerkesztve ]
-
robi0
csendes tag
válasz Kékes525 #43162 üzenetére
Írtam privátot.
"Másrészt az F-Secure SecureOnlineScanner miért nem jelzett régebben és miért nem jelez most sem, pedig ugyanazt a fájlt generáltattam régebben is és most is a Fidelizerrel. Az ESET legalább következetes..."
Nagyon jó kérdés, amire választ (esetleg) az F-Secure support tud adni. -
robi0
csendes tag
válasz 89Csabi89 #43332 üzenetére
Ez CryptoWall 4.0. A képed alapján ezt még tavaly szedted össze, tehát amiatt nem kell aggódnod, hogy újabb fájlokat titkosít, főleg ha azóta volt egy újratelepítés is.
Jelenleg nincs mód a fájlok visszaállításra, tehát ahogy írod is, valahova átrakod őket és annyi.(#43333) C. s.:
"Ezt a sok cuccot hogyan vakarhatom le a gépről? Az Avast saját leszedőjét már beszereztem. De mi van a többivel? Azok lejönnek a hagyományos módszerrel?"
Ha már ennyi védelmi program van/volt a gépeden (főleg ha még több is volt régebben), lehet ideje lenne egy újratelepítésnek. Hiába használsz "saját leszedőt", az már nem lesz olyan mint eredetileg.[ Szerkesztve ]
-
robi0
csendes tag
-
robi0
csendes tag
válasz petyus_ #43456 üzenetére
Ez a legújabb Locky verzió. Jelenleg csak a fizetés az egyetlen mód a fájlok visszaállítására.
Igen, az kb. annyi. Ha valami nagyon fontosat is titkosított, akkor lehet megéri elgondolkozni a fizetésen, egyébként meg elmented a fájlokat (biztosabb ha az egész HDD-t félreteszed ahogy van, ha van rá lehetőség), és reménykedsz, hogy valamikor lesz megoldás rá.
"Illetve van értelme fizetni?"
Azon kívül, hogy ezzel támogatod őket ahogy csicso82 is írja, igen. Ők ezt már "üzletszerűen" csinálják (vannak olyan zsarolóvírusok amelyek még a kulcsot se mentik el, tehát ha még fizetsz is, nem tudnak mit adni), tehát te fizetsz, ők meg adják a kódot/visszaállító programot. Persze történhet valami probléma idő közben, biztos csak akkor lehetsz benne, hogy megérte-e fizetni, ha fizettél és meglátod mi történt...(#43445) 89Csabi89:
Azért, mert ha "elkészült", törli magát. Ha meg formáztad is, akkor meg tuti, hogy törölted. -
robi0
csendes tag
válasz tpeter77 #43589 üzenetére
Valószínűleg a szkript, ha nem nyitottad meg a dokumentumot (plusz engedélyezted a makrót). Elég egy véletlen kattintás vagy enter amikor éppen az van kijelölve és már fut is.
Amúgy mind a kettő Locky.(#43591) csaba951:
Ilyen PCrisk típusú oldalakat nem kellene linkelni szerintem, még a végén valaki aki olvassa a topicot bedől nekik...[ Szerkesztve ]
-
robi0
csendes tag
válasz csabili74 #43686 üzenetére
A legújabb Cerber verzió használ 4 karakteres kiterjesztést, és eléggé elterjedt is, tehát nagy az esélye, hogy azt szedted össze.
De viszont az érdekes, hogy nincs semmi üzenet. Leállítottad miközben dolgozott?Ha sikeresen lefutott, akkor nincs esély a fájlok visszaállításra, csak a fizetés, viszont így lehet, hogy valamilyen adatmentő programmal sikerül a fájljaid egy részét visszaállítani.
(#43691) rokafiu77:
VirusTotal Report gomb, a letöltés mellett 2-vel. -
robi0
csendes tag
válasz csabili74 #43693 üzenetére
"Fizetni nem fogok, eleve nem is tudnám, kinek hova."
Persze, csak azért írtam le, hogy mások is tudják akik olvassák a topic-ot, hogy jelenleg csak a fizetés lenne az egyetlen mód a fájlok visszaállításra ha sikeresen lefut."Ha törlöm a meghajtót, és futtatok egy Recuvat pl, van esély, hogy valamiket visszaszed?"
Nem kell törölni semmit, hanem egyből mehet a Recuva (esetleg más hasonló programok is, ha nem lenne sikeres). Hogy visszahoz-e egyetlen fájlt is, az attól függ, hogy mi volt a gondja a zsarolóvírusnak. De egy próbát mindenféleképpen megér...
Viszont ha azon a partíción voltak a fájlok amelyiken a rendszer is van, akkor minél több ideig van bekapcsolva a gép, annál több fájl veszhet el, mivel a törölt fájlok üres területnek számítanak... -
robi0
csendes tag
Na ez érdekes: Hucky = Hungarian Locky.
"nem szívesen teszem de a mohóságom nagyobb az ellenérzéseimnél"
Kíváncsi vagyok a készítője komolyan gondolja-e a dolgot, vagy csak szórakozásból csinálta... -
robi0
csendes tag
válasz xrvman #44181 üzenetére
Nem "bontja meg", hanem titkosítja az egészet ahogy bármilyen fájlt, ha az adott fájl kiterjesztése benne van a listájában.
(#44185) blattida:
Ez már elég rég nincs így.
Ha már Locky-ról volt szó, akkor itt van az ide tartozó rész: ".ARC, .PAQ, .tar.bz2, .tkb, .bak, .tar, .tgz, .gz, .7z, .rar, .zip".[ Szerkesztve ]
-
robi0
csendes tag
Ezt olvastad / olvastátok: https://www.wilderssecurity.com/threads/malwarebytes-3-0-beta.389946/page-23#post-2637757 ?
[ Szerkesztve ]
-
robi0
csendes tag
válasz acsati #45175 üzenetére
A "szétesést" egy javascript kód csinálta, amit a támadók helyeztek el az oldalon.
Bővebben erről: Fake Chrome Font Pack Update Alerts Infecting Visitors with Spora Ransomware(#45178) acsati:
Jelenleg nekik van az egyik legjobb (valószínűleg a legjobb) support csapatuk, néha még kedvezményt is adnak ha (általában ha több 100 gép fertőzött vagy hasonló, tehát ez most rád nem vonatkozik)...
Tehát ha nincs semmi probléma, akkor fizetés után max fél órán belül megkapod a dekódoló programot.
Neked kell eldöntened, hogy "támogatod-e" őket vagy sem, megéri-e egyáltalán fizetni a titkosított fájlokért, stb.(#45179) acsati:
Annyira hiteles, hogy nem is értem miért lehet egyáltalán linkelni arról az oldalról...(#45204) TSanya:
Eszedbe se jusson fizetni érte. Általában jelentéktelen dolgokat talál, és úgy találja mintha valami nagyon komoly lenne. Viszont komoly dolgokat kb. sosem talál meg...[ Szerkesztve ]
Új hozzászólás Aktív témák
● TILOS a warez!
● Vírusos, vagy egyéb kártevőt tartalmazó linkek a topikban való elhelyezésére vonatkozó szabály:
Tilos a topikban bármilyen vírusos vagy lehetséges vírusos kártevő link elhelyezése.
Az ilyen linkek megosztása csak privátban, PH tagok számára osztható meg.
Ellenkező esetben a hozzászólás törölve lesz.
- Adobe Creative Cloud - 2024. 04. 05 - 2025. 04. 05-ig
- Windows 10 11 Pro Office 19 21 Pro Plus Retail kulcs 1 PC Mac AKCIÓ! LEGOLCSÓBB! Automatikus 0-24
- Steam,EA,Epic és egyébb játékok Pc-re vagy XBox!
- Microsoft licencek KIVÉTELES ÁRON AZONNAL - UTALÁSSAL IS AUTOMATIKUS KÉZBESÍTÉS - Windows és Office
- World of Warcraft Shadowlands Collectors edition EU EN