Új hozzászólás Aktív témák
-
#118
st3v3np3t3r
nagyúr
E.Kaufmann
#117
st3v3np3t3r
nagyúr
válasz
E.Kaufmann
#117
üzenetére
hát igen...aztán majd jönnek sorba a mobilok is... de nem akarom az ördögöt a falra festeni...
ilyenkor a csi:cyber egyes részei jutnak eszembe, hogy hogyan fertőzik meg egyszerűen és gyorsan a mobilokat...van egy kimondott durva rész...a nyitott wifik megfertőzik a telókat, a telók meg tovább fertőzik a már ismert routereket...és így tovább és így tovább....vagy pl. a repteres rész, fertőzőgóc...töltőasztalba rejtve...meg hasonló nyalángságok
de egy módosított chippes bankártyával is taccsratehetőek az atm-ek
vagy PP-os kártyával a terminálok ma már nincs lehetetlen, hála az NSA-nál dolgozó kiberfegyver gyártóknak -
#117
E.Kaufmann
veterán
st3v3np3t3r
#116
E.Kaufmann
veterán
válasz
st3v3np3t3r
#116
üzenetére
dettó + gyomorideg
-
#116
st3v3np3t3r
nagyúr
E.Kaufmann
#115
st3v3np3t3r
nagyúr
válasz
E.Kaufmann
#115
üzenetére
a látszat néha csal...egyáltalán nem örülök,mert csak "plusz munkám" van ezek miatt...
-
#115
E.Kaufmann
veterán
st3v3np3t3r
#114
E.Kaufmann
veterán
válasz
st3v3np3t3r
#114
üzenetére
1. ne örülj előre
2. Ukrajnában durvább is lett
ha nagyon akarták volna, akkor sokkal nagyobbat szól ez a kód is. -
#114
st3v3np3t3r
nagyúr
st3v3np3t3r
nagyúr
most kapcsolok... hát nem azt ígérték a wannacry fertőzés után hogy a kövi zsarolóvírus hullám,aminek június közepén kellett volna végigsöpörnie,durvább lesz? ha ez a notpetya akart lenni,akkor elég gyengére sikerült
-
#110
t72killer
titán
st3v3np3t3r
#109
t72killer
titán
válasz
st3v3np3t3r
#109
üzenetére
![;]](//cdn.rios.hu/dl/s/v1.gif)
. Hátigen, ezeken a vackokon is windóz fut, ráadásul valami nagyon ótvar verzió. -
#108
Gdi
senior tag
st3v3np3t3r
#107
Gdi
senior tag
válasz
st3v3np3t3r
#107
üzenetére
És a tűzőgépkapcsot mennyi ideig szedték a billentyűzetből?
Also: idevágó rajz
-
#107
st3v3np3t3r
nagyúr
st3v3np3t3r
nagyúr
már magyar cég is áldozatul esett a NotPetya fertőzésnek,ismerősöm küldte a képet, a cégénél készült és a külföldi anyavállalattól kapták meg...4nap alatt takarították ki az IT-s "szakemberek" a céges hálózatot...
-
Gdi
senior tag
Amikor kijött a "block fix" bennem felmerült rögtön, hogy mi lehet még a célja.
Az első gondolatom nem az volt, hogy mekkora noob, hogy ilyet beletesz, hanem hogy most van 3 létrehozott fájl a windows mappában, amely akár a RO flag eltávolítása után a felhasználó által írható lehet. Így előkészítve a terepet egy olyan kártevőnek, ami ezekre a fájlokra támaszkodik. -
-
#104
7Heads Drago
veterán
7Heads Drago
veterán
-
t72killer
titán
Simán benne van. É-Korea körül forr a levegő - "érdekes" módon most is találtak "É-Koreára utaló jeleket" a kódban - annak ellenére, hogy ez a második iteráció. Ha tényleg É-Koreai lett volna a cucc, akkor legalább a második alkalommal eltüntetik a rájuk utaló nyomokat, itt nagyipari sz@rkavarásnak lehetünk szemtanúi...
-
#11563776
törölt tag
Üdv.!
Ez alapján egyszerűbb felhasználók is megtehetik.
De ami még egyszerűbb, és hosszabb távú megoldás, a Cybereason ingyenes megoldása kb. 99%-ban védelmet kínál mindenki számára a zsarolóvírusok ellen.
-
#98
t72killer
titán
E.Kaufmann
#97
t72killer
titán
válasz
E.Kaufmann
#97
üzenetére
Igen, ha túl jóra sikerül a vírus, akkor jobban rászállhatnak a fejlesztőkre - illetve baráti gépeket is megfertőzhet.
-
#93
nyisziati
veterán
bollokcs80
#71
nyisziati
veterán
válasz
bollokcs80
#71
üzenetére
Köszönet!
-
fuwiradis
aktív tag
na, ma váratlanul kaptam egy kékhalált (ami win lévén annyira nem is lenne meglepő, időről-időre előfordul...), de ennek a cikknek az ismeretében azonnal ki is rántottam a hálózati dugaszt.. megcsináltam ezt a trükköt a fájlokkal, biztonsági firssítést letöltöttem és egyelőre nem látok disznóságot. egyébként hogyan lehet megtudni hogy rajta van-e a gépen? fügetlenül attól, hogy kárt nem okozott, ki lehet ezt valahogy deríteni?
-
#89
Necroman_Mk2
őstag
MasterDeeJay
#4
Necroman_Mk2
őstag
válasz
MasterDeeJay
#4
üzenetére
Egy exploitot kihasználó, rossz indulatú programban találtak egy exploitot, amivel ártalmatlanítani lehet a kártevőt. Kíváncsi lettem a vírus írójának arcára, amikor először olvasta ezt az egyszerű trükköt a mesteművéről
(persze, gondolom, sebtiben megírt egy javított változatot is, de előbb le kellett nyelnie ezt a keserű pirulát) -
Gdi
senior tag
Én ezt a scriptet hoztam össze: https://pastebin.com/VjEW45GH
Powershelles verziót holnap talán befejezem, ha valakit érdekel. -
#84
-=MrLF=-
senior tag
Psychopeti
#80
-=MrLF=-
senior tag
válasz
Psychopeti
#80
üzenetére
TC-ben, bemész a "C:\Windows"-ba, időrendbe állítod, ha az attribútumoknál ott van mindháromnál az ra akkor rendben.
-
#83
-=MrLF=-
senior tag
Psychopeti
#80
-=MrLF=-
senior tag
válasz
Psychopeti
#80
üzenetére
Igen
Szerk.: illetve még egy enter hiányzik a végéről, így az utolsó fájl még nem read only
#9 és beillesztés és utolsó sor után enter
-
#79
sztanozs
veterán
juliabrilke
#77
válasz
juliabrilke
#77
üzenetére
Ezek közül egyik sem, ha sebezhető... Viszton ha az MS17-010 telepítve van, de kiszedi a lokál admin jelszavát a memóriából, akkor nem exploit alapon terjed, hanem az összes hálózaton megtalált gépen megpróbálja magát futtatni PSExec-kel (a megszerzett admin:password-del) vagy WMI-n keresztül.
-
A lényeg amúgy kimaradt a biztonsági ajánlások közül:
- azonos admin jelszavak használatának mellőzése a gépeken
- felhasználói jelszavak cache-elésének tiltása (illetve jelenleg az admin belépések után újraindítás, hogy memóriában se maradjon)
- széles körű (domain alapú) admin jogosultágok mellőzése -
#72
Kékes525
félisten
bollokcs80
#71
Kékes525
félisten
válasz
bollokcs80
#71
üzenetére
Ez csak az aktiválódását tiltja le, vagy a behatolást is megelőzi? Ahogy nézem a batch file-t csak az aktiválódást tiltja le.
-
#71
bollokcs80
Korrektor
-
-
#57
#33802016
törölt tag
InfiniteReality
#41
#33802016
törölt tag
válasz
InfiniteReality
#41
üzenetére
Ez meg egyezik azokkal?
Win 7 esetén úgy látom 2 van egy 212 végű, és egy 215 végű. De mintha vmelyikre jött volna ki újabb folt vagy ilyesmi. És azért 204 a vége, vagy nem?
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
-
3psilon
aktív tag
Cryptopreventről mi a véleményetek?
-
copass
veterán
csali. a ransomfree csinált ilyesmit. hogy minden partícióra pakolt egy random könyvtárat az "elejére" benne random fájlok és azokat figyelte. notpetya-t megfogja.
-
annyira boldog voltam,h a gépem bekapcsolva elindult a checkdisk. le se birtam allitani, ugyhogy kihuztam az áramból, vinyó, net leszed.
aztán úgy tűnik nincs semmi baj, csak alvó módból nem jött vissza tegnap ezért kinyomtam és most érezte úgy,h kell az a chkdskHXY: mai titkosítások feloldása számítógépfarmokkal évezrekbe kerülne
-
Kékes525
félisten
+(#43) Noxy
A megfertőzés ellen nem hat a három file read only módban, csak nem fog futni a gépeden a petya, azt "gondolja" hogy már nálad megtette a dolgát, "mert amikor lekódolja a hdd-n az adatokat, akkor magának megcsinálja ezeket a fileokat" (copyright anulu). Magyarán ezzel be tudod csapni.
-
#42
Joco_77
senior tag
InfiniteReality
#41
Joco_77
senior tag
válasz
InfiniteReality
#41
üzenetére
A megfertőződés ellen elég a 3 filet read onlyban létrehozni?
-
#41
InfiniteReality
őstag
-=RelakS=-
#39
InfiniteReality
őstag
válasz
-=RelakS=-
#39
üzenetére
Ha 127.0.0.1-et adsz meg, akkor lassabban timeoutolnak a kimenő kérések. Jobb a 0.0.0.0, instant eldobja ami arrafelé akarna menni.
(#40) Joco_77
Azaz igen. Ez javítja az SMB sérülékenységet, ami a terjedést hivatott megállítani a helyi hálón, de a megfertőződés ellen nem véd.
-
hunluki
senior tag
válasz
Gempas 70
#29
üzenetére
Van egy jó kerülő, fogod és szépen felfrissíted a mostani 7-est pendrive-ról, simán setup.exe duplakattal. Ha feltelepült akkor csapd rá a windows updatet és nézd meg hogy aktiválta-e magát.
Ha igen, akkor onnantól kezdve nem kell kód, simán W10 telepítő pendrive, telepítésnél megmondod hogy nincs kódod és majd aktiválódik magától.Papíron csak egy évig működött, gyakorlatilag gond nélkül működik most is. Ha valóban eredeti a W7 kulcsod akkor szerintem ezt nyugodt lelkiismerettel megteheted.
-
#33
anulu
félisten
Stauffenberg
#22
anulu
félisten
válasz
Stauffenberg
#22
üzenetére
jelenleg erre most azt mondanám, hogy nem szabad beengedni. tudom, akár preparált weboldallal is be tud mászni (lásd 2017. júniusi update csomag, ami ilyet javít), a továbbterjedést elég nehéz megfogni. talán a fileok létrehozását tudnám javallani, mert így ha meg is fertőződik a gép, maga a ransomware akkor sem fog semmit csinálni.
-
az nagy ötlet, ha a french-cooking.com-ot letiltod a tűzfalon, az ugyanis 127.0.0.1-re oldja fel a rezolver.
amivel jó eséllyel hazavágod a tűzfalad is. -
Gempas 70
aktív tag
Hát gyerekek.... komolyan mondom hangosan röhögök itthon magamon... halvány fogalmam sincs arról hogy miket beszéltek.. Nekem van már valami szarság a gépemen mert állandóan dobálja fel, hogy win. repair töltsem le meg stb. ( win 7) Meg lassabb is meg szarabb is..
Le kéne gyalulnom az egészet de nem tudom hol a win kódja az újratelepítéshez mivel telepítve kaptam a pc-t. Nem mintha izgatna ez a zsaroló izé mert a gépemen direkt nem tartok semmi olyat ami gondot okozna de mégis na...
Bele kéne merülnöm egy kicsit jobban ebbe az egészbe.. Hahahaha
-
#28
-=MrLF=-
senior tag
MikeWazowski
#26
-=MrLF=-
senior tag
válasz
MikeWazowski
#26
üzenetére
Totalcommander-ben shift+F4, máshol menüből, vagy
startmenü, beírod powershell, nyomsz ctrl+shift+enter és bemásolod a [#9] írtakat. -
#27
t72killer
titán
MikeWazowski
#26
t72killer
titán
válasz
MikeWazowski
#26
üzenetére
Pl szövegszerkesztőben elmentesz egy üres txt-t, majd törlöd/átírod a kiterjesztését?
-
#25
Peterhappy
addikt
Syl
#14
-
akom
őstag
-
#22
Stauffenberg
nagyúr
anulu
#17
Stauffenberg
nagyúr
Akkor az asszony dolgozós laptopját többé nem engedem haza.
Egyébként mint lelkes amatőr kérdem, hogy otthoni hálózat konfigurálásánál lehetséges csökkenteni az esélyt a továbbfertőzésre?
Például nálam a dolgozós fájlok olyan HDD-n is megvannak backupban, amihez csak az én admin jogú fiókomnak van hozzáférése (írás/olvasás esetén egyaránt), de emellett azért akadnak megosztott meghajtók (leginkább TV irányba, de a többi gép is látja).
-
#17
anulu
félisten
Stauffenberg
#16
anulu
félisten
válasz
Stauffenberg
#16
üzenetére
alapvetően az SMB patch. sajnos ha valahogy bekerül a rendszerbe, akkor nem csak SMB-n, hanem WMI és PSEXEC-el is képes terjedni. személy szerint ezt a file létrehozós dolgot is a patch mellé tenném. magát a "benyelést" nem gátolja, csak a futást.
-
#16
Stauffenberg
nagyúr
Stauffenberg
nagyúr
Azok a gépek, amiken már fent van az Eternalblue exploitra kiadott patch, védve vannak?
-
#14
Syl
nagyúr
Peterhappy
#13
válasz
Peterhappy
#13
üzenetére
Gyanúsan sokat tud a Petyáról
-
#13
Peterhappy
addikt
anulu
#9
-
#9
anulu
félisten
Peterhappy
#8
anulu
félisten
válasz
Peterhappy
#8
üzenetére
igen.
vagy powershell "run as administrator"-ként indítva:
New-Item c:\windows\perfc -type file
New-Item c:\windows\perfc.dll -type file
New-Item c:\windows\perfc.dat -type file
Set-ItemProperty c:\windows\perfc -name IsReadOnly -value $true
Set-ItemProperty c:\windows\perfc.dll -name IsReadOnly -value $true
Set-ItemProperty c:\windows\perfc.dat -name IsReadOnly -value $trueennél egyszerűbbet nem tudok
-
#8
Peterhappy
addikt
Sziasztok,
Kezdő kockák kedvéért:
Tehát a C:/Windows alá kell:
perfc
perfc.dat
perfc.dllnéven kell egy-egy üres fájlt létrehozni (0 byte) és bepipálni az írásvédettséget, ugye?
-
anulu
félisten
adott a 3 file, ezeket kell 0 byte hosszal, csak olvashatóként (read-only) létrehozni a windows (ált c:\windows) mappájában, és ezzel blokkolni lehet, hogy a ransomware bármit csináljon, mert amikor lekódolja a hdd-n az adatokat, akkor magának megcsinálja ezeket a fileokat, így ellenőrzi, hogy az adott gépen már "nincs dolga".
-
#4
MasterDeeJay
veterán
Igen amatőr lehetett aki írta a vírust, annyit nem képes hogy random filnevet használ mint egy rendes normális vírus. Na már a vírust irók sem a régiek...
-
copass
veterán
a lényeget kihagyod...
"részleges megoldások: készítsenek egy kiterjesztés nélküli "perfc" nevű fájlt a Windows telepítési mappájába (C:\Windows\), vagy blokkolják a "C:\Windows\perfc.dat" állomány írási/végrehajtási jogát[11], és ezáltal a ransomware semmilyen kárt sem fog okozni."
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Tudtommal XPSP1 vagy vmi hasonló megy rajtuk
(forrás:instagram)
? De elvileg Kaspyék maguk tesznek fel friss iso-t minden nap
.
Új hozzászólás Aktív témák
- One otthoni szolgáltatások (TV, internet, telefon)
- Samsung Galaxy Watch8 és Watch8 Classic – lelkes hiperaktivitás
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- EAFC 26
- Telekom mobilszolgáltatások
- Házimozi belépő szinten
- Okos Otthon / Smart Home
- Battlefield 6
- Milyen TV-t vegyek?
- További aktív témák...
- NEC NP-PA550W projektor- 5500 Ansi - távirányitóval
- iPhone 17 ProMax (független, 3 év garancia)
- www.olcsogamerpc.hu - Intel i7-12700KF - RTX 3080 - 32GB RAM - 1TB SSD - Z alaplap
- Újszerű Sony PS4 500GB, 1db DUALSHOCK 4 kontrollerrel
- Új, felbontott Kingston FURY 24GB (1 modul) Renegade DDR5 8000MHz CL38 KF580C38RW-24 - 24 hó gari
- Xiaomi Redmi Pad 2 128GB,Újszerű,Dobozaval,12 hónap garanciával
- ÁRGARANCIA!Épített KomPhone i9 14900KF 32/64GB DDR5 RAM RTX 5070 12GB GAMER PC termékbeszámítással
- HIBÁTLAN iPhone 15 Pro Max 256GB Black Titanium -1 ÉV GARANCIA - Kártyafüggetlen, MS3497
- Vásárlunk iPhone 12/12 Mini/12 Pro/12 Pro Max
- iPhone 17 Pro Max Mélykék - Bontatlan !! www.stylebolt.hu - Apple eszközök és tartozékok !!
Állásajánlatok
Cég: Laptopszaki Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest