Virus bingo@opensourcemail.org

[Dkeco]

Neměli jste poslední dobu nějakou navštevu kterou jste pustili na síť nebo nepřeistaloval někdo pc někdy v dohledný době a nejevil se někdo nervózně? Taky nám to trvalo dost dlouho a pak když jsme vytyčili "podezřelé", zavolal člověk (který na seznamu nebyl protože neměl práva na sít tam, kde byl ten vir) a říkal, že to měl zašifrované na lokálním disku...

Divný, fakt divný ale je to nejhorší hnus fialovej. To, že to jede po síti, to je prostě zabiják firem. Hlavně když si o prachy neřekne a je tak díky tomu dost tichej.

[Reklama]

[petr22]

Zabijak firem, kde sit konfiguruji lamy a spravuji trubky.

Kazda normalni firma ma data zalohovana, takze se po zasifrovani obnovi ze zalohy.

Toho cloveka co vi, ze ma zasifrovana data na lokalnim disku a presto pocitac zapoji do firemni site je treba proplesknout.

[Dkeco]

Zabijak firem, kde sit konfiguruji lamy a spravuji trubky.

Kazda normalni firma ma data zalohovana, takze se po zasifrovani obnovi ze zalohy.

Toho cloveka co vi, ze ma zasifrovana data na lokalnim disku a presto pocitac zapoji do firemni site je treba proplesknout.

Ano když se to zjistí druhej nebo třetí den, je to ok ale v případě, že na to někdo upozorní po týdnu nebo i déle, tak to už může být někdy malér a vracet týden a víc staré dokumenty nemusí být zrovna fajn.
U mě konktrétně to bylo ok i když jsem neměl času tolik se pokusil ty data nějak zachránit. Z vlastní zkušenosti vim, že se to v podobný situaci snaží uživatel nějak řešit sám nebo se to snaží zamést pod koberec, případně dělá mrtvého brouka do poslední chvíle. Ani vlastně doteď nevím, jestli to nechytl doma a "všiml" si toho až v práci nebo jak to bylo.
Pokud je někdo naprostý počítačový neznalec, tak mu ani nedojde, že tím může infikovat síť a klidně nb suverénně zapojí se slovy, že mu to tam něco psalo a teď je to nějaký pomalý...

[petr22]

Pokud se ceka az na to nekdo upozorni tak to je samozrejmne spatne - nejjednodussi je nasadit skript, ktery kontroluje jestli se nemeni nazvy souboru ve slozkach (vsech najednou). Ten se da spoustet treba 100x denne a kdyz zjisti zmenu nazvu u vsech souboru najednou, vyhlasi poplach.

[petr22]

Flashka niz zasifrovat nemohla. Jedine nakazeny pocitac.

Nekde existuje pocitac, kde je ten malware aktivni a ktery zasifroval flashku.
Nekde existuje pocitac, kde je ten malware aktivni a ktery zasifroval data na tom disku.

Pokud se nasel ten malware jen na flashce, tak se to bude opakovat.

[eFortySix]

Vcera jsme resili podobny problem u jineho zakaznika ale tam to hodilo vsechny soubory do mp3 a neslo to zmenit.

Nicmene jsem zjistil ze osoba si uklada vse vcetne priloh na flashku. Pocitac nic nehlasil a ani tam nejsou data zasifrovana. Je mi to divne. Hlavne vsechny soubory na flashce maji datum zmeny 3.3.2016 a cas cca od 13:19-13:50

[luccasc]

Stejný problém, nikde se nic nehlásí, zaplatit nechce, z emailu to asi nebude.
zašifrováno vše. Funguje na ten neřád nějaká utilita na dešifrování?

Kaspersky to detekoval jako ransom win32 blocker.bbab a na netu o tomdle není téměř nic.

[_GK_]

Já jsem použil recover a mám všechny soubory, ale bez jejich původních názvů. Vzhledem k tomu, že z těch tisíců souborů se od poslední image serveru změnilo maximálně pár desítek souborů tak to není tak hrozné.

Viníka nemáme a asi nenajdeme. Žádný počítač v síti lokální soubory šifrované nemá. Šifrované jsou i soubory v adresářích kam můžou jen určití uživatelé a jiní tam nemají ani právo čtení. Na serveru samotném to být nemůže protože vše na C: je v pořádku. Na WiFi se připojují další lidé, ale ty nejsou členy domény a pokud už nějaký adresář otevřou tak nemají víc než read práva.

Nechápu k čemu kdo píše šifrovací vir kterej nic nechce. Navíc nedokáže zamezit aby si uživatel ty smazaný data recoveroval. Na jednu stranu mazaný vir na druhou stranu diletantství.

[petr22]

Jak presne by ten vir mel znicit zalozni kopie? To zadny vir na svete nedokaze.

Ten vir je cileny na bezneho uzivatele, ktery ma vsechna data ulozena lokalne, nema zadnou zalohu a hlasku o tom kolik se ma zaplatit zobrazi az kdyz dokonci sifrovani.

Pokud nikde nic nechce, tak jste zkratka nenasli ten nakazeny pocitac, ktery vsechno zasifroval.

Co se tyce tech souboru prejmenovanych na MP3 - to je TeslaCrypt 3.0, ten se stejne jako naprosta vetsina verzi tohoto malware desifrovat neda, protoze nikdo nezna klice. Ale neni vylouceno ze treba za pul roku to pujde.

[eFortySix]

_GK_ jaky program recover? Ja zkousel Recuva a ten mi to obnovil akorat zadny soubor nebyl citelny.

tak rok zpatky byvaly kolega resil zasifrovani dat i na zaloznich kopii - a to otevrela ucetni jeden soubor z mailu ktery nemela

petr22 dekuji za info o tech mp3

[petr22]

To, ze nekdo zalohuje zasifrovana data neni neco, co muze ten malware ovlivnit.

A jak jsem jiz psal - pokud spravce site nema nic, co hlida ze doslo ke zmene vsech souboru soucasne tak je to jeho chyba.

Obnova souboru - odkud?

Pokud nemas aktivni shadowcopy ktera drzi predchozi verze souboru (nezasifrovane) tak neni co obnovovat.

[_GK_]

Obnovil jsem s Recuva docela dost souborů. Je mi celkem jasné že buď někdo přitáhl svůj počítač a teď zatlouká nebo to udělala jediná firma která tam něco instalovala zatlouká taky. Jenže nejlepší je že zaměstnanci si až po týdnu všimnou že to s čím mají dělat každý den už týden nejde a odnesu to já protože jsem správce a nehlídám že backupy obsahují data a ne zašifrovaný data....