Cryptolocker v Dropboxu Vyřešeno

[pajacz17]

Ahoj, prosím netušíte jak se dostane Cryptolocker do Dropboxu? Může bít i samotná chyba v zabezpečení Dropboxu?
Vždy si všimnu, že mi vyskočí okno od Dropboxu, že 10 souborů smazáno a 10 nahráno. Vždy to smaže a nahraje zašifrovaný data. Už jsem jednou měl to samé a musel jsem u sebe udělat formát. Teď kamarád má to samé. Nevíte proč to první utočí na Dropbox? Ostatní soubory zatím vypadají ok. Že by spustil nějakou přílohu v emailu nebo chodil na nějaký divoký stránky prý ne. Já jsem před tím nic podezřelého nezaznemenal, dokud se to nerozjelo v Dropboxu. Nevím, zda mám u sebe na dále používat Dropbox, nebo je to chyba uživatele pc. Díky za názor.

[Reklama]

[Karrex]

Ty soubory to akorát synchronizuje z PC, v PC se to zašifruje a pak se to akorát v Dropboxu přepíše těmi soubory z PC. Zabránit tomu by šlo snad jedině vypnutím synchronizace a nahrávat soubory ručně, které zrovna chceš nebo vždy kontrolovat složku, která má být synchronizována.

[pajacz17]

jj, spíš nevím proč to vždy zaútočí první na dropbox. Jak u mě, tak kámoše. Nějaká ochrana proti tomu? Proč to antivir nepozná?

[faraon]

Nemáš v Dropboxu nastavené automatické zálohování změněných souborů? V tom případě to na Dropbox vůbec útočit nemusí, protože jsi to za něj udělal ty sám

[pajacz17]

Ne to ne. Dropbox mám klasicky na disku pc. To jsou ty dokumenty, ke kterým chci mít přístup přes Dropbox. Samozřejmě mám nastavenou synhronizaci, takže jak to mění soubory na disku, tak to začne měnit soubory v syn. zařízeních. Jen se mně zdá, že to začlo dělat první změny v Dropboxu, ale asi jsem se mýlil, pže jsem jich našel zašifrovaných víc.

[atari]

Podobné téma jsem řešil zde: http://www.pc-help.cz/viewtopic.php?f=95&t=163735. Zatím jsem to neuzavřel. Až přijdu na konečné řešení, tak ho tam napíšu. Je to přesně jak píše Karrex. Vir zašifruje soubory v PC, a Dropbox pak automaticky ty zašifrované soubory pošle na net do úložiště.

Jelikož právě řeším jak tomu zabránit, tak by mi pomohlo kdyby jsi mi trochu přesněji popsal jak to přesně probíhá. To znamená zda vir při zašifrování zachová stejné jméno souboru, stejnou příponu, případně zda a o kolik se zvětší velikost souboru, případně nějaké další doprovodné jevy, které u toho nastanou.

[jaro3]

Něco málo k tomu:
Co je Locker Ransomware?
Stručný přehled:
Locker je ransomware soubor programu šifrování, který se zaměřuje na všechny verze Windows, včetně Windows XP, Windows Vista, Windows 7 a Windows 8.
25. května o půlnoci místního času, byl Trojan.Downloaderu vydán příkaz k instalaci Lockeru na infikovaný počítač. Poté, co byl aktivován Locker, byly naskenované všechny písmena jednotek pro určité přípony souborů a zašifrovány pomocí šifrování AES. Když skončilo šifrování dat infekce , zobrazila se obrazovka s názvem Locker <číslo verze>, kde číslo verze byly náhodná čísla, jako je 1,7, 2,62, 1,91, atd.
Tato Locker obrazovka poskytuje informace o tom, jak byly soubory zašifrovány a pak požadovat .1 bitcoins pro dešifrování souborů. Pokud nechcete platit výkupné do 72 hodin, Vaše výkupné se zvýší o 1 Bitcoin.

30 květnu 2015 Locker ransomware vývojáři vydali výpis všech soukromých dešifrovací klíčů, spolu s omluvou. Tato omluva uvádí, že 2.června, pokud uživateli stále běží infekce, bude automaticky dešifrovat zašifrované soubory zdarma. Nyní, když jsou soukromé dešifrovací klíče k dispozici, Nathan Scott napsal Decrypter, který dovolí oběti dešifrovat své soubory zdarma. Více informací o tomto Decrypteru lze nalézt zde.
http://www.bleepingcomputer.com/virus-r ... #decrypter

2. června, developer slíbil,že ti, kterým stále běží zpráva o infekci ,se zobrazuje zpráva s omluvou , že jejich soubory byly dešifrovány.Zpráva zobrazená bylo:

I'm sorry about the encryption, your files are unlocked for free. Be good to the world and don't forget to smile
Je mi líto,že jste měl soubory zašifrovány , ale nyní jsou Vaše soubory odemčené zdarma. Buďte hodný na světě, a nezapomeňte se usmívat.

Přehled:
Locker ransomware se instaluje přes Trojan.Downloader, který byl již na počítači oběti. Tento Trojan.Downloader byl instalován jako služba Windows v C: \ Windows \ SysWOW64 s náhodným názvem souboru. Příklady názvy souborů jsou: solaraddtogs.exe nebo twitslabiasends.exe. 25 května o půlnoci místního času, byl příkaz odeslán na Trojan.Downloader aby nainstaloval Locker Ransomware na počítač nakaženého uživatele. Jako součást instalace Trojan.Downloaderu a Lockeru ,je další služba je nainstalována v C: \ ProgramData \ Steg \ steg.exe, která provede instalaci do složky C: \ ProgramData \ Tor. Když je tato instalace dokončena , další služba vytvoří složku se souborem s názvem C: \ ProgramData \ rkcl \ ldr.exe, a C: \ ProgramData \ rkcl \ rkcl.exe program.Rkcl.exe . Program je hlavní spouštěč pro Locker ransomware.

Poté, co byl Locker nainstalován a spuštěn , začne kontrolovat všechna datové písmena na vašem počítači pro zašifrování datových souború . Při hledávání souborů k zašifrování, Locker vyhledává pouze případy nastavení malých písmen , a jak se používá velká a malá písmena porovnání řetězců, .jpg soubory budou zašifrovány, ale ne soubory JPG. Seznam přípon zaměřeny Locker je:

3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx

Je důležité zdůraznit, že Locker bude testovat všechna písmena jednotek v počítači, včetně vyměnitelných disků, síťových připojeních , a dokonce i Dropbox mapování. Stručně řečeno, pokud je písmeno jednotky na vašem počítači, bude kontrolováno na datové soubory k zašifrování pomocí ransomware

Po dokončení skenování počítače bude také odstraněna Stínová kopie uložená na disku C:.
To způsobí , že nelze použít stínovou kopii k obnovení souború. Pokud odstraní pouze stínovou kopii na C: \ jednotce, může být možné použít program stínové kopie k obnovení souború, které byly uloženy na jiných jednotkách. V některých případech nejsou obsahy Stínové kopie řádně vymazány vůbec, a budete moci obnovit soubory z disku C: stejně.
Příkaz slouží k odstranění obsahu stínové kopie:
vssadmin.exe delete shadows /for=C: /all /quiet

Zatímco proces instalace probíhá, budou se také hledat procesy spojené se známými malware nástroji pro analýzu a zkontroluje, zda malware běží ve virtuálním stroji. Pokud se zjistí, že infekce je spuštěna ve VMware nebo VirtualBoxu ,bude sama-ukončena. Bude také sama ukončena, pokud zjistí ,že běží některý který z těchto procesů :
wireshark, fiddler, netmon, procexp, processhacker, anvir, cain, nwinvestigatorpe, uninstalltool, regshot, installwatch, inctrl5, installspy, systracer, whatchanged, trackwinstall
To dává ochranu před analýzou bezpečnostních techniků , kteří by případně mohli pomoci obětem Lockeru.

S cílem zaplatit výkupné oběť potřebuje poslat 0,1 bitcoins k přidělené Bitcoin adrese.Aplikace Locker pak bude pravidelně kontaktovat blockchain.info aby zjistil, zda existuje rovnováha pro přidruženou Bitcoin adresu. Pokud blockchain.info označuje, že je správná rovnováha, bude aplikace Locker pak provede druhou kontrolu proti malware TOR velení a řízení serveru umístěného na jmslfo4unv4qqdk3.onion. Pokud se obě kontroly ukazují, že platba byla provedena, aplikace stáhne priv.key soubor a uloží jej do složky v adresáři C: \ ProgramData \ rkcl na infikovaném počítači. Tento soubor obsahuje soukromý dešifrovací klíč používaný k dešifrování souborů. Aplikace Locker pak začne dešifrovat všechny soubory.

Existují i další soubory vytvořené v adresáři C: \ ProgramData \ rkcl složka. Tyto soubory jsou popsány níže:
data.aa0 - Tento soubor obsahuje seznam šifrovaných souborů.
data.aa1 - Neznámý účel
data.aa6 Jedinečná Bitcoin adresa oběti –
data.aa7 - klíč RSA. Toto není dešifrovací klíč.
data.aa8 - Obsahuje číslo verze grafického rozhraní Locker.
data.aa9 - datum kdy se ransomware stal aktivním
data.aa11 - Neznámý účel
data.aa12 - Neznámý účel
priv.key - Tento soubor obsahuje soukromý dešifrovací klíč, který může být použit k dešifrování souborů. Zdá se až poté, co budete platit výkupné.

[jaro3]

Jak se můžete nakazit Lockerem Ransomware?
V této době jediný známý vektor pro tento ransomware je Trojan.Downloader, který je nainstalován přes cracklou verzi Minecraft. Někteří lidé říkali, že tomu tak není, že nikdy neměli Minecraft nainstalován na svém počítači, existují s největší pravděpodobností další vektory, které jsou neznámé v tomto čase. Známé Minecraft související trojské koně, jsou:
MinecraftChecksumValidatorLower.exe
MD5 87c4cff97cafa6c78b7b41c9033c8bc2
SHA-1 55b3db2dbb0502fa5a85330ec5ffb3b9e18846cf
SHA-256 8ff8631c54a4a38d2d433b15fcca48ec242ddd426183d2b6f3f40cca304ccb9a

a:
MinecraftChecksumValidator.exe
MD5 dbd136e27b9fdfc1e656ef2e2d96dd30
SHA-1 bba94a12497703627093d2b2f5572f39d9962d0c
SHA-256 c8b31a92d2ab8bb163cfb66b7d461acd7941c5c17314220ecdee6abdcd005a8e

Je možné, že tato infekce je také instalována pomocí exploit kitů, které používají bezpečnostní zranitelnosti v nejistých programech nainstalovaných na vašem počítači. Proto je nezbytné, aby každý udržoval windows a jejich nainstalované programy aktualizované, takže mají nejnovější bezpečnostní záplaty. Můžete použít tyto výukové programy pro více informací o udržení aktualizaci systému Windows a instalovaných programů :
How to update Windows
http://www.bleepingcomputer.com/tutoria ... e-windows/
How to detect vulnerable and outdated programs using Secunia Personal Software Inspector (PSI)
http://www.bleepingcomputer.com/tutoria ... cunia-psi/

Místa zašifrována Lockerem
Locker ransomware zašifruje datové soubory nalezené na místní jednotce nebo na namapované síťové jednotce. Bude pouze šifrovat soubory na sdílené síti , pokud jsou mapovány jako písmena jednotky v infikovaném počítači. Pokud není mapováno jako písmeno jednotky, pak Locker nebude šifrovat všechny soubory v síti sdílené složce UNC.

Ještě je naznačeno , že Vám zabezpečí všechny otevřené sdílené í pouze umožní zapisovatelné přístupy k nezbytným skupinám uživatelů nebo ověřeným uživatelúm. Jedná se o důležitý bezpečnostní princip, který by měl být použit v každém okamžiku, bez ohledu na infekce, jako jsou tyto.

[atari]

To je dobrý info. Nejradši bych si ten vir sám vyzkoušel. Dá se někde stáhnout?

[jaro3]

To nemohu sloužit , a navíc by to odporovalo zásadám tohoto fóra..

[pajacz17]

PC už jsem zformátoval, ale vím, že to soubory udělalo bez přípony. Byl to strašně dlouhý název. Určitě obsahoval název @decrypter.
Velikost už nevím, ale měl jsem povolený stínový kopie disku, takže jsem něco obnovil. Je zajímavé, že soubory ve složkách i na ploše šly obnovit vpoho, ale samostatný soubor na ploše ne. Jinak jsem to poznal na Dropboxu, že dole v okénku to psalo 10 souborů vymazáno a za chvíli 10 souborů nahráno. A tak pořád dokola. To vlastně přepisovalo data a probíhala synchronizace na cloud.
Jinak to nejspíš bylo z email adres: imrene.balogh@mkvkalkusz.hu a irecepce@diente.cz ( doména diente existuje, ale s tímto nemá nic společného ) V hlavičce bylo od: Web administrator a předmět důležité.