Key locker v excel souboru

[Nightingale]

Ahoj, mam mensi problem, na pracovni mail (live mail) mi prisel dopis zajemce o praci. Cely dopis byl logicky strukturovany, psany bezchybne a velmi kvalitne. Byl zde strucny zivotopis velmi dobre napsany a presne odpovidajici nasim pozadavkum zamestnavatele. Takovychto dopisu mi chodi velka spousta, jelikoz nase firma ma vyveseno nekolik inzeratu na ruznych strankach, tudiz jsem nepojal zadne podezreni. Na prvni pohled se jednalo o standartniho zajemce o praci ze zahranici (drtiva vetsina nasich zajemcu je z ciziny), na dopise ani sepsanem zivotopise nebylo nic nestandartniho, dokonce ani dodatek na konci, kde stalo, at se podvame take do prilozeneho excel souboru,kde se nachazi podrobnejsi zivotopis vcetne vzdelani, diplomu atd, me nijak nezarazil. I kdyz je to mene caste, tak nekteri zajemci sepisuji svoje CV v excelu. Soubor byl zcela bezny xml, na prvni pohled na nem nebylo nic zvlastniho co by me vyvedlo z miry. Po otevreni to uz zaclo byt podezrele, byl tu obrazek s textem psanym nemecky a napisem "Loading...", ktery byl ocividne jen lakadlem, jelikoz to byl skutecne jen obrazek. Ihned jsem soubor vypl a smazal,ale jiz bylo pozde. Po chvili se mi infikoval cely pocitac, slo zrejme o klasicky key locker,ktery mi zasifroval soubory a zablokoval pristupy.

Mnohe se mi podarilo opet obnovit (prichozi maily - odchozi jsou fuc, skype kontakty apod), ale do souboru se uz nemohu dostat. Vim, ze bez hijackthis logu mi toho moc neporadite (dodam zitra do spravne sekce), ale chtel bych se zeptat zatim, alespon na mozna rizika. Jaka jsou nebezpeci, jak postupovat - (vetsinu hesel jsem okamzite zmenil, certifikat od KB mam novy apod.), jak tomu predchazet. Jak poznat, ze se jedna o nebezpecny obsah drive nez jej otevru? Na maily zajemcu o praci reagovat musim a jejich CV take musim cist... Neni prece mozne chtit aby to psali do .txt nebo primo do mailu...

Dale me zarazi, ze to nebyl klasicky obecny utok, ale konkretni, kdy utocnik presne vedel co chceme a jak nas zaujmout. Byl to clovek, ktery se vyznal v oboru a nedelal pravopisne ani formalni chyby. Mel CV sepsane tak,ze by mu mnoho vysokoskolaku mohlo zavidet,dokonce zde prilozil i foto. Samozrejme mohl utocnik poslat mail na zaklade inzeratu, kde zjistil nase pozadavky, ale je mi to podezrele. Furt mi hloda hlavou, zda se jednalo o nahodny utok nebo cileny... co myslite? Pokud slo jen o zablokovani pc a nasledne vydirani,ze soubory za prevod penez na ucet odemce, tak to jeste neni tak hrozne, ale pokud sel po konkretnich informacich... Jde nejak zjistit,zda si stahl nejaka data? Zda sly nejake soubory apod pryc z pc?

Moc dekuji za veskere rady a postrehy, velmi si cenim vasi pomoci :)

[Reklama]

[ITCrowd]

Vidím to asi takto:
- k souborům se bez zaplacení nedostaneš (a možná ani po zaplacení ne). Jedině pokud je vir už tak známý, že na něj na netu existuje dekodér.
- přílohy v e-mailu se neotvírají. 1.soubor byl v xml, ale v textu byl popsán jako soubor excelu (xls, xlsx)? To tě mělo varovat. 2.pokud už musíš otevřít přílohu e-mailu, pak ji lze zkopírovat na disk a nechat zkontrolovat AV. AV většinou zareaguje už během kopírování.
- pokud máš podezření na cílený útok, pak bych prozkoumal propuštěné zaměstnance.

[jaro3]

to se moc dobře zjistit nedá , to bys podle mě musel mít nějaké zařízení , které bude monitorovat a ukládat veškerou komunikaci a ještě jí dešifrovat.. Můžeš si zjistit kdo Ti to poslal , jeho mail , adresu ap. ve vlastnostech toho mailu.
Máš soubory a složky zašifrované? měl bys stejně dát log do sekce HJT ke kontrole. Doporučuji používat bitovou kopii systému .

ten příchozí soubor se dá nejprve otestovat pomocí antiviru nebo pomocí Malwarebytes' Anti-Malware ap. Pak ho teprve otevřít.

[Nightingale]

Vidím to asi takto:
- k souborům se bez zaplacení nedostaneš (a možná ani po zaplacení ne). Jedině pokud je vir už tak známý, že na něj na netu existuje dekodér.
- přílohy v e-mailu se neotvírají. 1.soubor byl v xml, ale v textu byl popsán jako soubor excelu (xls, xlsx)? To tě mělo varovat. 2.pokud už musíš otevřít přílohu e-mailu, pak ji lze zkopírovat na disk a nechat zkontrolovat AV. AV většinou zareaguje už během kopírování.
- pokud máš podezření na cílený útok, pak bych prozkoumal propuštěné zaměstnance.

Tak ted si nejsem jistej, myslim, ze to bylo xls (v tom prvotnim zmatku jsem se asi prepsal)... nenasvedcovalo nicemu, ze by v tom melo byt makro.

Jak jsme psal, pokud se jedna o klasicky spam, tak samozrejme nic od cizych a mnohdy i znamych kontaktu neotviram, ale v pripade zajemcu o praci bohuzel musim... asi to budu muset teda nejdriv vzdy projet antivirem :)

Toho jsem se bal... prave jsem si rikal, zda nahodou uz neni nejaky dekoder, ale to asi poradite az pozdeji po dodani logu. Platit rozhodne nic nebudu, podobne pripady znam a je to k nicemu :)

Podezreni mam, ale spise na konkurencni firmu nez na zamestnance. Nedavno se prave jednatel jedne nejmenovane spolecnosti pokouse zjistit nejake interni informace pod zaminkou investicni nabidky. Jednal jakoze za investora a tvrdil, ze ten nutne potrebuje videt veskere interni dokumenty (nejen financni). Pote co jsme to zamitli rekl, ze na castku co jsme se domluvili jiz na prvni schuzce z celkových cca asi 6, by investor stejně nepřistoupil a tak to tedy padá. Ale toto je složité nějak prověřovatnebo někoho obviňovat. Je to prakticky neprokazatelné a nedohledatelné.

[Nightingale]

to se moc dobře zjistit nedá , to bys podle mě musel mít nějaké zařízení , které bude monitorovat a ukládat veškerou komunikaci a ještě jí dešifrovat.. Můžeš si zjistit kdo Ti to poslal , jeho mail , adresu ap. ve vlastnostech toho mailu.
Máš soubory a složky zašifrované? měl bys stejně dát log do sekce HJT ke kontrole. Doporučuji používat bitovou kopii systému .

ten příchozí soubor se dá nejprve otestovat pomocí antiviru nebo pomocí Malwarebytes' Anti-Malware ap. Pak ho teprve otevřít.

Ano odteď to tak asi budu muset dělat. Klasické spamy a podobné útoky jsem vždy včas odhalil a zabránil jim okamžitě, ale tady mě to fakt vůbec nenapadlo, vypadalo to naprosto standartně a já udělal prostě kravinu a nechal se hloupě napálit :/

No a zjistím například i zda to někdo neposlal z jeho mailu aniž by o tom majitel tohoto mailu věděl? Vím, že se to dá udělat a už jsem se s tím i parkrát setkal, že mi přišel mail od osoby co jej neposlala.
Log dám stoprocentně, ale momentálně je docela dost práce, tak jsem si na to ještě nenašel čas, ale během dneška dám.
Btw, měl jsem v tom pc nahraný i elektronický podpis,tak nevím, zda ten také nemohl být nějakým způsobem zneužit.

[ITCrowd]

Adresa odesílatele e-mailu má nulovou informační hodnotu a samozřejmě se dá zfalšovat. Pokud se zachovala hlavička e-mailu, pak z ní lze vyčíst IP adresu počítače, ze kterého byl e-mail odeslán.

[jaro3]

bohužel i IP se dá zfalšovat.