Locky Lock

Všetko o antivírových programoch, firewalloch, víroch, spyware, ostatných aktuálnych hrozbách, názoroch a skúsenostiach, ako sa im vyvarovať...
POZOR: žiadny WAREZ
Užívateľov profilový obrázok
643
Používateľ
Používateľ
Príspevky: 1410
Dátum registrácie: Št 15. Nov, 2007, 08:00
Bydlisko: Bratislava - Dubravka
Kontaktovať užívateľa:

Re: Locky Lock

Príspevok od užívateľa 643 » Št 17. Mar, 2016, 11:42

Andrew007 napísal:Je tam vela faktorov ktore ovplyvnia casovu detekciu, nic netrva vecne. Tieto vzorky obsahuju aj takzvany update server, proces si automaticky cucne "novy fresh code" cez direct url . Vacsina z nich ma .NET framework potencial, zaroven scan a runtime protection . "Rozmnozovanie" je mozne prinutit cez P2P, local, .rar, .zip, komunikacne programy, vbnet, bash script, usb . Aktualne sa mi dostavili nove informacie ohladom exploitu pre .doc a .xmls .xlsx . Nejedna sa o ziadne makra, koncovy uzivatel nemusi nic potvrdit .

ps: vyssie uvedene udaje maju len informativny charakter a boli zdielane len pre toto forum .
kedze si znaly veci, ako sa branit? (teda okrem osvety uzivatelov?) :)

Užívateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1777
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od užívateľa Andrew007 » Št 17. Mar, 2016, 13:06

Na com sa zhodne skupina v ktorej sa pohybujem pracovne a mimo pracovnej doby . Skratka pouzivat zdravy rozum a skontrolovat nestandardne porty , sledovat vonkajsiu komunikaciu . V labe sme mali moznost testovat 36 roznych antivirusov ratane firewallov, vsetko sa da ciastocne obist (ano, aj vieme ako na to .. ).

Pokial utocnik potrebuje jednorazovo natiahnut udaje popr. ukradnut citlive data, staci na to par minut. Tu sa bavime o programe ktory je schopny udrzat stabilitu pocas scantimeu a neprezradit certifikat . Napr. taky eset vyhodnocuje program bez certifikatu ako skodlivy, pricom nejedna sa o virus ( crack, keygen atd ) .

Takze ostava len sedliacky rozum a neklikat tam kde sa nema, ale zopar dobrych postrehov : nepouzivat javu, v ziadnom pripade nenavstevovat stranky ktore su zalozene, resp. obsahuju vacsinu flash prvkov . Davam do pozornosti sedliacky prikaz pod cmd " netstat -a " kde je mozne skontrolovat prieniky . Urcite by som spravil na ploche rychly odkaz do AppData kam sa skopiruju vzorky popr. neustale porovnavat procesy : svchost.exe, explorer.exe . Pod Win 10 je to uz o cosi zlozitejsie, tam vacsina Framewrok utokov neprejde - odksusane cez hromadne generovany mail 50im prijemcom .

Win 10 Inject rate = 60 %
Win7 Inject rate = 95ˇ%
Win XP Inject rate = 99% ...
R5 3600 - B450 Mortar Max - MSI Armor 1080Ti - Patriot Viper Steel Series 16GB KIT DDR4 3600 Cl17 - 970 EVO 500 GB - Dell 2716DG 1440p -

Užívateľov profilový obrázok
HellAngel
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 9165
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od užívateľa HellAngel » Št 17. Mar, 2016, 13:20

to tvrdim aj ja, rozum. ale bohuzial niektory ani po upozorneniach si nedaju pozor.
Momentalne to je stopnute, aspon dufam, nic nove nenaskakuje. Scanujem server, lokalne PC.
Takisto achyba je isto OS. Bolo tam XP, co je derave ako reseto. Andrew a ktory antvir Vamvychadza ako naj. Je to skor sukromna otazka, staci napisat aj do PM.
NB: Dell Latitude 5480

Užívateľov profilový obrázok
643
Používateľ
Používateľ
Príspevky: 1410
Dátum registrácie: Št 15. Nov, 2007, 08:00
Bydlisko: Bratislava - Dubravka
Kontaktovať užívateľa:

Re: Locky Lock

Príspevok od užívateľa 643 » Št 17. Mar, 2016, 13:27

aj mne ju mozes postnut :P

Užívateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1777
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od užívateľa Andrew007 » Št 17. Mar, 2016, 13:57

Kludne vam to napisem sem a zaroven ocakavam kritiku od vsetkych "znalcov" .

Najlepsi detection rate ma Avast . Jediny antivir, ktory je schopny v najkratsom case odhalit hociaku haved . Na druhej priecke je Eset, tretia Kaspersky . Najhorsi corporate antivirus je Symantec Endpoint Protection a MC.

Vacsina pouzivatelov sa spolieha na win defender ktory je celkom kvalitny ale nie vzdy vie odstranit kod z karanteny, popr. natrvalo v pc. Podarilo sa mi (nám) prisposobit cez Delphi jeden riadok kde som pri starte pustal . exe pod defenderom . Zdoraznujem ze subor uz bol presunuty do karanteny a stale som vedel vytvorit pripojenie :-)

Jednu vzorku som instaloval do firemnej virtualky este vlani pred letom, stale mi to bezi v pozadi a bez problemov ju pouzivam ako remote server a nevyskakujem ani v reporte .( zapnute proxy, 2 rozne brany, vsetky porty uzavrete okrem standardnych). - komplexna ochrana od Symantecu .
R5 3600 - B450 Mortar Max - MSI Armor 1080Ti - Patriot Viper Steel Series 16GB KIT DDR4 3600 Cl17 - 970 EVO 500 GB - Dell 2716DG 1440p -

Užívateľov profilový obrázok
DankoPR
Používateľ
Používateľ
Príspevky: 559
Dátum registrácie: Št 07. Feb, 2013, 20:25
Bydlisko: TN

Re: Locky Lock

Príspevok od užívateľa DankoPR » Št 17. Mar, 2016, 14:48

A čo hovoríš na taký Trend Micro?

Užívateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1777
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od užívateľa Andrew007 » Št 17. Mar, 2016, 16:09

Antivir ako antivir....

Pozri sa, dnes si spravim doma code, obidem Ti TM, zivotnost odhadujem max "len" na jeden tyzden. Ano, pokial utocnik chce od teba nieco ziskat staci mu par minut a sam si dany kod odstrani. Tu je v podstate dolezite aby neprebehlo spustenie a nastalo okamzite infikovanie, ktore jednoducho nevie na 100% vykonat ani jeden z najslavnesjich "antis" softwerov . Presny zoznam tychto programov a firewallov poskytnem vecer .

Ako som spominal, ak ma niekto doma hociaky virus vo forme "keylogu, cracku z hier " poslite mi to do spravy a ukazem ako sa tvari prepisany neskodny kod a uvidite aj vysledky tzv. "hlbokej kontroly" .
R5 3600 - B450 Mortar Max - MSI Armor 1080Ti - Patriot Viper Steel Series 16GB KIT DDR4 3600 Cl17 - 970 EVO 500 GB - Dell 2716DG 1440p -

Užívateľov profilový obrázok
HellAngel
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 9165
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od užívateľa HellAngel » Pi 18. Mar, 2016, 17:22

dnes som telefonoval s pari IT firmami a vravia, ze tohto sajrajtu je teraz celkom dost po slovensku a nieje na to obrany. Vyzera ze skutocne rozsireniu virusu dokaze zabranit len domenova politika prav, ucty ktore virus otvorili nemaju moc prav ohladne siete, takze im to loklo lokelne dokumenty. Iked virus siel aj do file server, tak mam tiez obmedzenu politiku prav uzivatelovi, takze sa mu zatial nic zakryptovat nepodarilo. Dufam ze to tak aj ostane. :facepalm:
NB: Dell Latitude 5480

Užívateľov profilový obrázok
felipe25
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 5864
Dátum registrácie: Po 19. Júl, 2010, 13:00
Bydlisko: Košice

Re: Locky Lock

Príspevok od užívateľa felipe25 » So 19. Mar, 2016, 16:07

asi idem na mesiac poodpajat vsetky disky :D kym to nepresusti. a to mam windows10, avast free. Mam radsej dat NOD 5?
Spoiler: ukázať
Main PC: Fractal Define Black R5 window, ASUS ROG STRIX Z390-E GAMING, Intel Core i5 9600K, Patriot Viper4 Series 16GB KIT DDR4 3000MHz CL16, ADATA XPG GAMMIX S5 SSD 256 GB SSD, 1x5TB + 1x4TB, GIGABYTE 1060 GTX 3GB, Blue-Ray LG, 23" Fujitsu Siemens LED LCD, key: Hama uRAGE, mouse: Logitech G700, Windows 10 Pro 64bit

NB work: Fujitsu Siemens Esprimo Mobile U9200 12", Windows 10 Pro 64bit

Huawei Mate 20 Pro
Motorola G7 Power
Apple iPad Mini 2 16GB

Užívateľov profilový obrázok
HellAngel
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 9165
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od užívateľa HellAngel » So 19. Mar, 2016, 18:02

Antivir nema sancu. Co mi hodne pomohlo, je zaloha na qnap servery, ktory je uplne mimo domeny a nebol problem potom robit pripadnu obnovu suborov. Takze zaloha, zaloha, zaloha. Dohodol som sa s jednou firmou, zlozim jedno linuxove ulozisko, nastavim aby tam duplicitne kopirovalo zalohy.
NB: Dell Latitude 5480

dadik08
Používateľ
Používateľ
Príspevky: 367
Dátum registrácie: So 31. Jan, 2009, 19:51
Bydlisko: KE/VT

Re: Locky Lock

Príspevok od užívateľa dadik08 » Ne 10. Apr, 2016, 15:22

http://www.techspot.com/news/64395-adob ... stall.html
As Trend Micro points out, one of the vulnerabilities – CVE-2016-1019 – has been identified as being used by the Magnitude Exploit Kit to spread the Locky ransomware.
Spoiler: ukázať
PC1: AMD Ryzen R9 3900x | Gigabyte X570 Aorus Elite | Corsair Vengance LPX 64 GB 3200 MHz | Sapphire Radeon 570 4 GB | Samsung 850 EVO 250 GB | Seasonic S12II 620 W FDB | Noctua NH-D15S | Fractal Design R4 | Cooler Master MasterKeyboard PRO L
HifiMan HE-4xx, Audio=Technica ATH M30x (Brainvawz hybrid pads)
PC2: AMD FX6300 | Asus M5A97 R2.0 | Kingston 8 GB DDR3 | Crucial BX 500 240 GB | SilentiumPC Vero L2 550 W Bronze | SilentiumPC Regnum RG4TF TG

mp3turbo
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 6531
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: Spišská Nová Vec

Re: Locky Lock

Príspevok od užívateľa mp3turbo » Ne 10. Apr, 2016, 17:02

akakolvek vulnerability v tomto style moze byt zneuzita mnohymi sposobmi... nie je to len specifikum Flashu, i ked je nutne povedat ze tak derave produkty ako ma Adobe hadam ani Oracle nemal (ano, to je ta spolocnost co vykrikovala ze zaplati milion tomu kto cez jej produkty prejde, o dva tyzdne nato bolo ticho - tusim v januari tohoto roku vydali cez 300 patchov z toho asi stvrtina remote exploit a podobne veci).

Ach jo.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.

Napísať odpoveď

Návrat na "Bezpečnost a zabezpečenie PC"