Locky Lock

Všetko o antivírových programoch, firewalloch, víroch, spyware, ostatných aktuálnych hrozbách, názoroch a skúsenostiach, ako sa im vyvarovať...
POZOR: žiadny WAREZ
Používateľov profilový obrázok
643
Používateľ
Používateľ
Príspevky: 1210
Dátum registrácie: Št 15. Nov, 2007, 08:00
Bydlisko: Bratislava - Dubravka

Re: Locky Lock

Príspevok od používateľa 643 »

Andrew007 napísal:Je tam vela faktorov ktore ovplyvnia casovu detekciu, nic netrva vecne. Tieto vzorky obsahuju aj takzvany update server, proces si automaticky cucne "novy fresh code" cez direct url . Vacsina z nich ma .NET framework potencial, zaroven scan a runtime protection . "Rozmnozovanie" je mozne prinutit cez P2P, local, .rar, .zip, komunikacne programy, vbnet, bash script, usb . Aktualne sa mi dostavili nove informacie ohladom exploitu pre .doc a .xmls .xlsx . Nejedna sa o ziadne makra, koncovy uzivatel nemusi nic potvrdit .

ps: vyssie uvedene udaje maju len informativny charakter a boli zdielane len pre toto forum .
kedze si znaly veci, ako sa branit? (teda okrem osvety uzivatelov?) :)
Používateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1734
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od používateľa Andrew007 »

Na com sa zhodne skupina v ktorej sa pohybujem pracovne a mimo pracovnej doby . Skratka pouzivat zdravy rozum a skontrolovat nestandardne porty , sledovat vonkajsiu komunikaciu . V labe sme mali moznost testovat 36 roznych antivirusov ratane firewallov, vsetko sa da ciastocne obist (ano, aj vieme ako na to .. ).

Pokial utocnik potrebuje jednorazovo natiahnut udaje popr. ukradnut citlive data, staci na to par minut. Tu sa bavime o programe ktory je schopny udrzat stabilitu pocas scantimeu a neprezradit certifikat . Napr. taky eset vyhodnocuje program bez certifikatu ako skodlivy, pricom nejedna sa o virus ( crack, keygen atd ) .

Takze ostava len sedliacky rozum a neklikat tam kde sa nema, ale zopar dobrych postrehov : nepouzivat javu, v ziadnom pripade nenavstevovat stranky ktore su zalozene, resp. obsahuju vacsinu flash prvkov . Davam do pozornosti sedliacky prikaz pod cmd " netstat -a " kde je mozne skontrolovat prieniky . Urcite by som spravil na ploche rychly odkaz do AppData kam sa skopiruju vzorky popr. neustale porovnavat procesy : svchost.exe, explorer.exe . Pod Win 10 je to uz o cosi zlozitejsie, tam vacsina Framewrok utokov neprejde - odksusane cez hromadne generovany mail 50im prijemcom .

Win 10 Inject rate = 60 %
Win7 Inject rate = 95ˇ%
Win XP Inject rate = 99% ...
5800X3D - ROG strix B550-A gaming - 4090 GS - Corsair 32/3600 - 970 evo 1TB - Corsair RM850 - Dell 2716DG 2K/144 / Dell Gaming G3223Q 4K/120
Používateľov profilový obrázok
HellAngel
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 12170
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od používateľa HellAngel »

to tvrdim aj ja, rozum. ale bohuzial niektory ani po upozorneniach si nedaju pozor.
Momentalne to je stopnute, aspon dufam, nic nove nenaskakuje. Scanujem server, lokalne PC.
Takisto achyba je isto OS. Bolo tam XP, co je derave ako reseto. Andrew a ktory antvir Vamvychadza ako naj. Je to skor sukromna otazka, staci napisat aj do PM.
NB: Asus ROG Zephyrus G14
Používateľov profilový obrázok
643
Používateľ
Používateľ
Príspevky: 1210
Dátum registrácie: Št 15. Nov, 2007, 08:00
Bydlisko: Bratislava - Dubravka

Re: Locky Lock

Príspevok od používateľa 643 »

aj mne ju mozes postnut :P
Používateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1734
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od používateľa Andrew007 »

Kludne vam to napisem sem a zaroven ocakavam kritiku od vsetkych "znalcov" .

Najlepsi detection rate ma Avast . Jediny antivir, ktory je schopny v najkratsom case odhalit hociaku haved . Na druhej priecke je Eset, tretia Kaspersky . Najhorsi corporate antivirus je Symantec Endpoint Protection a MC.

Vacsina pouzivatelov sa spolieha na win defender ktory je celkom kvalitny ale nie vzdy vie odstranit kod z karanteny, popr. natrvalo v pc. Podarilo sa mi (nám) prisposobit cez Delphi jeden riadok kde som pri starte pustal . exe pod defenderom . Zdoraznujem ze subor uz bol presunuty do karanteny a stale som vedel vytvorit pripojenie :-)

Jednu vzorku som instaloval do firemnej virtualky este vlani pred letom, stale mi to bezi v pozadi a bez problemov ju pouzivam ako remote server a nevyskakujem ani v reporte .( zapnute proxy, 2 rozne brany, vsetky porty uzavrete okrem standardnych). - komplexna ochrana od Symantecu .
5800X3D - ROG strix B550-A gaming - 4090 GS - Corsair 32/3600 - 970 evo 1TB - Corsair RM850 - Dell 2716DG 2K/144 / Dell Gaming G3223Q 4K/120
Používateľov profilový obrázok
DankoPR
Používateľ
Používateľ
Príspevky: 561
Dátum registrácie: Št 07. Feb, 2013, 20:25
Bydlisko: TN

Re: Locky Lock

Príspevok od používateľa DankoPR »

A čo hovoríš na taký Trend Micro?
Používateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1734
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od používateľa Andrew007 »

Antivir ako antivir....

Pozri sa, dnes si spravim doma code, obidem Ti TM, zivotnost odhadujem max "len" na jeden tyzden. Ano, pokial utocnik chce od teba nieco ziskat staci mu par minut a sam si dany kod odstrani. Tu je v podstate dolezite aby neprebehlo spustenie a nastalo okamzite infikovanie, ktore jednoducho nevie na 100% vykonat ani jeden z najslavnesjich "antis" softwerov . Presny zoznam tychto programov a firewallov poskytnem vecer .

Ako som spominal, ak ma niekto doma hociaky virus vo forme "keylogu, cracku z hier " poslite mi to do spravy a ukazem ako sa tvari prepisany neskodny kod a uvidite aj vysledky tzv. "hlbokej kontroly" .
5800X3D - ROG strix B550-A gaming - 4090 GS - Corsair 32/3600 - 970 evo 1TB - Corsair RM850 - Dell 2716DG 2K/144 / Dell Gaming G3223Q 4K/120
Používateľov profilový obrázok
HellAngel
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 12170
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od používateľa HellAngel »

dnes som telefonoval s pari IT firmami a vravia, ze tohto sajrajtu je teraz celkom dost po slovensku a nieje na to obrany. Vyzera ze skutocne rozsireniu virusu dokaze zabranit len domenova politika prav, ucty ktore virus otvorili nemaju moc prav ohladne siete, takze im to loklo lokelne dokumenty. Iked virus siel aj do file server, tak mam tiez obmedzenu politiku prav uzivatelovi, takze sa mu zatial nic zakryptovat nepodarilo. Dufam ze to tak aj ostane. :facepalm:
NB: Asus ROG Zephyrus G14
Používateľov profilový obrázok
felipe25
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 5769
Dátum registrácie: Po 19. Júl, 2010, 13:00
Bydlisko: Košice

Re: Locky Lock

Príspevok od používateľa felipe25 »

asi idem na mesiac poodpajat vsetky disky :D kym to nepresusti. a to mam windows10, avast free. Mam radsej dat NOD 5?
Spoiler: ukázať
Main PC: Fractal Define Black R5 window, ASUS ROG STRIX Z390-E GAMING, Intel Core i5 9600K, Patriot Viper4 Series 16GB KIT DDR4 3000MHz CL16, ADATA XPG GAMMIX S5 SSD 256 GB SSD, 1x5TB + 1x4TB, GIGABYTE 1060 GTX 3GB, Blue-Ray LG, 23" Fujitsu Siemens LED LCD, key: Hama uRAGE, mouse: Logitech G700, Windows 10 Pro 64bit

NB work: Fujitsu Siemens Esprimo Mobile U9200 12", Windows 10 Pro 64bit

Huawei Mate 20 Pro
Motorola G7 Power
Apple iPad Mini 2 16GB
Používateľov profilový obrázok
HellAngel
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 12170
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od používateľa HellAngel »

Antivir nema sancu. Co mi hodne pomohlo, je zaloha na qnap servery, ktory je uplne mimo domeny a nebol problem potom robit pripadnu obnovu suborov. Takze zaloha, zaloha, zaloha. Dohodol som sa s jednou firmou, zlozim jedno linuxove ulozisko, nastavim aby tam duplicitne kopirovalo zalohy.
NB: Asus ROG Zephyrus G14
dadik08
Používateľ
Používateľ
Príspevky: 424
Dátum registrácie: So 31. Jan, 2009, 19:51
Bydlisko: KE/VT

Re: Locky Lock

Príspevok od používateľa dadik08 »

http://www.techspot.com/news/64395-adob ... stall.html
As Trend Micro points out, one of the vulnerabilities – CVE-2016-1019 – has been identified as being used by the Magnitude Exploit Kit to spread the Locky ransomware.
Spoiler: ukázať
PC1: AMD Ryzen R9 3900x | Gigabyte X570 Aorus Elite | Corsair Vengance LPX 64 GB 3200 MHz | Sapphire Radeon 570 4 GB | Samsung 850 EVO 250 GB | Seasonic S12II 620 W FDB | Noctua NH-D15S | Fractal Design R4
Loxjie D30 -> HifiMan HE-4xx (Brainwavz sheepskin pads), Audio-Technica ATH M30x (Brainwavz hybrid pads)
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12219
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: Locky Lock

Príspevok od používateľa mp3turbo »

akakolvek vulnerability v tomto style moze byt zneuzita mnohymi sposobmi... nie je to len specifikum Flashu, i ked je nutne povedat ze tak derave produkty ako ma Adobe hadam ani Oracle nemal (ano, to je ta spolocnost co vykrikovala ze zaplati milion tomu kto cez jej produkty prejde, o dva tyzdne nato bolo ticho - tusim v januari tohoto roku vydali cez 300 patchov z toho asi stvrtina remote exploit a podobne veci).

Ach jo.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.

Návrat na "Bezpečnost a zabezpečenie PC"