Locky Lock

Všetko o antivírových programoch, firewalloch, víroch, spyware, ostatných aktuálnych hrozbách, názoroch a skúsenostiach, ako sa im vyvarovať...
POZOR: žiadny WAREZ
Užívateľov profilový obrázok
643
Používateľ
Používateľ
Príspevky: 1410
Dátum registrácie: Št 15. Nov, 2007, 08:00
Bydlisko: Bratislava - Dubravka
Kontaktovať užívateľa:

Re: Locky Lock

Príspevok od užívateľa 643 » Št 17. Mar, 2016, 11:42

Andrew007 napísal:Je tam vela faktorov ktore ovplyvnia casovu detekciu, nic netrva vecne. Tieto vzorky obsahuju aj takzvany update server, proces si automaticky cucne "novy fresh code" cez direct url . Vacsina z nich ma .NET framework potencial, zaroven scan a runtime protection . "Rozmnozovanie" je mozne prinutit cez P2P, local, .rar, .zip, komunikacne programy, vbnet, bash script, usb . Aktualne sa mi dostavili nove informacie ohladom exploitu pre .doc a .xmls .xlsx . Nejedna sa o ziadne makra, koncovy uzivatel nemusi nic potvrdit .

ps: vyssie uvedene udaje maju len informativny charakter a boli zdielane len pre toto forum .
kedze si znaly veci, ako sa branit? (teda okrem osvety uzivatelov?) :)

Užívateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1755
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od užívateľa Andrew007 » Št 17. Mar, 2016, 13:06

Na com sa zhodne skupina v ktorej sa pohybujem pracovne a mimo pracovnej doby . Skratka pouzivat zdravy rozum a skontrolovat nestandardne porty , sledovat vonkajsiu komunikaciu . V labe sme mali moznost testovat 36 roznych antivirusov ratane firewallov, vsetko sa da ciastocne obist (ano, aj vieme ako na to .. ).

Pokial utocnik potrebuje jednorazovo natiahnut udaje popr. ukradnut citlive data, staci na to par minut. Tu sa bavime o programe ktory je schopny udrzat stabilitu pocas scantimeu a neprezradit certifikat . Napr. taky eset vyhodnocuje program bez certifikatu ako skodlivy, pricom nejedna sa o virus ( crack, keygen atd ) .

Takze ostava len sedliacky rozum a neklikat tam kde sa nema, ale zopar dobrych postrehov : nepouzivat javu, v ziadnom pripade nenavstevovat stranky ktore su zalozene, resp. obsahuju vacsinu flash prvkov . Davam do pozornosti sedliacky prikaz pod cmd " netstat -a " kde je mozne skontrolovat prieniky . Urcite by som spravil na ploche rychly odkaz do AppData kam sa skopiruju vzorky popr. neustale porovnavat procesy : svchost.exe, explorer.exe . Pod Win 10 je to uz o cosi zlozitejsie, tam vacsina Framewrok utokov neprejde - odksusane cez hromadne generovany mail 50im prijemcom .

Win 10 Inject rate = 60 %
Win7 Inject rate = 95ˇ%
Win XP Inject rate = 99% ...
Spoiler: ukázať
ego si nehonim

Užívateľov profilový obrázok
HellAngel
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 8642
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od užívateľa HellAngel » Št 17. Mar, 2016, 13:20

to tvrdim aj ja, rozum. ale bohuzial niektory ani po upozorneniach si nedaju pozor.
Momentalne to je stopnute, aspon dufam, nic nove nenaskakuje. Scanujem server, lokalne PC.
Takisto achyba je isto OS. Bolo tam XP, co je derave ako reseto. Andrew a ktory antvir Vamvychadza ako naj. Je to skor sukromna otazka, staci napisat aj do PM.
NB: Dell Latitude 5480

Užívateľov profilový obrázok
643
Používateľ
Používateľ
Príspevky: 1410
Dátum registrácie: Št 15. Nov, 2007, 08:00
Bydlisko: Bratislava - Dubravka
Kontaktovať užívateľa:

Re: Locky Lock

Príspevok od užívateľa 643 » Št 17. Mar, 2016, 13:27

aj mne ju mozes postnut :P

Užívateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1755
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od užívateľa Andrew007 » Št 17. Mar, 2016, 13:57

Kludne vam to napisem sem a zaroven ocakavam kritiku od vsetkych "znalcov" .

Najlepsi detection rate ma Avast . Jediny antivir, ktory je schopny v najkratsom case odhalit hociaku haved . Na druhej priecke je Eset, tretia Kaspersky . Najhorsi corporate antivirus je Symantec Endpoint Protection a MC.

Vacsina pouzivatelov sa spolieha na win defender ktory je celkom kvalitny ale nie vzdy vie odstranit kod z karanteny, popr. natrvalo v pc. Podarilo sa mi (nám) prisposobit cez Delphi jeden riadok kde som pri starte pustal . exe pod defenderom . Zdoraznujem ze subor uz bol presunuty do karanteny a stale som vedel vytvorit pripojenie :-)

Jednu vzorku som instaloval do firemnej virtualky este vlani pred letom, stale mi to bezi v pozadi a bez problemov ju pouzivam ako remote server a nevyskakujem ani v reporte .( zapnute proxy, 2 rozne brany, vsetky porty uzavrete okrem standardnych). - komplexna ochrana od Symantecu .
Spoiler: ukázať
ego si nehonim

Užívateľov profilový obrázok
DankoPR
Používateľ
Používateľ
Príspevky: 550
Dátum registrácie: Št 07. Feb, 2013, 20:25
Bydlisko: TN

Re: Locky Lock

Príspevok od užívateľa DankoPR » Št 17. Mar, 2016, 14:48

A čo hovoríš na taký Trend Micro?

Užívateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1755
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od užívateľa Andrew007 » Št 17. Mar, 2016, 16:09

Antivir ako antivir....

Pozri sa, dnes si spravim doma code, obidem Ti TM, zivotnost odhadujem max "len" na jeden tyzden. Ano, pokial utocnik chce od teba nieco ziskat staci mu par minut a sam si dany kod odstrani. Tu je v podstate dolezite aby neprebehlo spustenie a nastalo okamzite infikovanie, ktore jednoducho nevie na 100% vykonat ani jeden z najslavnesjich "antis" softwerov . Presny zoznam tychto programov a firewallov poskytnem vecer .

Ako som spominal, ak ma niekto doma hociaky virus vo forme "keylogu, cracku z hier " poslite mi to do spravy a ukazem ako sa tvari prepisany neskodny kod a uvidite aj vysledky tzv. "hlbokej kontroly" .
Spoiler: ukázať
ego si nehonim

Užívateľov profilový obrázok
HellAngel
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 8642
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od užívateľa HellAngel » Pi 18. Mar, 2016, 17:22

dnes som telefonoval s pari IT firmami a vravia, ze tohto sajrajtu je teraz celkom dost po slovensku a nieje na to obrany. Vyzera ze skutocne rozsireniu virusu dokaze zabranit len domenova politika prav, ucty ktore virus otvorili nemaju moc prav ohladne siete, takze im to loklo lokelne dokumenty. Iked virus siel aj do file server, tak mam tiez obmedzenu politiku prav uzivatelovi, takze sa mu zatial nic zakryptovat nepodarilo. Dufam ze to tak aj ostane. :facepalm:
NB: Dell Latitude 5480

Užívateľov profilový obrázok
felipe25
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 5835
Dátum registrácie: Po 19. Júl, 2010, 13:00
Bydlisko: Košice

Re: Locky Lock

Príspevok od užívateľa felipe25 » So 19. Mar, 2016, 16:07

asi idem na mesiac poodpajat vsetky disky :D kym to nepresusti. a to mam windows10, avast free. Mam radsej dat NOD 5?
Spoiler: ukázať
Main PC: Fractal Define Black R5 window, Z97-GD65 GAMING, Intel Core i5 4690K, 8GB DDRAM3 (2x4GB) Kingston 1600MHz HyperX, SSD Samsung 850EVO 250GB + 2 x 3TB 7200rpm Seagate rpm + 4TB WD Green 5400rpm, ATI HD5770, Blue-Ray LG, 23" Fujitsu Siemens LED LCD, key: Hama uRAGE, mouse: Logitech G700, Windows 10 Pro 64bit

NB work: Fujitsu Siemens Esprimo Mobile U9200 12", Windows 10 Pro 64bit

Samsung Galaxy S7 32GB Black
Apple iPhone 6S 16GB Space Grey
Apple iPad Mini 4 Cellular 16GB Black

Užívateľov profilový obrázok
HellAngel
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 8642
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od užívateľa HellAngel » So 19. Mar, 2016, 18:02

Antivir nema sancu. Co mi hodne pomohlo, je zaloha na qnap servery, ktory je uplne mimo domeny a nebol problem potom robit pripadnu obnovu suborov. Takze zaloha, zaloha, zaloha. Dohodol som sa s jednou firmou, zlozim jedno linuxove ulozisko, nastavim aby tam duplicitne kopirovalo zalohy.
NB: Dell Latitude 5480

dadik08
Používateľ
Používateľ
Príspevky: 347
Dátum registrácie: So 31. Jan, 2009, 19:51
Bydlisko: KE/VT

Re: Locky Lock

Príspevok od užívateľa dadik08 » Ne 10. Apr, 2016, 15:22

http://www.techspot.com/news/64395-adob ... stall.html
As Trend Micro points out, one of the vulnerabilities – CVE-2016-1019 – has been identified as being used by the Magnitude Exploit Kit to spread the Locky ransomware.
AMD FX6300 | ASUS M5A97 R2.0 | 2x Kingston HyperX Genesis 4GB 1600MHz CL9 | HD4650 | Samsung 850 EVO 250 GB WD Blue 500 GB | Seasonic S12II 620 W FDB | Noctua NH-D15S, Accelero S1 rev.2, | Fractal Design R4 | Cooler Master MasterKeyboard PRO L
HifiMan HE-4xx, Audio=Technica ATH M30x (Brainvawz hybrid pads)

mp3turbo
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 6531
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: Spišská Nová Vec

Re: Locky Lock

Príspevok od užívateľa mp3turbo » Ne 10. Apr, 2016, 17:02

akakolvek vulnerability v tomto style moze byt zneuzita mnohymi sposobmi... nie je to len specifikum Flashu, i ked je nutne povedat ze tak derave produkty ako ma Adobe hadam ani Oracle nemal (ano, to je ta spolocnost co vykrikovala ze zaplati milion tomu kto cez jej produkty prejde, o dva tyzdne nato bolo ticho - tusim v januari tohoto roku vydali cez 300 patchov z toho asi stvrtina remote exploit a podobne veci).

Ach jo.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.

Napísať odpoveď

Návrat na "Bezpečnost a zabezpečenie PC"