Strana 1 z 2

Locky Lock

Napísané: St 16. Mar, 2016, 22:15
od užívateľa HellAngel
ahojte, tak dnes sa mi objavil tento kryptovaci virus. Pocitac som odstrihol od firemnej siete a zajtra sa mu budem venovat.
uz ste sa snim niekto stretol? na nete toho zatial moc nieje, nakolko je to celkom novy virus. Dufam len, ze mi nepobehal po sieti, to by som mal asi peknych par noci stravenych vo firme :facepalm:
http://www.bleepingcomputer.com/news/se ... rk-shares/

Re: Locky Lock

Napísané: St 16. Mar, 2016, 22:43
od užívateľa felipe25
no, ked ti zasifruje data ani bezsenne noci nepomozu..

btw, bezal antivir na tom pc? ak ano, aky?

Re: Locky Lock

Napísané: St 16. Mar, 2016, 22:51
od užívateľa HellAngel
antivirus tam prave nie je, teda vyprsala licencia, teraz sa riesi nakup druheho. POvodne bol MCaffe. ALe co citam, tak virus prave presiel aj cez Mcaffe

Re: Locky Lock

Napísané: St 16. Mar, 2016, 22:56
od užívateľa 643
stretol som sa s nim, riesili sme to odpojenim od siete (a naslednou recovery celeho servera) a restorom (nielen jednym na file clusteroch)
2ja ludia pospustali tusim nejaky excel macro ... ale tusim to nepytalo ani vela $$$, nejakeho pol btc :D, to by ani tak nebol problem, problem bolo to, ze uz tej masine ani po odkodovani neveris :D

pobehaj po sieti a hladaj ten trtnuty locky subor "Locky_recover_instructions.txt" a uvidis, ci si safe, alebo bezsenne noci pokracuju ;)
P.S.: po firme dat nejake skolenie alebo nieco, nech chobotiny nespustaju...

Re: Locky Lock

Napísané: St 16. Mar, 2016, 23:02
od užívateľa HellAngel
kazde 2-3 mesiace posielam Mail s upozorneniami o moznych hrozbach a by si davali pozor, aby pouzivali mozog atd. Proste ale .....
Pozriem zajtra ten subor podrobnejsie. Co si pametam boli tam odkazy na wiki, potom linky na recorvery a ID

mal si antivirus?

edit: este sa ta chcem opytat ako to preiehalo v sieti, mal si nainfikovanu celu siet, ci len konkretne jednu stanicu, ak celu siet, mal si domenu?

Re: Locky Lock

Napísané: Št 17. Mar, 2016, 00:30
od užívateľa 643
mcafee...
kde bol pristup to kryptoval :)

Re: Locky Lock

Napísané: Št 17. Mar, 2016, 07:55
od užívateľa Andrew007
Kedy uz konecne ludia pochopia ze neexistuje najlepsi antivirus, vsetko sa da cryptnut, otazka znie na aku dobu je schopna vzorka sa tvarit ako neutral code.

Re: Locky Lock

Napísané: Št 17. Mar, 2016, 08:04
od užívateľa HellAngel
nikdy, ludia si myslia ze maju antivir a su v bezpeci :facepalm: XY krat som vysvetloval ze najdolezitejsi rozum, ale nie. Zatial mam napadnute 2 PC, su uz odpojene a idu na format. Uvidim dnes co sa bude diat

Re: Locky Lock

Napísané: Št 17. Mar, 2016, 08:05
od užívateľa mp3turbo
>> Dufam len, ze mi nepobehal po sieti, to by som mal asi peknych par noci stravenych vo firme :facepalm:


ja byt akykolvek skodlivy kod, prva a okamzita vec ktoru spravim ked sa dostanem do nejakeho pocitaca s IP adresou 192.168.74.45 a maskou 255.255.255.0 bude co ?

Ze pobeham vsetky adresy od 192.168.74.1 do 192.168.74.254.
Ze preco ?
Ze preto lebo by som chcel robit to co robim rad... rozosievat svoje semeno aby zakvitlo co najviac potomstva.

Re: Locky Lock

Napísané: Št 17. Mar, 2016, 08:32
od užívateľa Andrew007
rozosievat svoje semeno
prave som vyplul jogurt na monitor :D

//EDit : Pokial ma niekto k dispozicii hociaky virus, kludne to pastnite do dropboxu popr. poslite mi link do spravy a vecer ukazem cryptnutu podobu a full vypis cez online scanner od 36 roznych antivirakov, myslim to vazne . Zivotnost takeho kodu je cca 5-10 dni, v zavislosti co obsahuje main code - keylog, stealer, miner, remote controll atd .

Re: Locky Lock

Napísané: Št 17. Mar, 2016, 09:47
od užívateľa 643
no, lockymu sa zjavne dari dlhsie :) kedze som ho riesil uz vyse mesiaca dozadu :)

Re: Locky Lock

Napísané: Št 17. Mar, 2016, 10:19
od užívateľa Andrew007
Je tam vela faktorov ktore ovplyvnia casovu detekciu, nic netrva vecne. Tieto vzorky obsahuju aj takzvany update server, proces si automaticky cucne "novy fresh code" cez direct url . Vacsina z nich ma .NET framework potencial, zaroven scan a runtime protection . "Rozmnozovanie" je mozne prinutit cez P2P, local, .rar, .zip, komunikacne programy, vbnet, bash script, usb . Aktualne sa mi dostavili nove informacie ohladom exploitu pre .doc a .xmls .xlsx . Nejedna sa o ziadne makra, koncovy uzivatel nemusi nic potvrdit .

ps: vyssie uvedene udaje maju len informativny charakter a boli zdielane len pre toto forum .

Re: Locky Lock

Napísané: Št 17. Mar, 2016, 10:36
od užívateľa HellAngel
a odkial ti ten log hodit?
momentalny stav je taky, infikovany nakoniec jeden PC, komplet zakryptovany. Dosatal sa aj na file server, ale tu skodu neurobil. Sice vytvoril v kazdej zlozke lock subor, ale nic nezakryptoval. Zrejme ho zablokovala vnutorna politika a prava

Re: Locky Lock

Napísané: Št 17. Mar, 2016, 11:19
od užívateľa Andrew007
Aky log mas na mysli ? Citam a citam, nikde som log nespominal .

Re: Locky Lock

Napísané: Št 17. Mar, 2016, 11:38
od užívateľa HellAngel
Myslel co by si chcel vidiet z toho antivirusu