Locky Lock

Všetko o antivírových programoch, firewalloch, víroch, spyware, ostatných aktuálnych hrozbách, názoroch a skúsenostiach, ako sa im vyvarovať...
POZOR: žiadny WAREZ
Užívateľov profilový obrázok
HellAngel
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 8586
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Locky Lock

Príspevok od užívateľa HellAngel » St 16. Mar, 2016, 22:15

ahojte, tak dnes sa mi objavil tento kryptovaci virus. Pocitac som odstrihol od firemnej siete a zajtra sa mu budem venovat.
uz ste sa snim niekto stretol? na nete toho zatial moc nieje, nakolko je to celkom novy virus. Dufam len, ze mi nepobehal po sieti, to by som mal asi peknych par noci stravenych vo firme :facepalm:
http://www.bleepingcomputer.com/news/se ... rk-shares/
NB: Dell Latitude 5480

Užívateľov profilový obrázok
felipe25
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 5835
Dátum registrácie: Po 19. Júl, 2010, 13:00
Bydlisko: Košice

Re: Locky Lock

Príspevok od užívateľa felipe25 » St 16. Mar, 2016, 22:43

no, ked ti zasifruje data ani bezsenne noci nepomozu..

btw, bezal antivir na tom pc? ak ano, aky?
Spoiler: ukázať
Main PC: Fractal Define Black R5 window, Z97-GD65 GAMING, Intel Core i5 4690K, 8GB DDRAM3 (2x4GB) Kingston 1600MHz HyperX, SSD Samsung 850EVO 250GB + 2 x 3TB 7200rpm Seagate rpm + 4TB WD Green 5400rpm, ATI HD5770, Blue-Ray LG, 23" Fujitsu Siemens LED LCD, key: Hama uRAGE, mouse: Logitech G700, Windows 10 Pro 64bit

NB work: Fujitsu Siemens Esprimo Mobile U9200 12", Windows 10 Pro 64bit

Samsung Galaxy S7 32GB Black
Apple iPhone 6S 16GB Space Grey
Apple iPad Mini 4 Cellular 16GB Black

Užívateľov profilový obrázok
HellAngel
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 8586
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od užívateľa HellAngel » St 16. Mar, 2016, 22:51

antivirus tam prave nie je, teda vyprsala licencia, teraz sa riesi nakup druheho. POvodne bol MCaffe. ALe co citam, tak virus prave presiel aj cez Mcaffe
NB: Dell Latitude 5480

Užívateľov profilový obrázok
643
Používateľ
Používateľ
Príspevky: 1410
Dátum registrácie: Št 15. Nov, 2007, 08:00
Bydlisko: Bratislava - Dubravka
Kontaktovať užívateľa:

Re: Locky Lock

Príspevok od užívateľa 643 » St 16. Mar, 2016, 22:56

stretol som sa s nim, riesili sme to odpojenim od siete (a naslednou recovery celeho servera) a restorom (nielen jednym na file clusteroch)
2ja ludia pospustali tusim nejaky excel macro ... ale tusim to nepytalo ani vela $$$, nejakeho pol btc :D, to by ani tak nebol problem, problem bolo to, ze uz tej masine ani po odkodovani neveris :D

pobehaj po sieti a hladaj ten trtnuty locky subor "Locky_recover_instructions.txt" a uvidis, ci si safe, alebo bezsenne noci pokracuju ;)
P.S.: po firme dat nejake skolenie alebo nieco, nech chobotiny nespustaju...

Užívateľov profilový obrázok
HellAngel
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 8586
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od užívateľa HellAngel » St 16. Mar, 2016, 23:02

kazde 2-3 mesiace posielam Mail s upozorneniami o moznych hrozbach a by si davali pozor, aby pouzivali mozog atd. Proste ale .....
Pozriem zajtra ten subor podrobnejsie. Co si pametam boli tam odkazy na wiki, potom linky na recorvery a ID

mal si antivirus?

edit: este sa ta chcem opytat ako to preiehalo v sieti, mal si nainfikovanu celu siet, ci len konkretne jednu stanicu, ak celu siet, mal si domenu?
NB: Dell Latitude 5480

Užívateľov profilový obrázok
643
Používateľ
Používateľ
Príspevky: 1410
Dátum registrácie: Št 15. Nov, 2007, 08:00
Bydlisko: Bratislava - Dubravka
Kontaktovať užívateľa:

Re: Locky Lock

Príspevok od užívateľa 643 » Št 17. Mar, 2016, 00:30

mcafee...
kde bol pristup to kryptoval :)

Užívateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1753
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od užívateľa Andrew007 » Št 17. Mar, 2016, 07:55

Kedy uz konecne ludia pochopia ze neexistuje najlepsi antivirus, vsetko sa da cryptnut, otazka znie na aku dobu je schopna vzorka sa tvarit ako neutral code.
Spoiler: ukázať
ego si nehonim

Užívateľov profilový obrázok
HellAngel
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 8586
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od užívateľa HellAngel » Št 17. Mar, 2016, 08:04

nikdy, ludia si myslia ze maju antivir a su v bezpeci :facepalm: XY krat som vysvetloval ze najdolezitejsi rozum, ale nie. Zatial mam napadnute 2 PC, su uz odpojene a idu na format. Uvidim dnes co sa bude diat
NB: Dell Latitude 5480

mp3turbo
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 6531
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: Spišská Nová Vec

Re: Locky Lock

Príspevok od užívateľa mp3turbo » Št 17. Mar, 2016, 08:05

>> Dufam len, ze mi nepobehal po sieti, to by som mal asi peknych par noci stravenych vo firme :facepalm:


ja byt akykolvek skodlivy kod, prva a okamzita vec ktoru spravim ked sa dostanem do nejakeho pocitaca s IP adresou 192.168.74.45 a maskou 255.255.255.0 bude co ?

Ze pobeham vsetky adresy od 192.168.74.1 do 192.168.74.254.
Ze preco ?
Ze preto lebo by som chcel robit to co robim rad... rozosievat svoje semeno aby zakvitlo co najviac potomstva.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.

Užívateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1753
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od užívateľa Andrew007 » Št 17. Mar, 2016, 08:32

rozosievat svoje semeno
prave som vyplul jogurt na monitor :D

//EDit : Pokial ma niekto k dispozicii hociaky virus, kludne to pastnite do dropboxu popr. poslite mi link do spravy a vecer ukazem cryptnutu podobu a full vypis cez online scanner od 36 roznych antivirakov, myslim to vazne . Zivotnost takeho kodu je cca 5-10 dni, v zavislosti co obsahuje main code - keylog, stealer, miner, remote controll atd .
Spoiler: ukázať
ego si nehonim

Užívateľov profilový obrázok
643
Používateľ
Používateľ
Príspevky: 1410
Dátum registrácie: Št 15. Nov, 2007, 08:00
Bydlisko: Bratislava - Dubravka
Kontaktovať užívateľa:

Re: Locky Lock

Príspevok od užívateľa 643 » Št 17. Mar, 2016, 09:47

no, lockymu sa zjavne dari dlhsie :) kedze som ho riesil uz vyse mesiaca dozadu :)

Užívateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1753
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od užívateľa Andrew007 » Št 17. Mar, 2016, 10:19

Je tam vela faktorov ktore ovplyvnia casovu detekciu, nic netrva vecne. Tieto vzorky obsahuju aj takzvany update server, proces si automaticky cucne "novy fresh code" cez direct url . Vacsina z nich ma .NET framework potencial, zaroven scan a runtime protection . "Rozmnozovanie" je mozne prinutit cez P2P, local, .rar, .zip, komunikacne programy, vbnet, bash script, usb . Aktualne sa mi dostavili nove informacie ohladom exploitu pre .doc a .xmls .xlsx . Nejedna sa o ziadne makra, koncovy uzivatel nemusi nic potvrdit .

ps: vyssie uvedene udaje maju len informativny charakter a boli zdielane len pre toto forum .
Spoiler: ukázať
ego si nehonim

Užívateľov profilový obrázok
HellAngel
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 8586
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od užívateľa HellAngel » Št 17. Mar, 2016, 10:36

a odkial ti ten log hodit?
momentalny stav je taky, infikovany nakoniec jeden PC, komplet zakryptovany. Dosatal sa aj na file server, ale tu skodu neurobil. Sice vytvoril v kazdej zlozke lock subor, ale nic nezakryptoval. Zrejme ho zablokovala vnutorna politika a prava
NB: Dell Latitude 5480

Užívateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1753
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od užívateľa Andrew007 » Št 17. Mar, 2016, 11:19

Aky log mas na mysli ? Citam a citam, nikde som log nespominal .
Spoiler: ukázať
ego si nehonim

Užívateľov profilový obrázok
HellAngel
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 8586
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od užívateľa HellAngel » Št 17. Mar, 2016, 11:38

Myslel co by si chcel vidiet z toho antivirusu
NB: Dell Latitude 5480

Napísať odpoveď

Návrat na "Bezpečnost a zabezpečenie PC"