Адски компютърен вирус

[Markony 2244]

Лепна се на единия работен лаптоп.Добре ,че имам 3.

 

Вируса е CERBER вариант HELP_HELP .Другото му име е RED CERBER.Последен модел от преди 2 седмици.

Криптира всички важни файлове на хардиск, атачнати устройства,мрежови дискове.DLNA устройства с вградена памет.

Системата е непокътната.Вируса се самоизтрива.Остават криптирани файлове и съобщение с линк къде да платиш откупа.Искат между 500 и 1000 $.Плаща се с биткойни.

 

Разпостранява се чрез имейли,ъпдейти,задни врати.

Аз го хванах с ъпдейт на Adobe Reader.Ъпдейт заради липсващ шрифт на електронна книга.Естествено перфектна имитация.

Вируса е руски,но сорса му се продава свободно.Купувача го адаптира за локална среда.

Пример...фактура от Енергото,писмо от НАП,Писмо от банката ти.

 

Няма измислена защита до сега ,а само обещания.Лекарство също няма.Има платени и безплатни фиксове,които чистят част от заразата,но не декриптират файловете.Бекъпа решава проблема ,само ако е на 2 или 3 нива.Вируса ,може да стои скрит,до деня на бекъпа и след като го зарази да ти изскочи на десктопа....както е решил съответния изнудвач.

 

Интерпол и 10 организации работят по въпроса.Има надежда след 3-4 месеца да се създаде декриптираща онлайн програма или локална такава ако ви е много мощен компютъра.

 

Създателите на вируса са арестувани,но има много продадени копия/сорсове/

 

Платени са огромни откупи от фирми имащи важна база данни

 

Не на всички им е изпратен декрипт от похитителите.

 

Проблема е сериозен,особено за важна документация ,която няма от къде да се възстанови.

[vesivanova 1069]

Има ли реакция от антивирусните (ESET Endpoint, легална)?

Преди два дни изпищя на уж предупреждаващ нерегламентиран достъп до мейл, в abv?

Смени се иконата на ABV във фейвърит, но часове по-късно беше вече наред.

Да се притеснявам ли и да сменям пароли?

Май вече няма смисъл...

[Markony 2244]

Кърпят дупки,оставени от системата или други софтуери.Правят ъпдейти и имунизации за познатите варианти.Засега са стигнали до версия 3 на вируса.Идея си нямат как работи 6 версия ,която ще излезе в края на месеца може би..

 

Криптирането е 2048 битово.....

 

Уязвими са IOS,Linux,Android,Windows...всички.

[civicgonemad 60]

Получавам такива оведомления от НАП, Енерго, съдебни изпълнители и доктори... Интересно, че и от доктори... 
Текста гласи : "За повече информация, моля отворете прикачения файл" . И някакво фалшиво име. Често обаче информацията, има и съкратен текст, който НАП е обявил на официалния си сайт във връзка със закон или изменение на такъв. Хитри са ползват част от истински текст. 
Тва са новите RANSOMWARE -та. 

Редактирано 10 Март, 2017 от civicgonemad

[Markony 2244]

Да така е.Обидното е ,че вече киберпрестъпниците са българчета ,атакуващи българи.

 

За разлика от Русия и руските републики,където няма такива атаки насочени към руснаци.Целия бивш СССР не е засегнат от руски вирус.

[Tino 293]

Баща ми изгоря така, добре, че си има бекъп-на бекъпа, на бекъпа на преносими устройства. Но не си е форматирал пц-то и продължава да си бачка така....Аз получавам постояно такива мейли от paypal, fedex, dhl и какво ли още не. Но понеже не съм давал въпросните мейли за контакт изобщо не им обръщам внимание и трия директно. Да внимават хора, които нямат особено висока компютърна грамотност защото главно те отварят подобни файлове или цъкат на линкове...

[ivan_m 271]

Спасението от такива криптиращи вируси е единствено повишеното внимание при отваряне на пощи и съобщения по Скайп, Вайбър и Фейсбук!

Видя ли изпратени файлове, винаги питам изпращача, той ли ги е пуснал и така няколко пъти хващам саморазпространяващи се вируси!

Много често идват съобщения за тракинг на пратки от "куриери", които след отваряне криптират. Миналата година влизах в сайтовете на няколко куриера в Холандия да проверя условията им и още същия ден получих мейл уж от "DHL" с криптовирус!

А преди месец ми криптираха един лаптоп, който използвам само с дистанционен достъп, наблюдавам един соларен инвертор! Оказа се, че вече сканират за отворени портове и ако се използват стандартни и паролата е лесна / а при мен беше 1 / влизат и криптират всичко! Разгледахме логовете, атаката е от руски IP по малките часове! Досега нямаше такива случаи, а от 25 години се занимавам с компютри!

Така, че бъдете внимателни и използвайте по-сериозни пароли!

[Markony 2244]

Като цъкнеш на прикачения файл с договора гориш.......

Имейла идва от японски сървър.

 

 

"Уведомяваме ви, че на 11/12/2016 с договор № 89893 от Вашата фирма бяха заявени услуги на стойност 2800,00 лв.
Съгласно условията на договора, в съответствие с параграф 3.0, в рамките на 5 работни дни от датата на предоставяне на услугите, трябва да бъде направено плащане в пълен размер.
В съответствие с точка 3.2 от настоящия договор следва санкция в размер на 3,5% от стойността на предоставените услугите, за всеки просрочен ден. 
Към днешна дата, плащане от вас не е постъпило. Въз основа на изложеното по-горе, ние ви призоваваме до 15.03.2017, да изплатите изцяло задължението си в пълен обем. В случай на пълен или частичен отказ от удовлетворяване на нашит законови претенции, ще бъдем принудени да депозираме искова молба до компетентния съд.
Поздрави,
Димитринка Дионова "

[Orlin 43]

Майка ми залепи подобен вирус, но по далеч по-коварен начин. Вируса бе заразил .doc файл който пък е пратен от нейна колежка. Така получаваш очакван мейл от познат човек с нещо НЕ подозрително. Отваряш док файла и в него линк. Оттам нататък е ясно

[h5rov 294]

Най-голяма част от заразите идват по имейл. Не отваряйте нищо което не ви касае. Идват сумати различни видове. Криптото се развива много и дори вече не е вирус. Има доста сложен начин на работа, изчел съм госта за него. Декриптират се не голяма част, но по-стари от 4-6 месеца. Ако информацията е толкоз важна и необходима се съхраняват криптираните файлове до момента в който има начин за декриптиране.

Спасението за "домашни" потребители е бакъп. Най-лесния и евтин начин според мен: Купувате си един външен хард. Сваляте си от сайта на Microsoft една програмка SyncToy. Нагласяте си я да синхронизира каквото поискате към външния диск и пускате веднъж седмични. Друго евтино спасение няма,

Срещал съм много изгорели и плачещи. Съвета ми е да не плащате за откуп. Вероятността да изгорите и с парите е голяма, а и не смятам, че трябва да се толерират измамници.

[dindin 1250]

Ако имате някакви съмнения в прикачения файл - пробвайте да го отворите на телефона - я PDF, я DOC

[Markony 2244]

Че да зарази и него ли?

[PetioHonda 106]

Нямам как да се изпълни скрипта писан за win на ios или android.

[Markony 2244]

Kasperski Касперски съобщиха ,че го има написан за всички ОС,вкл.Андроид

[dindin 1250]

Не ме бърка, понеже имам винаги имам подръка цял nandroid backup на всички дялове

Освен ако не криптира и външната карта и всичко на нея, но много ме съмнява в таргета да са Android и iOS.

Ако имате подръка вируса бих го разцъкал

[Markony 2244]

Имам го за уиндоус

[h5rov 294]

На кратко.. нещата не са толкоз прости. След като се "заразите", криптото привидно не прави нищо. Стои в един период в който обменя части от кода с който криптира. Обмяната на тези части от кода става с N на брой сървъри с различни адреси и местоположение. Може с някои да не може да се свърже, но с други може. Времето не е фиксирано. По този начин антивирусни, фаерлоли и тн. не разбират много какво се случва (някои скъпи фаерлоли разбират и блокирват тези канекции, но гаранция няма). Чак след като има целия ключ се започва криптирането. Тогава антивирусните (почти всички) отново "спят" защото криптирането е разрешен процес, който ползваме във всеки един момент.

На база, обменения ключ после се декриптира от злосторника, но не винги.

Това е принципа на работа, но много злосторници съзряха ниша в това и се модифицира и развива много бързо.

Аз не виждам смисъл от каквито и да било тестове.

Правете си бакъп на външен диск който стои изключен от компютъра.

Новите криптота заразяват не само фиксирани и мапнати, но и всякакви споделени ресурси до които има достъп потребителския акаунт. Ако сте с администраторски права, още по-зле.

[dindin 1250]

https://www.nomoreransom.org

 

Това видяхте ли го?

Европол, Касперски... (както ми спомена Бранко като си говорехме преди време, когато му изпищя компа).

[bobchoo 139]

Една колежка изрева. Загина и цялата информация на компа + всичко на флашката, която беше включена в този момент. Заразена чрез пдф, в емайл на клиент.

[vesivanova 1069]

Имам дневен архив на работа на : служебен комп. , домашен , на сл. сървър, на външни такива и облачни хранилища...

Всичко минава през цитираната антивирусна. Това ме притеснява, че оттам очаквам индикация.

Не ползвам фейс, скайп, вайбър и подобни за обмен на инфо.

[darius 921]

Една свързана с нас фирма пострада днес!

 

Всичко е криптирано, целиУт сървър!

За наше успокоение имаме back up,  на три независими носителя!

Е, ще има яко работа, но основните неща са налични!

[Markony 2244]

 

Пак атака от днес.Внимавайте какво отваряте...

[Setfan 38]

Тези вируси са страшни, 2 пъти съм виждал -  на лаптоп и на телефон. И в двата случея е ровено къде ли не без наличието на сигурна антивирусна. Бърз формат и висчко е ОК, но в тези случаи освен малко снимки друго не е жертвано.Когато става въпрос за фирмени машини, нещата са други...

Редактирано 6 Септември, 2017 от Setfan

[ivan_pop 64]

Аз не ползвам антивирусни(ползвам 4 лаптопа) и нямам проблеми.Просто внимавам и чета внимателно.Скоро получих писмо от DHL за някаква пратка от Дубай или от този регион някъде.Не отворих прикачения файл защото не съм поръчвал такава пратка!

То и няма как да ползвам антивирусни по понятни причини!

[Vancho 73]

Има как. Сваляй си безплатните версии на водещи производители. За лични нужди са перфектни. Обикновено изискват само регистрация и важат за определен период...после пак инсталираш ...регистрираш и т.н. Винаги има опция да ги спреш временно или да добавиш изключение за определен процес (като кракнат софтуер примерно)

[Setfan 38]

Напоследък, не мога да скрия, че антивирусните ме дразнят. Използвам Аваст и онзи ден пускам сканиране и ми изкара най-различни потенциални заплахи, дори рутера ми бил нападнат и настроен да изпраща данни към друга мрежа!? Направо се шашнах... и започнах да пренастрийвам, рутера. Обаче, когато се оттърсих от тези червени съобщения схванах, че идеята е да се абонирам за ПРО версията. Няма лошо, веднага щом стана фирма, ще започна да си плащам и за системи за сигурност. На този етап обаче, безплатните инструменти напълно ме устройват...

[ivan_pop 64]

Има как. Сваляй си безплатните версии на водещи производители. За лични нужди са перфектни. Обикновено изискват само регистрация и важат за определен период...после пак инсталираш ...регистрираш и т.н. Винаги има опция да ги спреш временно или да добавиш изключение за определен процес (като кракнат софтуер примерно)

Аз ползвам много кракнати програми.Като ползвах антивирусна,даже и да е изключена реве че има вирус.Ползвах НОД,писна ми и от 3-4 години изобщо не ползвам антивирусна!

[dindin 1250]

И аз не ползвам откакто се помня.

Антивирусните обикновено са многи лакоми за ресурси.

Винаги имам едно наум, ама като търся нещо много рядко, понякога изревавам и аз, но за кратко.

Обикновено става въпрос за копачи, които лесно се откриват и чистят. Следете си процесите за съмнителни такива.

Дълго време нямах достъп до определени сайтове, писах на тоя и оня защо аджеба съм blacklist-нат.

Накрая си проверих връзките от и към компа и видях, че има огромен брой връзки към всевъзможни "сайтове" и машини.

Махнах виновника и седмица след това IP-то ми беше автоматично премахнато от черните списъци.

 

Вместо антивирусна пуснете ако имате съмнения един път Malwarebytes Anti-Malware.

[kokodaf 266]

http://hicomm.bg/lubopitno/kak-da-zashchitite-kompyutra-si-bez-da-poharchite-i-stotinka-chast-i.html . 

https://protonmail.com/blog/nsa-ransomware-nhs-cyberattack/ 

[Markony 2244]

http://www.manager.bg/blgariya/vnimanie-razprostranyavat-falshivi-fakturi-energo-pro

Пак наще идиоти..