W dniu 2014-02-04 06:45, Piotr Palusiński pisze:
> In news:lcoou4$9l9$1@usenet.news.interia.pl,
> *Adam* <a.g@poczta.onet.pl> typed:
>
>> Jak dziada znaleźć i wypatroszyć?
>
>
>
> Przeskanuj system programami antywirusowymi, np. zewnętrznym Windows
> Defender Offline:
>
http://windows.microsoft.com/pl-pl/windows/what-is-windows-defender-offline
>
Niestety, tu jest potencjalny problem: Windows startujący z "gwizdka"
nie widzi macierzy HDD.
Nie widzę też możliwości, aby dorzucić do plików startowych na gwizdku
sterowniki macierzy - nie jest to otwarte tak, jak przykładowo na Hirensie.
> Dodatkowo skorzystaj z np. jednego z poniższych programów:
> http://www.dobreprogramy.pl/AdwCleaner,Program,Windows,38865.html
>
http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html
Każdy widzi coś innego. Każdy coś wytropił, ale tylko cisateczka albo
*.js w tempach.
Jeszcze trochę poczytałem, i dowiedziałem się, że tego typu trojany
(Cryptolocker Ransomware) często po "wykonaniu zadania" usuwają się z
systemu - stąd też nic nie znalazłem na żadnym komputerze.
Jak już pisałem, na Ciebie, Piotrku, można zawsze liczyć
Malwarebytes wydaje się najskuteczniejszy.
.........................
W dniu 2014-02-05 11:40, Piotr B. [pb2004] pisze:
> Jedyny pewny sposób to pełny reset systemu do stanu bez infekcji.
> Programy antymalware/antywirusowe mogą nie znać tego konkretnego
> zagrożenia i także nie dają gwarancji że usuną wszystko(często jedno
> malware pobiera kilka innych). Ewentualnie pozostaje analiza logów
Już w listopadzie 2013 Kaspersky się chwalił wykrywalnością OMG!.
> wytworzonych odpowiednim oprogramowaniem (np. FRST[1]) i ręczne
> stworzenie skryptu usuwania. Nie da się napisać instrukcji typu usuń
> taki wpis w rejestrze, zabij taki proces itd. bo każda infekcja potrafi
> być unikalna z losowymi nazwami pliku wykonywalnego i wpisów w
> rejestrze.
Zgadza się - to jest problem.
Czasami sporo "dziadostwa" ukrywa się jako svchost.exe albo pod nazwą
podobną do istniejących procesów - stąd też trudno zauważyć od razu.
>
>> Spybot nic nie widzi, Macrofix pokazuje jedynie mało znaczące
>> ciasteczka, Comodo antyvir nic nie widzi, Avast Pro - tak samo
>
> Comodo o ile miało włączony auto sandbox powinno ochronić przed
> zagrożeniem.
Comodo było na serwerze (tak klient chciał). Nie miał sandboxa - o ile
wiem, nie używa się go na serwerach.
Teraz zmienię na NOD-a Suite - mam do niego większe zaufanie i ponadto
jest bardziej "bezobsługowy".
>
> 1.
http://www.fixitpc.pl/forum-38/announcement-3-ważne-zakładanie-tematu-obowiązkowe-logi/
>
Dzięki wielki - Posprawdzam. Mam nadzieję, że link się nie przyda
.........................
W dniu 2014-02-05 10:19, mr misio pisze:> Użytkownik 666 napisał:
>> A co na to policja?
>
> Zgaduje, ze o ile scigac sprawce moze by i mogli.
Jakiego sprawcę? Jak go znaleźć?
"Sprawca" zostawił w każdym katalogu plik "how to get data.txt" o
następującej treści:
/****** CYTAT POCZĄTEK
JOKE
Hello boys and girls! Welcome to our high school "GPCODE"!
If you are reading this text (read this very carefully, if you can
read), this means that you have missed a lesson about safety and YOUR PC
HACKED !!! Dont worry guys - our school specially for you! The best
teachers have the best recommendations in the world! Feedback from our
students, you can read here:
1)http://forum.malekal.com/extention-omg-ajoute-aux-fichiers-t44686.html
2)http://www.forospyware.com/t464048.html
As you see- we trust their training, only we have special
equipment(cryptor.exe and decryptor.exe) and only here you will get an
unforgettable knowledge!
The lesson costs not expensive. Calculate the time and money you spend
on recovery. Time is very expensive, almost priceless.We think that it
is cheaper to pay for the lesson and never repeat the mistakes.We
guarantee delivery of educational benefits(decryptor.exe). First
part(cryptor.exe) you have received
SERIOUSLY
Your important files (photos, videos, documents, archives, databases,
backups, etc.) which were crypted with the strongest military cipher
RSA1024 and AES.No one can`t help you to restore files without our
decoder. Photorec, RannohDecryptor etc repair tools are useless and can
destroy your files irreversibly.
If you want to restore files - send e-mail to getback@mailservice2.com
with the file "how to get data.txt" and 1-2 encrypted files less than 2
MB. Please use public mail like yahoo or gmail.
You will receive decrypted samples and our conditions how you`ll get the
decoder. Follow the instructions to send payment.
P.S. Remember, we are not scammers. We don`t need your files. If you
want, you can get a decryptor for free after a month. Just send a
request immediately after infection. All data will be restored
absolutelly. Your warranty - decrypted samples and positive feedbacks
from previous users.
====================
6034CD3A5E4282A09BBB58ECF9D52C16C8A9854BEE2123781874CC48A31A016D
5816C6A017C41994828356D719BE043A1E184DAA2571C6D8F0BDB2DAD2D574AE
E1E61D38AA10475B41A9FFCD6E479F58688CDDC0896DAAEA75A65FEED6C12D86
347504C2DBA6399CA2C4AC8644F113429855199437B6564E6E6609435E5E9AAE
155E5C563042D236CFF478B03C10C46C00704464D0E490D04864C884C0485CB0
====================
****** CYTAT KONIEC *******/
Ciekawe, jak by się zachował policjant przyjmujący zgłoszenie
>
> To na zaszyfrowane juz dane niewiele pomoga...
>
>
Aż mi się przypomniały stare dowcipy o milicjantach
Aczkolwiek słyszałem, że specjalistów mają dobrych, jednak w tym
przypadku ilość przechodzi w jakość - w pozytywnym tego słowa znaczeniu.
>>
>> -----
>>> Wlazło jakieś dziadostwo, zaszyfrowało pliki.
>>> Teraz chce, aby zapłacić.
>>
>
No i powyżej przykład "odwróconego" cytowania, w którym przoduje m.in.
"666". Ale cóż, z "betonowymi łbami" ciężko dyskutować, są
niereformowalni. Ale to już OT.
.........................
Jeszcze jedno. Zastanawiałem się:
W dniu 2014-02-03 19:59, Adam pisze:> Witajcie!
> (...)
> To, co dziwne:
> starsze backupy sprzed kilu dni mają pliki zaszyfrowane (*.OMG!), zaś
> nowsze (sprzed 2-3 dni) wydają się czyste.
>
Tutaj wszystko wskazuje, że klient zadziałał prawidłowo.
Gdy zauważył, że nie może otworzyć dokumentów na swoim stanowisku,
zauważył plik cytowany wyżej. Natychmiast odciął serwer od sieci i
odłączył dysk backupowy od serwera.
Dysk backupowy był podpięty do serwera przez USB.
Prawdopodobnie trojan zaczął szyfrować pliki. Zaczął od serwera,
przeszedł na dysk backupowy i zdążył zarazić tylko najstarsze backupy -
i prawdopodobnie klient odpiął dysk w trakcie szyfrowania, więc ocalił
najnowsze backupy :D
Jako system backupu jest Cobian, ustawiony na backupy różnicowe bez
ZIP-owania.
Info dla wszystkich:
Wydaje mi się, że lepiej (w sensie bezpieczniej) zastosować do backupu
dysk/macierz NAS, do którego albo serwer (a w zasadzie Cobian) wchodzi
na osobnego usera/hasło (udostępnianie via Samba), albo chyba jeszcze
lepiej przez FTP - wtedy raczej taki trojan nie będzie w stanie
"dotknąć" backupu.
Dzięki wszystkim za pomoc!
--
Pozdrawiam.
Adam
|