Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Ransomware, ncov ekstenzija fajla

[es] :: Zaštita :: Ransomware, ncov ekstenzija fajla

[ Pregleda: 2406 | Odgovora: 16 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

tox master
RS

Član broj: 57200
Poruke: 2706
93.180.149.*



+122 Profil

icon Ransomware, ncov ekstenzija fajla08.04.2020. u 14:21 - pre 48 meseci
Pozdrav
Danas me zove kolega sa posla i kaze da ne moze da se uloguje na laptop sa svojom sifrom.
U pitanju je laptop windows 7 i imao je login sifru i omogucen RDP ali na drugom portu.
U ruteru je taj port bio forwardovan na njegovu lokalnu ip adresu laptopa.
Resetovao sam sifru za login iz cmd i ulogovao se ali me je docekala fina poruka na dekstopu o ransomwaru.
Naravno svi fajlovi su kriptovani na obe particije.
Instalirao sam Mbam i rezultat skeniranja ne obecava,koliko ja vidim ovo je neka prilicno sveza verzija gamadi i tesko da se moze sta uraditi oko spasavanja fajlova ali eto bilo bi dobro da neko potvrdi strucniji od mene.
Pregledao sam mailove na serveru i nisam video nista cudno i mislim da je ovo pokupljeno sa nekog sajta,u logu se spominje firefox problematicna ekstenzija.
Nadam se da se ne siri preko mreze posto na poslu imamo jos nekoliko racunara na istoj mrezi.
Sta raditi dalje?

Code:
Malwarebytes
www.malwarebytes.com

-Log Details-
Scan Date: 4/8/20
Scan Time: 1:47 PM
Log File: c95128aa-798e-11ea-b6ae-68b599f83d86.json

-Software Information-
Version: 4.1.0.56
Components Version: 1.0.867
Update Package Version: 1.0.21792
License: Free

-System Information-
OS: Windows 7
CPU: x64
File System: NTFS
User: ******-PC\Admin

-Scan Summary-
Scan Type: Threat Scan
Scan Initiated By: Manual
Result: Completed
Objects Scanned: 269227
Threats Detected: 6
Threats Quarantined: 6
Time Elapsed: 2 min, 6 sec

-Scan Options-
Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Detect
PUM: Detect

-Scan Details-
Process: 0
(No malicious items detected)

Module: 0
(No malicious items detected)

Registry Key: 0
(No malicious items detected)

Registry Value: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Data Stream: 0
(No malicious items detected)

Folder: 2
PUP.Optional.ForcedInstalledExtensionFF, C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\C3QGLR0C.DEFAULT-1536308651104\BROWSER-EXTENSION-DATA\{56A1E8D2-3CED-4919-ACA5-DDD58E0F31EF}, Quarantined, 1799, 580170, 1.0.21792, , ame, 
PUP.Optional.BrowserProtection, C:\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\C3QGLR0C.DEFAULT-1536308651104\BROWSER-EXTENSION-DATA\{AA4ABAC2-1FFA-12AA-BBDD-9305CB2C1254}, Quarantined, 1824, 630897, 1.0.21792, , ame, 

File: 4
Ransom.Crysis, C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA, Quarantined, 5641, 791609, 1.0.21792, , ame, 
PUP.Optional.ForcedInstalledExtensionFF, C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\c3qglr0c.default-1536308651104\browser-extension-data\{56a1e8d2-3ced-4919-aca5-ddd58e0f31ef}\storage.js.id-6CA0D3F4.[[email protected]].ncov, Quarantined, 1799, 580170, , , , 
Ransom.Crysis, C:\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA, Quarantined, 5641, 791609, 1.0.21792, , ame, 
PUP.Optional.BrowserProtection, C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\c3qglr0c.default-1536308651104\browser-extension-data\{aa4abac2-1ffa-12aa-bbdd-9305cb2c1254}\storage.js.migrated.id-6CA0D3F4.[[email protected]].ncov, Quarantined, 1824, 630897, , , , 

Physical Sector: 0
(No malicious items detected)

WMI: 0
(No malicious items detected)


(end)
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Ransomware, ncov ekstenzija fajla08.04.2020. u 14:51 - pre 48 meseci
Sve zavisi kako se ransomware siri, obicno salje mail svima iz address book-a :P
Ukoliko imas negde samba server kome taj ima pristup ode i to.
 
Odgovor na temu

tox master
RS

Član broj: 57200
Poruke: 2706
93.180.149.*



+122 Profil

icon Re: Ransomware, ncov ekstenzija fajla08.04.2020. u 15:51 - pre 48 meseci
Nisam primetio da je nekome poslao mail,i ja bi treba da ga dobijem,verovatno zato sto i ne koristimo address book u outlook 2010.
Sad bas gledam,svi racunari koji su bili u tom momentu ukljuceni na mrezi imaju criptovane fajlove u serovanim folderima.
 
Odgovor na temu

Zlatni_bg
Nikola S
Beograd

Član broj: 65708
Poruke: 4420
*.dynamic.sbb.rs.



+498 Profil

icon Re: Ransomware, ncov ekstenzija fajla08.04.2020. u 17:56 - pre 48 meseci
Od pre par godina sam prestao da cak i kucnoj mrezi koristim SMB server bez username-a i passworda.
THE ONLY EASY DAY WAS YESTERDAY
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Ransomware, ncov ekstenzija fajla08.04.2020. u 18:08 - pre 48 meseci
"Od pre par godina sam prestao da cak i kucnoj mrezi koristim SMB server bez username-a i passworda. "

Ne pomaze ni to ukoliko korisnik pametno "zapamti".
 
Odgovor na temu

tox master
RS

Član broj: 57200
Poruke: 2706
93.180.149.*



+122 Profil

icon Re: Ransomware, ncov ekstenzija fajla08.04.2020. u 20:09 - pre 48 meseci
Proverio sam malo detaljnije stanje na racunarima.
Na win10 sa passwordom na serovanim folderima nije nista uradio.
Na racunaru na kome nije bilo ni passworda i gdje je bilo podesen security-everyone-full control tu je napravio pomor dok na drugom racunaru gdje je isto serovan folder samo je bilo podeseno security-everyone-read only tu isto nije odradio nista.
Zanimljivo je sto na wd NAS nije nista odradio cak ni u public folderu koji nije zasticen passwordom.
Sreca pa jedan od bitnijih racunara nije bio upaljen u vreme kada je krenuo sa prvozarazenog laptopa pa je tu ostalo sve ok.
Da li neko moze da skapira odakle je stigao gost da znam kako da se postavim ubuduce to jest kako da kolege malo edukujem iako sam ih upozoravao na ovo da bi moglo da se desi.
Vidim spominje se da virus dolazi preko RDP,jel moguce da je stvarno tako usao,pogodio port i password?
Isto tako ne kapiram zasto je promenio user login password kada je vec sve kriptovao.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Ransomware, ncov ekstenzija fajla08.04.2020. u 20:52 - pre 48 meseci
"Da li neko moze da skapira odakle je stigao gost"

Drive by, znaci odes na neki sajt koji uvali, onda klik na atachment u mail-u ili igranje krekovanih igara
potom krekovani softver.
 
Odgovor na temu

Zlatni_bg
Nikola S
Beograd

Član broj: 65708
Poruke: 4420
*.dynamic.sbb.rs.



+498 Profil

icon Re: Ransomware, ncov ekstenzija fajla09.04.2020. u 16:04 - pre 48 meseci
Citat:
Branimir Maksimovic:
"Od pre par godina sam prestao da cak i kucnoj mrezi koristim SMB server bez username-a i passworda. "

Ne pomaze ni to ukoliko korisnik pametno "zapamti".


Samo ja koristim te mrezne lokacije, nema pamcenja sifre na uredjajima. Pre toga sam na flesu drzao sve sto mi je bitno od softverskih instalacija da ne moram da posecujem 50 sajtova pri novoj instalaciji win-a, itd. Za slucaj da kad se nesto u*ebe radim full izolaciju... sa sifrom je mnogo lakse, a do toga je doslo tako sto samba nije htela naprosto da radi bez uname/pwa. Ostavio sam tako kako mora i moram priznati da iako me je nerviralo da stalno kucam kredencijale, sada deluje 5x bolje.

Imam mozda jednu lokaciju koja je otvorena za sve, mada mi je abitna pa stoji tako...
THE ONLY EASY DAY WAS YESTERDAY
 
Odgovor na temu

Zlatni_bg
Nikola S
Beograd

Član broj: 65708
Poruke: 4420
*.dynamic.sbb.rs.



+498 Profil

icon Re: Ransomware, ncov ekstenzija fajla09.04.2020. u 16:07 - pre 48 meseci
A sto se tice RDP-a, moras da iskljucis da se pri konekciji ne dele fajlovi, clipboard ili bilo sta sto ima veze sa klijentskim uredjajem, znaci RDP konekcija ne sme da ima NIKAKVE veze sem te vizualne sa klijentskim racunarom. Nisam siguran da li u win serveru to moze da se podesi, ja sam to radio sa klijentske strane.

Sta se koristi kao AV uopste? I stavljaj sve pod sifru, odmah, i reci ljudima da ne stikliraju "remember" koliko god im bolno bilo... verovatno samba moze da vodi i logove pa ces sledeci put, ne daj Boze, moci da vidis sta se desilo.
THE ONLY EASY DAY WAS YESTERDAY
 
Odgovor na temu

tox master
RS

Član broj: 57200
Poruke: 2706
93.180.149.*



+122 Profil

icon Re: Ransomware, ncov ekstenzija fajla09.04.2020. u 20:23 - pre 48 meseci
RDP vise nece ni biti u funkciji van lokalne mreze kao sto je ovaj sporni laptop imao otvoren port za pristup sa neta,u lokalnoj mrezi na serveru mora da ostane zbog kacenja sa drugih racunara.
Na vecini racunara je Eset Smart Security a na provaljenom laptopu je bio Avast.
Mada mislim da je najpre problem u konkretnom korisniku koji je malo starije zivotne dobi,ne bas vican racunarima, ne poznaje engleski i na kojekakve iskacuce prozore reaguje nepredvidivo,uglavnom ide na "x" posto nema pojma sta ustvari pise pa ko zna sta se tu desilo i kako je ovo pokupio.
A SMB share je do sada bio ukljucen na svim racunarima bar po jedan folder preko kojih je isla razmena izmedju racunara,skeniranje i slicno i sve je bilo bez autentifikacije bas da bi se izbeglo kucanje sifri.
Mislim da cu sada napraviti jedan folder na NAS kojem ce svi imati pristup pa neka tako dele fajlove,malo je sporije ali sta da se radi,tako mora.
I dalje nisam skapirao kako je public folder na NAS-u ostao citav,izgleda ima neku zastitu posto neki stariji kopir aparati ne mogu da skeniraju cak ni u taj public folder,nekako nemaju pristup.
Razmisljam da svima aktiviram limited accounte ali onda ce me smarati konstantno za svaku sitnicu.
Koliko je uopste koristan limited account uopste,klincima sam tako podesio racunare ali nisam nesto bas testirao detaljno sta se moze a sta ne?
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Ransomware, ncov ekstenzija fajla09.04.2020. u 20:54 - pre 48 meseci
"I dalje nisam skapirao kako je public folder na NAS-u ostao citav"

Verovatno su napravili tako da trazi samo samba share-ove.
 
Odgovor na temu

Zlatni_bg
Nikola S
Beograd

Član broj: 65708
Poruke: 4420
*.dynamic.sbb.rs.



+498 Profil

icon Re: Ransomware, ncov ekstenzija fajla09.04.2020. u 20:55 - pre 48 meseci
Bah... ja nemam pojma o win administraciji. Ono zasto je NAS mozda ostao citav je jer je vrlo moguce da ima interni AV. Meni je server sa ulogom NASa podesen tako da skenira bukvalno sve na sta naleti na mrezi (doduse linux je na njemu). To sam namestio kad je cale doneo lap iz firme, zakacio ga na moj wifi, i svuda po mrezi su se pojavili neki exe fajlovi sa razlicitim XyZy imenima. Jeste moja kucna mreza ali nikad ne znam ko ce od ukucana da napravi haos tu i zarazi mi potpuno otvorene servere, klijente, itd. Od tada, sve sto ima ulogu bilo kakvog servera nema smb na sebi, win defender zavrsava posao na win klijentima samo tako, a ako se ista pojavi na mrezi, kucni server odmah pocisti.

Srecom nikad nisam imao fijasko ali jednom da mi se desi da mi uleti cak i keylogger ili bilo sta slicno bi bilo prilicno pogubno iz vise razloga. A bas zbog tih stvari gde stariji ukucanin moze da otvori "Lena se nalazi 3km od tebe" sam i morao da lupim restrikcije na mrezu. Cak razmisljam poseban vlan da napravim za takve stvari sa drugim AP-om.
THE ONLY EASY DAY WAS YESTERDAY
 
Odgovor na temu

Zlatni_bg
Nikola S
Beograd

Član broj: 65708
Poruke: 4420
*.dynamic.sbb.rs.



+498 Profil

icon Re: Ransomware, ncov ekstenzija fajla09.04.2020. u 20:56 - pre 48 meseci
Citat:
Branimir Maksimovic:
"I dalje nisam skapirao kako je public folder na NAS-u ostao citav"

Verovatno su napravili tako da trazi samo samba share-ove.


Verovatno je i on na sambi, drugacije ne znam kako bi mu pristupio sa windowsa a da nije ftp ili neki drugi protokol. Ono sto je takodje prioritet je da NIKO nema NIJEDAN folder markiran kao particiju ako vec ne moze nista da se lockuje.
THE ONLY EASY DAY WAS YESTERDAY
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: Ransomware, ncov ekstenzija fajla09.04.2020. u 20:59 - pre 48 meseci
"vrlo moguce da ima interni AV"

Ma to radi samo write, AV jedino da ga spreci da upise nesto, sto cisto sumnjam.

"Verovatno je i on na sambi"

Ako je na sambi onda servis nece da izlista share najverovatnije nego mora da se rucno ukuca adresa.
 
Odgovor na temu

Zlatni_bg
Nikola S
Beograd

Član broj: 65708
Poruke: 4420
*.dynamic.sbb.rs.



+498 Profil

icon Re: Ransomware, ncov ekstenzija fajla09.04.2020. u 21:05 - pre 48 meseci
Pa mislim da ide po WORKGROUP-u, nisam vise ni siguran, menjali su win8/win10. Sad je na win10 iskljucen smb1 koji ja preferiram, ali se lako vrati, takodje, iskljuceni su passwordless logini bez editovanja group policyja, nije bas da bilo ko moze da podesi smb1 da radi okej na win10. Verovatno je ovo jedan od razloga. A samo ukucas "Network" u file manageru i izlistas sve share-ove... ali vise nema homegroupa, samo workgroup.

AV moze relativno cesto da radi skenove direktorijuma i prati promene, eventualno da cuva hasheve fajlova ili nesto tako (bukvalno kao version control) i da skenira promene. Ako se radi dovoljno cesto, moze da se ukloni problematicni fajl pre bilo kakvog citanja. Jeste malo zeznuto podesiti to sve ali nije nemoguce.
THE ONLY EASY DAY WAS YESTERDAY
 
Odgovor na temu

dragancesu
subotica

Član broj: 38340
Poruke: 2189
*.adsl.eunet.rs.



+73 Profil

icon Re: Ransomware, ncov ekstenzija fajla10.04.2020. u 11:49 - pre 48 meseci
Pogledaj 360 total security, pod Tool box ima alat Ransome Decryption Tool

p.s. sva sreća da mi nije treblo do sada

Pomozite Micro$oftu u borbi protiv piraterije, poklonite prijatelju Linux
 
Odgovor na temu

calexx

SuperModerator
Član broj: 71794
Poruke: 20046



+1651 Profil

icon Re: Ransomware, ncov ekstenzija fajla10.04.2020. u 12:22 - pre 48 meseci
To je skoro pa lutrija, mnogi AV imaju te opcije ali za manji broj zaraza. Samo čekam da se pojavi nova ekstenzija sa aktuelnim imenima. :(

Dobar bekap pa ako i krene, da se ima neka rezerva. Ja nemam mnogo toga gde može da napravi štetu ako uleti, jedino meni posao da opet nađem to što je zaraženo. Važno je odavno na raznim rezervama.
 
Odgovor na temu

[es] :: Zaštita :: Ransomware, ncov ekstenzija fajla

[ Pregleda: 2406 | Odgovora: 16 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.