Názory k článku Ransomware – „policejní virus“ na pitevním stole
-
Redmarx (neregistrovaný)
"Ransomware se aktuálně vyskytuje na platformě Microsoft Windows, takže úplně nezapadá do zaměření serveru Root.cz"
Tak toho bych se nebal, nektery nejmenovany autor sem "v poho" pastuje i screenshoty z Windows.Prekvapilo me, ze je mozne se nakazit pres PDF, IE a Javu. Teda ne ze by to bylo neco necekaneho, ale na jednom foru se dusovali, ze to chytili pres Flash. Sam teda jsem se s uvedenym virem jeste nesetkal, asi nejsem na Windowsech a internetu az tak moc casto jako jini nehlede teda na prohlizeny obsah, ze ktereho je mozne se nakazit. Zakladni ochrana je ale jasna, nepouzivat IE a mit na webu zakazanou Javu, stejne ji potrebujete leda na elektronicke bankovnictvi vybranych neschopnych a drahych bank!!!, ty normalni to nepouzivaji. S PDF je to horsi bohuzel, tenhle spatnej format je extremne rozsirenej a bohuzel je casto lajky pouzivan podobne jako kdyz posilaji screenshot plochy v docx, tedy naprosto nevhodne. :-/
-
Peter (neregistrovaný)
konecne poriadny clanok, kde je detailny popis technologie takychto lotrovin. V podstate sa to da zhrnut asi tak, ze ten virus vyuziva mizernu analyzu/navrh a este mizernejsiu implementaciu aplikacii beziacich na spackanom a uplacanom operacnom systeme ... sanca, ze sa to v tom hnoji zmeni je prakticky nulova.
-
Redmarx (neregistrovaný)
Taky me to hned napadlo, pak jsem si ale rekl, do windows moc nedelam, nerozumim tomu, radsi se nebudu ztrapnovat. Dotaz tedy je, jak ma Windows 7 zabezpeceno, ze nebude infikovan i bod obnoveni a do obnovovanych souboru nebudou podvrzeny zavirovane polozky? Je to nejak sifrovano nebo je tam nejaky kontrolni soucet souboru, ktery bude zase nejak sifrovan, aby nemohl byt podvrzen?
-
Lupex (neregistrovaný)
Řeší poslední dobou u klientů až příliš často
1. http://www.avira.com/en/download/product/avira-antivir-rescue-system
2. boot cd
3. Profit -
JR Ewing (neregistrovaný)
No vidis, a ja jsem dostal do rukou variantu, kde ani nouzovy rezim nefungoval. Ano s prikazovou radkou, ani bez site, proste nic. Dve hodky jsem ho pacil pryc. Nebyl to muj pocitac ani z moji site :-) Kdyz jsem potom spustil firefox, vyskocilo na me okno, ze predchozi relace nebyla radne ukoncena, jestli ji chci obnovit. No a jednim z oken bylo "dlouhavideazdarma".. Takze odtama vitr foukal.
-
ZeeZ (neregistrovaný)
Volal tata, ze to ma na pocitaci. Musel s tim prijet a pak mi trvalo pres 2 hodiny, nez jsem se toho zbavil. Preinstalace bohuzel nepripadala v uvahu, byla by casove mnohem narocnejsi... Obnoveni na jakykoli predchozi bod ve Windousu selhalo, opravdu "skvela" funkce. Jo kdyby si tak kazdy obcas delal image zalohu disku :-(
Autori nedostali ani korunu, celkove to ale stalo asi 5 clovekohodin a neco na nafte... -
KAOS (neregistrovaný)
Rozdělení disků je v tomhle případě k ničemu. Viry (nebo alespoň ty které sou hrozbou) se okamžitě zálohují na všechna média. Takže se uloží na všechny disky, případně i připojené USB. Kvalitní virus je schopný se vám nahrát i do klávesnice (kde přežívá jen případě nevypnutí PC maximálně restartu)
-
Honza Jaroš (neregistrovaný)
Nemluvě o kastraci domácích mazlíčků a nabití prádla statickou elektřinou. :-)
Bacha na smradlavý sýr!!!
https://www.youtube.com/watch?v=zvfD5rnkTws -
laik (neregistrovaný)
Já mám 2 fyzické disky, jeden systém, druhý data, a mám takovou zkušenost, že nesmím si nastavit přímé ukládání na datový disk, jinak některé viry umí "udělat paseku" i na druhém, datovém disku. Praktikuji postup, který se mi osvědčil, a to překopírovat data před skončením práce na datový disk. Jako nevýhoda mi připadá nutnost mít stále připojený datový disk, ale už jsem si objednal hdd docking station usb 3.0 a bude stačit připojit data disk jen když budu kopírovat nebo brát z něj data. Jde to sice vyřešit i eSATA kabelem, ale u docking station je pohodlné a rychlé vkládání disků.
-
Odstraňoval jsem nedávno kolegovi (samozřejmě, zálohy systému není, systém neaktualizovaný, ač legální). Samotné odstranění bylo na 10 minut, jenže pak je to několik hodin důkladný test (jestli není breberka zašitá ještě jinde), aktualizace systému, flashe, javy, etc., to už běží samo, jednou za čas se na to dohlédne. No, aspoň mám doma čerstvou flašku Tullamorky.
-
Dobrodošli (neregistrovaný)
Není to až tak lehké. Postup který použil Rhinox je správný. Osobně měním profil a přetahuji čistá uživatelská data (nepoužívám tedy funkci standardního exportu profilu) a některá nastavení kdykoli je jen podezření na kompromitovaný uživatelský profil.
**
Jen bych ještě vyzdvihnul dvě, neznámo pro mne, proč opomíjené historické věci okolo Windows.1. Od Windows Vista dále stále existuje účet Administrator, ale je nepoužívaný. Doporučuji nastavit mu vlastní heslo a učinit ho neaktivním. Pokud jste majitelé Home verzí nepřipojovaných do domény (samostatné lokální počítače), použijte příkazy: "NET USER" pro vypsání seznamu uživatelských účtů, "NET USER Administrator *" pro zadání hesla k účtu uživatele Administrator, "NET USER Administrator /ACTIVE:NO" pro deaktivaci účtu uživatele Administrator (v případě že používáte jiný účet s právy správce systému). "NET USER Administartor /ACTIVE:YES" účet znovu aktivuje, příkaz "NET HELP USER" poskytne kompletní nápovědu.
2. Ve Windows je stále přítomen příkaz SysKey kterým lze měnit klíč použitý pro šifrování databáze účtů Windows. Je vhodné čas od času kód změnit.
-
Dobrodošli (neregistrovaný)
Patrně jste myslel "kacířský přístup aby uživatel Windows dělal něco pomocí příkazové řádky", jinak mi to nedává smysl... i přestože příkazová řádka je naprosto běžně používaná i ve Windows.
Mýlíte se. Uživatelé Home verzí nemají povoleno spravovat uživatele a skupiny pomocí výchozích šablon (snap-in) a konzoly (MMC). Proto uvádím příkazy, které umožní toto opatření obejít.
Nevylučuji přitom, že v některém systému (zvláště po zásahu OEM) nebude účet vestavěného administrátora (vlastníka počítače) "Administrator" dostupný i přes správu účtů.
P.S.
"control userpasswords2" ... Mě se lépe pamatuje "NetPlWiz".P.P.S.
V původním příspěvku jsem špatně uvedl, že postup aplikoval Rhinox. Ten to jen (správně) okomentoval, ovšem postup aplikoval Avanti. -
exo (neregistrovaný)
Zde popisovane je ciste windowsacka zalezitost a projde bez problemu redakcnim filtrem???
Cekal jsem sice ze se o windows clanek mirne otre, ale v podstate velmi obecne popisuje chovani widli. Navic nam kteri je detailne zname nerika nic noveho.
Jinak receno, musel jsem precist 95% obecnych informaci (pitvani windowsu) abych se dozvedel zbylych 5% zajimavych informaci. Nektere navic nejsou uvedeny vubec. Virus se nejak siril. Neni vsak uvedeno jak, je tu opet pouze obecny odkaz na kombinaci vsech variant (cervi, socialni inzenyrstvi, infokovane odkazy a prilohy). To je asi stejna informace jako kdyz vam reknou ze mel ridic nehodu a stala se bud tak, ze ho srazil nakladak, letadlo nebo lod.
PS:Sry... jsem dnes nejaky namichnuty. V tom clanku pro mne fakt nebyla ani jedna podstatna informace. Ac to to na zacatku vypadalo opravdu nadejne.
-
Vlask (neregistrovaný)
Odstranuju prumerne 2 tydne. Staci nabootovat pres hiren cd do mini win, pustit autoruns, analyzovat offline system a nasledne vypnout spousteni souboru skype.dat v application data prislusneho uzivatelskeho uctu. Nasledne win funguji a skype.dat muzete klidne smazat. Posledni verze, kterou jsem videl mela navic jeste spousteni pres soubor nastaveny do kolonky po spusteni. Odstraneni je vec 5 minut. Komu se nechce takto slozite, tak vytahnout disk, zapojit jinam a projet pres eset online scanner - ten to spolehlive najde a odstrani.
Mimochodem po zaplaceni virus samozrejme nezmizi - uz se nam priznali dva lidi ze zaplatili a nic.
Horsi je fakt, ze zatim neznam antivirus, ktery by to dokazal odchytit pred zavirovanim. Uz tu byli lidi, kteri to chytli na druhy den zase a jeden rekordman uz tu byl 3x za sebou. Mohu jen konstatovat ze jsem videl pocitace zavirovane s avastem, avg, ms antivirem i Nod 6. Co si pak ma clovek myslet o vyrobcich antiviru, kdyz vas ani po 6 mesicich od verejne propagace tohoto viru nejsou schopni ochranit (prvni varianta se objevila nekdy kolem listopadu) -
Kverulant (neregistrovaný)
Ja jsem to videl osobne jak to pocitac s nainstalovanym MS Security Essentials polapil, naproti tomu pres NOD32 to v pohode proslo... smazal jsem tex exac, dat souborek, rebootnul wokenice a uz to bylo v pohode..... NOD je k nicemu, zatim si stojim, MS antivir zadara udelal daleko lepsi praci na tom samem vzorku vira. Nakaza byla pres neaktualni flash player.
-
Neplatící (neregistrovaný)
A víte proč tomu tak je? Protože lidi co dříve za antiviry platili přešly právě k nějakému co je zdarma a spolupracují na detekci nových virů. Dokud tedy půjdou do těchto "laboratoří" odpovídající peníze, vždy budou mít dostatek přesných informací o nestandardním chování webů či aplikací.
U ESETu sice komunikovali (což se u antivirů zdarma často neděje), ale výsledek nebýval nikde vidět. U antivirů zdarma je to naopak, nikdo nekomunikuje ale virus bývá čas od času detekován.Můj poslední placený antivirus byl právě od ESETu. A značně se na nekvalitě podepsalo to že prodělali obrovský boom (reklama a lákání nových uživatelů bylo to nejdůležitější čím se zabývali).
Přitom jejich řešení nemělo ani řádný firewall, navíc se nedomluvil s Windows (nejvhodnější bylo ho zakázat a degradovat produkt na klasický NOD Antivirus - vlastní antivirus tehdy býval, setrvačností, ještě celkem dobrý).
Obnovení dat (z jejich bezpečného úložiště) to byla nefunkční fraška (produkt si ani neukládal nastavení úživatelských práv či vlastníka).
Jediná dobrá funkce byla podepisování schválených certifikátů vlastním certifikátem, ale nebyly ani schopni sledovat (i přes upozorňování uživatelů) zda jejich certifikátu již náhodou nepropadla platnost. Až propadla a já licence neobnovil.Když jsme později skončili jen u firewallu integrovaného ve Windows a se Security Essentialem, získali jsem řádově kvalitnější řešení. Horší je akorát velikost aktualizací virové databáze, ale dnes už mne to netrápí.
-
bark (neregistrovaný)
Já se s touhle potvůrkou potkal jak v Česku, tak u polských uživatelů (nemají žádná admin práva, jsou jen obyčejní uživatelé, sami absolutně nic nenainstalují a updaty jsou řízeny centrálně po testech, ne z MS). Hlavním nebezpečím jsou exploity ve Flashi a Javě.
Bohužel, na každou verzi to chce trochu jiný postup, v jednom případě to skončilo reinstalací, protože jedna ze starších verzí tahala ze sítě i rootkit, který se zavrtal tak hluboko, že čistá instalace z image byla rychlejší.
Jinak, tenhle princip - napadání jen profilu uživatele - může být nebezpečný potenciálně i pro jiné platformy. Takže nechápu, proč jsou zde kyselé komentáře o Windows.
Spíš by se mohli zamyslet třeba majitelé softu založeném na Javě, zda i jim časem - až to bude pro útočníky zajímavé - nebudou tohle řešit na mobilech a tabletech s Androidem nebo koneckonců třeba v Ubuntu.
-
darkee (neregistrovaný)
Kde jsou ty časy, kdy viry a podobná havěť vznikaly pro zábavu a nebo pro to, že autor chtěl vědět, zda na to má, zda je lepší než někdo jiný.
Při analýze DOSových potvor jako byly třeba Yankee Doodle, Dark avenger, Pojer, Tremor atd... se člověk leccos naučil a rozhodně to byl užitečně strávený čas...Mnohé z nich nijak neškodily a šlo zjevně o programátorský experiment nebo legraci.
Z těch dnešních bastlů, lepených z "nakoupených" komponent a tvořených kriminálníky, je člověku na zvracení.
Holt jaká doba, takový mallware.
Co asi dnes dělají autoři té staré klasiky... ? Nejspíš je jim nad tím co se teď děje také blivno... -
Leal Ophir (neregistrovaný)
Pravdu máte. Dneska to už není co to bejvávalo. Viry jsou kriminálnický a hnusný, časy jsou zlý, a hlavně lidi jsou k sobě zlí. To za mladejch let to bylo jiný. Lidi byli takoví slušnější, byli si blíž, mladí měli víc úcty ke stáří, s virama byla spousta srandy, a i těch deset deka šunky tehdy byla pořádná hromada, a ne těch pár plátků jako dneska.
A že se prej máme líp? Houbelec, pane, nevěřte tomu. Vždyť to vidíte všude kolem, všechny ty krize a tak, to ani za těch komoušů nebylo. Co my, nás už čeká jenom hrob, ale co mají dělat ty mladý? Tuhle jsem třeba viděl před školou studenty. Postávali vám takhle jako v kroužku, a představte si, že si podávali jednu(!) cigaretu. Takovou bídu voni dneska dřou, to my se měli za studií ještě zlatě. A představte si, oni se tomu ještě smáli. Takhle zlý to dneska je. To jeden nepochopí, jak to jde všechno s časem do háje, pane. -
P2010 (neregistrovaný)
Podle uvedeneho staci dusledne pouzivat Software Restiction Policy (http://technet.microsoft.com/en-us/library/bb457006.aspx), ktera zabranuje spustit EXE nebo nahrat DLL z jineho adresare nez ProgramFiles a Windows. A samozrejme nepracovat trvale pod uctem administratora, aby tyto adresare nebyli pristupne pro zapis pod uctem ze ktereho se leze na Internet. Tim se zabrani spusteni souboru (nebo natazeni DLL pres RUNDLL32) z adresaru uzivatelskeho profilu.
Uspesne pouzivam jiz od Windows XP.
-
Ransomware je škodlivý kód, který, zažívá opět jakousi renesanci, šíří se Evropou a nevyhnul se ani České republice. Uživatel má jen dvě možnosti, buď hlášení ransomwaru ignorovat a pokusit se ho odstranit a nebo zaplatit. A uživatelé, kteří netuší, že se jedná o podvod a nebo neumí ransomware sami odstranit nebo nemají čas kontaktovat někoho, kdo by jim s tím pomohl, zaplatí.
Podsvětí tímto způsobem vylákalo z uživatelů již několik miliónů USD, přičemž jim k tomu stačilo nakazit počítače několika desítek tisíc uživatelů, a vylákat od každého jen pár set USD. Počet uživatelů, kteří nakonec zaplatili, se pohybuje v jednotkách procent, skutečnost však bude nejspíš o něco horší. Detailní report od společnosti Symantec je k dispozici zde.
ČLÁNKY DO MAILU