Šifrētājvīruss Locky plosās pa Eiropu. Kā tas darbojas?

Moderatori: janis.wd, Vecākie lietotāji

User avatar
samurajs
Administrators
Atbildes: 14988
Pievienojies: 06 Mar 2007, 15:04
Reputācija: 0
Atrodas: Liepājas anomālā zona

Šifrētājvīruss Locky plosās pa Eiropu. Kā tas darbojas

Post no samurajs » 23 Feb 2016, 08:55

Jauna sērga nāk virsū: izspiedējvīruss ar nosaukumu Locky. Pirms dažām dienām CERT.lv jaunākajā izsūtnē brīdināja, ka sērga sasniegusi arī Latviju. Locky gadījumā cerēt uz kaut kādiem antivīrusiem ir bezmērķīgi - princips ir tāds, ka inficētais fails nesatur nekā krimināla, lai būtu pie kā aizķerties. Apskatīsim soli pa solim, kā notiek inficēšanās.

Lai saķertu Locky, vajadzīgs īpaši sagatavots Word dokuments. Parasti tos upuriem piesūta pa e-pastu, nomaskētus par rēķiniem utml. Iespējams arī scenārijs, kad lietotāji paši šo dokumentu lejuplādē kādā lapā. Minētais .docx satur atspējotu macro, un tālāk svarīgi, lai lietotājs to iespējotu. Bieži palīdz šis variants (kaut arī var būt kas cits):

Image

Tiklīdz makross ir iespējots, tas nekavējoties izpilda komandu DLOAD_SCRIPT, lejuplādējot no interneta pašu šifrētāju fail.exe, un startējot to. Līdz šim failam dokumentā nav iespējams atrast absolūti neko aizdomīgu. Kad šifrētājs palaists, tas ātri nošifrē visus lietotāja failus, nomainot paplašinājumus pret .locky. Pēc tam lietotājam izvada paziņojumu ar instrukciju kā samaksāt 0.5 BTC dekriptēšanas atslēgas ieguvei.

Image

Un kad tagad mēs šo palasām, aktivizējas iedzimtā paranoja. Pēkšņi darbā saņemam Word dokumentu no priekšniecības, kurā arī prasīts aktivēt macro... to be or not to be? Atceramies, ka pats Word dokuments neko bīstamu nesatur, tāpēc pārbaudei raujam ārā interneta vadu no kompja un trīcošām rociņām iespējojam macro...

Image

Ja ieraugām ko šādu - tā ir pazīme, ka varējāt iegrābties, bet sargeņģelis joprojām ir ar jums. Skripts lamājas, ka nevar atrast fail.exe (bet mēs taču izrāvām interneta vadu!).

Te vācu portāls Sempervideo sagatavojis pilnu Locky video apskatu:

<iframe width="560" height="315" src="https://www.youtube.com/embed/331Fzhc_6nM" frameborder="0"></iframe>
Image

nabadanga
Reģistrēts lietotājs
Atbildes: 76
Pievienojies: 15 Dec 2010, 12:38
Reputācija: 0

Post no nabadanga » 23 Feb 2016, 09:48

Nevajag stāstīt muļķības! Kaspersky lieliski tiek galā ar Locky, tāpat kā ar jebkuru citu šifrētājvīrusu. Visādu otrās šķiras av lietotājiem gan tagad jārausta interneta vads pirms katra Word dokumenta atvēršanas :)
If you spend more on coffee than on IT security, you will be hacked.

User avatar
Crow
E-žurnālists
Atbildes: 5392
Pievienojies: 10 Mai 2009, 14:22
Reputācija: 0
Atrodas: Ir

Post no Crow » 23 Feb 2016, 10:08

Š ie invoice nāk šurp arī Latvidžā jau vismaz divas nedēļas. Arī ķīniešu 360 uzreiz bļāva bez visām signatūrām, tīri uz čuju (t.i., heiristiku).
Locky gadījumā cerēt uz kaut kādiem antivīrusiem ir bezmērķīgi
Tiklīdz makross ir iespējots, tas nekavējoties izpilda komandu DLOAD_SCRIPT, lejuplādējot no interneta pašu šifrētāju fail.exe, un startējot to
Man kaut kā šie divi apgalvojumi nesazobojas.

Pirmkārt, prasts VB skripts ir nu ļoti viegli noķerams. Vismaz kaut kā būtu obfuscējuši, kaut ROT13, lai antivīrusi nevar to pirms izpildes izlasīt un saprast, ko tas dara.

Otrkārt, nebūtu jālaiž cauri konekcijas no programmām, kurām ņefig līst internetos, ja tas nav īpaši vajadzīgs kādām specifiskām darbībām. Īpaši jau cscript.exe (Console Scripting Host), kas šos makaronus izpilda.

Treškārt, tā kā Word un cscript darbojas lokālā lietotāja kontekstā (ideāli: limited), jebkurš whitelist HIPS paņems to kā mazo, bet pašu fail.exe arī nevajadzētu būt grūti noķert pēc signatūrām vai heiristikas. Vismaz par spoolsv.exe vai svchost.exe nevarēja nosaukt, lai gribās Allow & Add to exceptions nospiest? Un galu galā tas saveido čupu ar palīgfailiem. Pēdējam, ko skatījos, bija pitona dzinis un čupa ar .py klasēm. How hard can that be, people?

---

Bļāviens, mūsdienās pat kārtīgu, interesantu vīrusu neviens uzrakstīt vairs nemāk. Viss uz najobku vien balstās. Kur paliek heap corruption, privilege escalation, thread hijacking, cache traversal? Pat buffer overflow, kuri vairumā produktu ir kā caurumi Krievijas sierā, netiek izmantoti. Pilni CVE saraksti ar šitiem, bet ne tos izlabo, ne izmanto. Tad ponts kur?

Laikam tāpēc, ka uz tiem nevar droši paļauties, bet uz cilvēku muļķību un adminu slinkumu - praktiski vienmēr.
Last edited by Crow on 23 Feb 2016, 11:11, edited 9 times in total.
Дебилы, бл*ть...

User avatar
samurajs
Administrators
Atbildes: 14988
Pievienojies: 06 Mar 2007, 15:04
Reputācija: 0
Atrodas: Liepājas anomālā zona

Post no samurajs » 23 Feb 2016, 10:08

Image

nabadanga
Reģistrēts lietotājs
Atbildes: 76
Pievienojies: 15 Dec 2010, 12:38
Reputācija: 0

Post no nabadanga » 23 Feb 2016, 10:57

Samuraj, man nav jātic. Es zinu :) Ir Kaspersky lietotāji, kas atslēdz System Watcher komponenti, uzraujas uz šifrētāju un tad vaimanā forumos. Varbūt kādam noderēs https://www.youtube.com/watch?v=V_PGnouFs44
If you spend more on coffee than on IT security, you will be hacked.

GuntOn
Reģistrēts lietotājs
Atbildes: 195
Pievienojies: 21 Nov 2010, 16:14
Reputācija: 0

Post no GuntOn » 23 Feb 2016, 12:50

Jā un Top Shop reklāmās arī stāsta baltu patiesību. :D OK, iespējams, ka Kašmarskis arī palīdz pret atsevišķiem kriptodraņķiem, bet es tam sūdam savus failus neuzticētu. Ne tikai dēļ šaubām par produkta efektivitāti, bet arī tāpēc, ka tas ir vatņiku izstrādājums.

User avatar
Aldis
E-žurnālists
Atbildes: 5084
Pievienojies: 21 Nov 2008, 15:55
Reputācija: 0
Atrodas: LV

Post no Aldis » 23 Feb 2016, 12:59

Nez uz WPS (kingsoft) office arī šis palaižas? :)
Image Oh My God = OMG
Image Ak Mans Dievs = AMD

nabadanga
Reģistrēts lietotājs
Atbildes: 76
Pievienojies: 15 Dec 2010, 12:38
Reputācija: 0

Post no nabadanga » 23 Feb 2016, 13:51

GuntOn, Kaspersky palīdz pret jebkuriem kriptodraņķiem - pat pret tiem, ko uzrakstīs nākošgad. Protams, pie noteikuma, ka lietotājs nav kaut ko uz savu galvu izslēdzis. Ja gadās pilnīgi jauns kriptētājs, ko nedetektē ne ar standarta, ne agrīnajām signatūrām, tad kriptētājs tiek identificēts pēc uzvedības ar Behavior Stream Signatures. Tomēr līdz tam brīdim, kad tas viss notiek, viņš paspēj so to sašifrēt. Tāpēc Kaspersky ir apakšsistēma "Cryptomalware countermeasures subsystem", kas taisa lokālas rezerves kopijas un kas atgriež atpakaļ nošifrētos failus, kad kriptētājs ir identificēts un nokauts. Pēc šīs procedūras infa par incidentu sekundes daļās nonāk Kaspersky mākonī un pie citiem klientiem, kuri attiecīgi ir aizsargāti pret jauno kriptomošķi ar agrīnajām signatūrām. Tas ir līdzīgi kā imūnsistēma un praksē strādā lieliski. Vairāk lasiet http://www.kaspersky.com/images/Kaspers ... er_ENG.pdf .
Last edited by nabadanga on 23 Feb 2016, 14:03, edited 1 time in total.
If you spend more on coffee than on IT security, you will be hacked.

User avatar
Aldis
E-žurnālists
Atbildes: 5084
Pievienojies: 21 Nov 2008, 15:55
Reputācija: 0
Atrodas: LV

Post no Aldis » 23 Feb 2016, 13:55

nabadanga cik tev maksā kasperskis par komentēšanu IT forumos, cik jams labs?! :D Ne pirmo reizi tu te manīts aizstāvot ar putām uz lūpām tieši kasperovski.. :]
Image Oh My God = OMG
Image Ak Mans Dievs = AMD

User avatar
Crow
E-žurnālists
Atbildes: 5392
Pievienojies: 10 Mai 2009, 14:22
Reputācija: 0
Atrodas: Ir

Post no Crow » 23 Feb 2016, 14:07

Nu pag, varbūt jams vienkārši ir fanbois? Vobšem, man Intel nemaksā neko... varbūt jāsāk prasīt? :D
Дебилы, бл*ть...

nabadanga
Reģistrēts lietotājs
Atbildes: 76
Pievienojies: 15 Dec 2010, 12:38
Reputācija: 0

Post no nabadanga » 23 Feb 2016, 14:15

Aldi, diez vai tu tik daudz naudas esi redzējis :) Tāpēc es dāsni dalos ar savām zināšanām, kuras sakrātas daudzu gadu praksē :)
If you spend more on coffee than on IT security, you will be hacked.

GuntOn
Reģistrēts lietotājs
Atbildes: 195
Pievienojies: 21 Nov 2010, 16:14
Reputācija: 0

Post no GuntOn » 23 Feb 2016, 14:32

Cik skaitās daudzu gadu prakse? Tik ilgi cik Kašmarskim ir nosacīts risinājums pret kriptodraņķiem? Savādi, ka kriptosērgas sākumā Kašmarski nekur nedzirdēja dziedot savas slavas dziesmas. :D

nabadanga
Reģistrēts lietotājs
Atbildes: 76
Pievienojies: 15 Dec 2010, 12:38
Reputācija: 0

Post no nabadanga » 23 Feb 2016, 14:48

20 gadi un vēl drusku. Starp citu, kriptosērgas saasināšanās sākumā šur tur bija neizpratne, kāpēc starp Kaspersky lietotājiem gandrīz nav cietušo. Tad izrādījās, ka viņi ir labi sagatavojušies. Visi tie labumi, par kuriem es te stāstīju, protams, nav dabūjami vecās Kaspersky versijās.
If you spend more on coffee than on IT security, you will be hacked.

User avatar
Aldis
E-žurnālists
Atbildes: 5084
Pievienojies: 21 Nov 2008, 15:55
Reputācija: 0
Atrodas: LV

Post no Aldis » 23 Feb 2016, 15:01

Starp citu.. nu es arī Intel fanbojs.. :) Bet tur ir neskaitāmi labi iemesli lai tādam būt..

Bet uz AV uzturu neitrālu attieksmi, pat diezgan pesimistisku attieksmi, jo neviens nepasargās no cilvēku stulbībām, un man bieži pat dēļ AV ir bijušais tikai problēmas, nekā ieguvumi...
Tas pats kasperovskis, AVG, utt ielīduši ir Android lauciņā, kas vien ir kā, maukšanās katrai pudelei par korķi - jo reāli ko uz Android tie dara, ir bremzē sistēmu, nodarbojās ar telemetriju, un domājams - ka reāli no draudiem nepasargā...
Image Oh My God = OMG
Image Ak Mans Dievs = AMD

User avatar
Aldis
E-žurnālists
Atbildes: 5084
Pievienojies: 21 Nov 2008, 15:55
Reputācija: 0
Atrodas: LV

Post no Aldis » 23 Feb 2016, 15:12

Lai saduļkotu ūdeņus AV pasaulē, nebrīnīšos ka šo kriptovīrusu sērgu paši Kašperovski vien ir izveidojuši - sākot ar policijas vīrusu, un ctiem tā paveidiem... Jo pārsteidzošā kārtā vairums jamo sērga tieši nāca no Krievijas... Taga tikai atliek kontrolēti "pasargāt" lietotājus, kas jau ir samaksājuši par Internet Security licenzēm.. :)
Image Oh My God = OMG
Image Ak Mans Dievs = AMD

nabadanga
Reģistrēts lietotājs
Atbildes: 76
Pievienojies: 15 Dec 2010, 12:38
Reputācija: 0

Post no nabadanga » 23 Feb 2016, 18:21

Latvijā Android vīrusi vēl nav ieskrējušies, bet Cert.lv viena no šī gada prioritātēm ir mobilās ļaunatūras analīzes kapacitātes palielināšana. Viņi gatavojas :)
If you spend more on coffee than on IT security, you will be hacked.

nabadanga
Reģistrēts lietotājs
Atbildes: 76
Pievienojies: 15 Dec 2010, 12:38
Reputācija: 0

Post no nabadanga » 23 Feb 2016, 18:31

Aldi, viss agri vai vēlu nāk klajā, bet neviens AV vēl nav pieķerts vīrusu rakstīšanā. Man kaut kā grūti iedomāties, ka uzņēmums ar gada apgrozījumu pie miljarda dolāru pats ņem un iznīcina sevi. Tik stulbi jau nu viņi nav :)
If you spend more on coffee than on IT security, you will be hacked.

sokoladeq
Reģistrēts lietotājs
Atbildes: 89
Pievienojies: 06 Mai 2013, 12:46
Reputācija: 0

Post no sokoladeq » 23 Feb 2016, 18:35

nabadanga ej ar savu Kaspersky reklāmu di**t, nolāpītais pīārists ar 20 gadu *iršanas stāžu!
Pret zero-day vīrusiem visi antivīrusu risinājumi apdiršas, arī Tevis mīļotais Kasperskis.
Kasperskis un visi citi antivīrusi 16.datumā par .locky invoisu teica ka viss labi un Lāva viņam ārdīties, tikai laikā uz 17. datumu visi AV risinājumi sāka bļaut par viņu, jo .locky sāka izplatīties aizvien vairāk.

nabadanga
Reģistrēts lietotājs
Atbildes: 76
Pievienojies: 15 Dec 2010, 12:38
Reputācija: 0

Post no nabadanga » 23 Feb 2016, 19:00

Pamēģini noinficēt Windows kompi ar Kaspersky Internet Security ar setingiem pēc noklusējuma un tad di*s! Es to esmu mēģinājis ar visiem izplatītākajiem Latvijā banku un kriptovīrusiem uzreiz pēc to saņemšanas un man ne reizi nav izdevies noinficēt datoru.
If you spend more on coffee than on IT security, you will be hacked.

sokoladeq
Reģistrēts lietotājs
Atbildes: 89
Pievienojies: 06 Mai 2013, 12:46
Reputācija: 0

Post no sokoladeq » 23 Feb 2016, 21:03

Tas ka tu saņem "kaut kādus" jau uzķertus mēslus nenozīmē neko.
Runa iet par "nulles dienas" vīrusiem, šajā gadījumā .locky, pret kuriem jebkurš, iegaumē-JEBKURŠ , antivīrusa risinājums apdirsīsies tiklīdz tas tiek palaists plašajā tīmeklī, ja izpildāmais kods nav rakstīts ar līkām rokām un tajā nav legacy kods no vecākiem mēsliem(cryptowall gadijumā).
Un tu vari netirsties ka kasperska lietotāji netika noķerti ar biksēm lejā kad 16.datumā .locky parādījās, pat kasperska biznesa versijas lietotāji tika nokriptēti ar visiem taviem protection mēsliem ieslēgtiem.

uldics
Reģistrēts lietotājs
Atbildes: 428
Pievienojies: 26 Sep 2009, 11:59
Reputācija: 0

Post no uldics » 23 Feb 2016, 22:07

Man tas šķiet diezgan loģiski. Muļķu pasaulē ir daudz un paliek arvien vairāk par spīti sesuritu bļaustekļiem. Priekš kam lieku laika tērēšanu, ja bičmonētas ripo tikai tā?

dexsters
Reģistrēts lietotājs
Atbildes: 355
Pievienojies: 08 Dec 2012, 10:48
Reputācija: 0

Post no dexsters » 24 Feb 2016, 06:21

Tā kā šie vīrusi kriptē tikai noteiktu failu tipus tad šamo teorētiski var apjāt nomainot visus svarīgos failu paplašinājumus uz saviem individuāliem.Piemēram .jpg nomaina uz .suns.

User avatar
Crow
E-žurnālists
Atbildes: 5392
Pievienojies: 10 Mai 2009, 14:22
Reputācija: 0
Atrodas: Ir

Post no Crow » 24 Feb 2016, 08:41

Baigais čakars. Pašus pirmos varēja tā apjāt, bet jau v3 iemācījās lasīt failu hederus. Turklāt var jau arī SHGetKnownFolderPath(FOLDERID_PicturesLibrary, , , ) un vienkārši zāģēt visus pēc kārtas. Vairumam ļautiņu tomēr bildes būs Pictures mapē un mākoņstūmējiem arī iekš Camera Roll, kas tajā ir iekļauts. Un beigās pamēģināt Desktop\New Folder\*.*, kur vairumam stāv lielākā daļa svarīgo Word dokumentu :D
Дебилы, бл*ть...

nabadanga
Reģistrēts lietotājs
Atbildes: 76
Pievienojies: 15 Dec 2010, 12:38
Reputācija: 0

Post no nabadanga » 24 Feb 2016, 09:33

IT drošībā nav tādu jēdzienu kā nulle-dienu vīruss un uzķerts vīruss. Bet es saprotu, ko tu ar to gribēji pateikt. Pēc tavas klasifikācijas es veicu pārbaudes ar nulle-dienu vīrusiem.

Man ir zināmi daudzi Kaspersky biznesa lietotāji un neviens ar Locky nav nokriptēts. Es jau augstāk komentāros skaidri uzrakstīju, ka tas var notikt, kad ir izslēgtas zināmas aizsardzības komponentes, bet dīvāneksperti jau nelasa. Tāpēc rekur pusotras minūtes video, kur ir nodemonstrēts kā Kaspersky tiek galā ar "nulle-dienu" kriptovīrusu un atliek atpakaļ nošifrētos failus ar to nešifrētām kopijām https://www.youtube.com/watch?v=iX9Ajl8j1Ls.
If you spend more on coffee than on IT security, you will be hacked.

User avatar
Ralfie
Reģistrēts lietotājs
Atbildes: 613
Pievienojies: 15 Aug 2008, 10:00
Reputācija: 0
Atrodas: Rīga

Post no Ralfie » 24 Feb 2016, 17:46


User avatar
foxsk8
Moderators
Atbildes: 5070
Pievienojies: 22 Feb 2007, 12:33
Reputācija: 0
Atrodas: Liepāja, www.notepad.lv

Post no foxsk8 » 25 Feb 2016, 00:03

Pagaidi, tu gribi teikt, ka Applam nav vajadzīga reklāma, nevienam citam nav vajadzīga reklāma tikai tāpēc, ka viņu kontos jau ir miljoni? AV vienīgā reklāma ir tā spēcīgums uz visādiem vīrusiem un to ārstēšana. Kaspersky nelietoju jau sen, visi Nortoni, Avasti, Zone Alarm, Kaspersky, Pandas, utt.. vienkārši ir nelietojami, lietoju vienīgi Avira, tautā saukto lietussardziņu jau gadiem. Iepriekšējais Win7 nokalpoja 7 gadus ar demo build, kad tiko parādījās, bez updeitiem un visām citām figņām. Bankas konti man drošībā, nevienu policijas vīrusu neesmu ieguvis, nevienu failu neesmu pazaudējis, viss ir drošība.

Ahh, kādreiz atceros, varēja uzrakstīt desktop.ini failā bildes paču, bildi uzlikt kā hidden, pamainīt hidden files views un atverot C disku vaļā, tev vienkārši uzmetās bilde kurā rakstīts Vīruss :D Man kaut kā vairāk ir patikuši autoexet bat faili, vecos dosos viens pasaka, uzraksti dosā format c un būs tev ātrāks dators :D Vo tie bija labi laiki, kad vīrusi bija tīri izklaidei un no tiem varēja daudz ko mācīties, pa lielam arī pirms 15 gadiem pievērsos tieši programmēšanai, pateicoties šiem te nejaušiem disktetē atrastiem bat failiem. :D

sokoladeq
Reģistrēts lietotājs
Atbildes: 89
Pievienojies: 06 Mai 2013, 12:46
Reputācija: 0

Post no sokoladeq » 25 Feb 2016, 10:56

Tu tak esi klauns, nepastāv viņam. :D
A kas ir zero day vulnerabilities un signature databases? Tādas nepastāv ne? :D
Nezinu kur izrāvi zero day vīrusu un noskēneji, bet smird pēc tukšas muldēšanas, ja vien protams tu pats nerakstīji viņu(šaubos) vai nestrādā kasperska verdzībā(reklāmas nodaļā, he he), kur Tev kāds malware komandas džeks atsūtīja(kas nozīmē, ka tas ir iekļauts kasperska datubāzē).

Pievienot atbildi

Return to “IT ziņas”