Artigo/Análise CryptoLocker: Nova super-versão de RANSOMWARE
- Autor do tópico Blue Zee
- Data Início
Tenho um PC infectado (variante: Cryptolocker), não há backups, "File History" não estava activado, o decrypter da Emsisoft diz que o PC não parece estar infectado e então não deixa prosseguir com recuperação de ficheiros. Vou ter que tentar outra coisa.
Nesse Kit, na pasta para Cryptolock remete para o site do "decryptcryptolocker", onde era possível enviar um ficheiro encriptado para obter uma chave. Mas pelos vistos já não funciona mais. Sabem se existe outro local onde se possa fazer isto?
Acho piada quando dizem "We believe that our Decryptolocker site has served its purpose, and we have decommissioned it given that the threat landscape has evolved.".
Eu bem sei que eles é que estão a fazer um favor e ninguém lhes paga mas eles dizem isso como se o problema tivesse sido erradicado, os novos infectados "não importam".
Peter1986
Power Member
Mais uma grande empresa conhecida minha atacada de sábado à tarde, um servidor onde ninguém mexe... com apenas SQL SERVER, uns quantos programas de gestão... 3000€, o fulano sendo simpático fez desconto de 1000€ e ainda mais simpático foi quando referiu que caso tivessem perdidos dados por causa da encriptação, que ele iria ajudar a recuperar tudo. Queixa foi feita na PJ.. O cliente não podia esperar, 3000% são apenas 4/5% da facturação diária...
Contudo, continuo a achar isto do cryptolocker de génio!
O que acham que a policia aconselhou?
A pagar pois está claro...esta historia é simples e funciona...
Na essencia, pensando cá para mim, isto nao é diferente de qualquer produto...
”entram pela nossa casa dentro, invadem mesmo, criam-nos uma necessidade, e têm a solução à venda”
Contudo, continuo a achar isto do cryptolocker de génio!
O que acham que a policia aconselhou?
A pagar pois está claro...esta historia é simples e funciona...
Na essencia, pensando cá para mim, isto nao é diferente de qualquer produto...
”entram pela nossa casa dentro, invadem mesmo, criam-nos uma necessidade, e têm a solução à venda”
Pior é uma máquina com SQL server ter acesso assim tão fácil e instalarem uma virose... Mas andam a abrir email em servidor de produção ou a instalar coisas desconhecidas? Supostamente só o DBA ou o sysadmin que devia ter acesso á máquina.
A minha pergunta não é crítica mas gostava de saber como foi possível tal infecção.
A virose foi carregada neste servidor ou noutra máquina que tinha mapeado o disco do servidor?
A minha pergunta não é crítica mas gostava de saber como foi possível tal infecção.
A virose foi carregada neste servidor ou noutra máquina que tinha mapeado o disco do servidor?
Última edição:
civismo
Power Member
Neste caso aparentemente pagar foi a solução.
Concordo com o Peter1986 quando diz:
Na essencia, pensando cá para mim, isto nao é diferente de qualquer produto...
”entram pela nossa casa dentro, invadem mesmo, criam-nos uma necessidade, e têm a solução à venda”
Diria mais: Já foram penhorados pelas financas alguma vez ? É bastante parecido... é só pagando é que se resolve
=======================================================================================
AS unidades mapeadas são assustadoras neste aspecto.
A solução é aceder sempre por \\nomedapasta em vez de mapear ?
Presumo então que no servidor, apenas as pastas partilhadas ficaram encriptadas, certo ?
Tenho um cliente, uma junta que tambem foram infectados e os valores que pediram andam para os 3000€
No entanto todos os outros andavam na casa dos 500€
Penso que eles devem ter um critério em que quando tem SQL multiplica o valor
=======================================================================================
Tenho aqui um executavel que encontrei num pc encriptado, se alguem quiser para fazer testes.
Já experimentei a instalar o windows de raiz num disco , corri o executavel , e passados alguns minutos tinha varrido o disco.
Após reiniciar apareceu o aviso que o pc tinha sido encriptado bla bla bla
Fiz mais alguns testes, o que me surpreendeu foi que nada aconteceu após ter adicionando novas pastas com documentos, ou seja aparantemente faz um unico varrimento .
Tentei ainda correr novamente o mesmo executavel no mesmo computador, mas nada fez , provavelmente porque ficheiros duplamente encriptados não teriam solução.
Concordo com o Peter 1986 quando diz "continuo a achar isto do cryptolocker de génio!" , independente de ser eticamente reprovavel , é de facto o virus mais perfeito alguma vez criado .
Penso que isto é o inicio de uma nova era, até porque cada vez as nossas vidas são mais digitais,
Provavelmente estamos a assistir a um momento historico com o aparecimento destes Ransomwares
Concordo com o Peter1986 quando diz:
Na essencia, pensando cá para mim, isto nao é diferente de qualquer produto...
”entram pela nossa casa dentro, invadem mesmo, criam-nos uma necessidade, e têm a solução à venda”
Diria mais: Já foram penhorados pelas financas alguma vez ? É bastante parecido... é só pagando é que se resolve
=======================================================================================
AS unidades mapeadas são assustadoras neste aspecto.
A solução é aceder sempre por \\nomedapasta em vez de mapear ?
Presumo então que no servidor, apenas as pastas partilhadas ficaram encriptadas, certo ?
Tenho um cliente, uma junta que tambem foram infectados e os valores que pediram andam para os 3000€
No entanto todos os outros andavam na casa dos 500€
Penso que eles devem ter um critério em que quando tem SQL multiplica o valor
=======================================================================================
Tenho aqui um executavel que encontrei num pc encriptado, se alguem quiser para fazer testes.
Já experimentei a instalar o windows de raiz num disco , corri o executavel , e passados alguns minutos tinha varrido o disco.
Após reiniciar apareceu o aviso que o pc tinha sido encriptado bla bla bla
Fiz mais alguns testes, o que me surpreendeu foi que nada aconteceu após ter adicionando novas pastas com documentos, ou seja aparantemente faz um unico varrimento .
Tentei ainda correr novamente o mesmo executavel no mesmo computador, mas nada fez , provavelmente porque ficheiros duplamente encriptados não teriam solução.
Concordo com o Peter 1986 quando diz "continuo a achar isto do cryptolocker de génio!" , independente de ser eticamente reprovavel , é de facto o virus mais perfeito alguma vez criado .
Penso que isto é o inicio de uma nova era, até porque cada vez as nossas vidas são mais digitais,
Provavelmente estamos a assistir a um momento historico com o aparecimento destes Ransomwares
Blue Zee
Power Member
E que na grande maioria dos casos, para não ser radical e afirmar "em todos os casos", dependem da atuação irresponsável dos utilizadores.
Repetindo-me para que não se perca a informação:
Claro que isto não impedirá (apesar de todos os avisos e como já foi referido) que o utilizador continue a clicar no OK para autorizar a infeção.
Repetindo-me para que não se perca a informação:
Claro que isto não impedirá (apesar de todos os avisos e como já foi referido) que o utilizador continue a clicar no OK para autorizar a infeção.
Blue Zee
Power Member
Há muitas variantes, mais ou menos agressivas, mas é geralmente aceite que encripta todas as drives a que o utilizador tenha acesso:
CryptoLocker: What Is and How to Avoid it
Entre muita leitura interessante:
Anatomy of a ransomware attack: CryptoLocker, CryptoWall, and how to stay safe (Infographic)
Daqui:
CryptoLocker: What Is and How to Avoid it
Entre muita leitura interessante:
Anatomy of a ransomware attack: CryptoLocker, CryptoWall, and how to stay safe (Infographic)
Peter1986
Power Member
As partilhas por \\ são afetadas se a password estiver memorizada e se o trojan for executado naquela sessão.
Mais vale prevenir que remediar! Aplicar politicas fortes de password e obrigar sempre os utilizadores a inserir password para a partilha pode ajudar! Bem como deixar as políticas da partilha das pastas bem definidas, ou seja, não deixar modificar os ficheiros...
Um Cryptolocker apenas corre uma vez, claro que se forem duas versões diferentes corre um e depois o outro...! Contudo é preciso muito azar.
Mais vale prevenir que remediar! Aplicar politicas fortes de password e obrigar sempre os utilizadores a inserir password para a partilha pode ajudar! Bem como deixar as políticas da partilha das pastas bem definidas, ou seja, não deixar modificar os ficheiros...
Um Cryptolocker apenas corre uma vez, claro que se forem duas versões diferentes corre um e depois o outro...! Contudo é preciso muito azar.