Не знам до колко това ще ти е от полза, защото едва ли самия файл е уязвим за експлоит, но не пречи разбира се. Като цяло можеш да го блокираш с CryptoPrevent

Друга идея е просто да си поиграеш с правата на файла...Deny за за четете и писане и готово. :)

 

BitDefender са си ъпдейтнали тулчето да се справя и с новата 4-та версия:

http://news.softpedia.com/news/cryptowall-vaccine-updated-for-the-latest-4-0-version-495916.shtml

Редактирано 10 ноември 201510 г. от Гост (преглед на промените)

Супер...те преди 2 дни пуснаха ъпдейт - Bitdefender Anti-Ransomware 1.0.8.13, но този вече даже е Bitdefender Anti-Ransomware 1.0.9.1. Отива в колекцията. :)

на 9.11.2015 г.,, B-boy/StyLe/ написа:

Това вече не върви...

https://www.kaldata.com/IT-%D0%9D%D0%BE%D0%B2%D0%B8%D0%BD%D0%B8/%D0%9E%D1%82%D0%BA%D1%80%D0%B8%D1%85%D0%B0-%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%B8%D1%80%D0%B0%D1%89%D0%B0-%D0%B7%D0%B0%D0%BF%D0%BB%D0%B0%D1%85%D0%B0-%D0%BD%D0%B0%D1%81%D0%BE%D1%87%D0%B5%D0%BD%D0%B0-%D0%BA-105928.html

Без въвеждане на парола от страна на потребителя криптовируса няма шанс.

Ясно е, че човешкия фактор е виновен, но почти винаги е така и при Windows-a.

 

преди 12 минути, B-boy/StyLe/ написа:

Ясно е, че човешкия фактор е виновен, но почти винаги е така и при Windows-a.

 

Не съм съгласен защото при Windows-a и под ограничен акаунт някои криптовируси вършат работа.

Защото някои хора просто изключват UAC и не го поставят на максимални настройки. UAC на настройки по подразбиране е кръгла нула. А и човешкия фактор е да стартира линка или файла прикачени в пощата така че... ;)

Добър вечер .

Лаптопа ми е с Win 7  и линукс, като втората операционна система се ползва няколко пъти в месеца.
Ако  направя копия на важните файлове на партишъна, на който е инсталиран линукса, това защитава ли файловете ми при евентуално заразяване с криптовирус ?

Редактирано 13 декември 201510 г. от Jokerface (преглед на промените)

преди 42 минути, Jokerface написа:

Добър вечер .

Лаптопа ми е с Win 7  и линукс, като втората операционна система се ползва няколко пъти в месеца.
Ако  направя копия на важните файлове на партишъна, на който е инсталиран линукса, това защитава ли файловете ми при евентуално заразяване с криптовирус ?

Не няма да ги криптира, според мен. Но да видим, какво ще каже другите.

Но има и по-лесни начини. Поне сложи criptoprevent.

Редактирано 13 декември 201510 г. от ghostBG86 (преглед на промените)

Току що, ghostBG86 написа:

Не няма да ги криптира. Но има и по-лесни начини. Поне сложи criptoprevent.

Това е с идея да имам бекъп, при евентуално заразяване, защото попринцип не съм фен на облачните услуги, а и дяла си стои празен и без това. 

Като антивирусна използвам 360 Total Security с вкючена  Data Hijacking Protection, което смятам че до някаква степен защитава. Комбинирано с PrivateFirewall + Malwarebytes Anti-Exploit.

Току що, Jokerface написа:

Това е с идея да имам бекъп, при евентуално заразяване, защото попринцип не съм фен на облачните услуги, а и дяла си стои празен и без това. 

Като антивирусна използвам 360 Total Security с вкючена  Data Hijacking Protection, което смятам че до някаква степен защитава. Комбинирано с PrivateFirewall + Malwarebytes Anti-Exploit.

Да, тази опция на китаеца, е за защита от такива бацили. Дано не ти се налага, да разбираш дали работи. Иначе, идеята ти за бекъп, е правилна.

А как ще копираш данни на линукски дял под Windows?

преди 3 минути, ExaFlop написа:

А как ще копираш данни на линукски дял под Windows?

Ще направя обратното, от линукса (дяловете на Win са видими) ще  ги копирам. Прехвърлянето обратно при евентуална зараза ще стане с флашка примерно.

Редактирано 13 декември 201510 г. от Jokerface (преглед на промените)

преди 22 часа, Jokerface написа:

Добър вечер .

Лаптопа ми е с Win 7  и линукс, като втората операционна система се ползва няколко пъти в месеца.
Ако  направя копия на важните файлове на партишъна, на който е инсталиран линукса, това защитава ли файловете ми при евентуално заразяване с криптовирус ?

Как така? Ако питате, дали, ако ви налази крипто бацил в Уин ще зарази ли файловете на Линукса, то отговора е не. За да "види" Линукс партишъна, трябва да му е вкарана такава функционалност. Не знам за такъв случай... Ако питате нещо друго, сори, че се намесвам.

преди 3 часа, Методи Дамянов написа:

Как така? Ако питате, дали, ако ви налази крипто бацил в Уин ще зарази ли файловете на Линукса, то отговора е не. За да "види" Линукс партишъна, трябва да му е вкарана такава функционалност. Не знам за такъв случай... Ако питате нещо друго, сори, че се намесвам.

Точно това е, благодаря за отговора.

на 10.11.2015 г. at 9:56, URIEL написа:

BitDefender са си ъпдейтнали тулчето да се справя и с новата 4-та версия:

http://news.softpedia.com/news/cryptowall-vaccine-updated-for-the-latest-4-0-version-495916.shtml

Бтв, както и преди съм казвал, явно инструмента на Bit-a е неефективен срещу Cryptowall-a, защото и те са установили, че създава само 2 правила в Local Security Policies.

https://support.foolishit.com/portal/community/topic/cryptowall-4-0-and-bitdefender-vaccine

Аз с помощта на Касперски успях пък да си създам правило, което блокира exe файловете и в подпаките на %temp%, а не само в основната такава:

За повечето глобалните правила на %temp% са ненужни, защото Cryptoprevent-a пази %userprofile%\appdata\local\temp, но аз съм си променил Environment Variables-a на %temp% да пише на друг дял за да не ми хаби SSD-то (което макат да има предостатъчно живот и това да му е работата, не ми е спешно да ми кешира съдържанието на %temp%) и затова при мен трябваха глобални правила.

А иначе мисля да премахна инструмента на Bit-a (днес пуснаха нова версия), защото и двете правила, които създава ги има в CryptoPrevent-a и няма функция за обновяване. Дори нещо повече, правилото в CryptoPrevent-a за appdata включва и подпапките, докато това в Bit-a е само за основната папка на Appdata...така че поне на мен не ми трябва вече.

преди 4 часа, The_Phenom написа:

Само по този начин ли могат да дойдат? Традиционни методи за проникване! Кое им е страшното?

Щом не могат да ме изненадат то нямам нужда от Crypto Prevent!

Разбира се, че не са само това начините. Могат да дойдат чрез exploit pack, drive-by-download при посещаване на заразена легитимна страница и дори може да дойдат чрез кликване на pop-up зловредни рекламни банери и т.н. Начини бол, но всеки си решава как да се защитава.

преди 2 часа, B-boy/StyLe/ написа:

Разбира се, че не са само това начините. Могат да дойдат чрез exploit pack, drive-by-download при посещаване на заразена легитимна страница и дори може да дойдат чрез кликване на pop-up зловредни рекламни банери и т.н. Начини бол, но всеки си решава как да се защитава.

Спред мое скромен опит, е добра практика, да се добави и Noscript към браузъра. В този смисъл, като премахваш Noscript, пита дали да остане и да защитава, срещу xss и подобните 'екстри'. Явно някаква орязана версия, на настройките. Това достатъчно ефективно ли е, или препоръчваш да си е пълната версия на Noscript?

преди 1 минута, ghostBG86 написа:

Спред мое скромен опит, е добра практика, да се добави и Noscript към браузъра. В този смисъл, като премахваш Noscript, пита дали да остане и да защитава, срещу xss и подобните 'екстри'. Явно някаква орязана версия, на настройките. Това достатъчно ефективно ли е, или препоръчваш да си е пълната версия на Noscript?

Никога не съм го премахвал и не ме е питал дали да оставя само част от защитата и затова не мога да ти отговоря. Ползвам само пълната версия, но определено може да е досадна за начинаещите потребители особено в първите месеци докато се вкарат в белите списъци често посещаваните и доверени страници, защото блокира редица login елементи по страниците. Доста мощен инструмент, но на моменти съм се замислял и да го премахна, защото от Мозила често пускат пачове за дупките, Comodo има модул срещу Zero-day атаки и в комбинация с MBAE мисля че всичко си идва на мястото. Имало е страници ако не работят дори с временни изключения и трябва да се позволят изцяло в NoScript, което до голяма степен те изправя пред дилемата да посетиш страницата или да премахнеш добавката, защото ако позволиш всичко тя става леко ненужна. Иначе ме е спасявала доста пъти навремето. Но пък adblocker добавка е почти задължителна за всеки. NoScript с времето ще се изправи пред дилемата на HIPS vs behavior blocker (Първия е по-мощен, но задава повече и ненужни въпроси. Втория осигурява по-малко, но повече от досатъчно сигурност на цената на по-малкото въпроси. Именно затова от Emsisoft изоставиха OnlineArmor и минаха основно на behavior blocker). Тук нещата са подобни - NoScript е един вид webfirewall, който подобно на Sandboxie не вярва на нито един сайт (Sandboxie не вярва на нито една програма). Засега лично аз го държа, но не знам дали не е малко placebo ефект.

слагай adbock и си свирквай !

Emsisoft releases Decrypter for the Randamant Ransomware Kit

Цитат

Last week we wrote about a new ransomware called the Ramadant Ransomware Kit that was encrypting files and adding the .RDM extension. Fabian Wosar, of Emsisoft, further analyzed the infection and was able to find a weakness in the encryption algorithm so that victim's can recover their files for free.  This decrypter will only work on files encrypted with the current version of Radamant that have the extension of .RDM. Though this decrypter will work for most files, certain file types such as .TXT files will not be able to be decrypted.

If you are infected with this malware, simply download decrypt_radamant.exe from the following link and save it on your desktop:

DecryptRadamant Download

Download Now

Once you have downloaded the executable, double-click on it to launch the program. When the program starts, you will be presented with a UAC prompt as shown below. Please click on Yes button to proceed. 
 

UAC Prompt

You will then be presented with a license agreement that you must click on Yes to continue. You will now see the main Radamant Decrypter screen.

Radamant Decrypter Screen 

To decrypt the C:\ drive click on the Decrypt button. If there are other drives or folder you wish to decrypt that are not listed, you can click on the Add Folder button to add other folders that contain encrypted files.  Once you have added all the folders you wish to decrypt, click on the Decrypt button to begin the decryption process.  Once you click Decrypt, DecryptRadamant will decrypt all the encrypted files and display the decryption status in a results screen like the one below.

Decryption Results

Most of your files should now be decrypted. If you need any help using this tool, you can ask in the Radamant Ransomware Kit Support Topic.

 

Как да не станем жертва на Cryptolocker
Докато работите на вашия компютър,без да предполагате,във фонов режим тече сложно криптиране на вашите файлове,за което не разполагате с код...
Внезапно на Вашия екран,се появява предупреждение:"Вашите данни са криптирани,разполагате с няколко дни за да платите,в противен случай ще загубите данните си завинаги..." А обратното броене вече е започнало..

НИЩО НОВО,НО УСЪВЪРШЕНСТВАНО
Всичко това е актуализирана версия на известния начин за извършване на престъпление - да вземат нещо ценно от вас ,а вие да си платите,за да си го вземете обратно.

Ransomware  е термин за цяла серия зловреден софтуер, които ограничават достъпа на потребители до устройствата, чрез блокиране или криптиране на важни файлове, съхранявани на тях.
В сравнение с предшественика си, CryptoLocker използва модерна технология, за да се добере до заплащане чрез Bitcoin и използва  методи за кодиране, които са почти невъзможни за разкодиране.Освен това се използват "affiliate"модели за бързо разпространение на заразата.

 

Развитие на Ransomware и използваните техники

Докладите за безопасност показват постоянно нарастване на броя на злонамерени програми, достигайки ниво от 230 000 нови проби на ден. През първата половина на 2015 г. е наблюдавано увеличение от 6-пъти сравнение с миналата година.

Този успешен растеж се обяснява с продължаващото обновяване на зловредите за преодоляване на програмите за защита, масово разпространение по електронната поща, както и заплащането на "партньорска"мрежа ,с цел разпространението на фишинг-съобщения.

 

Как работи Cryptolocker

CryptoLocker, обикновено се разпространява чрез заразени уеб сайтове, акаунти в социалните мрежи или чрез фишинг- имейли.

Например, жертвата може да получи имейл от компания или банка. Това писмо съдържа защитен с парола ZIP-файл, който съдържа файл с двойно разширение (като * .pdf.exe), на пръв поглед-нищо страшно,а в последно време започнаха да се използват документи на Word с вградени макроси.

След като потребителят стартира файла, той започва да криптира важни файлове, използвайки асиметричен алгоритъм за  криптиране, декриптиращият ключ за което е уникален и се притежава само от кибер престъпника. В този случай, уязвими са всички файлове на всички локални и мрежови устройства.

Когато Cryptolocker завърши криптиране на файловете, на жертвата се съобщава, че трябва да плати откупа, с подробна информация как да направи това. За по-голяма яснота относно сериозните намерения на екрана се показва и брояч с обратно броене.

Cryptolocker представлява още по-голяма заплаха за фирми, защото един заразен компютър започва да криптира всякакви файлове на файловия сървър.  Още по-лошо е,че някои фирми използват един споделен файлов сървър за архивиране, използван от всички служители. В този случай, се оказва, че всички архивираните файлове също могат да бъдат криптирани.

Може би си мислите, че ще бъде достатъчно просто да проследите престъпниците, но това не е лесно. Тъй като за заплащането се използват най-често  SMS-съобщения и Bitcoin-и, е много трудно да се проследи къде отиват парите.

Бизнес с ransomware се оказа много изгоден: той носи милиони (в щатски долари!) Доходи. Този бизнес е толкова рентабилен, че има дори специално разработени зловреди, като TeslaCrypt, които работят и блокират както CryptoLocker, но те са предназначени за криптиране на файлове, свързани с компютърни и видео игри и музика.

По-добре един грам превенция,отколкото един тон лечение

Заплахата от загуба на данни заради ransomware може да бъде намалена, ако следвате прости съвети:

1.Обновявайте Windows и другите програми, като Chrome, Firefox, Flash Player и Adobe Reader, а дори и добре познатия WinRAR ,които представляват вход на злонамерени програми. В този случай, рискът от инфекция може да бъде намален с редовното актуализиране на тези програми.

2. Използвайте Backup -Редовно правете резервни копия на всички важни файлове,като започнете от снимки и завършите с вашите документи.

В момента се предлагат различни решения за архивиране . За домашни потребители под формата на цели пакети, както и различни корпоративни решения и услуги в облак. Тези решения могат да намалят щетите не само от вредните инфекции, но също и от хардуерни повреди и други инциденти.

3. Повишаване на сигурността - Домашните потребители могат да използват надеждно решение за сигурност, Антивирус и защитна стена, плюс допълнителни нива на защита (защита срещу експлойти, контрол на приложения), които ще защитят вашите файлове чрез криптиране и мониторинг на процесите и ще подобрят защитата от стартиране на неизвестни приложения.

Бизнесът са по-желаните жертвите на Ransomware, така че в допълнение към защитата , те също трябва да има решение за откриване и реагиране на нападения, като Adaptive Defense 360, която гарантира 100% надеждност на приложенията.

4. Бъдете в безопасност- въпреки факта, че има много хора, които не знаят нищо за Ransomware, все пак е важно за хората да знаят за вируса, преди да са се сблъскали с него.
Образовайте потребителите в безопасно поведение: страх от имейли от непознати податели (особено с прикачени файлове), както и уеб сайтове, на които от вас се иска да изтеглите добавка, за да видите информацията, или видеото.

Бъдете внимателни, когато щракате върху връзките. Не всички сайтове са безопасни, а някои крият неприятни изненади. Ако браузърът ви казва, че нещо не е наред, не забравяйте да се обърне внимание на предупреждението му.

Загубени данни, какво трябва да направя?

Не се препоръчва да се плаща откуп, той просто ще насърчи тези и други престъпници да развиват своите "творения" и изкуството на изнудване.

 

Превод на: Как не стать жертвой Cryptolocker?

 

Здравейте,

Имам огромен проблем. На 20.01.2016г. в нашият офис беше заразен сървъра и в всички компютри в мрежата. Файловете в шернатите папки бяха криптирани с окончание [email protected]. Засегнатите файлове са doc, exl, txt. От 26 часа съм пуснала Kaspersky RakhniDecryptor, но все още няма резултат.

Моля за вашата помощ!

 

MARIANA EKIMOVA,

Прочетете и изпълнете указанията зад линка. Изчакайте член на HJt екипа да ви даде указания за по-нататъшни действия.
системата-ми-е-инфектирана-какво-да-правя-сега