Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Info Coronavirus/Vaccinare vs Fake News

Perseidele

Samsung doreste ca pana in 2025 n...

Despre "Drugtest 5000"
 La multi ani @pufonel!

lichid racire Tico Daewoo

Laptop Asus nou cu ssd 980gb scri...

Multimedia, Office - AV1, x265 De...
 Platformele online schimba ordine...

Impas succesiune

Share imagini iPhone HEIC?

xiaomi se blocheaza
 Carbonaut, not great, not terribl...

Amplificare semnal GSM

Oneplus 10T

Va doriți revenirea tramvaielor p...
 

Ransomware

- - - - -
  • Please log in to reply
16 replies to this topic

#1
sele

sele

    Member

  • Grup: Members
  • Posts: 762
  • Înscris: 18.10.2006
Am avut recent de a face cu un ransomware la moda in ultima vreme: Egregor.
din ce tot ce am citit despre el, modul de operare este cel mai bine descris aici:

https://www.cybereas...egor-ransomware

Am regasit structura de foldere cu documente neatinse (pdf) si nu imi dau seama daca sa le consider compromise si daca da, cum ar fi putut fi?!
Multumesc!

#2
dorin_2k

dorin_2k

    Master Member

  • Grup: Senior Members
  • Posts: 41,937
  • Înscris: 01.12.2001
Cum ți-ai dat seama că l-ai avut?
Ai vreun fișier text cu ceva solicitări?

#3
ChemTeacher

ChemTeacher

    Senior Member

  • Grup: Senior Members
  • Posts: 4,825
  • Înscris: 26.05.2007
Dar fisierele text / imagini / video sunt OK ?

#4
sele

sele

    Member

  • Grup: Members
  • Posts: 762
  • Înscris: 18.10.2006
Alte servere si PC-uri au fost criptate si fisierul text ransom. Pe cateva servere am gasit doar in windows urme (2 fisiere .bat impreuna cu dll-ul aferent).

#5
dorin_2k

dorin_2k

    Master Member

  • Grup: Senior Members
  • Posts: 41,937
  • Înscris: 01.12.2001
Ce servere? Ce PC-uri? Ești admin la ele?
Zici că ai găsit structura neatinsă. Ce structura? Pe aceleași servere?
Scrie clar ce și cum. Doar eu nu înțeleg?


#6
sorin61

sorin61

    Senior Member

  • Grup: Senior Members
  • Posts: 2,167
  • Înscris: 05.01.2004
Structura este neatinsa, fara discutie. Dar daca incerci sa deschizi un fisier, merge?
Am avut si eu un ransomware. Cu ocazia asta am realizat ca nu e asa mare dezastru daca pierd niste fisiere de pe calculator.

LE: Daca e calculatorul de acasa, pe care NU lucrezi chestii de serviciu, nu e problema.
Daca e calculatorul de pe care lucrezi, e invatatura de minte sa nu faci si altceva in afara de munca pe calculatorul respectiv, si sa nu umbli cu furaciuni (piraterie...).

Edited by sorin61, 06 December 2020 - 19:51.


#7
autoplayer

autoplayer

    Active Member

  • Grup: Members
  • Posts: 1,458
  • Înscris: 08.01.2010
Fisierele necriptate nu ar trebui sa fie periculoase (daca nu au extensia exe). Trebuie verificat sa nu fi ramas fisiere de la ransomware (exe, bat, dll, etc.) - trebuie verificat in raport ce fisiere scria si unde

Edited by autoplayer, 06 December 2020 - 19:51.


#8
sele

sele

    Member

  • Grup: Members
  • Posts: 762
  • Înscris: 18.10.2006
Eu sunt admin doar pe cateva servere locale intr-o infrastructura mai mare. Sursa "infectiei" a fost in alta parte dar s-a propagat prin AD, fiecare server l-a primit prin intermediul GPO.
Fisierele sunt pdf-uri, se pot deschide fara nici o problema, le-am deschis sub Linux, le-am scanat si cu clamAV si cu virus total si nu am gasit nimic.

#9
dorin_2k

dorin_2k

    Master Member

  • Grup: Senior Members
  • Posts: 41,937
  • Înscris: 01.12.2001
Daca acum se deschid pdf-urile: sunt ok.
Dar restul: doc, xls, txt, MP3, MP4, jpg?


#10
sele

sele

    Member

  • Grup: Members
  • Posts: 762
  • Înscris: 18.10.2006

View Postdorin_2k, on 06 decembrie 2020 - 20:13, said:

Daca acum se deschid pdf-urile: sunt ok.
Dar restul: doc, xls, txt, MP3, MP4, jpg?
Au fost masini criptate in totalitate (xls,xlsx, pdf,jpeg,txt).
Dar au ramas cateva pe care intreaga structura de foldere si fisiere (in special xlsx, pdf) a ramas neatinsa cel putin la prima vedere.
Inclusiv data modificarii este de dinainte (nu ca ca ar fi o problema)
Stiu ca pdf-urile pot contine javascript si alte elemente.

Edited by sele, 06 December 2020 - 20:28.


#11
waterman

waterman

    Mockerator

  • Grup: Senior Members
  • Posts: 27,859
  • Înscris: 17.05.2004
Bun

Care e întrebarea ta atunci  ?

#12
dorin_2k

dorin_2k

    Master Member

  • Grup: Senior Members
  • Posts: 41,937
  • Înscris: 01.12.2001
Totuși.... Tu admin. Cum de s-au criptat?
Că nu are acces oricine la serverele tale.
Ai aflat cum s-a produs?

#13
Xman_ghio

Xman_ghio

    Senior Member

  • Grup: Senior Members
  • Posts: 2,772
  • Înscris: 26.06.2009

View Postdorin_2k, on 06 decembrie 2020 - 20:42, said:

Totuși.... Tu admin. Cum de s-au criptat?
Că nu are acces oricine la serverele tale.
Ai aflat cum s-a produs?
Ajunge un user din intranet sa deschida un fisier si s-a propagat in tot AD-ul (Active Directory). Daca sunt statii care "au scapat" si fisierele (pdf, xlsx, etc) se pot deschide => alea au scapat. Celelalte: format c:\

:-(

#14
rickysyv

rickysyv

    Senior Member

  • Grup: Senior Members
  • Posts: 2,610
  • Înscris: 08.03.2008
Cum se propagă dacă alți utilizatori nu-l execută pe calculatorul lor?

View PostXman_ghio, on 06 decembrie 2020 - 21:05, said:

Ajunge un user din intranet sa deschida un fisier si s-a propagat in tot AD-ul (Active Directory). Daca sunt statii care "au scapat" si fisierele (pdf, xlsx, etc) se pot deschide => alea au scapat. Celelalte: format c:\

:-(

format c:\ is so last century! Acum all the rage e diskpart! Select disk 0 și apoi Clean!

#15
sele

sele

    Member

  • Grup: Members
  • Posts: 762
  • Înscris: 18.10.2006
Prin GPO.
Pe fiecare server am gsit un bat care downloadeaza fisierul dll iar altul care-l ruleaza.
Intrebarea era daca exista un cel mai mic risc ca in fisiere pdf sa fie "injectat" continut malitios care sa poata fi executat mai tarziu la deschiderea pdf-ului.

#16
rickysyv

rickysyv

    Senior Member

  • Grup: Senior Members
  • Posts: 2,610
  • Înscris: 08.03.2008
Zero risc să poată fi injectate PDF-urile, formatul nu permite scripturi sau macrouri ca documentele Word.

#17
sele

sele

    Member

  • Grup: Members
  • Posts: 762
  • Înscris: 18.10.2006
Sunt mai ingrijorat de pdf-uri decat de excel, word unde poti vedea cu usurinta daca are VBA inauntru.

Anunturi

Bun venit pe Forumul Softpedia!

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate