Cryptowall virus · Internet Mojster

431375274

30. nov 2015 ob 10:59

No pa se je zgodilo tudi nam... enega uporabnika je doletel cryptowall virus, ki zašifrira vse datoteke na računalniku, nato pa želi 500USD v BitCoinih, za ključ, ki dešifrira.

K sreči na tem računalniku ni bilo pomembnejših datotek, tako da bomo naredili format C.

Me pa zanima kako se v prihodnje zavarovati proti tovrstnim virusim?
Eno je backupiranje datotek v NAS, vendar sem bral, da lahko virus zašifrira tudi omrežne diske, torej nisem nič naredil.

Kakšni predlogi?

5640 1

splošne debate

SlimDeluxe

122310221449

4. dec 2015 ob 21:22

V yJDyo... funkciji namesto eval daj console.log in zaženi v brskalniku :)

dal

1508712

4. dec 2015 ob 22:03

digitalneinovacije:
kako se zadeva potem požene zanima tudi mene, ter ali se po restartu pc-ja spet pozene proces... saj ga med procesi cez par dni ni bilo vec...

Tole počne:

WScript.exe "C:\info_4xJzJaTUShW.zip.js" (PID: 1328)
        1.exe (PID: 2432)
            1.exe (PID: 3728)
                elfnb-a.exe (PID: 2456)
                    elfnb-a.exe (PID: 2716)
                        bcdedit.exe /set {current} bootems off (PID: 2208)
                        bcdedit.exe /set {current} advancedoptions off (PID: 3460)
                        bcdedit.exe /set {current} optionsedit off (PID: 1948)
                        bcdedit.exe /set {current} bootstatuspolicy IgnoreAllFailures (PID: 1092)
                        bcdedit.exe /set {current} recoveryenabled off (PID: 3472)
                        vssadmin.exe delete shadows /all /Quiet (PID: 3652)
                        NOTEPAD.EXE C:\Users\<Username>\Howto_RESTORE_FILES.txt (PID: 3692)
                        firefox.exe -osint -url "C:\Users\<Username>\Howto_RESTORE_FILES.html" (PID: 3064)
                        vssadmin.exe delete shadows /all /Quiet (PID: 1128)
                        cmd.exe /c DEL C:\Users\<Username>\elfnb-a.exe (PID: 2964)
                cmd.exe /c DEL C:\Users\<Username>\1.exe (PID: 2768)

twosocks

129712538921

4. dec 2015 ob 23:16

Torej če bi zaščitil zagon bcdedit.exe (lahko da o povzroči sistemske težave) bi se rešil določenih korakov... - oz. se ne prijavjal kot admin ... ker rabi admin pravice.

sebastjan

25927431927

5. dec 2015 ob 08:55

Najbolj žalostno je to, da ti podobne datoteke ne zaznajo nobeni antivirusi niti zadnji patchirani Windowsi ti ne pomagajo..

komac

733673297

5. dec 2015 ob 09:47

a se zakodiranje datotek sproži takoj ali ima zadeva kakšen delay?

Zanima me namreč, ker če delaš backupe na zunanji disk in ima delay si hitro fucked up, ker ga kopiraš še na disk ne da bi sploh vedel..

Če se zakodira takoj je dosti bolj varna ta metoda kopiranja, ker je možnost da ga boš dobil ravno v tistih 15min kopiranja precej majhna :)

twosocks

129712538921

5. dec 2015 ob 11:20

Razen morda če imaš varnostno kopiranje ki ohranja verzije na nivoju sistema diska ...

theuros

197120221

5. dec 2015 ob 12:16

če ne bi vsi windows uporabniki uporabljali admin načina bi bilo teh crypto težav precej manj.

1qay1qay

2954242019484

5. dec 2015 ob 12:46

crypto ne rabi admin načina

twosocks

129712538921

5. dec 2015 ob 19:52

1qay1qay:
crypto ne rabi admin načina

Ne, sam pač zakriptira tiste fajle do katerih ima dostop prijvaljen uporbanik, drugih ne. Če je to admin pa vse.

theuros

197120221

5. dec 2015 ob 20:25

1qay1qay:
crypto ne rabi admin načina

Če nisi admin ne moreš pognati nobene exe datoteke oz. programa ki ni instaliran, tako da, če se mu že uspe prenesti iz neta na računalnik se le ta ne more izvesti.

Cryptowall virus

14 naročnikov

42 odgovorov

Cryptowall virus 14 naročnikov

42 odgovorov

Cryptowall virus

14 naročnikov