Vlákno názorů k článku Postřehy z bezpečnosti: ransomware „Locky" od Jaroslav Kodet - Dobrý den. Bohužel jsem poněkud nekriticky převzal zprávu...
-
Jaroslav KodetZlatý podporovatelDobrý den. Bohužel jsem poněkud nekriticky převzal zprávu ze zdroje který bývá důvěryhodný. Po důkladnějším prohledání dalších zdrojů se zdá, že odkazovaný postup s Panda unransom přinejmenším v některých případech opravdu funguje, nicméně ne vždy. Takže předpokládám, že tento tool pracuje na principu použití lexikonu známých klíčů, který ovšem není kompletní, takže nezafunguje vždy. Nalezl jsem ale další možné postupy jak získat (s trochou štěstí) data zpátky: http://nabzsoftware.com/types-of-threats/locky-file . Ještě jedno upozornění: když jsem vyhledával klíčová slova "locky ransomware decrypt" bylo nalezeno pár programů, o kterých bylo tvrzeno že lockyho dekryptovat umí, nicméně některé z nich samy obsahovaly škodlivý software.
-
Honza Jaroš (neregistrovaný)
Ten návod v podstatě jen říká jak obnovit data pomocí Volume Shadow Copy a undelete. Drobný problém je, že VSS snapshoty jsou na koncových stanicích často zakázané a i když jsou povolené, vytvářejí se automaticky jen při instalacích programů a záplat. Takže je otázka, jestli budou nějaké rozumně použitelné "zálohy" vůbec k dispozici. Každopádně nejde o dešifrování, v podstatě je to ekvivalent obnovení dat např. z BTRFS snapshotů.
Na druhou stranu včera jsem měl kliku, uživatelka měla na lokálním počítači snapshot z pondělka, při šifrování disků připojených ze serveru to limitovala pomalejší linka a navíc ho antivir stihl odstřelit celkem brzo (je divné, že ho vůbec nechal spustit, mám podezření, že na tu breberku přišel až při kontrole spuštěných programů po stažení nových virových definic) a těch pár zašifrovaných adresářů šlo - opět pomocí VSS - snadno vrátit do stavu před dvěma hodinami. Jen netuším, jak vůbec došlo ke spuštění, protože se dotyčná dušuje, že žádná makra nepovolovala a podezřelý soubor nedostala. Buď kecá, nebo jde o nějaký nový způsob spuštění.
-
Jaroslav KodetZlatý podporovatel
Dobrý den, pane Jaroši.
Musím připustit, že jsem byl opravdu příliš optimistický po zveřejnění toho prvního postupu (pomocí Pandy), zejména když zrovna v případě který jsem pomáhal řešit zafungoval. Algoritmus tedy prolomen NENÍ, nicméně v některých případech ten tool od Pandy funguje. Ano, dopustil jsem se nepřípustného zobecnění. Pokud jde o Volume Shadow Copy, s Windows nemám mnoho zkušeností, ale pokud se vytváří restore point po každé instalaci software, neměla by být shadow kopie starší než je čas posledního automatického updatu. Pokud jde o způsob průniku, napadá mě, jestli paní nemá v mailovém klientovi povolené automatické náhledy příloh - to by teoreticky mohlo stačit k infekci, pokud se jako prohlížeč pro soubory MS office používá opravdový MS Office s povolenými makry, a nikoli viewery neschopné interpretace maker jak by tomu správně mělo být. Ale pořád by musela být povolena makra. Zda paní dostala mail s infikovanou přílohou by mělo být možno dohledat v logu mailserveru. Infikovaný soubor se samozřejmě dá získat i jiným způsobem než mailem, třeba odkazem na webu, nebo na USB klíčence. Pokud byl vektor infekce exotičtější, určitě by to stálo za prozkoumání. -
Honza Jaroš (neregistrovaný)
Zase to s tím sypáním popelu na hlavu nepřehánějte... :-)
U té paní bohužel nevím ani který mail to byl (a denně jich jí chodí spíš stovky), antivir našel až exe soubor v TEMPu a automaticky ho odstřelil a smazal. Nikde jinde nic dalšího nenašel, ve schránce ani na disku. Každopádně makra má dotyčná dáma zakázaná - resp. nepodepsaná makra jsou zakázaná úplně, u podepsaných se to ptá. Schválené podpisy pro automatické spouštění tam nejsou. Takže záhada...
-
Pavel BZlatý podporovatel
Teď zase probíhala nějaká větší kampaň na některých hodně navštěvovaných serverech, která prý šířila ransomware http://securityaffairs.co/wordpress/45362/cyber-crime/top-websites-malvertising-campaign.html Třeba něco nemá záplatované.
ČLÁNKY DO MAILU