Locky Lock

Všetko o antivírových programoch, firewalloch, víroch, spyware, ostatných aktuálnych hrozbách, názoroch a skúsenostiach, ako sa im vyvarovať...
POZOR: žiadny WAREZ
Používateľov profilový obrázok
HellAngel
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 12538
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Locky Lock

Príspevok od používateľa HellAngel »

ahojte, tak dnes sa mi objavil tento kryptovaci virus. Pocitac som odstrihol od firemnej siete a zajtra sa mu budem venovat.
uz ste sa snim niekto stretol? na nete toho zatial moc nieje, nakolko je to celkom novy virus. Dufam len, ze mi nepobehal po sieti, to by som mal asi peknych par noci stravenych vo firme :facepalm:
http://www.bleepingcomputer.com/news/se ... rk-shares/
NB: Asus ROG Zephyrus G14 (2022)
Používateľov profilový obrázok
felipe25
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 5780
Dátum registrácie: Po 19. Júl, 2010, 13:00
Bydlisko: Košice

Re: Locky Lock

Príspevok od používateľa felipe25 »

no, ked ti zasifruje data ani bezsenne noci nepomozu..

btw, bezal antivir na tom pc? ak ano, aky?
Spoiler: ukázať
Main PC: Fractal Define Black R5 window, ASUS ROG STRIX Z390-E GAMING, Intel Core i5 9600K, Patriot Viper4 Series 16GB KIT DDR4 3000MHz CL16, ADATA XPG GAMMIX S5 SSD 256 GB SSD, 1x5TB + 1x4TB, GIGABYTE 1060 GTX 3GB, Blue-Ray LG, 27" Samsung QHD, keyboard: Asus TUF Gaming, mouse: HP Pavilion mouse 200, Windows 11 Pro 64bit

NB: DELL + ASUS

iPhone 13 Pro Max
Huawei Mate 40 Pro
Používateľov profilový obrázok
HellAngel
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 12538
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od používateľa HellAngel »

antivirus tam prave nie je, teda vyprsala licencia, teraz sa riesi nakup druheho. POvodne bol MCaffe. ALe co citam, tak virus prave presiel aj cez Mcaffe
NB: Asus ROG Zephyrus G14 (2022)
Používateľov profilový obrázok
643
Používateľ
Používateľ
Príspevky: 1210
Dátum registrácie: Št 15. Nov, 2007, 08:00
Bydlisko: Bratislava - Dubravka

Re: Locky Lock

Príspevok od používateľa 643 »

stretol som sa s nim, riesili sme to odpojenim od siete (a naslednou recovery celeho servera) a restorom (nielen jednym na file clusteroch)
2ja ludia pospustali tusim nejaky excel macro ... ale tusim to nepytalo ani vela $$$, nejakeho pol btc :D, to by ani tak nebol problem, problem bolo to, ze uz tej masine ani po odkodovani neveris :D

pobehaj po sieti a hladaj ten trtnuty locky subor "Locky_recover_instructions.txt" a uvidis, ci si safe, alebo bezsenne noci pokracuju ;)
P.S.: po firme dat nejake skolenie alebo nieco, nech chobotiny nespustaju...
Používateľov profilový obrázok
HellAngel
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 12538
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od používateľa HellAngel »

kazde 2-3 mesiace posielam Mail s upozorneniami o moznych hrozbach a by si davali pozor, aby pouzivali mozog atd. Proste ale .....
Pozriem zajtra ten subor podrobnejsie. Co si pametam boli tam odkazy na wiki, potom linky na recorvery a ID

mal si antivirus?

edit: este sa ta chcem opytat ako to preiehalo v sieti, mal si nainfikovanu celu siet, ci len konkretne jednu stanicu, ak celu siet, mal si domenu?
NB: Asus ROG Zephyrus G14 (2022)
Používateľov profilový obrázok
643
Používateľ
Používateľ
Príspevky: 1210
Dátum registrácie: Št 15. Nov, 2007, 08:00
Bydlisko: Bratislava - Dubravka

Re: Locky Lock

Príspevok od používateľa 643 »

mcafee...
kde bol pristup to kryptoval :)
Používateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1737
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od používateľa Andrew007 »

Kedy uz konecne ludia pochopia ze neexistuje najlepsi antivirus, vsetko sa da cryptnut, otazka znie na aku dobu je schopna vzorka sa tvarit ako neutral code.
5800X3D - ROG strix B550-A gaming - 4090 GS - Corsair 32/3600 - 970 evo 1TB - Corsair RM850 - Dell 2716DG 2K/144 / Dell Gaming G3223Q 4K/120
Používateľov profilový obrázok
HellAngel
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 12538
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od používateľa HellAngel »

nikdy, ludia si myslia ze maju antivir a su v bezpeci :facepalm: XY krat som vysvetloval ze najdolezitejsi rozum, ale nie. Zatial mam napadnute 2 PC, su uz odpojene a idu na format. Uvidim dnes co sa bude diat
NB: Asus ROG Zephyrus G14 (2022)
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12259
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: Locky Lock

Príspevok od používateľa mp3turbo »

>> Dufam len, ze mi nepobehal po sieti, to by som mal asi peknych par noci stravenych vo firme :facepalm:


ja byt akykolvek skodlivy kod, prva a okamzita vec ktoru spravim ked sa dostanem do nejakeho pocitaca s IP adresou 192.168.74.45 a maskou 255.255.255.0 bude co ?

Ze pobeham vsetky adresy od 192.168.74.1 do 192.168.74.254.
Ze preco ?
Ze preto lebo by som chcel robit to co robim rad... rozosievat svoje semeno aby zakvitlo co najviac potomstva.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Používateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1737
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od používateľa Andrew007 »

rozosievat svoje semeno
prave som vyplul jogurt na monitor :D

//EDit : Pokial ma niekto k dispozicii hociaky virus, kludne to pastnite do dropboxu popr. poslite mi link do spravy a vecer ukazem cryptnutu podobu a full vypis cez online scanner od 36 roznych antivirakov, myslim to vazne . Zivotnost takeho kodu je cca 5-10 dni, v zavislosti co obsahuje main code - keylog, stealer, miner, remote controll atd .
5800X3D - ROG strix B550-A gaming - 4090 GS - Corsair 32/3600 - 970 evo 1TB - Corsair RM850 - Dell 2716DG 2K/144 / Dell Gaming G3223Q 4K/120
Používateľov profilový obrázok
643
Používateľ
Používateľ
Príspevky: 1210
Dátum registrácie: Št 15. Nov, 2007, 08:00
Bydlisko: Bratislava - Dubravka

Re: Locky Lock

Príspevok od používateľa 643 »

no, lockymu sa zjavne dari dlhsie :) kedze som ho riesil uz vyse mesiaca dozadu :)
Používateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1737
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od používateľa Andrew007 »

Je tam vela faktorov ktore ovplyvnia casovu detekciu, nic netrva vecne. Tieto vzorky obsahuju aj takzvany update server, proces si automaticky cucne "novy fresh code" cez direct url . Vacsina z nich ma .NET framework potencial, zaroven scan a runtime protection . "Rozmnozovanie" je mozne prinutit cez P2P, local, .rar, .zip, komunikacne programy, vbnet, bash script, usb . Aktualne sa mi dostavili nove informacie ohladom exploitu pre .doc a .xmls .xlsx . Nejedna sa o ziadne makra, koncovy uzivatel nemusi nic potvrdit .

ps: vyssie uvedene udaje maju len informativny charakter a boli zdielane len pre toto forum .
5800X3D - ROG strix B550-A gaming - 4090 GS - Corsair 32/3600 - 970 evo 1TB - Corsair RM850 - Dell 2716DG 2K/144 / Dell Gaming G3223Q 4K/120
Používateľov profilový obrázok
HellAngel
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 12538
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od používateľa HellAngel »

a odkial ti ten log hodit?
momentalny stav je taky, infikovany nakoniec jeden PC, komplet zakryptovany. Dosatal sa aj na file server, ale tu skodu neurobil. Sice vytvoril v kazdej zlozke lock subor, ale nic nezakryptoval. Zrejme ho zablokovala vnutorna politika a prava
NB: Asus ROG Zephyrus G14 (2022)
Používateľov profilový obrázok
Andrew007
Čierna listina bazáru
Čierna listina bazáru
Príspevky: 1737
Dátum registrácie: Ne 28. Dec, 2008, 20:14
Bydlisko: Senec

Re: Locky Lock

Príspevok od používateľa Andrew007 »

Aky log mas na mysli ? Citam a citam, nikde som log nespominal .
5800X3D - ROG strix B550-A gaming - 4090 GS - Corsair 32/3600 - 970 evo 1TB - Corsair RM850 - Dell 2716DG 2K/144 / Dell Gaming G3223Q 4K/120
Používateľov profilový obrázok
HellAngel
Sponzor fóra gold
Sponzor fóra gold
Príspevky: 12538
Dátum registrácie: Po 29. Dec, 2008, 00:15
Bydlisko: Turčianske Teplice

Re: Locky Lock

Príspevok od používateľa HellAngel »

Myslel co by si chcel vidiet z toho antivirusu
NB: Asus ROG Zephyrus G14 (2022)

Návrat na "Bezpečnost a zabezpečenie PC"