kedze si znaly veci, ako sa branit? (teda okrem osvety uzivatelov?)Andrew007 napísal:Je tam vela faktorov ktore ovplyvnia casovu detekciu, nic netrva vecne. Tieto vzorky obsahuju aj takzvany update server, proces si automaticky cucne "novy fresh code" cez direct url . Vacsina z nich ma .NET framework potencial, zaroven scan a runtime protection . "Rozmnozovanie" je mozne prinutit cez P2P, local, .rar, .zip, komunikacne programy, vbnet, bash script, usb . Aktualne sa mi dostavili nove informacie ohladom exploitu pre .doc a .xmls .xlsx . Nejedna sa o ziadne makra, koncovy uzivatel nemusi nic potvrdit .
ps: vyssie uvedene udaje maju len informativny charakter a boli zdielane len pre toto forum .
Locky Lock
- 643
- Používateľ
- Príspevky: 1210
- Dátum registrácie: Št 15. Nov, 2007, 08:00
- Bydlisko: Bratislava - Dubravka
Re: Locky Lock
- Andrew007
- Čierna listina bazáru
- Príspevky: 1737
- Dátum registrácie: Ne 28. Dec, 2008, 20:14
- Bydlisko: Senec
Re: Locky Lock
Na com sa zhodne skupina v ktorej sa pohybujem pracovne a mimo pracovnej doby . Skratka pouzivat zdravy rozum a skontrolovat nestandardne porty , sledovat vonkajsiu komunikaciu . V labe sme mali moznost testovat 36 roznych antivirusov ratane firewallov, vsetko sa da ciastocne obist (ano, aj vieme ako na to .. ).
Pokial utocnik potrebuje jednorazovo natiahnut udaje popr. ukradnut citlive data, staci na to par minut. Tu sa bavime o programe ktory je schopny udrzat stabilitu pocas scantimeu a neprezradit certifikat . Napr. taky eset vyhodnocuje program bez certifikatu ako skodlivy, pricom nejedna sa o virus ( crack, keygen atd ) .
Takze ostava len sedliacky rozum a neklikat tam kde sa nema, ale zopar dobrych postrehov : nepouzivat javu, v ziadnom pripade nenavstevovat stranky ktore su zalozene, resp. obsahuju vacsinu flash prvkov . Davam do pozornosti sedliacky prikaz pod cmd " netstat -a " kde je mozne skontrolovat prieniky . Urcite by som spravil na ploche rychly odkaz do AppData kam sa skopiruju vzorky popr. neustale porovnavat procesy : svchost.exe, explorer.exe . Pod Win 10 je to uz o cosi zlozitejsie, tam vacsina Framewrok utokov neprejde - odksusane cez hromadne generovany mail 50im prijemcom .
Win 10 Inject rate = 60 %
Win7 Inject rate = 95ˇ%
Win XP Inject rate = 99% ...
Pokial utocnik potrebuje jednorazovo natiahnut udaje popr. ukradnut citlive data, staci na to par minut. Tu sa bavime o programe ktory je schopny udrzat stabilitu pocas scantimeu a neprezradit certifikat . Napr. taky eset vyhodnocuje program bez certifikatu ako skodlivy, pricom nejedna sa o virus ( crack, keygen atd ) .
Takze ostava len sedliacky rozum a neklikat tam kde sa nema, ale zopar dobrych postrehov : nepouzivat javu, v ziadnom pripade nenavstevovat stranky ktore su zalozene, resp. obsahuju vacsinu flash prvkov . Davam do pozornosti sedliacky prikaz pod cmd " netstat -a " kde je mozne skontrolovat prieniky . Urcite by som spravil na ploche rychly odkaz do AppData kam sa skopiruju vzorky popr. neustale porovnavat procesy : svchost.exe, explorer.exe . Pod Win 10 je to uz o cosi zlozitejsie, tam vacsina Framewrok utokov neprejde - odksusane cez hromadne generovany mail 50im prijemcom .
Win 10 Inject rate = 60 %
Win7 Inject rate = 95ˇ%
Win XP Inject rate = 99% ...
5800X3D - ROG strix B550-A gaming - 4090 GS - Corsair 32/3600 - 970 evo 1TB - Corsair RM850 - Dell 2716DG 2K/144 / Dell Gaming G3223Q 4K/120
- HellAngel
- Sponzor fóra gold
- Príspevky: 12538
- Dátum registrácie: Po 29. Dec, 2008, 00:15
- Bydlisko: Turčianske Teplice
Re: Locky Lock
to tvrdim aj ja, rozum. ale bohuzial niektory ani po upozorneniach si nedaju pozor.
Momentalne to je stopnute, aspon dufam, nic nove nenaskakuje. Scanujem server, lokalne PC.
Takisto achyba je isto OS. Bolo tam XP, co je derave ako reseto. Andrew a ktory antvir Vamvychadza ako naj. Je to skor sukromna otazka, staci napisat aj do PM.
Momentalne to je stopnute, aspon dufam, nic nove nenaskakuje. Scanujem server, lokalne PC.
Takisto achyba je isto OS. Bolo tam XP, co je derave ako reseto. Andrew a ktory antvir Vamvychadza ako naj. Je to skor sukromna otazka, staci napisat aj do PM.
NB: Asus ROG Zephyrus G14 (2022)
- 643
- Používateľ
- Príspevky: 1210
- Dátum registrácie: Št 15. Nov, 2007, 08:00
- Bydlisko: Bratislava - Dubravka
Re: Locky Lock
aj mne ju mozes postnut
- Andrew007
- Čierna listina bazáru
- Príspevky: 1737
- Dátum registrácie: Ne 28. Dec, 2008, 20:14
- Bydlisko: Senec
Re: Locky Lock
Kludne vam to napisem sem a zaroven ocakavam kritiku od vsetkych "znalcov" .
Najlepsi detection rate ma Avast . Jediny antivir, ktory je schopny v najkratsom case odhalit hociaku haved . Na druhej priecke je Eset, tretia Kaspersky . Najhorsi corporate antivirus je Symantec Endpoint Protection a MC.
Vacsina pouzivatelov sa spolieha na win defender ktory je celkom kvalitny ale nie vzdy vie odstranit kod z karanteny, popr. natrvalo v pc. Podarilo sa mi (nám) prisposobit cez Delphi jeden riadok kde som pri starte pustal . exe pod defenderom . Zdoraznujem ze subor uz bol presunuty do karanteny a stale som vedel vytvorit pripojenie
Jednu vzorku som instaloval do firemnej virtualky este vlani pred letom, stale mi to bezi v pozadi a bez problemov ju pouzivam ako remote server a nevyskakujem ani v reporte .( zapnute proxy, 2 rozne brany, vsetky porty uzavrete okrem standardnych). - komplexna ochrana od Symantecu .
Najlepsi detection rate ma Avast . Jediny antivir, ktory je schopny v najkratsom case odhalit hociaku haved . Na druhej priecke je Eset, tretia Kaspersky . Najhorsi corporate antivirus je Symantec Endpoint Protection a MC.
Vacsina pouzivatelov sa spolieha na win defender ktory je celkom kvalitny ale nie vzdy vie odstranit kod z karanteny, popr. natrvalo v pc. Podarilo sa mi (nám) prisposobit cez Delphi jeden riadok kde som pri starte pustal . exe pod defenderom . Zdoraznujem ze subor uz bol presunuty do karanteny a stale som vedel vytvorit pripojenie
Jednu vzorku som instaloval do firemnej virtualky este vlani pred letom, stale mi to bezi v pozadi a bez problemov ju pouzivam ako remote server a nevyskakujem ani v reporte .( zapnute proxy, 2 rozne brany, vsetky porty uzavrete okrem standardnych). - komplexna ochrana od Symantecu .
5800X3D - ROG strix B550-A gaming - 4090 GS - Corsair 32/3600 - 970 evo 1TB - Corsair RM850 - Dell 2716DG 2K/144 / Dell Gaming G3223Q 4K/120
Re: Locky Lock
A čo hovoríš na taký Trend Micro?
- Andrew007
- Čierna listina bazáru
- Príspevky: 1737
- Dátum registrácie: Ne 28. Dec, 2008, 20:14
- Bydlisko: Senec
Re: Locky Lock
Antivir ako antivir....
Pozri sa, dnes si spravim doma code, obidem Ti TM, zivotnost odhadujem max "len" na jeden tyzden. Ano, pokial utocnik chce od teba nieco ziskat staci mu par minut a sam si dany kod odstrani. Tu je v podstate dolezite aby neprebehlo spustenie a nastalo okamzite infikovanie, ktore jednoducho nevie na 100% vykonat ani jeden z najslavnesjich "antis" softwerov . Presny zoznam tychto programov a firewallov poskytnem vecer .
Ako som spominal, ak ma niekto doma hociaky virus vo forme "keylogu, cracku z hier " poslite mi to do spravy a ukazem ako sa tvari prepisany neskodny kod a uvidite aj vysledky tzv. "hlbokej kontroly" .
Pozri sa, dnes si spravim doma code, obidem Ti TM, zivotnost odhadujem max "len" na jeden tyzden. Ano, pokial utocnik chce od teba nieco ziskat staci mu par minut a sam si dany kod odstrani. Tu je v podstate dolezite aby neprebehlo spustenie a nastalo okamzite infikovanie, ktore jednoducho nevie na 100% vykonat ani jeden z najslavnesjich "antis" softwerov . Presny zoznam tychto programov a firewallov poskytnem vecer .
Ako som spominal, ak ma niekto doma hociaky virus vo forme "keylogu, cracku z hier " poslite mi to do spravy a ukazem ako sa tvari prepisany neskodny kod a uvidite aj vysledky tzv. "hlbokej kontroly" .
5800X3D - ROG strix B550-A gaming - 4090 GS - Corsair 32/3600 - 970 evo 1TB - Corsair RM850 - Dell 2716DG 2K/144 / Dell Gaming G3223Q 4K/120
- HellAngel
- Sponzor fóra gold
- Príspevky: 12538
- Dátum registrácie: Po 29. Dec, 2008, 00:15
- Bydlisko: Turčianske Teplice
Re: Locky Lock
dnes som telefonoval s pari IT firmami a vravia, ze tohto sajrajtu je teraz celkom dost po slovensku a nieje na to obrany. Vyzera ze skutocne rozsireniu virusu dokaze zabranit len domenova politika prav, ucty ktore virus otvorili nemaju moc prav ohladne siete, takze im to loklo lokelne dokumenty. Iked virus siel aj do file server, tak mam tiez obmedzenu politiku prav uzivatelovi, takze sa mu zatial nic zakryptovat nepodarilo. Dufam ze to tak aj ostane.
NB: Asus ROG Zephyrus G14 (2022)
- felipe25
- Pokročilý používateľ
- Príspevky: 5780
- Dátum registrácie: Po 19. Júl, 2010, 13:00
- Bydlisko: Košice
Re: Locky Lock
asi idem na mesiac poodpajat vsetky disky kym to nepresusti. a to mam windows10, avast free. Mam radsej dat NOD 5?
Spoiler: ukázať
- HellAngel
- Sponzor fóra gold
- Príspevky: 12538
- Dátum registrácie: Po 29. Dec, 2008, 00:15
- Bydlisko: Turčianske Teplice
Re: Locky Lock
Antivir nema sancu. Co mi hodne pomohlo, je zaloha na qnap servery, ktory je uplne mimo domeny a nebol problem potom robit pripadnu obnovu suborov. Takze zaloha, zaloha, zaloha. Dohodol som sa s jednou firmou, zlozim jedno linuxove ulozisko, nastavim aby tam duplicitne kopirovalo zalohy.
NB: Asus ROG Zephyrus G14 (2022)
Re: Locky Lock
http://www.techspot.com/news/64395-adob ... stall.html
As Trend Micro points out, one of the vulnerabilities – CVE-2016-1019 – has been identified as being used by the Magnitude Exploit Kit to spread the Locky ransomware.
Spoiler: ukázať
-
- Pokročilý používateľ
- Príspevky: 12259
- Dátum registrácie: St 27. Apr, 2011, 11:16
- Bydlisko: ta Blava, ňe ?
Re: Locky Lock
akakolvek vulnerability v tomto style moze byt zneuzita mnohymi sposobmi... nie je to len specifikum Flashu, i ked je nutne povedat ze tak derave produkty ako ma Adobe hadam ani Oracle nemal (ano, to je ta spolocnost co vykrikovala ze zaplati milion tomu kto cez jej produkty prejde, o dva tyzdne nato bolo ticho - tusim v januari tohoto roku vydali cez 300 patchov z toho asi stvrtina remote exploit a podobne veci).
Ach jo.
Ach jo.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.