Ransomware
#21
No to skoro format ma być to raport zbędny.
Odpowiedz
#22
Pisząc ten psot nie wiedziałem ile plików jest zaszyfrowanych. Pisząc post miałem nadzieję, że znajdzie sie rozwiązanie jak rozszyfrować
Odpowiedz
#23
No niestety zostało tylko sobie zgrać te pliki zaszyfrowane i czekać na deszyfrator.
Odpowiedz
#24

[Aby zobaczyć linki, zarejestruj się tutaj]


-||- zastąpiłem te linijki usunięto plik bo wyzwalało stronę tyle ich było
Odpowiedz
#25
Wiem że dużo, ale ogólnie widać że sobie poradził.
Odpowiedz
#26
(04.02.2018, 22:54)tachion napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

No niestety zostało tylko sobie zgrać te pliki zaszyfrowane i czekać na deszyfrator.

Pozostaje tylko zainstalować dobry pakiet typu IS (Arcabit lub Eset) żeby w przyszłości problem nie powrócił ...
Odpowiedz
#27
Tak z ciekawości. Jaki AV to przepuścił?
Odpowiedz
#28
(05.02.2018, 00:31)Tibu 11 napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

(04.02.2018, 22:54)tachion napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

No niestety zostało tylko sobie zgrać te pliki zaszyfrowane i czekać na deszyfrator.

Pozostaje tylko zainstalować dobry pakiet typu IS (Arcabit lub Eset) żeby w przyszłości problem nie powrócił ...

Craze
Jestem przekonany, że Tachion jest w stanie znaleźć/zmodyfikować tak jakieś próbki malware, że będzie powtórka z rozrywki z tymi softami. Myślałem, że wygłaszanie takich arbitralnych stwierdzeń to tylko specjalność PR-owców producentów oprogramowania zabezpieczającego.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#29
(05.02.2018, 11:58)Apocalypse napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Tak z ciekawości. Jaki AV to przepuścił?

Albo nic nie miał albo Eset (patrząc po logach)

(05.02.2018, 13:05)morphiusz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

(05.02.2018, 00:31)Tibu 11 napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

(04.02.2018, 22:54)tachion napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

No niestety zostało tylko sobie zgrać te pliki zaszyfrowane i czekać na deszyfrator.

Pozostaje tylko zainstalować dobry pakiet typu IS (Arcabit lub Eset) żeby w przyszłości problem nie powrócił ...

Craze
Jestem przekonany, że Tachion jest w stanie znaleźć/zmodyfikować tak jakieś próbki malware, że będzie powtórka z rozrywki z tymi softami. Myślałem, że wygłaszanie takich arbitralnych stwierdzeń to tylko specjalność PR-owców producentów oprogramowania zabezpieczającego.

Na każdy soft Tachion by znalazł bata. Więdząc że Bitdefender IS i Kaspersky IS byli by na jednym komputerze ...
Odpowiedz
#30
Jak Eset to ładnie ładnie...
Odpowiedz
#31
Przecież eset ma słąbą wykrywalność
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#32
1. Kaspersky
2. Bitdefender
3. Eset

Według mnie 
Czy ma słąbą wykrywalność to zależy od użytkownika komputera ... - Eset pierwsza 3-ka
Odpowiedz
#33
A co ma wykrywalność do ochrony?
Metoda ochrony polegająca na wykrywaniu i usuwaniu złośliwego oprogramowania (nomen omen) zdezaktualizowała się jakieś 15 lat temu. Ona może była w miarę spoko, jak na świecie istniało kilkaset unikalnych próbek złośliwego oprogramowania (to czasy, gdy dominowały dyskietki). Obecnie, gdy dziennie powstaje kilkaset tysięcy unikalnych próbek szkodliwego oprogramowania to nawet Eset, Bitdefender, Kaspersky, Zemana i Hitman nic nie zrobią, jak nasz użytkownik Muszkie padł ofiarą przestępcy, który dopiero co skompilował plik ransomware i jeszcze ciepły wysłał mu jako faktura.pdf.exe na skrzynkę (najlepiej podpisany jeszcze jakimś lewym certyfikatem). Albo miał pecha i trafił na podobnie świeży plik w dziczy internetu.
Bo to, że plik który szaleje na fejsie od 2 dni i ma >40 wykryć na VT o niczym nie świadczy. Ofiarami tego zagrożenia padli wszyscy użytkownicy Eseta, Bitdefendera itd. w ciągu kilku pierwszych godzin trwania tej infekcji - zanim ich systemy zdążył przemielić ten plik i stworzyć dla nich sygnaturę (antywirusa/wzór rozpoznania/etc).
Przez jakiś czas miałem kontakt z dystrybutorem rozwiązań opierającym się na Deafult Deny (czyli czymś zupełnie odwrotnym niż wyżej opisałem) i Webroot (na którego był też szał na tym forum przez jakiś czas) dla biznesu na Polskę i sąsiadów.
Wg jego relacji, klienci, którzy zamówili rozwiązania opartę o Deafult Deny nie odzywali się od tamtej pory - nie mieli ani żadnych problemów z infekcją czy użytkowaniem systemu. Co innego taki Webroot czy inny cudak napakowany technologiami KSN, LiveGird czy innymi równie kosmicznie brzmiącymi - tam co jakiś czas zdarzała się infekcja (głównie ransomware).

Przepraszam za OT, ale dziwię się Waszym zdziwieniem, że program X (opierający się na detekcji) może dopuścić do infekcji (bo przecież w teście na YT zablokował 20/20, na ostatniej paczce miał najlepszy wynik a w AV-Test dostał 6/6 i certyfikat).

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#34
Poleciłem koledze Arcabita bo jeżeli trafił by na nowe nieznane Ransomware to plików na 100% nie zaszyfruje bo Arcabit robi automatyczne kopie zapasowe. Jak zaszyfruje system operacyjny to stracimy kilka minut na ponowną instalacje
Odpowiedz
#35
Automatyczne tzn?
Odpowiedz
#36
(05.02.2018, 22:21)morphiusz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

A co ma wykrywalność do ochrony?
Metoda ochrony polegająca na wykrywaniu i usuwaniu złośliwego oprogramowania (nomen omen) zdezaktualizowała się jakieś 15 lat temu. Ona może była w miarę spoko, jak na świecie istniało kilkaset unikalnych próbek złośliwego oprogramowania (to czasy, gdy dominowały dyskietki). Obecnie, gdy dziennie powstaje kilkaset tysięcy unikalnych próbek szkodliwego oprogramowania to nawet Eset, Bitdefender, Kaspersky, Zemana i Hitman nic nie zrobią, jak nasz użytkownik Muszkie padł ofiarą przestępcy, który dopiero co skompilował plik ransomware i jeszcze ciepły wysłał mu jako faktura.pdf.exe na skrzynkę (najlepiej podpisany jeszcze jakimś lewym certyfikatem). Albo miał pecha i trafił na podobnie świeży plik w dziczy internetu.
Bo to, że plik który szaleje na fejsie od 2 dni i ma >40 wykryć na VT o niczym nie świadczy. Ofiarami tego zagrożenia padli wszyscy użytkownicy Eseta, Bitdefendera itd. w ciągu kilku pierwszych godzin trwania tej infekcji - zanim ich systemy zdążył przemielić ten plik i stworzyć dla nich sygnaturę (antywirusa/wzór rozpoznania/etc).
Przez jakiś czas miałem kontakt z dystrybutorem rozwiązań opierającym się na Deafult Deny (czyli czymś zupełnie odwrotnym niż wyżej opisałem) i Webroot (na którego był też szał na tym forum przez jakiś czas) dla biznesu na Polskę i sąsiadów.
Wg jego relacji, klienci, którzy zamówili rozwiązania opartę o Deafult Deny nie odzywali się od tamtej pory - nie mieli ani żadnych problemów z infekcją czy użytkowaniem systemu. Co innego taki Webroot czy inny cudak napakowany technologiami KSN, LiveGird czy innymi równie kosmicznie brzmiącymi - tam co jakiś czas zdarzała się infekcja (głównie ransomware).

Przepraszam za OT, ale dziwię się Waszym zdziwieniem, że program X (opierający się na detekcji) może dopuścić do infekcji (bo przecież w teście na YT zablokował 20/20, na ostatniej paczce miał najlepszy wynik a w AV-Test dostał 6/6 i certyfikat).

W sumie to ciekawe czy Comodo by ochronił. A co do reszty to jest przecież coś takiego jak skaner behawioralny? Powinien chyba wyłapywać pliki, które mają podejrzany kod...
Odpowiedz
#37
Ludzie / firmy zainstalują oprogramowanie i bez żadnej konfiguracji wstępnej i dostosowania konfiguracji do polityki bezpieczeństwa liczą, że ustawienia domyślne są w porządku. A potem płacz i narzekania, że bajecznie łatwy do zatrzymania ransomware 0-day zaszyfrował pliki.

Przykładowo taki Comodo ONE dla firm z konsolą w chmurze domyślnie ustawioną politykę ma na "recommended" czy jakoś podobnie, chociaż producent zaleca, aby przestawić to na "hardened". I to się pokrywa w praktyce, gdzie podczas naszych testów ustawienia domyślne niekoniecznie wyłapują wszystko. Ustawienia "utwardzone" mają już włączonego HIPS-a z wyłączonymi komunikatami i jest już bardzo trudno zainfekować system oszukując wszystkie poziomy ochrony. A od wykluczeń też jest konsola, więc nie ma obaw, że położymy tymi ustawieniami jakieś ważne oprogramowania, wyspecjalizowane i mało popularne.

Jednym słowem - panowie, nie bójmy się podrasowywać ustawień programów ochronnych. Domyślne ustawienia przeważnie nie są najlepsze. Są "ogólnikowe". Tak jak w demokracji - większość ma przewagę w liczbie głosów, ale niekoniecznie musi mieć rację.
Odpowiedz
#38
(06.02.2018, 00:01)rogacz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Automatyczne tzn?

kopiujesz na kompa czy tworzysz plik , pdf na pewno dalej nie pamietam
Odpowiedz
#39
Cytat:A co do reszty to jest przecież coś takiego jak skaner behawioralny? Powinien chyba wyłapywać pliki, które mają podejrzany kod...

Bloker behawioralny to wciąż składnik ochrony Deafult Allow - musi posiadać sygnatury wzorów złego zachowania ( tak jak skaner antywirusowy ma sygnatury złośliwego kodu). Blokery behawioralne wymiękały, przynajmniej na początku, jeśli chodzi o fileless malware - producenci musieli je zaktualizować. I tak co jakiś czas jest - zupełnie nowe malware, które stosuje nowy, dotąd nieznany sposób infekowania.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#40
(06.02.2018, 10:35)morphiusz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Cytat:A co do reszty to jest przecież coś takiego jak skaner behawioralny? Powinien chyba wyłapywać pliki, które mają podejrzany kod...

Bloker behawioralny to wciąż składnik ochrony Deafult Allow - musi posiadać sygnatury wzorów złego zachowania ( tak jak skaner antywirusowy ma sygnatury złośliwego kodu). Blokery behawioralne wymiękały, przynajmniej na początku, jeśli chodzi o fileless malware - producenci musieli je zaktualizować. I tak co jakiś czas jest - zupełnie nowe malware, które stosuje nowy, dotąd nieznany sposób infekowania.

Niektórzy naprawdę nie nauczyli się przez tyle lat, że ów fileless nie istniałby bez procesów cmd.exe lub powershell.exe. Są producenci, którzy skanują uruchamiane skrypty lub pozwalają je całkowicie blokować, jeśli plik jest o słabej reputacji, etc. I tak jak pisałem - czasami wymaga to zajrzenia do ustawień programu. Na przykład polski Arcabit domyślnie blokuje skrypty w wierszu poleceń i jest dobrze.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości