Ransomware FakePoliceAlert - opis - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Publikacje (https://safegroup.pl/forum-27.html) +--- Dział: Artykuły (https://safegroup.pl/forum-24.html) +--- Wątek: Ransomware FakePoliceAlert - opis (/thread-5198.html) Strony:
1
2
|
Ransomware FakePoliceAlert - opis - SafeGroup.pl - 21.07.2012 Wczoraj napisała do mnie znajoma - skarżyła się ,że na jednym z dysków pojawił się program, który zablokował jej ekran i wyświetlał informację w języku angielskim, dotyczącą blokady komputera przez FBI. Mój kolega informatyk chwalił mi się z kolei,że usuwał klientce wirusa "policję", który także blokując pulpit "domagał się" opłaty za kod odblokowujący. Okazuje się jednak, że takowych problemów jest więcej. Gdzie ukrywają się te wirusy? Ja tego nie wiem, ale są znajdowane "na potęgę" i muszą być umieszczone w miejscach ogólnodostępnych i często używanych przez społeczność użytkowników sieci. O opinię na temat tego szkodnika poprosiłem specjalistę d/s zagrożeń [Aby zobaczyć linki, zarejestruj się tutaj] :"Ransomware FakePoliceAlert instaluje sie po przez wejście na strone z tzw.exploit packiem który po przez lukę w oprogramowaniu przejmuje kontrolę nad systemem, ściąga z sieci oraz uruchamia złośliwe oprogramowanie- będzie to widoczne w logach. Po uruchomieniu dodaje parę wpisów do rejestru np.:
Malware tworzy też pliki i foldery z losowymi nazwami. Wyłącza proces explorera, ukrywa wszystkie okna i wyświetla komunikat proszący o wniesienie opłaty.
Żeby się tego pozbyć należy przywrócić system z kopii bezpieczeństwa lub użyć specjalnego skryptu do OTLA, bądź narzędzia WindowsUnlocker Kaspersky z Kaspersky Rescue Disk żeby przywrócić zmiany w rejestrze." Dodatkowo siła Trojana jest podwójna: z jednej strony potrafi "obejśc " heurystykę nieodpornych programów zabezpieczających, z drugiej w momencie infekcji nie możnausunąć go standardową metodą działania (np. antywirusem, który pozwolił działać szkodnikowi w systemie, ale pobrał nowe skuteczne aktualizacje). Ransom blokuje pulpit i nie pozwala na uruchomienie absolutnie żadnego programu. Niestety z powodu jego popularności radzę zainwestować trochę czasu w naukę obsługi programów typu HIPS i doinstalować je do swojego zabezpieczenia. W związku z faktem, że malware ten jest wyjątkowo skuteczny, będzie go zapewne coraz więcej. Przykładowe screeny z działania : [Aby zobaczyć linki, zarejestruj się tutaj] Dokładnie taki komunikat miała moja znajoma (na komputerze był zainstalowany jeden z topowych antywirusów). [Aby zobaczyć linki, zarejestruj się tutaj] Co ciekawe znany TrustPort blokował uruchomienie wczorajszego sampla... [Aby zobaczyć linki, zarejestruj się tutaj] ... wyświetlającego następujący komunikat... [Aby zobaczyć linki, zarejestruj się tutaj] Niestety w przypadku próby wykonania testu "na zainfekowanym systemie" , wirus potrafił uszkodzić nawet Bitdefendera.. [Aby zobaczyć linki, zarejestruj się tutaj] Ważnym jest, że zagrożenie jest dużo popularniejsze od LiveSecurity i groźniejsze zarazem. Proszę uważać. Za pomoc dziękuję tachionowii F4z ! Autor:McAlex Re: Ransomware FakePoliceAlert - opis - tommyklab - 21.07.2012 Można wiedzieć jakie znajoma ma zabezpieczenia?; oczywiście chodzi o kompa Re: Ransomware FakePoliceAlert - opis - KaMiL - 21.07.2012 Cytat: Ransomware FakePoliceAlert instaluje sie po przez wejście na strone z tzw.exploit packiem który po przez lukę w oprogramowaniu przejmuje kontrolę nad systemem, ściąga z sieci oraz uruchamia złośliwe oprogramowanie No właśnie, dlatego jest tak popularny. Ludzie mają gdzieś aktualizowanie systemu, programów itd.... Ostatnio widziałem kolegę z Firefoksem 3.5, Javą bodajże 6 Update 19 i Flashem 10. I jak na takim systemie zagrożenie ma nie wejść?... I jak Tommy cały czas powtarza: "Łatać, łatać i jeszcze raz łatać" Re: Ransomware FakePoliceAlert - opis - McAlex - 21.07.2012 tommy504 napisał(a):Można wiedzieć jakie znajoma ma zabezpieczenia?; oczywiście chodzi o kompa Nie chcę tego zdradzać. Ale mogę powiedzieć, że każdy program bez Hipsa powinien wpuścic tego wirusa. Dodano: 21 lip 2012, 20:29 I oczywiście zachęcam do testów na maszynach wirtualnych i podzielenia się informacjami/screenami w tym temacie. Re: Ransomware FakePoliceAlert - opis - tommyklab - 21.07.2012 kamil10506 napisał(a):I jak Tommy cały czas powtarza: "Łatać, łatać i jeszcze raz łatać" Dokładnie tak jest i tak powinno być jak piszesz: "Łatać, łatać i jeszcze raz łatać" A jak nie jest tak, to złotać d....ę tym co nie łatają Re: Ransomware FakePoliceAlert - opis - rafikrafiki - 21.07.2012 alex1155 napisał(a):iestety w przypadku próby wykonania testu "na zainfekowanym systemie" , wirus potrafił uszkodzić nawet bitdefendera.. Zainfekowany system to totalna porażka, bo niektóre szyfrują pliki i po zabawie, nawet jeśli program AV go wykryje to i tak musztarda po obiedzie. Re: Ransomware FakePoliceAlert - opis - Eru - 21.07.2012 promototo napisał(a):alex1155 napisał(a):iestety w przypadku próby wykonania testu "na zainfekowanym systemie" , wirus potrafił uszkodzić nawet bitdefendera.. Dlatego mówi się: "Łatać, łatać i łatać" ale i "Świat dzieli się na 2 typy ludzi: Ci którzy robią kopię zapasową i tych którzy zaczną ją robić" Re: Ransomware FakePoliceAlert - opis - rafikrafiki - 21.07.2012 Ja mam połatany. Wszystkie aktualizacje Windows, a nad aktualnymi wersjami programów czuwa Secunia PSI 3. Jeszcze tylko kopia keriverem i pyszota Re: Ransomware FakePoliceAlert - opis - buri - 21.07.2012 Właśnie SS da mu radę czy jednak jest za lekkim hipsem? Javę wyłączyłem ostatnio bo stwierdziłem, że i tak nie korzystam z niej, a to zawsze jedna dziura mniej. Aha i używam ostatnio Sandboxie do Chrome (ma dostęp do ustawień, ciasteczek itp.) czy to już daje jakieś bezpieczeństwo? Re: Ransomware FakePoliceAlert - opis - tommyklab - 21.07.2012 Eru napisał(a):Dlatego mówi się: "Łatać, łatać i łatać" ale i "Świat dzieli się na 2 typy ludzi: Ci którzy robią kopię zapasową i tych którzy zaczną ją robić" Jakby robili kopię to i tak pół bidy jak to się mówi Nie tyło by tematu pewnie. A w tym wypadku/przypadku to trzeba powiedzieć, że świat się dzieli na tych co łatają, albo zaczną łatać jak odzyskają dane (jeśli nie będzie kodowania po drodze) Re: Ransomware FakePoliceAlert - opis - McAlex - 21.07.2012 W SandboxIE testowałem i po restarcie wszystko wracało do normy. Re: Ransomware FakePoliceAlert - opis - F4z - 21.07.2012 Kaspersky IS 2012 vs Ransomware FakePoliceAlert Próba nr 1 Zaktualizowany Kaspersky nie wykrywał podczas skanu testowanej przeze mnie próbki Ransomware. [Aby zobaczyć linki, zarejestruj się tutaj] Dopiero po uruchomieniu Ransoma "Kontrola systemu" w Kasperskim wykryła i zablokowała działanie szkodliwej aplikacji. Następnie kliknąłem żeby Kasperski wyleczył i uruchomił ponownie system. [Aby zobaczyć linki, zarejestruj się tutaj] Po restarcie przeskanowałem system HitmanePro i Malwarebytes Anti-Malware. Jak widać poniżej Kasperski skutecznie zablokował tego groźnego wirusa. [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] (HitmanPro wykrył w bazach Kasperskiego wirusa?! Jak się mylę to proszę mnie poprawić.)Próba zaliczona ________________ Próba nr 2 Tym razem uruchomiłem Ransoma przy wyłączonej ochronie antywirusa. [Aby zobaczyć linki, zarejestruj się tutaj] Oczywiście spodziewałem się takiego rezultatu jak na obrazku poniżej. [Aby zobaczyć linki, zarejestruj się tutaj] W tej próbie chodziło mi o to żeby sprawdzić czy testowany przeze mnie program poradzi sobie ze szkodliwą aplikacją po włączeniu jego ochrony w trybie awaryjnym. Wszedłem w tryb awaryjny i uruchomiłem wcześniej wstrzymaną ochronę. [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Po restarcie długo czekałem aż system się uruchomi. [Aby zobaczyć linki, zarejestruj się tutaj] W końcu coś się pokazało i nie było to czego oczekiwałem. Myślałem, że Kasperski przy starcie systemu wykryje szkodliwy proces i go zablokuje. [Aby zobaczyć linki, zarejestruj się tutaj] Ponownie wszedłem do trybu awaryjnego (z dostępem do sieci) aby przeskanować system. Kasperski nic nie znalazł z czego nie byłem zdziwiony, bo przecież wirus nie był w jego bazie. [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Dopiero HitmanPro i Malwarebytes wykryły wirusa. (Szkodliwy program usunąłem za pomocą Malwarebytes.) [Aby zobaczyć linki, zarejestruj się tutaj] [Aby zobaczyć linki, zarejestruj się tutaj] Po ponownym uruchomieniu dostęp do systemu został odblokowany. [Aby zobaczyć linki, zarejestruj się tutaj] Nie będę pisał żadnych wniosków z drugiej próby ze względu na to, że nie wiem czy inne antywirusy są w stanie sobie poradzić z tą próbą. Jeśli znajdę program, który sobie poradził napiszę tu odpowiedni komentarz. Re: Ransomware FakePoliceAlert - opis - PascalHP - 21.07.2012 Chętnie zobaczyłbym F-Secure, Nortona, Pandę, AVG i avasta!. Dzięki za test! Re: Ransomware FakePoliceAlert - opis - McAlex - 21.07.2012 F4z Twoja aktywność w testach jest imponująca:-) pamiętaj proszę jeszcze o tym, że kilka softow czeka na live security Re: Ransomware FakePoliceAlert - opis - F4z - 21.07.2012 Pamiętam, pamiętam o testach z live security, maszyna wirtualna z Trend Micro Titanium Internet Security 2012 już czeka do testów. Możliwe, że test będzie jeszcze dziś wieczorem Re: Ransomware FakePoliceAlert - opis - McAlex - 21.07.2012 Może będzie Ci na rękę połączenie testów możesz Najpierw wykończyć trend livem, wyczyścić jego pozostałości skanerami, a później dobić go ransomem:-). Re: Ransomware FakePoliceAlert - opis - PascalHP - 21.07.2012 Nie lepiej zrobić migawkę maszyny? Re: Ransomware FakePoliceAlert - opis - F4z - 21.07.2012 Zawsze robię kopię zapasową systemu z testowanym antywirusem. Każda próba jest przeprowadzana na czystym systemie więc raczej nie będę tego łączył. Po prostu przeprowadzę dwa oddzielne testy, jeden z LSP, a drugi z Ransomem (jeśli starczy mi czasu, bo prawie przez cały przyszły tydzień będę zajęty).Po skończeniu testów usuwam kopie ze względu na to, że za chwilę robię kolejny test. Re: Ransomware FakePoliceAlert - opis - PascalHP - 21.07.2012 Z ciekawości sprawdziłem F-Secure TP, na szczęście mimo, że BitDefender nie posiada sygnatury dla próbki, DeepGuard blokuje wszelkie szkodliwe działania. [Aby zobaczyć linki, zarejestruj się tutaj] Re: Ransomware FakePoliceAlert - opis - McAlex - 22.07.2012 Zapewne tego wirusa pokonuje FileMedic |