Zaloguj się

09.02.2015, 19:33

zbc napisał(a):Trafiła kosa na kamień.
Dostałem maila z załącznikiem.
Sam mail dziwnie wygląda, oczywiście jakiś dziwny zip. Co ciekawe archiwum ma taką nazwę, co adres email odbiorcy. Po wypakowaniu następny zip, który nosi nazwę
"chabas_avignon_gard_vehicules_industriels", a w tym archiwum znajduje się plik o tej same nazwie z rozszerzeniem .scr. Na VT po detekcjach widać, że to downloader dalexis, który pobiera i otwiera CTB-Locker. Podejrzewam, że oszuści się pod kogoś podszywają (przeczytajcie treść wiadomości)
Nadawca (& zamiast @): cancerous&petrosaeed.com
Temat: chabas avignon gard vehicules industriels
Imię i nazwisko: Carolee Werring

Cytat:
Kod:
Treść: Good afternoon, =============== CHABAS AVIGNON GARD VEHICULES INDUSTRIELS 67 Rte De NĂŽmes 30540 Milhaud Milhaud FRANCE +33 466 07 69 08

Malware:
Treść widoczna jedynie dla zarejestrowanych użytkowników

Virustotal:
[Aby zobaczyć linki, zarejestruj się tutaj]

Ps.
Skąd cyberprzestępcy znają takie adresy email?

Plik zgłoszony do laboratorium COMODO

zbc , lepiej zmieniaj hasło do konta internetowego bo widzę że inni ludzie wiedzą prawie wszystko o Tobie Grin

(żart)

oldblues · 09.02.2015, 20:14

tommyklab napisał(a):[Malware Pack] 2015-02-06 #170 by tommy

Zemana Anti-Malware 2 beta157/170 z czego:
- Bitdefender157/170
- Avira155/170
- Threat Track 141/170
- Zemana 141/170
- Eset78/170
- AhnLab 2/170
- Intel Security2/170
- Microsoft 2/170
- Clam AV 1/170
- Total Defense1/170
- Quick Heal 0/170

tommyklab · 09.02.2015, 20:43

Miszel03 napisał(a):Nic nadzwyczajnego

Spoko, chciałbym widzieć twoja minkę jak ci zaszyfruje twoją kolekcję XXX Tongue

tommyklab · 09.02.2015, 22:30

Elektron napisał(a):Nie mogę potwierdzić, Czysta lista reguł, Win7x64 spyshelter firewall 9.6.3 zablokowałem wszystkie akcjie (auto - wysoki poziom ochrony) e CTB Locker się nie uaktywnił chyba

Zawsze zrób restart dla pewności, przy testach malware się to powinno robić. Pewnie jak zrobiłeś to miałeś czarna tapetę i zaczął szyfrować Smile

09.02.2015, 22:42

[Malware Pack] 2015-02-06 #170 by tommy

Advanced SystemCare Ultimate 8
170/170 Grin

oldblues · 10.02.2015, 00:18

Support SpyShelter:

Cytat:Temat ransomware jest nam znany.
SpyShelter wykrywa poprawnie wszystkie monitorowane przez siebie akcje i skutecznie je blokuje.
Przeskanownie pliku używając narzędzia w alercie skanuj z Virus Total daje sygnał, że jest to virus/trojan i taki proces należy zakończyć proces (ponad 60% współczynnika wykrycia) jest jasnym sygnałem, że nie jest to "false positive"

ichito · 11.02.2015, 08:41

Wracając do testu sprzed kilku dni...Trudno mi skomentować zachowanie SS, bo jak widać u niektórych testu nie przechodzi, a u innych tak...widać zależy to od ustawień, bo chyba każdy ma jakieś swoje własne. Na pewno jednak da się wzmocnić oferowana przez program ochronę włączając do folderów z objętych restrykcjami wszystkie te, które są z góry zdefiniowane przez producenta (menu myszki)...można na pewno również dołączyć te, które domyślnie służą jako lokalizacje pobieranych plików (pul[pit czy folder w Moich dokumentach) oraz rzeczywiste własne lokalizacje, do których ściągamy pliki z sieci. Takie rozwiązanie mam u siebie
- folder "Download" na dysku D (moje własne dane) jest na liście objętych restrykcjami, co uniemożliwia uruchomienie się żadnego pliku stamtąd bez ostrzeżenia
- równocześnie ten folder jest na liście folderów z dostępem do zapisu (zakładka następna w opcjach restrykcji), bo bez tego nie dałoby się zapisać w nim żadnego pliku
- daje to w efekcie jakby "bezpieczny kontener", z którego raczej nic nie powinno wyjść bez naszej zgody, ale może swobodnie wchodzić, a my mamy to pod kontrolą w jednym miejscu i co jakiś czas zawsze całą zawartość przeskanować
- do uruchamiania plików służy inny folder bez restrykcji, do którego przenoszę dane/pliki po sprawdzeniu ich jakości.
Na koniec o SS...nie należy zapominać, że to program nie pracujący na sygnaturach...ma swoją wewnętrzna listę zaufanych aplikacji, co pozwala na automatyczne zezwolenia dla pewnych programów...znakomita większość akcji (bez ingerencji w ustawienia) pozostawiona jest do decyzji użytkownika. Mam dlatego wątpliwość do pierwszego screenu z tzw. "drugiego" ręcznego podejścia...w opcjach alertu jest zaznaczona opcja "current component cant execute any aplication", co mimo (tak mi się wydaje) zablokowania tego jednego procesu pozwala na uruchomienie kolejnych przez niego wywołanych...do tego opcja "zapamiętaj te nieustawienia" i właściwie wszystko potem może się dowolnie (i pewnie bez ostrzeżenia) uruchamiać.
Co innych programów:
- ERP to anti-exe, więc można się spodziewać, że jeśli jest w trybie "lockdown" zablokuje szkodnika, bo nie jest on na liście dozwolonych...w opcjach dozwolone są tylko pliki z lokalizacji Program Files i zaufane z Windows (tak jakoś pamiętam)
- VoodooShield poza możliwościami podobnymi jak ERP ma dodatkowo własny system reputacji połączony z chmurą i skanuje wszystkie nieznane procesy...powinien więc zablokować i to zrobił skutecznie
- ApGuard to program nakładający restrykcje na tzw. user space" czyli strefę użytkownika (określone lokalizacjezwiązane z pewnymi folderami systemowymi m.in. temp-y, pulpit, moje dokumenty) plus lista zaufanych, więc zrobił to, czego należało oczekiwać czyli zablokował coś nieznanego z lokalizacji objętej restrykcjami
- AVG i TF to programy bazujące w podstawowych możliwościach/ustawieniach na analizie behawioralnej i jak widać skutecznie blokują podejrzane akcje tylko na tej podstawie...TF ponadto może mieć funkcje HIPSa/firewalla dyskowego służącego do ochrony określonych obszarów czy zachowań (modyfikacje rejestru, nawiązywanie połączeń, nasłuchiwanie portów), które można konfigurować w bardzo elastyczny sposób. Słusznie Zord powiedział, że program ma wciąz genialne możliwości mimo porzucenia rozwoju.

Filmików na YT jeszcze nie oglądałem, ale być może tam będzie można coś ciekawego dojrzeć Smile

-----------
edit:
na Wildersach jest krótki, ale interesujący wątek na temat dodatkowej ochrony przed cryptlokerami napisany przez Keesa, który często i rzetelnie wypowiada się w kwestii ochrony proaktywnej (SS również)

[Aby zobaczyć linki, zarejestruj się tutaj]

Elektron · 11.02.2015, 18:14

Comodo IS sam HIPS (uważany za topowy HIPS lub jeden z najlepszych) wyłączone sandbox, av, cloud itp
HIPS na Paranoid Mode - CTB locker szyfruje pliki.

@ichito co do ochrony plików pewnie można chronić nawet wszystkie foldery na każdym kroku tylko co to da, normalnego użytkownika wprowadzi w paranoje sypiąc 1000 alertów, to jest typowe wirusisko i tutaj żadne HIPSY wg mnie nie powinny być oceniane pod kątem sprawności szczególnie SS, który jest antykeyloggerem z rozbudowanym HIPSem jako sprawa "drugoplanowa"

facecik · 11.02.2015, 18:21

Bez sensu sprawdzać sam HIPS z pakietu, tym bardziej ,że w nowej wersji CIS, ten element schodzi na dalszy plan ochrony.
Jeśli już testować ten pakiet, to tylko z wyłączonym modułem AV.

ichito · 11.02.2015, 19:28

Elektron napisał(a):@ichito co do ochrony plików pewnie można chronić nawet wszystkie foldery na każdym kroku tylko co to da, normalnego użytkownika wprowadzi w paranoje sypiąc 1000 alertów, to jest typowe wirusisko i tutaj żadne HIPSY wg mnie nie powinny być oceniane pod kątem sprawności szczególnie SS, który jest antykeyloggerem z rozbudowanym HIPSem jako sprawa "drugoplanowa"

Przy właściwych ustawieniach nie powinno być mowy o nadmiarze alertów, ale masz rację, że to może zirytować przeciętnego użytkownika...z drugiej strony SS wymaga interakcji z użytkownikiem i nie da się tego uniknąć. Kolejna sprawa to sygnaturowe wykrywanie...bo skoro nie metody proaktywne, to co innego?...no może jeszcze izolacja, restrykcje i listy B/W. Sygnaturowe wykrywanie, jak w AV to powoli przeszłość, bo zbyt dużo jest danych o malware do aktualizowania...mówi się, że takie wykrywanie pokrywa zaledwie 25-30% zapotrzebowania, a niektórzy mówią zaledwie o 5%.

morphiusz · 11.02.2015, 20:26

Elektron napisał(a):Comodo IS sam HIPS (uważany za topowy HIPS lub jeden z najlepszych) wyłączone sandbox, av, cloud itp
HIPS na Paranoid Mode - CTB locker szyfruje pliki.

@ichito co do ochrony plików pewnie można chronić nawet wszystkie foldery na każdym kroku tylko co to da, normalnego użytkownika wprowadzi w paranoje sypiąc 1000 alertów, to jest typowe wirusisko i tutaj żadne HIPSY wg mnie nie powinny być oceniane pod kątem sprawności szczególnie SS, który jest antykeyloggerem z rozbudowanym HIPSem jako sprawa "drugoplanowa"

Najśmieszniejsze jest to, że na domyślnych ustawieniach CIS zablokowałby go już 5 razy Tongue

Jak nie AV to chmura, jak nie chmura to sandbox. I by sobie poszyfrował w wirtualnym kontenerze Tongue

Obecne ustawienia domyślne CISa to jak do tej pory najwyższy poziom ochrony i użyteczności (usability) kiedykolwiek w historii tego pakietu. Nie widzę sensu ich zmiany (oprócz firewalla oczywiście, ale to osobny temat).

**tachion** · 11.02.2015, 20:38

Elektron napisał(a):Comodo IS sam HIPS (uważany za topowy HIPS lub jeden z najlepszych) wyłączone sandbox, av, cloud itp
HIPS na Paranoid Mode - CTB locker szyfruje pliki.

Jakoś nie chce mi się wierzyć ale sprawdzę to,wcześniej jak sprawdzałem było ok wszystko.

Co do Spysheltera to u mnie na Windows 7 32 i 64 bitowym jest tak jak u tommyego.

Na xpu jest ok i nie dopuszcza zadania do harmonogramu co z kolei nie startuje proces ctb lockera.

I się zastanawiam właściwie dlaczego tak jest,zaznaczenie opcji uruchomienia programu przez usługę wczesny start) nic nie dało.

**tachion** · 11.02.2015, 21:01

comodo hips tryb bezp. chmura i piach wył.

[Aby zobaczyć linki, zarejestruj się tutaj]

opcje które były wybrane to blokuj i zamknij proces

i tak jak pisałem są anomalie na maszynach vm

Elektron · 13.02.2015, 10:52

tachion napisał(a):
Elektron napisał(a):Comodo IS sam HIPS (uważany za topowy HIPS lub jeden z najlepszych) wyłączone sandbox, av, cloud itp
HIPS na Paranoid Mode - CTB locker szyfruje pliki.

Jakoś nie chce mi się wierzyć ale sprawdzę to,wcześniej jak sprawdzałem było ok wszystko.
Co do Spysheltera to u mnie na Windows 7 32 i 64 bitowym jest tak jak u tommyego.
Na xpu jest ok i nie dopuszcza zadania do harmonogramu co z kolei nie startuje proces ctb lockera.
I się zastanawiam właściwie dlaczego tak jest,zaznaczenie opcji uruchomienia programu przez usługę wczesny start) nic nie dało.

To nie jest kwestia wiary, sprawdziłem raz jeszcze i potwierdzam że COMODO HIPS "nie radzi" sobie z CTB Lockerem.
Win7x64, heurystyka, Cloud, AV wyłączone, HIPS najwyższy poziom paranoid mode.

Klikałem block only bez zakańczania procesu po około 7 minutach i wielu alertach pliki są zaszyfrowane no i tapeta podmieniona.
Comodo HIPS nie radzi sobie z tym i to jest w wg mnie całkiem normalne bo to zadanie dla AV.

Miszel03 · 13.02.2015, 17:33

tommyklab napisał(a):
Miszel03 napisał(a):Nic nadzwyczajnego

Spoko, chciałbym widzieć twoja minkę jak ci zaszyfruje twoją kolekcję XXX

Miszel03 · 15.02.2015, 13:38

Andorid.Trojan.FakeInst.PO

Hasło: infected

Treść widoczna jedynie dla zarejestrowanych użytkowników

Malware od:

[Aby zobaczyć linki, zarejestruj się tutaj]

zbc · 15.02.2015, 15:07

Miszel03 napisał(a):Andorid.Trojan.FakeInst.PO

Hasło: infected

Treść widoczna jedynie dla zarejestrowanych użytkowników

Malware od:

[Aby zobaczyć linki, zarejestruj się tutaj]

Miszel03 napisał(a):
tommyklab napisał(a):Spoko, chciałbym widzieć twoja minkę jak ci zaszyfruje twoją kolekcję XXX

Ten emot przedstawia jakbyś się czuł po takiej stracie, tak? Grin

@tommyklab
No i zobaczyłeś minę Grin

Miszel03 · 15.02.2015, 16:25

zbc napisał(a):Ten emot przedstawia jakbyś się czuł po takiej stracie, tak?

@tommyklab
No i zobaczyłeś minę

Tak

Boniaszek · 16.02.2015, 14:23

Bitdefender Internet Security 17/17 , 170/170

25.02.2015, 21:03

Roboscan Internet Security

16/17

1/1

166/170

Test był 3 dni temu i jak widać dobrze sobie radzi (moge podesłać screeny)

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie