Liczba postów: 39
Liczba wątków: 39
Dołączył: 05.03.2013
Reputacja:
1
Wczoraj napisała do mnie znajoma - skarżyła się ,że na jednym z dysków pojawił się program, który zablokował jej ekran i wyświetlał informację w języku angielskim, dotyczącą blokady komputera przez FBI.
Mój kolega informatyk chwalił mi się z kolei,że usuwał klientce wirusa "policję", który także blokując pulpit "domagał się" opłaty za kod odblokowujący. Okazuje się jednak, że takowych problemów jest więcej.
Gdzie ukrywają się te wirusy?
Ja tego nie wiem, ale są znajdowane "na potęgę" i muszą być umieszczone w miejscach ogólnodostępnych i często używanych przez społeczność użytkowników sieci.
O opinię na temat tego szkodnika poprosiłem specjalistę d/s zagrożeń [Aby zobaczyć linki, zarejestruj się tutaj] :
"Ransomware FakePoliceAlert instaluje sie po przez wejście na strone z tzw.exploit packiem który po przez lukę w oprogramowaniu przejmuje kontrolę nad systemem, ściąga z sieci oraz uruchamia złośliwe oprogramowanie- będzie to widoczne w logach.
Po uruchomieniu dodaje parę wpisów do rejestru np.:
-
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main “Use FormSuggest” = ‘Yes’
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “CertificateRevocation” = ’0?
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “WarnonBadCertRecving” = ’0?
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop “NoChangingWallPaper” = ’1?
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations “LowRiskFileTypes” = ‘.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;’
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments “SaveZoneInformation” = ’1?
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer “NoDesktop” = ’1?
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System “DisableTaskMgr” = ’1?
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “[random] .exe”
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “[random] ”
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system “DisableTaskMgr” = ’1?
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download “CheckExeSignatures” = ‘no’
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced “Hidden” = ’0?
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced “ShowSuperHidden” = ’0?
Malware tworzy też pliki i foldery z losowymi nazwami.
Wyłącza proces explorera, ukrywa wszystkie okna i wyświetla komunikat proszący o wniesienie opłaty.
- Detailed report of suspicious malware actions:
- Created a mutex named: Local\!IETld!Mutex
- Defined file type created in Windows folder: C:\Windows\explorer_new.exe
- Defined file type created in Windows folder: C:\Windows\jdnmpqrzkxwacfnypbbv.exe
- Defined file type created: C:\ProgramData\jdnmpqrzkxwacfnypbbv.exe
- Defined file type created: C:\ProgramData\ugjuzuaefophikn\jquery.main.js
- Defined file type created: C:\ProgramData\ugjuzuaefophikn\main.html
- Defined registry AutoStart location created or modified: machine\software\microsoft\Windows NT\CurrentVersion\Winlogon\Shell = explorer_new.exe
- Defined registry AutoStart location created or modified: machine\software\microsoft\Windows\CurrentVersion\Run\jdnmpqrzkxwacfn = C:\ProgramData\jdnmpqrzkxwacfnypbbv.exe
- Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\Run\jdnmpqrzkxwacfn = C:\ProgramData\jdnmpqrzkxwacfnypbbv.exe
- Deleted activity traces
- Detected process privilege elevation
- File copied itself
- Got computer name
- Internet connection: Connects to "62.76.47.158" on port 80.
- Internet connection: Connects to "euro-police.in" on port 80.
Żeby się tego pozbyć należy przywrócić system z kopii bezpieczeństwa lub użyć specjalnego skryptu do OTLA, bądź narzędzia WindowsUnlocker Kaspersky z Kaspersky Rescue Disk żeby przywrócić zmiany w rejestrze."
Dodatkowo siła Trojana jest podwójna: z jednej strony potrafi "obejśc " heurystykę nieodpornych programów zabezpieczających, z drugiej w momencie infekcji nie możnausunąć go standardową metodą działania (np. antywirusem, który pozwolił działać szkodnikowi w systemie, ale pobrał nowe skuteczne aktualizacje).
Ransom blokuje pulpit i nie pozwala na uruchomienie absolutnie żadnego programu.
Niestety z powodu jego popularności radzę zainwestować trochę czasu w naukę obsługi programów typu HIPS i doinstalować je do swojego zabezpieczenia.
W związku z faktem, że malware ten jest wyjątkowo skuteczny, będzie go zapewne coraz więcej.
Przykładowe screeny z działania :
[Aby zobaczyć linki, zarejestruj się tutaj]
Dokładnie taki komunikat miała moja znajoma (na komputerze był zainstalowany jeden z topowych antywirusów).
[Aby zobaczyć linki, zarejestruj się tutaj]
Co ciekawe znany TrustPort blokował uruchomienie wczorajszego sampla...
[Aby zobaczyć linki, zarejestruj się tutaj]
... wyświetlającego następujący komunikat...
[Aby zobaczyć linki, zarejestruj się tutaj]
Niestety w przypadku próby wykonania testu "na zainfekowanym systemie" , wirus potrafił uszkodzić nawet Bitdefendera..
[Aby zobaczyć linki, zarejestruj się tutaj]
Ważnym jest, że zagrożenie jest dużo popularniejsze od LiveSecurity i groźniejsze zarazem. Proszę uważać.
Za pomoc dziękuję tachionowii F4z !
Autor:McAlex
SafeGroup.pl - Zadbamy o Twoje bezpieczeństwo
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Można wiedzieć jakie znajoma ma zabezpieczenia?; oczywiście chodzi o kompa
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
Cytat: Ransomware FakePoliceAlert instaluje sie po przez wejście na strone z tzw.exploit packiem który po przez lukę w oprogramowaniu przejmuje kontrolę nad systemem, ściąga z sieci oraz uruchamia złośliwe oprogramowanie
No właśnie, dlatego jest tak popularny. Ludzie mają gdzieś aktualizowanie systemu, programów itd....
Ostatnio widziałem kolegę z Firefoksem 3.5, Javą bodajże 6 Update 19 i Flashem 10.
I jak na takim systemie zagrożenie ma nie wejść?...
I jak Tommy cały czas powtarza: "Łatać, łatać i jeszcze raz łatać"
tommy504 napisał(a):Można wiedzieć jakie znajoma ma zabezpieczenia?; oczywiście chodzi o kompa
Nie chcę tego zdradzać.
Ale mogę powiedzieć, że każdy program bez Hipsa powinien wpuścic tego wirusa.
Dodano: 21 lip 2012, 20:29
I oczywiście zachęcam do testów na maszynach wirtualnych i podzielenia się informacjami/screenami w tym temacie.
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
kamil10506 napisał(a):I jak Tommy cały czas powtarza: "Łatać, łatać i jeszcze raz łatać"
Dokładnie tak jest i tak powinno być jak piszesz: "Łatać, łatać i jeszcze raz łatać"
A jak nie jest tak, to złotać d....ę tym co nie łatają
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 1 748
Liczba wątków: 317
Dołączył: 01.12.2011
Reputacja:
77
alex1155 napisał(a):iestety w przypadku próby wykonania testu "na zainfekowanym systemie" , wirus potrafił uszkodzić nawet bitdefendera..
Zainfekowany system to totalna porażka, bo niektóre szyfrują pliki i po zabawie, nawet jeśli program AV go wykryje to i tak musztarda po obiedzie.
Liczba postów: 2 612
Liczba wątków: 55
Dołączył: 31.07.2009
Reputacja:
34
promototo napisał(a):alex1155 napisał(a):iestety w przypadku próby wykonania testu "na zainfekowanym systemie" , wirus potrafił uszkodzić nawet bitdefendera..
Zainfekowany system to totalna porażka, bo niektóre szyfrują pliki i po zabawie, nawet jeśli program AV go wykryje to i tak musztarda po obiedzie.
Dlatego mówi się: "Łatać, łatać i łatać" ale i "Świat dzieli się na 2 typy ludzi: Ci którzy robią kopię zapasową i tych którzy zaczną ją robić"
Realtime: Sandboxie + Windows Firewall Control + NoVirusThanks EXE Radar Pro
Web browser: Firefox + Ghostery + NoScript
Password Manager: S10 Password Vault PL
Recovery: Rollback Rx
Liczba postów: 1 748
Liczba wątków: 317
Dołączył: 01.12.2011
Reputacja:
77
Ja mam połatany. Wszystkie aktualizacje Windows, a nad aktualnymi wersjami programów czuwa Secunia PSI 3. Jeszcze tylko kopia keriverem i pyszota
Liczba postów: 1 760
Liczba wątków: 26
Dołączył: 18.03.2009
Reputacja:
57
Właśnie SS da mu radę czy jednak jest za lekkim hipsem? Javę wyłączyłem ostatnio bo stwierdziłem, że i tak nie korzystam z niej, a to zawsze jedna dziura mniej. Aha i używam ostatnio Sandboxie do Chrome (ma dostęp do ustawień, ciasteczek itp.) czy to już daje jakieś bezpieczeństwo?
Windows 10/11 Home x64 + Hard_Configurator + Windows Defender + router z firewall
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Eru napisał(a):Dlatego mówi się: "Łatać, łatać i łatać" ale i "Świat dzieli się na 2 typy ludzi: Ci którzy robią kopię zapasową i tych którzy zaczną ją robić"
Jakby robili kopię to i tak pół bidy jak to się mówi Nie tyło by tematu pewnie.
A w tym wypadku/przypadku to trzeba powiedzieć, że świat się dzieli na tych co łatają, albo zaczną łatać jak odzyskają dane (jeśli nie będzie kodowania po drodze)
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
W SandboxIE testowałem i po restarcie wszystko wracało do normy.
Liczba postów: 291
Liczba wątków: 24
Dołączył: 09.05.2011
Reputacja:
105
Kaspersky IS 2012 vs Ransomware FakePoliceAlert
Próba nr 1
Zaktualizowany Kaspersky nie wykrywał podczas skanu testowanej przeze mnie próbki Ransomware.
[Aby zobaczyć linki, zarejestruj się tutaj]
Dopiero po uruchomieniu Ransoma "Kontrola systemu" w Kasperskim wykryła i zablokowała działanie szkodliwej aplikacji.
Następnie kliknąłem żeby Kasperski wyleczył i uruchomił ponownie system.
[Aby zobaczyć linki, zarejestruj się tutaj]
Po restarcie przeskanowałem system HitmanePro i Malwarebytes Anti-Malware.
Jak widać poniżej Kasperski skutecznie zablokował tego groźnego wirusa.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
(HitmanPro wykrył w bazach Kasperskiego wirusa?! Jak się mylę to proszę mnie poprawić.)
Próba zaliczona
________________
Próba nr 2
Tym razem uruchomiłem Ransoma przy wyłączonej ochronie antywirusa.
[Aby zobaczyć linki, zarejestruj się tutaj]
Oczywiście spodziewałem się takiego rezultatu jak na obrazku poniżej.
[Aby zobaczyć linki, zarejestruj się tutaj]
W tej próbie chodziło mi o to żeby sprawdzić czy testowany przeze mnie program poradzi sobie ze szkodliwą aplikacją po włączeniu jego ochrony w trybie awaryjnym.
Wszedłem w tryb awaryjny i uruchomiłem wcześniej wstrzymaną ochronę.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Po restarcie długo czekałem aż system się uruchomi.
[Aby zobaczyć linki, zarejestruj się tutaj]
W końcu coś się pokazało i nie było to czego oczekiwałem.
Myślałem, że Kasperski przy starcie systemu wykryje szkodliwy proces i go zablokuje.
[Aby zobaczyć linki, zarejestruj się tutaj]
Ponownie wszedłem do trybu awaryjnego (z dostępem do sieci) aby przeskanować system.
Kasperski nic nie znalazł z czego nie byłem zdziwiony, bo przecież wirus nie był w jego bazie.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Dopiero HitmanPro i Malwarebytes wykryły wirusa.
(Szkodliwy program usunąłem za pomocą Malwarebytes.)
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Po ponownym uruchomieniu dostęp do systemu został odblokowany.
[Aby zobaczyć linki, zarejestruj się tutaj]
Nie będę pisał żadnych wniosków z drugiej próby ze względu na to, że nie wiem czy inne antywirusy są w stanie sobie poradzić z tą próbą.
Jeśli znajdę program, który sobie poradził napiszę tu odpowiedni komentarz.
Liczba postów: 2 183
Liczba wątków: 96
Dołączył: 02.03.2008
Reputacja:
238
Chętnie zobaczyłbym F-Secure, Nortona, Pandę, AVG i avasta!.
Dzięki za test!
F4z Twoja aktywność w testach jest imponująca:-) pamiętaj proszę jeszcze o tym, że kilka softow czeka na live security
Liczba postów: 291
Liczba wątków: 24
Dołączył: 09.05.2011
Reputacja:
105
Pamiętam, pamiętam o testach z live security, maszyna wirtualna z Trend Micro Titanium Internet Security 2012 już czeka do testów.
Możliwe, że test będzie jeszcze dziś wieczorem
Może będzie Ci na rękę połączenie testów możesz Najpierw wykończyć trend livem, wyczyścić jego pozostałości skanerami, a później dobić go ransomem:-).
Liczba postów: 2 183
Liczba wątków: 96
Dołączył: 02.03.2008
Reputacja:
238
Nie lepiej zrobić migawkę maszyny?
Liczba postów: 291
Liczba wątków: 24
Dołączył: 09.05.2011
Reputacja:
105
Zawsze robię kopię zapasową systemu z testowanym antywirusem. Każda próba jest przeprowadzana na czystym systemie więc raczej nie będę tego łączył. Po prostu przeprowadzę dwa oddzielne testy, jeden z LSP, a drugi z Ransomem (jeśli starczy mi czasu, bo prawie przez cały przyszły tydzień będę zajęty).Po skończeniu testów usuwam kopie ze względu na to, że za chwilę robię kolejny test.
Liczba postów: 2 183
Liczba wątków: 96
Dołączył: 02.03.2008
Reputacja:
238
Z ciekawości sprawdziłem F-Secure TP, na szczęście mimo, że BitDefender nie posiada sygnatury dla próbki, DeepGuard blokuje wszelkie szkodliwe działania.
[Aby zobaczyć linki, zarejestruj się tutaj]
Zapewne tego wirusa pokonuje FileMedic
|