Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
vooler3
Vana Pingviin
Vana Pingviin



Liitunud: 21.12.2015
Postitused: 479


blank.gif
postituspostitatud: 19.07.2017, 13:53  postituse pealkiri:  Linux Ransomware: Andmete tagasisaamiseks maksti 1M.USD  

Paistab, et Krüptoviirused aeg-ajalt, endiselt, tekitavad peavalu ka Linuxi kasutajatele.

Järgmises loos käidi välja 1 miljon USD, et serverites olevaid andmed tagasi saada.

South Korean firm pays $1m to recover files encrypted by Linux ransomware

A South Korean web hosting service provider has agreed to pay $1 million to hackers who took control of the former's servers using a Linux ransomware.
Using the Linux ransomware, hackers encrypted important files, photos, and databases belonging to a web hosting service and demanded 500 bitcoins as ransom to decrypt the encrypted files
.

The hackers in question had initially demanded up to $1.62 million (equivalent to 550 bitcoins) but later settled for $1 million after NAYANA, the web hosting provider, agreed to pay the sum in three installments. Reportedly, NAYANA has already paid two installments and will pay the final one after recovering data encrypted by the Linux ransomware.

https://teiss.co.uk/threats/korean-firm-1m-linux-ransomware/


tris

Troll - ära toida!
Troll - ära toida!



Liitunud: 23.08.2014
Postitused: 713

Distributsioon: Debian
estonia.gif
postituspostitatud: 19.07.2017, 15:14  postituse pealkiri:  (teema puudub)  

Pane global ja all detection:
https://www.enigmasoftware.com/malware-tracker/?id=535581&title=%27.locky+File+Extension%27+Ransomware#first

_________________
ricochet:yckka6zlbxv767lz

vooler3
Vana Pingviin
Vana Pingviin



Liitunud: 21.12.2015
Postitused: 479


blank.gif
postituspostitatud: 19.07.2017, 17:33  postituse pealkiri:  (teema puudub)  

Veel natuke infot siis selle Linuxi krüptorünnaku kohta:

1. "Pahategelase" nimi on: Erebus

2. "Krüptolukku joosti" 153 Linuxi serverit ning sellega koos "lendas" maha:
3,400 business websites the company hosts

3. "Pahad poisid" küsisid kõigepealt 1,6 miljonit dollarit.
- kuid pärast "läbirääkimisi" leebusid ning nõustusid summaga 1,01 miljonit dollarit.

Web Hosting Provider Pays $1 Million to Ransomware Attackers
http://www.securityweek.com/web-hosting-provider-pays-1-million-ransomware-attackers


ertserts
Vana Pingviin
Vana Pingviin



Liitunud: 31.10.2013
Postitused: 445
Asukoht: Tallinn
Distributsioon: Ubuntu, Debian
estonia.gif
postituspostitatud: 20.07.2017, 10:52  postituse pealkiri:  (teema puudub)  

Minul oli just hiljuti suur au tegeleda ühe 1TB usb-kõvakettaga millele oli läbi Windowsi sisse tõmmatud krüptoviirus aastast 2015. Kui see "õnnistus" minu tuttaval juhtus, siis poetas ta selle kõvaketta samal aastal sahtlisse ja rohkem ei riskinud seda kasutada. Ootas paremaid aegu. Sellel kõvakettal oli peal kogu elu: ülikooli alased õpingu failid, perealbumid ja teised tähtsad asjad.

Kuna mina polnud oma it-praktikas krüptoviirust elusast peast näinud ega kohanud siis oli see minu jaoks põnev tegemine ja avastamine. Mul õnnestus krüptoviirus kõvaketalt eemaldada ja andmetest suutisn päästa enamus failidest. Kahjuks kusagil 10% läks igaviku teed, sest need failid tuli jäädavalt kustutada.

Põhiliselt oli krüptoviirus nakatanud MS Office dokumente, eriti powerpoint presentatsioone, mõned pdf failid jne. Pihta olid saanud ka windowsi installatsiooni failid mis olid lõpulaiendiga *.exe ja *.msi. Fotod jäid krüptoviirusest puutumata.

Minu strateegia krüptoviiruse vastu oli lihtne. Võtsin ühe lauaarvuti, installeerisin sinna Linux Ubuntu ja panin peale ClamTK (clamav) antiviiruse. Uuendasin clamav antiviiruste baasi up-to-date. Nüüd tuleb kõige tähtsam asi, ma eemaldasin Ubuntu arvuti lokaalsest arvutivõrgust (korduvalt kontrollisin!). Seejärel ühendasin krüptoviirusega nakatunud välise kõvaketta arvutiga ja asusin ClamTK seda skanneerima (full scan). Jäigi ööseks skanneerima. Hommikul nägin tulemust. Kõik nakatunud failid kustutasin. Ei võtnud seda riski, et hakata neid haigeid krüptoviirusest räsitud faile parandama/ravima/poputama.

Lisa, clamtk antiviiruse skanneerimise tulemus, näide:

Image

Hiljem testisin seda kõvaketast ka teiste antiviiruste jms. samalaadsete programmikestega kuid minu juhtumi puhul andis ClamTK kõige parema tulemuse. Nüüd kasutab tuttav seda välist kõvaketast oma Windows 10 ja probleeme pole.

Üks huvitav infokild veel. Nimelt maksis minu tuttav 2015 ühe õpingualase 1tk faili eest nendele samadele "pahalastele" 200-300€ (täpset summat hetkel ei mäleta). Ja üllatus, üllatus, talle saadeti kood ning ta dekrüpteeris selle tema jaoks nii tähtsa ja kalli faili. Samas ei soovitata sellist asja teha. See on justkui terroristidele raha maksmine. Üks õnnelik pääseb suure raha eest kuid kauplemine ja tapmine jätkub edasi.

Olen peale seda krüptoviiruse asja oma Linux arvutitesse installinud ClamTK. Vajadusel ja kahtlusel skanneerin faile. On ikka tervislikum kui süüdimatult püksata netis ringi jõlkuda.

Hetkel peaks Internetis ringi liikuma ja saadaval olema ligikaudu 10 tk. versiooni krüptoviiruse varianti. Krüptoviiruse otsa kas vabatahtlikult või kogemata koperdades on ikka väga väga tervislik arvuti lokaalsest arvutivõrgust koheselt eemaldada. Näiteks keegi meist ei sooviks ette kujutada õudusfilmile sarnast olukorda, kus isiklik krüptoviirusega nakatunud arvuti või kõvaketas krüpteeriks ära kõik asutuse või firma lokaalselt vabalt kättesaadavad võrgukettad. Eks see arvutiviiruste maailmas ringi liikumine on paratamatult meile kõigile must või hall tundmatu ohtlik tsoon. Wink

_________________
ertserts@linuxialune:~$ echo;echo Local and Remote IP connections:;netstat -at|sort -k5|grep ESTABLISHED|cut -c20-80;echo



Viimati muutis ertserts 20.07.2017, 11:49; muudetud 1 kord
imre
Vana Pingviin
Vana Pingviin



Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 20.07.2017, 11:48  postituse pealkiri:  (teema puudub)  

Üle kuu on mööda, aga paistab, et nad ikka pole õppinud:
Kood:
curl -s -I www.nayana.com | grep X

X-Powered-By: PHP/5.1.4
Kui just kuidagi kavalalt fake versiooni ei näidata.

_________________
Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.

tris

Troll - ära toida!
Troll - ära toida!



Liitunud: 23.08.2014
Postitused: 713

Distributsioon: Debian
estonia.gif
postituspostitatud: 20.07.2017, 16:53  postituse pealkiri:  (teema puudub)  

kes tahab windowsis proovida wannacry-d siis palun, tõmmake alla ilma veebilehitsejata:

wget või curl : https://www.upload.ee/download/7095638/589980774bd111f7550e/WannaCry.rar


Image

Soovitavalt virtualboxis, viirusetõrje jäi hiljaks ja krüpteeris osad failid ära, pildid ja dokumendid - seega õudne!!
Tulemus:
Image

_________________
ricochet:yckka6zlbxv767lz

ertserts
Vana Pingviin
Vana Pingviin



Liitunud: 31.10.2013
Postitused: 445
Asukoht: Tallinn
Distributsioon: Ubuntu, Debian
estonia.gif
postituspostitatud: 20.07.2017, 20:46  postituse pealkiri:  (teema puudub)  

'tris', tänud elusa krüptoviiruse presentatsiooni eest. Loodame, et keegi ei poeta seda killerit oma Windows arvutisse või siis ei jaga seda välja Linux arvutiga oma töökoha kohtvõrgus. Isegi Linux wine keskkonnas võiks selline faili jurakas tekitada paksu paha. Selliseid faile näppides tekib pommirühma sapööri tunne. Smile

Skanneerisin Linuxis selle ClamTK'ga üle ja tulemus on screenshot'ina siin:
Image

_________________
ertserts@linuxialune:~$ echo;echo Local and Remote IP connections:;netstat -at|sort -k5|grep ESTABLISHED|cut -c20-80;echo

karlsson


Pingviini aktivist
Pingviini aktivist



Liitunud: 30.09.2011
Postitused: 122


niger.gif
postituspostitatud: 20.07.2017, 22:43  postituse pealkiri:  (teema puudub)  

Pidin samuti järgi proovima.
Win7, Avira peale kataloogi kontrolli. Mul Avira seadeid nii näpitud, et kirjutamisel ei kontrollita faile. Tõenäoliselt vaikimisi seadetega sellist asja tõmmata ei saa.
Image


tris

Troll - ära toida!
Troll - ära toida!



Liitunud: 23.08.2014
Postitused: 713

Distributsioon: Debian
estonia.gif
postituspostitatud: 21.07.2017, 06:49  postituse pealkiri:  (teema puudub)  

Sain õppetunni. Viirusetõrjes peavad vajalikud asjad ikkagi sees olema, mul oli välja lülitatud "blocking mode" immunet-is.
proovisin uuesti ja kohe kui rar faili lahti pakkis viirusetõrje ka eemaldas:
Image
see oli tuntud viirus aga uusi viirusi viirusetõrjed ei pruugi avastada, seega kasutage linuxit ja ärge näppige windowsi faile!

_________________
ricochet:yckka6zlbxv767lz

karlsson


Pingviini aktivist
Pingviini aktivist



Liitunud: 30.09.2011
Postitused: 122


niger.gif
postituspostitatud: 21.07.2017, 07:30  postituse pealkiri:  (teema puudub)  

ertserts, sellel ClamTk-l reaalaja kaitset pole eks? Paar aastat tagasi otsisin viirusetõrjet Linuxile ja ei leidnud ühtki tasuta tarkvara, mis reaalajas kaitseks.


ertserts
Vana Pingviin
Vana Pingviin



Liitunud: 31.10.2013
Postitused: 445
Asukoht: Tallinn
Distributsioon: Ubuntu, Debian
estonia.gif
postituspostitatud: 21.07.2017, 10:56  postituse pealkiri:  (teema puudub)  

Jah, minu teada ClamTK (clamav) ei võimalda kaitset reaalajas. Küll aga clamav uuendab oma antiviiruse baase default automaatselt.

Vajadusel saad antiviiruse skanneerimist Linux arvutis sättida läbi 'cron' utiliidi. Näiteks skanneerid teatud aja intervalli tagant kodukataloogi /home kasutaja(d). Selline täiesti töötav lihtne variant.

Kui minu mälu ei peta, siis peaks olema Linuxile vabavaralisi antiviiruse programme mis on reaalaja kaitsega. Vähemal omal ajal oli selliseid. Samas pole Linuxi keskkonnas põhjust muretseda. Muret ja häda ning viletsust saavad tunda ikka Windows kasutajad. Kuigi nüüdsel ajal pidavat olema "pahalaste" popiks trendiks rünnakud arvutikasutaja brauseri pihta. Brauseriga ollakse 24/7 Internetis ja läbi selle saaks OS'ist sõltumatult "sinisilmsetel" kasutajatel naha üle kõrvade tõmmata. Inimaju on lihtsam lollitada kui operatsioonisüsteemi. Smile

_________________
ertserts@linuxialune:~$ echo;echo Local and Remote IP connections:;netstat -at|sort -k5|grep ESTABLISHED|cut -c20-80;echo

tris

Troll - ära toida!
Troll - ära toida!



Liitunud: 23.08.2014
Postitused: 713

Distributsioon: Debian
estonia.gif
postituspostitatud: 21.07.2017, 17:31  postituse pealkiri:  (teema puudub)  

GNU/linux distributsioonis on viirusetõrjeks update manager - koos uuendamisega. Veebilehitsejas võiks olla ka ublock origin.

_________________
ricochet:yckka6zlbxv767lz

Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group