reprapy.pl

Jak w temacie - uwaga na maile o treści:
" DPD - powiadomienie o nieodebranej przesyłce nr: xxxxxxxxxxxxxxxxxxxxxxxxxxxx "
Nie ma załącznika - wirus się uaktywnia po próbie odszukania tej przesyłki po podanym numerze.
Na komputerze firmowym załatwił dane w programach księgowych i kadrowych.
Oczywiście mail z okupem za klucz zaraz przyszedł.

Może to dziwna prośba lecz możesz wysłać mi na PW numer przesyłki lub zawirusowany link.
Są możliwości by zakończyć ten proceder.

Mowa o tym ataku, w którym trzeba:
1. Otworzyć maila.
2. Kliknąć link.
3. Przepisać captcha.
4. Pobrać i otworzyć archiwum .zip
5. Uruchomić zawarty w nim skrypt.
?

Jaki system i jakie zabezpieczenia?
Chyba już dość czasu minęło, by wszystkie popularne antywirusy to łapały?

PS Jest takie popularne powiedzonko o backupach, wiecie które?

Słyszałem też o mailach od Zara.pl

Hehehe informatyk do zwolnienia albo na gruntowne szkolenie z zabezpieczeń
Niestety dobrze spreparowana strona i słabe zabezpieczenia wystarczą do zarażenia.

Antywirusu są do kitu i nie wychwytują bardzo często coś co pojawiło się parę dni temu. Najlepszy antywirusem jest ostrożność + polecam włączyć na Windowsie wyświetlanie tych cholerny rozszerzeń i patrzeć czy się odpala .pdf czy .pdf.exe.

dragonn pisze:Antywirusu są do kitu i nie wychwytują bardzo często coś co pojawiło się parę dni temu. Najlepszy antywirusem jest ostrożność + polecam włączyć na Windowsie wyświetlanie tych cholerny rozszerzeń i patrzeć czy się odpala .pdf czy .pdf.exe.

To jest kilka komputerów w sieci - OCZYWIŚCIE ŻE JEST ANTYWIRUS. I co? I nic.

SQ9KRD pisze:Może to dziwna prośba lecz możesz wysłać mi na PW numer przesyłki lub zawirusowany link.
Są możliwości by zakończyć ten proceder.

Przedyskutuję z małżonką ten temat - nie wiemy a razie jakie kroki poczynimy w tej sprawie.

Suma sumarum - są robione kopie tak że nie ma wielkich strat, ale jakbym złapał dziada...

SQ9KRD pisze:Hehehe informatyk do zwolnienia

Wiesz... też bym kiedyś tak powiedział gdyby nie to, ze też się dałem kiedyś złapać.
Napisałem skargę na listonosza i 3 dni później dostałem maila od poczty. Nawet się nie zastanowiłem, że to .js i otworzyłem. 10ms potem wiedziałem, że rozum mi odjęło, ale niestety. Danych nie utraciłem, ale nauczkę mam.

A ten ostatni to kolejna odsłona DHL, sam dostałem dzisiaj dwa, może być niewypłapywalna jeśli to nowa wersja, a również z doświadczenia wiem, że użytkownikom można klepać i klepać formułki:
-nie spodziewasz się
-nie wiesz co to
-NIE OTWIERAJ - za to pytaj jak nie jesteś pewien/na
a i tak się znajdzie melepeta: ojej, kliknąłem...

Yorg 68 pisze:małżonką

BTW małżonka to cudza żona, Twoja to żona Tak off top And NOSPANC

@Yorg,
Antywirus się nie odezwał? UAC też nie?

Oczywiście moja wzmianka o zwolnieniu była żartem. Sam wiem jak ciężko zapanować na "userami".

Niestety dobrodziejstwa typu .js, html5 nawet css itd niosą za sobą spore zagrożenie.

Dobrą praktyką w tym wypadku jest np. śledzenie przesyłek DHL tylko na "androidzie" ( a i to do czasu ).
Oczywiście nie można wymagać by w firmach stosować inne systemy niż windows.

W przypadku tego typu spamu tylko przezorność i praktyka np w zerkaniu od kogo przyszła poczta ( nagłówki @mail)
Pytam ponieważ sam przezornie chcę się zabezpieczyć przed adresatem tych @mail.
Ciekaw jestem też z jakiego klucza kozystają rozsyłając ten spam.

System jest chroniony - tu będziemy wyjaśniać sprawę czemu nie spełnił swojej roli.

To polecam też sprawdzić swoje strony na wordpressie, czy są zaktualizowane bo już około 1,5 mln witryn jest już przejętych.
https://sekurak.pl/juz-15-miliona-stron ... za-google/

Na przyszłość polecam zaglądać na takie strony jak:
z3s.pl
niebezpiecznik.pl
sekurak.pl

Fajna rada ale przecież nie dla księgowej, redaktora w gazecie, sekretarki czy innego pracownika biurowego a nawet prezesa lub mikroprzedsiębiorcy.
Każdego może trafić. Nie każdy musi być informatykiem.

Co się przydaje (kolejność nieprzypadkowa):
1. Myśleć i zachowywać czujność
2. Antywirus z Ransomware Protection
3. Edukacja użytkowników (na 3-cim punkcie bo i tak nie można na nich liczyć )
4. Backupy (znam firmy, które co kilkanaście minut robią przyrostowe) - jak w firmie jest choć jeden serwer to można uruchomić deduplikację i trzymać pliki użytkowników w 2 miejscach (jedna kopia niedostępna dla użytkownika)).
5. Dobrze skonfigurowany system pocztowy
6. Zainstalować EMET-a: https://www.microsoft.com/en-us/downloa ... x?id=54264

Z mieszanymi uczuciami polecam to:
https://ransomfree.cybereason.com/ (bo nie wiem na 100% czy skuteczne - ale darmowe nawet na serwerach więc chyba warto)

Jeżeli ktoś się zna na komputerach / lokalnemu informatykowi można polecić instalację jakiegoś HIPS-a (np. polski SpyShelter), ale to się zwykle nie nadaje się dla "normalnych" ludzi.

@McKee
Jakoś nie liczę, że pani Krysia i pani Halinka będzie czytać z3s.pl, ale użytkownikom forum taka lektura nie zaszkodzi. Zakładam że są to osoby raczej techniczne i mające co najmniej jako takie pojęcie o komputerach i chęć rozwijania się.
Technik zabezpieczenia się jest wiele, a co do backupów to polecam je testować raz na jakiś czas i nie trzymać w jednym miejscu. Bo można skończyć tak jak GITLAB, gdzie ktoś skasował produkcyjną bazę danych i okazało się, że backup nie działa.

WillingMagic pisze:[...] i okazało się, że backup nie działa.

O ile kojarzę to nawet nie jeden backup tylko kilka różnych (bo zabezpieczyli się kilkukrotnie - tylko ŻADNE z zabezpieczeń nie zadziałało).

A wracając do tematu... na Fabrykatorze imrahil wrzucił:

imrahil pisze: tutaj szczegółowe info - http://www.bankier.pl/wiadomosc/Janusz- ... 98435.html

żeby to zadziałało trzeba samemu POBRAĆ plik zip, samemu ROZPAKOWAĆ, samemu URUCHOMIĆ plik JScript - plizzz.... że też ludzie się na to nabierają... nie wspomnę o tym, że choćby darmowy antywirus Avast powinien to wychwycić i uniemożliwić uruchomienie (albo nawet samo rozpakowanie)

To ja nie mam dużo do dodania.... żadna metoda i żaden antywirus (tu się nie zgadzam z imrahilem) nie pomoże jak użytkownik postanowi zrobić sobie krzywdę.

McKee pisze: żadna metoda i żaden antywirus (tu się nie zgadzam z imrahilem) nie pomoże jak użytkownik postanowi zrobić sobie krzywdę.

Czy myślisz że ktoś budzi się rano z postanowieniem : A co tam walnę - sobie wiruska z rana przy kawce. Co? Jeszcze we własnej firmie, własnej działalności gospodarczej?
Proszę Cię McKee - to pisanina i chwyt poniżej pasa.

Yorg 68 pisze:

McKee pisze: żadna metoda i żaden antywirus (tu się nie zgadzam z imrahilem) nie pomoże jak użytkownik postanowi zrobić sobie krzywdę.

Czy myślisz że ktoś budzi się rano z postanowieniem : A co tam walnę - sobie wiruska z rana przy kawce. Co? Jeszcze we własnej firmie, własnej działalności gospodarczej?
Proszę Cię McKee - to pisanina i chwyt poniżej pasa.

Dlaczego? Jak byś miał włączone wyświetlanie rozszerzeń i zwrócił uwagę że otwierasz plik js czy tam exe wszystkiego dało by się uniknąć. Oczywiścię nikomu niczego nie zarzuca, każdemu może się zdarzyć. Na przyszłość polecam po prostu dwa razy spojrzeć na to jakiego typu jest plik który chcemy otworzyć i przy js/exe/msi/bat (to chyba wszystkie co mogą się uruchomić i coś nabroić) dwa razy się zastanowić czy chcemy to otworzyć.

I zapamiętać sobie - żaden antywirus nie uchorni przed wirusami który jedną lukę którą wyrkrzystują jest socjotechnika. Jak by ktoś CI na forum podesłał zipa a w środku byłby nieznany program to też bez zastanowienia byś go uruchomił?

Heh, też dostałem tego maila, jeśli ktoś kliknie sam link z trackingiem to nic się nie stanie, bo nie może się stać

BTW szału dostaję z tym brakiem rozszerzeń. Kto w ogóle na to wpadł? Otwieranie plików w windzie po obrazkach?
Inna sprawa, że niektóre rozszerzenia są niewidoczne NAWET gdy mamy włączone pokazywanie. Np. cnf :/

Yorg 68 pisze:

McKee pisze: żadna metoda i żaden antywirus (tu się nie zgadzam z imrahilem) nie pomoże jak użytkownik postanowi zrobić sobie krzywdę.

Czy myślisz że ktoś budzi się rano z postanowieniem : A co tam walnę - sobie wiruska z rana przy kawce. Co? Jeszcze we własnej firmie, własnej działalności gospodarczej?
Proszę Cię McKee - to pisanina i chwyt poniżej pasa.

Rozumiem wkurzenie, rozumiem że niechcący, albo przez niezdrową ciekawość zrobiłeś sobie krzywdę. Ale to tylko i wyłącznie niefrasobliwość jest przyczyną. Żadne zabezpieczenie nie pomoże jeżeli użytkownik bezmyślnie klika w co popadnie. Ręki w ogień nie wsadzasz przecież. Może jakieś szkolenie z obsługi komputera potrzebne, może lepszy informatyk/firma obsługująca, może lepsze oprogramowanie do zabezpieczeń - nie chce wyrokować. Rozumiem, że w małej firmie ktoś może być niedouczony, ale jak ja się na księgowości nie znam to wynajmuję firmę księgową albo idę na jakieś szkolenie. A na komputerach znają się wszyscy... I potem mamy efekty.
Nie wiem co u Ciebie nie zadziałało od strony zabezpieczeń, ale wina użytkownika jest tu bezdyskusyjna.

PS.: Antywirus z ransomware protection to ~100zł rocznie, ale też nie pomoże (pieniądze wyrzucone w błoto) jeżeli użytkownik nie czyta komunikatów tylko klika OK - dlatego edukacja i myślenie są na pierwszym miejscu.

PS.: Polecam zdecydowanie tablet "Microsoft Surface 2" - żaden starszy/nowszy, żaden "pro" i nie innego producenta - ma procesor ARM (a nie Intel/AMD) jest to zamknięta i mało popularna platforma (już ich nie produkują) - do przeglądania Internetu i odbierania podejrzanych emaili w sam raz (~350-750zł z wbudowanym / legalnym (!) Office i antywirusem - a jak ktoś się uprze to zewnętrzna klawiatura/mysz/monitor i mamy normalny choć niezbyt szybki komputer odporny na wszelkie zagrożenia (w tym na użytkownika!), bez żadnego dodatkowego kombinowania).

McKee pisze: A wracając do tematu... na Fabrykatorze imrahil wrzucił:

imrahil pisze: tutaj szczegółowe info - http://www.bankier.pl/wiadomosc/Janusz- ... 98435.html

żeby to zadziałało trzeba samemu POBRAĆ plik zip, samemu ROZPAKOWAĆ, samemu URUCHOMIĆ plik JScript - plizzz.... że też ludzie się na to nabierają... nie wspomnę o tym, że choćby darmowy antywirus Avast powinien to wychwycić i uniemożliwić uruchomienie (albo nawet samo rozpakowanie)

To ja nie mam dużo do dodania.... żadna metoda i żaden antywirus (tu się nie zgadzam z imrahilem) nie pomoże jak użytkownik postanowi zrobić sobie krzywdę.

Przecież mniej więcej to samo napisałem w drugiej odpowiedzi w tym wątku?
Jak elastyczny łącznik między krzesłem a monitorem się uprze, to nic nie pomoże.



Marek, w naszej branży samo:
"FASHION RETAIL - ZARA"
jest już mocno podejrzane.

FlameRunner pisze:Jak elastyczny łącznik między krzesłem a monitorem się uprze, to nic nie pomoże.

Racja, ale zobacz mój 2-gi PS: Surface 2 / procesor ARM załatwia sprawę użytkownika, bo żadne EXE się nie odpali (są też różne inne z tymi procesorami ale bez wbudowanego Office).

McKee pisze:

FlameRunner pisze:Jak elastyczny łącznik między krzesłem a monitorem się uprze, to nic nie pomoże.

Racja, ale zobacz mój 2-gi PS: Surface 2 / procesor ARM załatwia sprawę użytkownika, bo żadne EXE się nie odpali (są też różne inne z tymi procesorami ale bez wbudowanego Office).

To już łatwiej sobie postawić maszynę wirtualną do otwierania załączników, jak coś tam zawirusuje się to i tak nie wyjdzie poza nią i łatwo przywrócić migawkę z powrotem do stanu działającego.

Chyba jeszcze łatwiej zainstalować sandboxie. Polecam!!!
https://www.sandboxie.com

Dzieci, dzieci ...
Może nawet dorosłe ale wypowiadanie się jakbyście -nascie lat mieli.
Wyobrażacie sobie swoją żonę/matkę/babkę z maszyną wirtualną / sandboxie itp itd (w pracy)
Przecież nie każdy jest informatykiem / zna się lub powinien się znać na komputerach.
Ew.10-cio letnie dziecko ... i każ mu używać maszynę wirtualną ... i robić migawki ...
Klienta torrent nawet na telefonie znalazłem (u nieświadomego dzieciaka).
A co z tego że maszyna izolowania jeżeli z tego samego systemu/aplikacji jest komunikacja z kontrahentami, dostęp do banku itp...

McKee pisze: Z mieszanymi uczuciami polecam to:
https://ransomfree.cybereason.com/ (bo nie wiem na 100% czy skuteczne - ale darmowe nawet na serwerach więc chyba warto)

Jesteś pewien, że to nie jakieś ścierwo? Tworzy to to randomowe foldery i pliki na root, nie lubię jak mi coś grzebie po dyskach: ---
OK, chyba znalazłem wyjaśnienie i jeszcze się z nimi nie pogniewam:
http://www.ghacks.net/2016/12/20/ransom ... ansomware/

RansomFree needs to be installed on the target machine. The protection that it adds to the system is interesting, as it creates a number of files on the system that it monitors for changes.

These files use characters that place them at the top of the directory structure. The idea is that ransomware will parse for files using the same structure so that the created files will be targeted first by the attack.

A skąd pewność, że w RansomFree nie ma ukrytego ransomware?
Jeśli bym chciał zrobić skok stulecia z użyciem ransomware, to schowałbym je właśnie w narzędziu chroniącym przed konkurencyjnymi ransomware i starał się dotrzeć z nim do jak największej ilości świadomych użytkowników.

https://niebezpiecznik.pl/post/uwaga-pr ... +wszystko) jak widać nie jest to jednorazowa sytacja. Tak trzeba się po prostu nauczyć podstaw używania kompa - czyli nie klikać w wszystko jak popadnie. Oczywiście zaraz ktoś powie że co tam ma się taka Pani "Grażyna" nauczyć - no ale bardzo mi przykro, jak dla mnie używanie kompa jest jak jazda samochodem, też podstaw trzeba się nauczyć ;).

EDIT

Next https://niebezpiecznik.pl/post/uwaga-st ... +wszystko)

FlameRunner pisze:A skąd pewność, że w RansomFree nie ma ukrytego ransomware?
Jeśli bym chciał zrobić skok stulecia z użyciem ransomware, to schowałbym je właśnie w narzędziu chroniącym przed konkurencyjnymi ransomware i starał się dotrzeć z nim do jak największej ilości świadomych użytkowników.

Stąd, że producent RansomFree jest znany.
Gdybyś chciał zrobić skok stulecia pod własnym nazwiskiem/firmą to szybko by cię zamknęli .
Cały problem z ransomware polega na tym, że:
1) trzeba zapłacić okup (jeżeli soft jest dobrze napisany to nie da się odszyfrować danych i bez backupu okup jest jedyną możliwością odzyskania danych).
2) nie ma szans namierzenia komu się płaci okup / kto jest producentem ransomware.

Zapomniałeś o pkt 3 - nie ma żadnej gwarancji że zapłacenie okupu
pomoże odzyskać dane

Nie zapomniałem.
Szanse odzyskania danych to jakieś 90-99% - może się nie udać z winy użytkownika, lub nie zapłaci w terminie, lub nie za wszystkie dane.
Poczytaj jak to działa - żaden porządny przestępca nie będzie podcinał gałęzi na której siedzi.
Płacisz == dostajesz dane.
Gdyby użytkownicy nie dostawali danych to nikt by nie płacił.
Zwrot danych jest konieczny, żeby biznes się kręcił - to są za duże pieniądze żeby komuś się chciało oszukiwać (płacącego) użytkownika. Są robione specjalne systemy / strony, czasem nawet pozwalające na wybór danych np.: tylko pliki doc, zdjęcia, całość - wchodzisz jak do sklepu i kupujesz swoje dane (im więcej tym drożej). Dla użytkownika ma być łatwo (bo często nie wie co to BTC/bitcoin) a dla przestępcy bezpiecznie (w 100% anonimowo) - na razi nie słyszałem, żeby jakiegoś 'profesjonalistę' złapali.
Oczywiście są też proste i nieporadne wirusy - te pierwsze dawały się odszyfrować, niektóre miały błędy i kasowały/uszkadzały dane, więc możesz trafić na soft napisany przez jakichś patałachów / gimnazjalistów wtedy to kwestia szczęścia (w sumie partacze są we wszystkich zawodach), ale ogólnie: dane są zwracane. Nawet FBI przyznaje, że (w dobrze napisanych wirusach) okup to jedyna metoda (oczywiście trzeba sprawdzić z czym masz do czynienia - jeżeli jakiś prosty/stary wirus to jest szansa, że są narzędzia od firm antywirusowych umożliwiające odszyfrowanie - ale te stare wirusy już raczej nie krążą).

PS.: Oczywiście prewencja jest najlepsza. Nie dać się złapać. Uważać co się otwiera. Posiadać kopie zapasowe. (Każdego może trafić).

Trochę odkopię temat ale myślę że może się komuś przydać https://www.dobreprogramy.pl/Hardentool ... 79481.html dokładnie przed czymś takim chroni.

Niestety w wielu przypadkach bezużyteczny

"Aktualnie w programie nie znajdziemy żadnych opcji konfiguracyjnych: albo wyłączamy wszystko, albo nic.

Jeśli zatem wymienione wcześniej narzędzia i funkcje rzeczywiście nie są przez danego użytkownika wykorzystywane, to Hardentools może być świetną propozycją"

Różne rzeczy się używa, ale jak ja patrzyłem na to co on wyłącza to zwykłem "zjadaczowi chleba" nie powinno niczego brakować po tym.

Uwaga, jest kolejna wiadomość niewiadomego pochodzenia, screen poniżej, numer podany w mailu nie odpowiada, dzwoniłem bezpośrednio do firmy która jest pod tą domeną i oczywiście dostałem info żeby nie otwierać bo ktoś się podszył i rozsyła wirusa

No i temat zaczyna spełniać swoją rolę - cieszy mnie to niezmiernie
Dzięki marek91 za dostrzeżenie i ostrzeżenie