Re: Kódolós vírus .ccc kiterjesztés
Tisztelt Listatagok, 2015.11.10. 12:00 keltezéssel, techinfo-requ...@lista.sulinet.hu írta: Message: 1 From: Tamás Tápai <ttrendszerga...@gmail.com> To: Techinfo <techinfo@lista.sulinet.hu> Subject: Re: Kódolós vírus .ccc kiterjesztés A felhasználó semmire nem emlékszik, csupán azzal jött, hogy eszeveszetten lassú a gépe. Semmi védelem, otthoni hadználat, unokák webes játékai és természetesen XP. Nem csoda, ha vírusos lett. 1. A Kaspersky kifejlesztett egy programot, melynek segítségével visszanyerhetők a titkosított adatok. A program a kártevők két legelterjedtebb változata, a Coinvault és a Bitcryptor áldozatainak nyújt segítséget. A program letöltése és további információk: https://noransom.kaspersky.com 2. http://www.virushirado.hu/hirek_tart.php?id=2302=rss Üdvözlettel: Simon Gábor eNTi Szoft Kft. Telefon/Fax: 06-27 300-272 Skype: enti.info ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: Kódolós vírus .ccc kiterjesztés
Tamás, még egy tipp: a titkosítós vírusok bizonyos változataihoz kiadtak visszatitkosító algoritmust. Ezeknél ugyanis a betitkosítás könnyedén feltörhető-visszafejthető. Sajnos az újabbak nagy részénél ez még elméletileg sem oldható meg az erős titkosítás miatt. De egy próbát megér. Kicsit más: Amúgy tökre érdekelne, hogy azoknál a gépeknél, ahol kódolós vírust láttatok, - milyen tűzfal és/vagy víruskereső volt, - aktív volt-e vagy lejárt - felhasználó (égreföldre megesküdve) mit állít: kikapcsolta-e a védelmet vagy nem - felhasználó (szívét az égre emelve, a föld összes számítógépére megesküdve) mit állít: a klasszikus vírusbejöveteli módok közül bedőlt-e valaminek (emailből futtatható indítása, emailből futtathatóra mutató linkről futtatható megnyitása, programtelepítés, drivertelepítés, plugintelepítés) *Csak egy mikrofelmérés lehetne, ha van időtök egy-egy rövid válaszra.* Én eddig hármat láttam testközelből, ebből kettőnél annyira idős/kezdő volt a felhasználó, hogy esélytelen volt felgöngyölíteni, mit csinált és mikor. Egy esetben sikerült őszinte bevallásra késztetni az ügyfelet: meg akart nézni egy videót, aminél azt állította a honlap, hogy csak akkor indul el, ha frissíti/telepíti hozzá a plugin-t. Ami persze vírusos volt (és gondolom, nem plugin). Amire a víruskereső persze bejelzett, így kikapcsolta a védelmet. Gondolom, amúgy a videót nem tudta még így se megnézni, nyilván. Máté 2015. október 29. 11:58 Alaksza Balázs írta,: > 2015.10.29. 11:57 keltezéssel, Homolya Erno írta: > >> Kezdodik a hitvita :-) >> >> Szerintem meg hulyeseg! >> >> Aktiv frissitett (neves!) virusirto mellett is evett mar meg kodolos >> "virus" Ablakos7-est. >> > > > Jaja, a felhasználói butaság ellen semmi nem véd... > > > -- > Alaksza Balázs > > ___ > Techinfo mailing list > Techinfo@lista.sulinet.hu > Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo > Illemtan: http://www.szag.hu/illemtan.html > Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ > ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: Kódolós vírus .ccc kiterjesztés
A felhasználó semmire nem emlékszik, csupán azzal jött, hogy eszeveszetten lassú a gépe. Semmi védelem, otthoni hadználat, unokák webes játékai és természetesen XP. Nem csoda, ha vírusos lett. 2015. nov. 9 15:25 ezt írta ("Nagy Máté"): > Tamás, még egy tipp: a titkosítós vírusok bizonyos változataihoz kiadtak > visszatitkosító algoritmust. Ezeknél ugyanis a betitkosítás könnyedén > feltörhető-visszafejthető. Sajnos az újabbak nagy részénél ez még > elméletileg sem oldható meg az erős titkosítás miatt. De egy próbát megér. > > Kicsit más: > Amúgy tökre érdekelne, hogy azoknál a gépeknél, ahol kódolós vírust > láttatok, > >- milyen tűzfal és/vagy víruskereső volt, >- aktív volt-e vagy lejárt >- felhasználó (égreföldre megesküdve) mit állít: kikapcsolta-e a >védelmet vagy nem >- felhasználó (szívét az égre emelve, a föld összes számítógépére >megesküdve) mit állít: a klasszikus vírusbejöveteli módok közül bedőlt-e >valaminek (emailből futtatható indítása, emailből futtathatóra mutató >linkről futtatható megnyitása, programtelepítés, drivertelepítés, >plugintelepítés) > > *Csak egy mikrofelmérés lehetne, ha van időtök egy-egy rövid válaszra.* > > Én eddig hármat láttam testközelből, ebből kettőnél annyira idős/kezdő > volt a felhasználó, hogy esélytelen volt felgöngyölíteni, mit csinált és > mikor. Egy esetben sikerült őszinte bevallásra késztetni az ügyfelet: meg > akart nézni egy videót, aminél azt állította a honlap, hogy csak akkor > indul el, ha frissíti/telepíti hozzá a plugin-t. Ami persze vírusos volt > (és gondolom, nem plugin). Amire a víruskereső persze bejelzett, így > kikapcsolta a védelmet. Gondolom, amúgy a videót nem tudta még így se > megnézni, nyilván. > > Máté > > 2015. október 29. 11:58 Alaksza Balázs írta, : > >> 2015.10.29. 11:57 keltezéssel, Homolya Erno írta: >> >>> Kezdodik a hitvita :-) >>> >>> Szerintem meg hulyeseg! >>> >>> Aktiv frissitett (neves!) virusirto mellett is evett mar meg kodolos >>> "virus" Ablakos7-est. >>> >> >> >> Jaja, a felhasználói butaság ellen semmi nem véd... >> >> >> -- >> Alaksza Balázs >> >> ___ >> Techinfo mailing list >> Techinfo@lista.sulinet.hu >> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo >> Illemtan: http://www.szag.hu/illemtan.html >> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ >> > > > ___ > Techinfo mailing list > Techinfo@lista.sulinet.hu > Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo > Illemtan: http://www.szag.hu/illemtan.html > Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ > > ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: Kódolós vírus .ccc kiterjesztés
On Wed, Oct 28, 2015 at 11:33:36AM +0100, Tamás Tápai wrote: > A fájlok olvashatatlanok, a ccc kiterjesztés el távolítása sem segít. > Az adatok vissza nyerésének semmi esélye. > A tanúlság: XP-s gépen, amin nincs vírus kereső, írtó, ne végezzenek > érzékeny adatokkal munkát. Szerintem ez nemcsak XP-s gépre igaz. -- PTG 186,282 miles per second: It isn't just a good idea, it's the law! ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: Kódolós vírus .ccc kiterjesztés
Kezdodik a hitvita :-) Szerintem meg hulyeseg! Aktiv frissitett (neves!) virusirto mellett is evett mar meg kodolos "virus" Ablakos7-est. rR On Wed, Oct 28, 2015 at 11:33:36AM +0100, Tamás Tápai wrote: A fájlok olvashatatlanok, a ccc kiterjesztés el távolítása sem segít. Az adatok vissza nyerésének semmi esélye. A tanúlság: XP-s gépen, amin nincs vírus kereső, írtó, ne végezzenek érzékeny adatokkal munkát. Szerintem ez nemcsak XP-s gépre igaz. -- PTG 186,282 miles per second: It isn't just a good idea, it's the law! ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: Kódolós vírus .ccc kiterjesztés
2015.10.29. 11:57 keltezéssel, Homolya Erno írta: Kezdodik a hitvita :-) Szerintem meg hulyeseg! Aktiv frissitett (neves!) virusirto mellett is evett mar meg kodolos "virus" Ablakos7-est. Jaja, a felhasználói butaság ellen semmi nem véd... -- Alaksza Balázs ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Kódolós vírus .ccc kiterjesztés
Hoztak egy gépet, hogy valószínüleg vírusos. A hdd—t át tettem egy teszt gépbe ahol eset endpoint security antivírus felügyelt a biztonságra. Újra indítás után rögtön jelezte, h dolga van és vadúl dolgozott. Mire le futott az ellenőrzés, 2900 esetben kellett be avatkoznia. Ez után duttattam a hd sentinelt ami a hdd kondícióját 0-ásnak értékelte. Nosza mentem a menthetőt és ami csak lehetett át másoltam egy másik meghajtóra. Másolás után kezdtem ellenőrizni a mentett adatokak és minden doc, jpg, xls, ppt, pps fájl után a tárgybeli kiterjesztés volt biggyesztve. Minden könyvtárban volt egy decrypthelp.html lap is el helyezve. A fájlok olvashatatlanok, a ccc kiterjesztés el távolítása sem segít. Az adatok vissza nyerésének semmi esélye. A tanúlság: XP-s gépen, amin nincs vírus kereső, írtó, ne végezzenek érzékeny adatokkal munkát. ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/