samo windows jbga malware je rasist.

-BUGovci bi mogli, vjerojatno i hoće.. ali za sad ne reagiraju. Vikend i nema ključne riječi iApple, možda ako renejmamo temu u iRansom/iVirus?

-najsumljiviji je java exploit, od početka tjedna nadogradnje i manji zastoji s bankama, tad su vjerojatno korsnici pokupili neku nepoćudnu javu ako su updateali kad im je neki portal izbacio popup(malware) ili suprotno ako su zakasnili s updateom na ver.40. Tako da trigger od 24-48 sati zvuči najvjerojatnije.

-mail nije, jer neka od pogođenih računala uopće ne koriste mail/client i sl. (ali može biti link/attachment na neki web gdje se može inicirati malware..).

-napadaju 'najpopularnije extenzije', kao jpg-pdf-doc-txt.. (cca 40tak), tako da je tif i sl. vjerojatno miran.

http://www.svijetsigurnosti.com/blogs/5433-u-posljednja-72-sata-hrvatska-je-meta-intenzivnih-hakerskih-napada

uglavnom i kod nas je zarazio par računala, analizom fw loga ustanovili smo poveznicu da su svi prije toga bili na tportalu, znači vjerojatno kroz reklame

zaštita jedino applocker (ali zahtjeva windows enterprise verziju), antivirusi 0-bodova, kad sam prvi sample stavio na virustotal, samo ga je 4/50 otkrivalo,

al to je i očekivano za 0-day napad, za heuristiku nisam siguran dali ga je našla, jedino što je uspjelo stavit u karantenu je fireeye, al ko to ima, preskupo

sherane foldere je spasio file screening koji zabranjuje executable na shreovima, kako su ovi extenzije .com, nije dao kriptirat share

Čovjek bi pomislio, da su pokupili virus samo oni, koji pod radnim vremenom surfaju po portalima

 Ne kužim. Možeš malo pojasniti? File share server sam po sebi ne bi trebao pokretati viruse. Međutim, ako je zaraženo bilo koje klijentsko računalo (dovoljno je jedno) koje ima read-write pristup na file share može izvršiti eknripciju datoteka na toj dijeljenoj mapi. Tako da ne kužim kako bi tvoj "screening" spriječio štetu u dijeljenoj mapi.

Nije server zarazen, nego virus kriptira i ako korisnik npr. Ima mapiran share. Ako imas na serveru takav policy da nemogu korisnici postavljat executable filove na share a kriptoloker renejma fajlove u npr india.com ovaj filescreen ga odjebe i jos ti posalje mail

Jeste vi pri sebi? Nijedan od onih kriptiranih fajlova nije executable, imaju .com nastavak samo zato jer su koristili onaj anointernet.com u renameanju fajlova, nastavak je mogao biti i .tk ili ne znam, .hr...

Ono što mene, između ostaloga, brine u cijeloj priči su konfuzne informacije, čini mi se da je  jedino Sum_of_all_feras   pokušao analizirati problem.

Zanima me :

Da li je svima napad započeo u srijedu oko 13:30 ? To bi potvrdilo da je malware (koji god da je) preuzet u nekom trenutku prije toga i aktiviran u datom trenutku. Termin je vjerojatno izabran jer je tvorac malwarea  pretpostavljao da će u tom trenutku računala biti uključena

Koliko sam razumio malware se nakon obavljenog posla briše sa računala pa ga zbog toga vjerojatno naknadna provjera sa antivirusnim alatima ne pronalazi iako postoji mogućnost da je  razlog u zero-dayu

Na www.cert.hr za kojeg bi očekivao da će biti centralno mjesto gdje bi mogao pronaći informacije nema niti slova o ovome

Da li su svi na zaraženim računalim dobili obavijest o plaćanju otkupnine ? Da li je netko platio otkupninu i uspio dekriptirati datoteke ?

Pa mogo je al nije. A screening negleda jel to stvarno executable file nego samo ekstenziju.

Samo jedan info :

Na analizi 100 PC pronašli smo da je u razmaku od 13.3 - 16.03 putem e-maila i jave na webu slano više različitih trojan.script.xxxxx (xxxxxx mi djeluje kao id ili dio id-a) (malware koji pokušava s drugih lokacija skinuti file i izvršiti ga lokalno, s lokalnim ovlastima). Nakon toga je krenuo napad e-mailom sa Worm:Win32/Nimda, a kulminacija je bila 18.3 kad je aktivacija krenula za cripter.

LP

dali ne netko ovih dana od banke (telefonom ili mailom) upućen na str.antibot-cert-a?

Hajmo jedno pitanje: je li moguće da su stradala samo računala poslovnih subjekata? Ako je to točno onda mora postojati neka poveznica. Od 20 osobnih računala zaposlenika i obitelji niti jedno nije stradalo, iako su neka u data vremena bila online. Ja sam, ako je ovo prethodno točno, opet najskloniji sumnjati na banke i telebanking poslovnih subjekata... Jedina vijest u novinama - večernji list - je bila da u Osijeku nisu isplatili socijalnu pomoć zbog napada virusa na računalo. Isto sam čuo da su administratori jednog dnevnog lista brisali sadržaje share foldera na serveru na kojem su imali pristup svi novinari (što ništa, doduše ne znači). Usput, najviše smeća u registryju je bilo na stroju koji je najmanje stradao (6000 datoteka), pa je možda moguće i da je krenulo ne sa prvog, već sa zadnjeg stroja u mreži prema prvom zaraženom.

Mogu ja pitat: zasto/koja je poveznica?

zato jer inače postoji pravio da banka telefonom/mailom ne obavještava korisnike, tj obično je tad netko drugi. U ovom slučaju nije prevara (netko drugi tko bi se predstavljao kao banka). To je neobično. Indirektna potvrda da je problem veći i da 'druga strana' (banke/institucije) znaju da se nešto dešava, ali svejdno ništa javno ne iznose, nemaju odgovor.. osim 'generičkih' helpova koji ne pomažu ničemu kao ova CERTova str. ali je bar neko mjesto gdje korisnik na hrpi ima npr antiviruse i kratka objašnjenja/upute...

ŠBBKBB, ako je inicijalno širenje preko jave povezano s bankama?

 A šta če drugo nego šutit jel, jer nemaju nikakvih konkretnih odgovora niti rješenja, zato jer su hakeri obično uvijek deset koraka ispred.

Tako to ide i u daleko bogatijim i razvijenijim državama, u kojima je služba za ovakav kriminal minimalno deset puta veča/sposobnija od "Hrvatskih internet specijalaca".

https://youtu.be/PIELVMQhvXc

https://youtu.be/fBWN6aEWDGw

Executable je sve ono što ima odgovarajući header, a kako je malware ekriptirao datoteke i mijenjao headere (primjer gore sa PSTovima), možda izgleda kao executable, ali nije. Probali smo...

Da je sve na linuxu ne bi bilo problema.

Možda je problem bio u flash playeru

http://www.computerworld.com/article/2899702/new-attacks-suggest-timeline-for-patching-flash-player-is-shrinking.html

Pa, nije to baš točno .... :)

Koliko sam vidio, nema neke poveznice između tvrtki (recimo to ovako - od 20 tvrtki, samo je jedna stradala) tj. od 100 računala samo jedno prijenosno računalo.

Sad banke s tim nemaju skoro sigurno ništa, ali java apleti koji se koriste za pristup recimo Fini ili PBZ-u ako je krivo konfiguriran, može biti uzrok (što se već događalo), a koliko mi je poznato najmanje 2 bootneta se i šire java scriptom. 

Skoro sigurno to nema veze s bankama, više sa java apletom koji svi koristimo i za pristup bankama i Fini ...

Dobro,raširilo se ,mene zanima ima li nade da se šifrirani dokumenti otključaju? Ikada?

 Ili da im platiš ali ni tada nisi ziher da ce ti poslati stvari za dekripciju ili da povučeš stvari iz backupa!

Tko ima važne stvari na pc-u a nema backup na drugom mjestu (drugi disk, cloud storage itd.) je jako ..... osoba!

Da se izvući na windowsima 7 koje rade shadow copy dokumenata. 

Plaćanje kriminalcima je kontraproduktivno pošto ih se tako samo potiče na još veći kriminal. Da su dokumenti zbilja bili od životne važnosti, trebali su biti backapirani, ako nisu, shvatite ovo kao životnu lekciju. 

Pošto se pojavilo samo na poslovnim kompjuterima za pretpostaviti je da je došlo s nekim alatom kojeg koristiš samo u poslovne svrhe(npr za ulaz na finu ili e poreznu,e mirovinsko).

A ako je prošlo njihove kontrole onda su oni i odgovorni,te bi oni trebali i platiti ključeve.A vidim da se nitko od njih ne javlja kao da se ništa nije dogodilo....

-stvar je da 'moraju' šutjeti (ne biti odgovorni..). Svrha jave je upravo banka/fina.. (na kućnom Minecraft..). Dal je odgovoran Oracle, MS, .. problem je u sistemu i to se čak nebi trebalo stavljati na teret bankama. No bez te poveznice nebi ni postojala java/rupa/razlog.. Dali je u ovom slučaju uopće bitna odgovornost u smislu kazne ili jednostavno da se smanji šteta i spriječi ponavljanje iste stvari za mjesec.. Sistem je problem, više dijelova od kojih svaki viče 'nisam'. Poslovica tko je jamio = tko je fasovo.. i idemo dalje.

Isto tako su mogli gledati IP adresu računala. Tipa ako je javna adresa računala t-com/iskon/bnet mogli su zaključiti da se radi o low priority meti, ako je javna adresa pak pbz.hr, fina.hr, allianz.hr... itd...mogli su doći do zaključka da se radi o poduzeću sa važnim dokumetima za koje će vjerovatnije dobiti otkupninu. 

Ništa ne garantira da taj crv ne sjedi na vašem računalu upravo sada, samo što im niste odveć zanimljivi. 

Danas je sve uvjetovano radom preko interneta,pa ako je došlo od neke institucije npr.porezne ili fine onda su svakako oni odgovorni jer nemaš izbora nego komunicirati internetom.A ako im ja nisam od interesa neka mi daju ključ da otključam e.