Dakle, danas se dogodio jedan "zgodan" napad. Prema informacijama sa kojima raspolažem(o), pogođen je veći broj firmi u RH. Počelo je oko 14h - najvjerojatnije od prije "instalirani" ransomware se aktivirao i kriptirao hrpetine datoteka (doc, docx, xls, xlsx, ppt, pptx, mdb, bak, zip i još neke). Promijenio im je i nazive - tako je npr. dokument.doc postao dokument.doc.id-xxxxxx-sos@anointernet.com (ne otvarajte taj sajt ako imate mozga niti datoteke na diskovima). Fileovi su kriptirani i još nismo vidjeli niti jedan zahtjev za "otkupninom" - obično ide bitcoinima uz slanje ovog seeda (xxxxx u primjeru). Kad im uplatitie 300-500$, šalju key i program za dekripciju mada to ne možete biti sigurni.

Taj malware je prošao mimo updateanih NOD32 i Win7 SP1 i voli se širiti po shareanim diskovima. Ako vam je mreža zaražena, iskopčajte sve PCje iz mreže, očistite ih od raznog smeća onda vratite backup uništenih fajlova. Ako nemate backup, žao mi je. Nema pomoći.

Unatoč poprilično strogoj security politici, antivirusima, updateima i relativno educiranim korisnicima, ovo smeće se ipak provuklo. Toliko o važnosti offline backupa...

Istina! 

zna li netko uzročnika???

Nikakvih info nigdje! 

preporuka, uključiti applocker, to je sve što pomaže zasad!

Ako je ovo smeće od jučer nekome ostavilo "upute", molim da ih posta ovdje...

Pozdrav,

evo ja sam kontaktirao ekipu koja stoji iza ovoga i razmijenio par riječi ... prvo sam poslao email na sos @ anointernet sa molbom koja je bila naravno pucanj u prazno, odgovor je bio da platim 1.8 Btc iliti 450 EUR. Nakon druge poruke da sam student(malo sam izmislio naravno) koji nema 450 EUR, dobio sam odgovor da onda mogu uplatit 200 EUR u Btc-ima , a ako mi to ne paše da "im" se više ne javljam. Da ne povjeruješ.

Stvar je relativno nova jer niti jedan antimalware ili antivirus mi ne nalazi ništa. Ako netko uspije detektirati sa konkretnim programom nešto, nek spomene.

evo borimo se cijelo jutro!

zadnje što smo skužili, na*ebali su svi share-ovi ili mapirani diskovi do kojih zaraženo računalo ima R/W pristup unutar istog subneta!

nismo još našli da se širi van subneta inficiranog računala!

info (neprovjereni) koji imam, pokupi se ga ne nužno kroz attachment, navodno i kroz flash skripte na određenim sajtovima!

tek danas su se počele pojavljivati šture informacije online, povratka kriptiranih datoteka (osim iz backupa) još nema!!

ako netko ima neki dodatni info, svakako je dobrodošao!! :)

meni su se javili i hoce 2 btc. dekriptirali su jedan file koji sam uploadao na sendspace. posto nemam izbora jer neke stvari nemam friski backup platit cu.

zanimljivo je da nisam uspio naci racunalo koje na sebi ima kriptirane fileove vec samo mrezni shareovi tako da jos ne znam sto je zarazeno.

Ajd onda barem javi jel nakon uplate ima koristi. Doduše i ja bi to evo na "firmin novac" pokušao, no problem je što nisam dobio odgovor s maila, niti nikakav drugi kontakt od ekipe...

Od informacija koje smo mi našli, na jednom stroju sa Windows Defenderom pronađen Ransom:Win32/lsda.A

Ja iskreno sumnjam da će dati ključ... Ali opet, ako su "pošteni" lopine...

hocu, ja sam slao jutros u 7, trebalo je 3 sata da odgovore, provjeri junk jasno :)

Ako sam dobro skužio ovaj XXX. broj iz xxxxxx-sos@anointernet.com (u imenu svake datoteke) je na svakom PC-u drugačiji. Iz toga ispada da bi za svaki PC trebalo iznova platit ako ih imate više u mreži.

Da.. Cryptolocker. Prije 2 tjedna i jučer opet. Mislio sam da babe tamo klikaju što stignu, ali očito se radi o problemu većih razmjera. Isto nod32 - 0 bodova. S malwarebytes-om sam imao više sreće. Otkupnina 400 eur. Ha-ha..

Ej, evo i mi se u firmi od jučer borimo s ovime.

Danas smo otkrili jednu stvar što se tiče kriptiranih fileova.

Kriptirani PDF dokument otvorite u nekoj Linux distribuciji (probano na openSUSE i Gentoo) i izbrišite ono sve iza pdf extenzije od ransomware-a, .id-xxxxxxxxxx_sos@anointernet.com.

Nakon toga će pdf dokument biti kao i prije enkripcije.

Probali smo i sa doc, xls, txt, jpg fileovima ali na njima nažalost to ne prolazi. :-(

Eto nadam se da je ovo nekima pomoglo.

Javite ako je i vama ovo uspjelo.

bacite oko na ovo obavezno 

http://deletemalware.blogspot.com/2015/03/remove-sosanointernetcom-ransom-virus.html

meh, to je prvo sto je gugl izbacio jutros, ne pise nista korisno osim da vratis fajlove iz bekapa :)

jel netko moze postati sto mu je av / antimalware program nasao uopce na kompjuteru koji je bio zarazen?

ja ne mogu otkriti di se smece skriva.

tnx.

Problem je u tome što se smeće vjerojatno izbrisalo kad je obavio "posao"... Da se oteža reverzni engineering i povrat podataka.

 To bi čak bilo i kolko tolko dobro, ne bi se širilo nakon povrata podataka

Malware se skida s dinamičkih domena koje se nalaze na IP adresi 104.238.176.102

Popis domena:

aepahphahv.co.vu
aisohcaehi.co.vu
anothertembr.cf
anothertembr.ga
anothertembr.gq
anothertembr.ml
chughaiquu.co.vu
eewujoopai.co.vu
faeceedaba.co.vu
iewohpotae.co.vu
kladara.ml
meicashala.co.vu
rooniebohl.co.vu
sheibohchu.co.vu
sootateiso.co.vu
taxonprofits.com
xooseishoh.co.vu
.co.vu
.ml
.gq
.ga
.cf

Nakon što se malware skine on se spaja na domenu taxonprofits.com s koje se pokreće php skripta za razmjenu ključeva.

.. recimo, sve dokumente, txt, jpg.. za sad primjećeno nije dirao .png, .db, .ini.. dakle ima neku listu extenzija.

-updateovi/zakrpe i AV klasično ne pomažu u prolazu.

 -čistaći čiste bez problema (mbam, s&d, spyhunter itd.) ali problem je kriptirani dokumenti.. Tko ima backup, tko nema može plaćati ransom (a bilo bi interesantno vidjeti da netko dobije ključ).

 -backup, restore/shadovcopy i sl., dekript za sada (očekivano ni idućih godina) nema..

 -nisu babe krive, ako te to tješi...

Uglavnom ESET ga je prepoznao ali kasno... Zanimljivo da nitko drugi od relevantnijih kompanija ga još ne prepoznaje.

https://www.virustotal.com/en/file/09c2ca5226f83b2d04e7fc43877cdba27ffab5ed72faf6e71df5bb8989f2a2d2/analysis/1426709021/

Ovo mi je također uletilo nakon fud@india.com samo što je ovaj enkriptirao i backupove tako da vjerujem da postoji veza jer ovaj mail fud@india.com više ne radi.

Enkriptira prvih 30k. Uspio sam popraviti PST file, ali drugo ništa.

Ne bih rekao da se izbrisalo, a mislim da privatni ključ niti nije na kompu. Ono što sam ja shvatio iz te priče (ne znači da je tako), da govno ima neku a/v zaštitu. Vidim da generira neke random *.exe daoteke, pobrišeš jedne drugi se pojave. Znači u safe mode i krljaj.. S time da obratiš pažnju na HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce, obzirom da ukoliko postoji nešto u tom ključu, to će se startati i u safe modu..

Nije dirao ništa od VSa (.sln, .cs, .resx..), .dll, .exe, .sql, .ocx...

Uglavnom je udarao po dokumentima (Office) i slikama te PDF fajlovima.

Pst fajlove popravlja dobri stari scanpst. Kriptirani su definitivno samo headeri.

Dirao je dbf i db.

PDF se popravlja, jedino mi se čini da se gubi prva stranica.

Nije slučaj kod mene. Ako i popraviš header, sadržaj je i dalje kriptiran..

Uredno vidim sadržaj, zanimljivo, s čime si popravljao? Možda su različite verzije virusa u igri.

Ja sam se sa 2 tipa ransomwarea susreo: Cryptowall 3.0 i fuds@india.com. U oba slučaja nisam uspio spasiti podatke a rok za uplatu je prošao. Osobno se slažem da ni u kojem slučaju ne treba plaćati otkupninu jer se na taj način potiče i financira razvoj takvih malicioznih programa. Isprobao sam nekoliko solucija koje sam surfanjem pronašao, ništa nije pomoglo, u oba slučaja je bio isključen system restore pa to nisam mogao isprobati, a shadows explorer isto radi samo ako postoji prijašnja točka vraćanja. Svi za ovu pošast čuju tek nakon što im se dogodi da im se računalo zarazi a onda je već kasno. Još jedan pokazatelj važnosti izrade offline backupa! Najviše me zabrinjava što se sve više pojavljuju slučajevi u našoj okolini... nije mi samo jasno kako i gdje ljudi to nađu i pokupe?!

Meni je Windows Defender našao i javio: Ransom:Win32/lsd.A

Nakon čišćenja/karantene se više ne javlja problem iako nemogu odrediti da li je to bilo "jednokrani encode" ili se stvar periodički ponavlja/budi...

Sa čime "popravljate" te fajlove? PDF?  pst vidim sa scanpst-om...

SCANPST.EXE - PST, PDF malo GOOGLE-a

Kolika je opasnost da su zaražena i druga računala u mreži. 

Tu kod mene je zaraženo jedno, ali bojim se da i druga nisu pokupila istu stvar. Za sada nisam kod nikoga primjetio slične datoteke, ali opet možda se ransomware kod njih aktivira naknadno.

Zaraženo računalo je iskopčano sa mreže.