Mail koji je došao do nas je bio pbz365@36g.net  U njemu je link na phishing site. 

Druga stvar, do nas je došla informacija da je zaraženo većina portala u hrvatskoj i kritične su flash reklame na dotičnima. 

Nakon jučerašnjih 10-ak računala, danas su se počela pojavljivati nova ali u malom broju (2-3). Trenutno jedino što možemo jest zabraniti pristup korisnicima svim news portalima u hr-u i čekati da AV izbaci patch koji rješava problem (nadam se)

Mi imamo Trend Micro i nije pomogao...

Ide i na domenske korisnike, podosta ih je pobralo sa Indexa...barem kazu da nisu otvarali mail i da nisu bili na nijednom drugom portalu...

Samo kao zanimljivost...

https://www.freelancer.com/jobs/CPlusPlus-Programming/interested-for-crypter/

Mda,

i meni index.hr spada među prve sumnjivce. Mada je na zaraženom računalu pristupano na 24sata i net.hr, zdravakrava.hr express.hr... (ne i na index). Ne treba vjerovat korisnicima, nego provjerit history...

Korisnicima sam savjetovao minimalno surfanje u narednim danima... Frak, najradije bi im zabranio net kao takav ZAUVIJEK!

kako znas da je bas to racunalo zarazeno tim virusom sos@.... ??

Zato što su datoteke enkriptirane pod imenom "originalni-naziv.doc.id-XXXXXXXX_sos@anointernet.com" plus fud.bmp s opisom gdje i kako platit...

Nije samo NOD tako je to sa svim klasičnim sustavima AV zaštite, koji su bazirani na klasičnom Antivirusu koji traži gamad po nekom popisu.Kad korisnik prepusti zaštitu takvom Antivirusu, a njega večinom(radi jednostavnosti) koristi večina ljudi onda kad takav klasičan AV zakaže eto problema preko glave.

Ta crypt**** sranja su sva na isti kalup. J*beš takav AV koji nije sposoban zaključiti da je to jedno te isto...

Ali ni antivirus ne pomaže kad tipična Štefica™ klika ko sumanuta....

Može netko napisati kontakt mail iz fud.bmp za aktualni sos@anointernet?

Pretpostavljam da je anti-malware izbrisao fud a žalost nemam druge opcije... 

- vjerojatno.. razni portali, flash/java.. do sad mail nije izvor (osim kriptiranja dokumenata pa i .pst-a), tu bi AV uspješno blokirao ili bi user znao da je otišao na neki link.. (ali Štefice uvjek kažu 'nisam'..).

- spavač ili portali, index.. pa nebi isključio ni bug.

btw ima li netko link na decrypter? Može li se skinuti/shareati osim njihov link s otkupninom? Dali je samouništavajući? itd..

Da, bilo bi lijepo kad bi netko postao decrypter i koji "zaraženi" file + originalni iz backupa. Možda bi nešto složili...

Ako netko planira, stavite ih u .zip file, obavezno zaštićen passwordom (da ga netko nebi otvorio slučajno)

Može li me netko uputiti kako da ga aktiviram na Mac OSX-u? Ne ide pa ne ide. Probao sam i na Arch Linuxu, ali neće đubre...

 A čuj klasičan AV radi prema popisu, a tu je i neka Heuristika, no kad naleti nova Browser gamad od toga večinom nema nikakve koristi.Kaj se tiče surfanja i browser opasnosti, tu su kao preventiva najbolji ajmo reč "čudnovati alati", kao recimo NoScript ali to nije mač za klasičnog i prosječnog korisnika.

http://www.bug.hr/forum/topic/sigurnosni-softver/ultimativna-antivirus-tema-po/12723.aspx?page=1006&jumpto=4129302&sort=asc&view=flat

Onaj što kaže da je platio i dobio ključ laže

Ako imate priliku kod nekog nesretnika pogledati datoteke s hexeditorom vidjet ćete da je prvih 2kb kodirano, a ostatak nepromijenjen. E sad, problem je što

sve datoteke imaju istovjetne headere tako da nema šanse da je tu nešto kodirano, a što bi se moglo dekodirati natrag.

Andrija, dovoljno je da sa hex editorom napraviš ROT13 na prvih 2048 bajta neke datoteke pa da ne bude čitljiva. Poslije reversaš ROT13, i eto čitljive datoteke.

Da se razumijemo, to sa enkriptorima je postao uhodan biznis, i toga će biti sve više i više.

Nisi bas dobro razumio sto kaze: ROT13 nece dati isti rezultat na 2 razlicita stringa od 2KB. Ako je u pravu (a mislim da nije za vecinu ransomwarea, jer koliko sam cuo, neki su uspjeli vratit), matematicki je nemoguce da postoji ikakav kljuc s kojim mozes nesto dekriptirat...

 Istina, sad kontam što je napisao - no nemam provjerenu informaciju kakvi su headeri datoteka, a ljudima sa interneta ne vjerujem 100% :)

Ajd me molim te uputi kako da pokrenem Visual Studio 2014 pod OSXom. Ili MSSQL 2014. A i ovaj Office 2013 mi nešto đubre neće pod Archom.

Smartass... Ako nemaš ništa pametno za reći ili pomoći ljudima, odabij.

Koliko sam uspio vidjeti, kriptirano je prvih 30.000 bajtova s time da je veličina izvorne datoteke povečana za 4 bajta (dakle, kriptirana su prva 29996 bajta izvorne datoteke). Ovo se najlakše uoči na txt datotekama.

Ovaj što tvrdi da je platio, bi trebao negdje uploadati zip sa primjerima kriptiranih i nekriptiranih txt datoteka, ID, key i decrypter da možemo testirati na neumreženoj virtualki kako to radi. U suprotnom mislim da mulja.

Meni je sumnjivo da se baš u ovoj temi nalazi 9 novoprijavljenih kolega na forumu i nigdje više!

Jel nekima od vas stvarno pada na pamet platit debilma koji su napravili ovo? Pa baš tim plaćanjem ih potičete da to naprave opet...

Koliko god šteta bila ovakve stvari se ne plaćaju. Nažalost neki na teži način moraju naučit da treba raditi backup (i to ne RAID backup).

Mali update:

Trend Micro/Web reputation kad je ukljucen blokira odlazak na zarazene stranice...to nismo imali upaljeno...

Ljudi, probajte koristiti 

http://www.foolishit.com/vb6-projects/cryptoprevent/

(nije reklama jer ima free).

 da, ja sam platio.

nazalost nekad se dogodi da neke stvari zaboravis da postoje dok te ovako nesto ne podsjeti

i da, racunica je jasna

kolko kosta da se ono sto je krptirano napravi ponovo, a kolko kosta da se plati, a sto se tice etickih rasprava o tome treba li ili ne, siguran sam da trebas poceti od toga ko ti je sastavio mobitel koji koristis i za koje novce.

 prijavio sam se jer je ovo jedino mjesto na internetu gdje je zapravo i pisalo nesto korisno jutros.

ako hoces na pm i ime i prezime i firma i mobitel.

Pa to bi obavezno moralo bit upaljeno, dakle po defoltu uključeno ako se radi o nekom plačenom Tend Micro AV programu.Ako to po defoltu nije omogučeno(a to nema nikakve logike), onda je taj Trend Micro smeče od programa i to prve klase.Mislim da je ovo ipak najvjerojatnija situacija, dakle neko je to kod vas isključil i eto dogodilo se to kaj se dogodilo.No ipak za ubuduče eto preporuke, obavezno u browser nabacite ovaj besplatni Bitdefender alat za blokiranje loših stranica.

http://www.bitdefender.com/solutions/trafficlight.html

http://www.techsupportalert.com/content/how-harden-your-browser-against-malware-and-privacy-concerns.htm

Eh, da, zadnji put sam vidio da je netko nestručan takav virus pokrenuo iz emaila.

Ali, nije valjda još netko tu takav neznalica da pokreće nepoznate attachmente iz

emailova ? :)

1) Ne surfati Internet Explorerom. Surfati firefoxom kojem dodaš dodatke: NoScript, Ghostery, AdBlockPlus, BetterPrivacy

2) Ne otvarati sumnjive mailove od nepoznatih ljudi niti sadržaja koji izgleda kao kopiran bot-om. Npr. frend iz ulice ti pošalje nešto na lošem engleskom i ima privitak za izvršiti.

3) Imati backup koji je OFFLINE. Znači usb disk koji nije stalno spojen. FreeFileSync i BeyondCompare se tu pokazuju korisnim.

4) Account "Administrator" preimenuj u nešto drugo što nije u riječniku (niti je ime ni godina) i taj admin account ne koristi za redovan rad, nego samo kod instalacija (a to je rijetko). Za redovan rad kreiraj drugi account koji nema dovoljna prava za išta instalirati, pa ni addon za browser. Ali može otvarati i mijenjati dokumente itd, znači redovni rad. Cilj je da se malware ne uspije instalirati jer nemate dovoljna prava.

Moja sućut onima koji su stradali. Trebalo bi se skupiti u udrugu online i pokrenuti tužbu protiv nepoznatog počinitelja. To je svakako posao za policiju i to međunarodnu. Ovo je na razini oružane pljačke banke i to masovne.

 Da li mi možeš reć koju verziju Trebd micro-a koristite?

EDIT: Trend Micro web reputation ga blokira isto kao i add on za firefox TrafficLight

Evo ja upravo u firmi isprobao i funkcionira šta se tiče mailova i linkova sa redirectom u njima

 Dobro, a zašto ti je onda teško zipati sa passwordom par kriptiranih txt datoteka i njihove originale zajedno sa decryptorom i ključem koji si dobio pa da probamo vidjeti da li se šta da napraviti?