Što se mene tiće eto, vidim da je ovo postao svojevrsni "hub" informacija pogođenih, pa sam pokušao i svojim informacijama pridonjeti. Naravno još uvijek čekam potvrdu da je uplata uspjela, iako ako uspijem svog šefa nagovorit da odriješi kesu, bit će te prvi koji će te znati :)

Kojim načinom je uopće proširen?

Nitko ne zna. Neki kažu mailovi, neki drive-by download sa naših portala a ja sam poprilično uvjeren da je riječ o nekom sleeperu jer je problem nastao oko 14h u srijedu kod manje-više svih...

Ja ga nisam primijetio na Win 8.1 kod sebe na više mašina.

Obično se pojavi na jednom ili dva stroja i ne širi se dalje (sam ransomware) - dovoljno je da se pokrene na jednom PCju i onda enkriptira fajlove na shareanim diskovima (kojima ima pristup taj user kod kojeg je malware).

Jučer kod mene zaražen server i 2 računala na mreži. Oba imaju pristup na internet ali na njima rade starije gospođe koje nemaju mail niti ga znaju koristiti tako da nisam siguran da je preko maila. Pretpostavljam da je surfanje u pitanju...Server se zarazio točno u 13:30.

 Drago mi je da ima ljudi koji ne čitaju što drugi pišu i hoće od sveg srca pomoći :)

Šišaš ti etička pravila, ja ti hoću reći da ćeš sutra platiti opet kad ti to naprave, a ti samo plaćaj.

Ista politika zašto ameri ne pregovaraju s teroristima...

btw. Jesi uspio otključat podatke nakon plaćanja?

Shadow explorer pomaže, ova varijanta ne briše datoteke (tkz previus version) i to je jedino što vas spašava. Osim backupa koji nije zakačen na to računalo ili ima neobičajenu ekstenziju. 

imam par zaraženih računala u mreži no;

1. nigdje nije ostavljena poruka kako se plaća "otkupnina" (kod nekih drugih slučajeva na desktopu je tekst sos@anointernet.com)

2. oni koji su platili, jesu li im se fajlovi vratili

3. u ESET-u kažu kako nakon "udara" virus uništava sam sebe, tako da je teško doći do uzorka samog virusa, to mogu potvrditi, računala sam skenirao nakon problema, nigdje nema ništa za naći od malware-a bilo koje vrste, ostale su samo posljedice

Prema zadnjim informacijama koje su mi informatičari rekli, u ovom trenutku bi svi antivirusni programi trebali biti sposobni prepoznati i spriječiti napad i širenje virusa koji se jučer oko 13-14 aktivirao po računalima diljem Hrvatske. Dakle, napad je prošao, tko je stradao-stradao je. Širenje je išlo uglavnom preko Java exploita. Da li je se je neki novi cryptolocker začahurio negdje po računalima i serverima i opet će se aktivirati - to nije sigurno ali ovo je bilo upozorenje svima koji nemaju adekvatnu zaštitu i ne rade backupe da se uhvate posla.

Upravo mi rece kolega iz italije da su danas dobili zarezeni fajl u mejlu od dobavljaca. Zipana su bila 3 falja (.step) i jedan je odma prepoznat kao ransomware virus. Tako da se cini da je globalno :S

nije mi problem nista, htio sam zavrsiti dekpripciju i backup kao sto sam ti vec jednom napisao

ko hoce primjer krptiranog filea, dekiptiranog filea, dekripter, user i pass molm na pm mejl sa imenom i prezimenom.

tolko od mene, hvala na pomoci

 Kakav troll hahahahahahahaha

 Definitivno! Valjda bi u dva dana našao 1 minutu i 17 sekundi da pošalje nešto da to uopće ima.

poslao sam i tebi misko, ne moras se ispricavati :)

pregovaraju sa putinom :)

da, jesam

Ne znam u čemu je problem postati ovdje... Mislim da će netko drage volje dati lovu tebi ako upali neko rješenje koje zajedno smislimo (iako su malene šanse)...

S obzirom da se tiđe ove teme (drive by zaraza i java exploita) ovo ja koristim u firmi i pokazalo se učinkovito:

Hitman Pro alert

Ghostery

TrafficLight

Malwarebytes anti exploit

Edit: Meni koriste nekih 50Mb rama više u firefoxu tako da nr bi trebalo bit gušenja

 Ipak se ispričavam. Dobio sam, testiram. Tnx!

Vidim da su neki fulali point kako se to smeće proširilo...

1. Malware se skinuo na PC na neki način (drive-by, exploit, zaraženi attachment) ili je otprije tamo, samo se u srijedu oko 14h aktivirao. Moguće je da se nalazi i na više PCja ali tamo je došao uvijek na isti način. Malware se nije kopirao niti na jedan PC unutar mreže!

2. Pokrenut je scan za fileovima iz popisa (Office dokumenti, ZIP fajlovi, PDFovi i slike te PSTovi) na dijeljenim diskovima.

3. Skupio je popis datoteka na mreži i počinje kriptiranje.

4. Kriptiranje gotovo, malware se briše sa PCja sam odakle je obavio popis (i kriptiranje) te ostavlja ili txt ili fud.bmp sa uputama za otkupninu.

Dakle, zaraženi su PCji koji su skinuli zaraženi file (ili neki drugi način naveden gore) i nakon kriptiranja, malware se obriše! Mi ga nismo nigdje našli a nulti PC smo pronašli prema kriptiranom fajlu u mapi kojoj imaju pristup samo admin i taj domenski user. Svi ostali useri i PCji su čisti.

.. najsumnljivija rupa je java, upravo početak tjedna je bio update 31-40, samo je pitanje dal je rupa u 31 pa su 40 sigurni ili su juzeri nabasali na nekoj 'nepoćudnoj stranici' na update.. (umjesto npr kod paljenja PCa s origigi str.) pa je tu ušao.
-nije mail (može, ali je u polovisi slučajeva isključen kao ulaz i AV ga dobro kontrolira.. tek oni 'uporni' koji klikaju na attachmente bi bili u riziku).

***
-može li netko shareati dekripter? (prerizično je tražiti bespućima neta, jer je dobra šansa za pokupiti malware..)

http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information

Mala pomoć nesretnicima.

 Ovo nije crypto locker ovo je neko hrvatsko đubre smislilo,cryptolocker je glup i ne briše se automatski s hosta.

Meni je na jednom zaraženom računalu avg jučer prepoznavao virus ga kada sam vraćao datoteke sa shadow explorerom. Dio datoteka sam pronašao sa data restore aplikacijom.  

Baš me zanima (mada čisto sumljam) dali je netko tko je pokupio zarazu imao instaliran neki oblik web zaštite kao što su AdGuard, BitDef.Traffic-Light ili možda namještene OpenDNS-ove adrese?

Netko je reko da je zaraza došla i sa Comodo AV-om, pa me također zanima kako se zaraza uspjela provući pored njegovog HIPS-a i Sandboxa? Ili su ti moduli u tom slučaju bili isključeni ili su bila ignorirana upozorenja pa se samo klikalo na "Allow"?

 to ti je 0 day ransomware kako će ga adguard prepoznati ako ga nema u bazi.Slučaj je najvjerojatnije izoliran samo na Hrvatsku i tu niti napredna heuristika ne pomaže.

Mali dodatak na cijelu priču,

znači pored samog crypto malwarea primjetih na zaraženom računalu i brontok crvića upakiranog u neke kriptirane datoteke. Sam brontok je uz nas godinama, nisam siguran koja varijanta. Vjerojatno je sa zaraženih računala poslao i mailove na kontakte s primjerkom crypto gamadi...

i ja sam se registrirao na forum tek sada jerbo je i nas pogodilo, a ovo je začudo jedino mjesto na kojem se o ovome govori ovih dana. Kako sam u komunikaciji s ljudima shvatio da je jaaaako puno firmi nadrljalo nije mi baš najjasnije da o tome nema niti retka u javnim medijima.

Nisam nikakav stručnjak i nemam ništa pametno za reći nego samo ukratko opisati našu situaciju pa možda netko iščita nešto korisno iz ovoga.

Dakle startalo je u srijedu u 13.30 i to, najvjerojatnije s mog stroja. Trend micro nije ništa skužio. Ja, uglavnom ne idem na portale a i oprezan sam s mailovima. (U vezi s mailovima bila mi je sumnjiva jedna stvar da mi je od ponedjeljka 16.3. Outlook kod searcha inboxa prikazivao samo mailove dospjele tamo negdje do 20.12.2014.)

U svakom slučaju od 6 računala na mreži tri su bila uglavnom rasturena. Na onom koje je najbolje prošlo bilo je oko 6.000 fajlova (samo jpg i doc), na sljedećem oko 40.000 (jpg i doc) (na oba su dečki ne baš osobitog odnosa prema sigurnosti - jedan surfa po portalima, a drugi nerezonski klika po gmailovima), a na mom svi fajlovi unutar share foldera (ali samo foldera u koje sam taj dan pristupao).

Srećom pa imamo backup jer su dečki s ova dva stroja druga pokrenuli restore point i popušili sve fajlove (koji su naravno na kraju imali ekstenziju com). Ali nije velika tragedija jer se bavimo DTP-om, pa u konačnoj pripremi ne koristimo jpg već tif datoteke, a tif nije dirao (ili stigao dirati).

Na svom stroju sam prvo pokušao preimenovati datoteke ali nakon toga se nisu dale otvarati. Međutim shvatio sam da kad se preimenuje datoteka u pravi naziv da se može vratiti previous version i onda stvar hoda.

Sa shadow explorerom sam uspio vratiti većinu stvari na zadnji datum 25.2. međutim negdje oko 3 u noći, vjerojatno sam pokušao restorati public folder, shadow explorer je vrisnuo (i nije imao više niti jedan stariji datum za povrat fajli - a zanimljivo opcionalno je imao datume za povrat 25.2., 18.2. i 3.11.2015. (!?!). Usput vraćene su i neke fajle koje imaju novije datume /ili te možda niti nisu bile zaražene/.

Uglavnom na mojem su stroju i folderi dobijali nastavak sos@anointernet.com. Jedine datoteke koje sigurno nije dirao (unutar zaraženih foldera) su bile InDesign fajle.

Nakon svega smo prošli s cc cleanerom i kod čišćenja registryja naletjeli na brdo invalidnih java zapisa.

Usput to me je natjeralo da se zapitam je li moguće problem s pristupom na banku (kojoj sam jedinoj taj dan pristupao) pa me baš zanima čiji su klijenti pogođene firme (znam da je jednoj firmi stvar krenula iz računovodstva).

Eh da, mi smo na Windows 7, ali jedno računalo je ostalo netaknuto, kao i još jedno koje je na Windows 8.

Jel ovo napadalo svaki OS ili su neki ostali sigurni