Jaki jest powód/powody infekcji - ukash, weelsof itp.

[Anonim6]

Wysyp takich problemow od kilku dni. Mam prosbe o wyjasnienie do picasso lub Landuss-a. Moze jest jakis problem z zabezpieczeniami w szczegolnych systemach czy poszczegolnych programach zabezpieczajacych. Moze informacja do uzyszkodnikow zabezpieczy choc niewielka ilosc potencjalnych klientow (w tym mnie) od zlego. To jakas epidemia? Czy tylko nieuwaga lub moze calkowita indolencja poszkodowanych. Z jakich stron to sciagaja?

Moglbym analizowac logi i sposoby naprawy, ale nie potrafie i juz dziadka marka nie nauczycie. Prosze wiec o wyjasnienie z czystej ciekawosci - "What's up, doc?"

[picasso]

Artykuły:

 

Ten komputer został zablokowany - ransomware żąda voucheru Ukash na 100 euro !

Weelsof atakuje polskich internautów

Uwaga na wirusa Weelsof - żąda 100 euro za odblokowanie komputera

 

Próbki wypowiedzi z forum:

 

jak doszło do infekcji? Dostałem maila, od "beaty kowal", kobiety nie znam, ale czekałem na informacje newsletterem z internetowego sklepu, myślałem ze to może właśnie jest on, i klikłem nie myśląc. Strona gdzieś mnie chciała przekierować ale wyłączyłem. Niestety nie pamiętam co na tej stronie było. Felerny adres to: hxxp://rafflescatering.com/jtosag.html

 

Nie mam pojęcia skąd ściągnęła się ta infekcja, nie przeglądałem żadnych "nierutynowych" stron (tylko standardy takie jak facebook, lastfm itp.).

 

Podczas przeglądania stron internetowych wyskoczyła dość dobrze znana na forum blokada ukash.

 

dziś podczas otwierania strony internetowej mój komputer został zablokowany.

 

wczoraj gdy brat grał w counter-strike wyskoczyło to gówno za przeproszeniem

 

W sobote wieczorem podczas gry w Counter Strike, chciał mi się pobrać plik "cstrike.exe" ze strony "free-leaks.com" czy coś w tym stylu, nie myśląc wiele, wcisnąłem enter i nieświadomy niczego, grałem dalej.

 

W googlach wyszukiwane były informacje historyczne nt. jednostek wojskowych.

Potem sprawdzano co znajduje się pod wyświetlonumi linkami.

W wyniku czytania inforamcji z tych stron komputer został zablokowany "z powodu naruszenia prawa polskiego" i prosi o płatnośc z pomocą ukash

 

Nie będę ukrywał, że jest to moja wina. AVG wykrył wirusa, ale zignorowałem to; no bo co może być strasznego w fotce lamp dziennych firmy Hella.

 

Chwila nieuwagi i ulica ciupagi. Link z panoramy firm

 

Z relacji osoby która była przy komputerze w momencie jego pojawienia się wynika że miało to miejsce podczas przeglądania jakiś blogów nt. mody, w momencie wczytywania się zdjęcia wyświetlił się komunikat o konieczności zapłaty grzywny i od tego momentu komputer działa tylko w trybie awaryjny.

 

Stało się to po pobieraniu pliku PDF z wnioskiem o warunki przyłączenia gazu ze strony PGNiG.

 

Schemat: kliknięty określony URL (multi-źródła, całkiem prawdopodobne i serwisy społecznościowe jako metoda transportu), który ma exploit, załadowanie infekcji może być zależne od luk w oprogramowaniu (nie na darmo w dziale wszystkich musztrujemy, by aktualizowali Adobe / Java i podobne). To nie odbiega metodologią od innych grasujących "infekcji z Facebook" czy "infekcji ze Skype", gdzie to klik w URL jest decydujący, użytkownicy albo są ślepi albo postępują wbrew logice, a oprogramowanie zabezpieczające to nie wszystko (zresztą musi mieć osłonę web, która blokuje URL przed jego otworzeniem). Ponadto, typ użytkownika też tu ma coś do rzeczy, ogromny procent zainfekowanych to rozruba w logach, masa śmieci sponsorowanych sugerująca całkowity brak uwagi przy "klikach" i mechaniczne postępowanie.

 

Ta infekcja to nic wysoce szczególnego, jedna z wielu i nawet niezbyt skomplikowana (to tylko po stronie użytkownika wygląda przerażająco). Taki typ ransomware w obiegu od dawna, tylko zmieniają się typy plansz i kody okupu. UKASH nie jest:

- świeżynką: od jakiegoś czasu już grasuje, teraz po prostu teren jego dystrybucji został rozszerzony.

- najgorszym wariantem wydarzeń: są w obiegu infekcje tego typu, które nie tylko pokazują zgrabny komunikat o opłatach, ale jeszcze na dodatek szyfrują dane użytkownika i bez dekryptora dane do śmieci.

 

Skomasowanie wątków jest też wprost proporcjonalne do forum, które miało pierwszeństwo w diagnostyce. Google zaindeksowało i oto jesteśmy na patelni. Ponadto, sprawy wyglądają na forum "drastycznie" z każdą nową infekcją.

 

 

 

.

Edytowane 18 Lipca 2012 przez picasso
Więcej cytatów dodane. //picasso

[Anonim6]

Teraz powinienem napisac - "tak jak myslalem", ale pamietam jak syn kupil pierwszy PC 100 lat temu za kase zarobiona w wakacje i co ja wtedy wyprawialem z tym blaszakiem lacznie z tym, ze kupilem platnego Nortona bo juz rady sobie nie dawalem z wirusami, a brat przysylal mi na CD stery do grafiki bo taki bylem zozgarniety, ze nie moglem znalezc w sieci.

Tak czy siak proces wyglada podobnie jak z przestepcami i policja. - znamy ta grupe przestepcza , monitorujemy jej dzialania i juz zaraz ich aresztujemy , a grupa jak dzialala tak dziala nastepne 10 lat. Czyli nie do zastopowania historia.

Klikanie bez pojecia mam w swoim pokoju pod nosem w postaci kochanej malzonki. Bacznie obserwuje jej poczynania i boki mozna zrywac.

 

Mam "nadzieje", ze nie wszyscy przeczytaja i wezma do serca Twoje wyjasnienie i pracy Ci nie zabraknie.

Dziekuje i pozdrawiam.

[Grisza]

Moje skromne spostrzeżenie: zwykłe przeglądanie Internetu, czyli to świństwo może kryć się pod reklamami sponsorów lub pod klikalnym obiektem (np. link do strony, aby przejść dalej do jakiegoś artykułu na tej samej witrynie).

[wolsky]

WP doradza na usuniecie tego wirusa użycie COMBOFIX-a...

 

http://tech.wp.pl/kat,1009779,title,Ten-komputer-zostal-zablokowany-jak-odblokowac,wid,14737749,wiadomosc.html?ticaid=1ec6c

 

źródło: CERT / WP.PL

[picasso]

Ten artykuł napisał jakiś dyletant, wpuszczanie użytkowników w maliny.

- Jest to oczywista namowa użytkowników początkujących do użycia aplikacji, która ich przerasta. Uruchomienie jest obwarowane licznymi zasadami, o których taki zielony nie ma pojęcia lub nie będzie chciał się odzielenić, ze względu na jedyne zainteresowanie w zdjęciu planszy okupowej, gdzie tam czytanie o takich "detalach" jak przygotowanie podłoża, skutki uboczne etc...

- To i tak jest nieskuteczne, a Weelsof różne ma oblicza. Forum jest aktualnie zalane tym problemem, a my z Landussem osiwieliśmy, to hardcore z jakim nigdy nie mieliśmy do czynienia. Spora wiekszość z proszących o pomoc uruchomiła właśnie ComboFix przed poproszeniem o pomoc, oczywiście z miernym skutkiem. Tylko nieliczne przypadki były uwieńczone sukcesem. Nieliczne. Po "poradach" WP musimy sprzątać, deinstalować wszystkim narzędzie z systemu lub usuwać jego szczątki. Okazuje się też, że błoga część nic nie wie na temat zasad używania tejże aplikacji. Widocznie jak mówię: mimo odkierowania do oficjalnej instrukcji użycia, nie jest to jednak czytane.

- Skoro już podawane instrukcje usuwające, raczyliby opisać metodę mniej inwazyjną. ComboFix wdraża multi-procedury, inwazyjne.

 

 

 

.

[Flame]

Czysto teoretycznie - na szczęście nie mam tej infekcji - co się stanie gdy wprowadzimy losowy kod UKASH będąc odłączonym od sieci ?

Chociażby stąd:

http://cert.pl/tools/genukash.php

Edytowane 14 Lipca 2012 przez picasso
Temat doklejony. //picasso

[jigaboo]

Nic się nie stanie.. próbowałem i wyskoczył komunikat o złym kodzie..

[Flame]

Czyli obecna postać infekcji jest zmodyfikowana, albo w poniższym linku się mylą

http://www.cert.pl/news/5483

[jigaboo]

Widzę że nie tylko ja dziś zostałem zaatakowany przez ten wirus..

[Flame]

Poza mną - co wynika z pierwszego wpisu i mam nadzieję, że tak pozostanie - to sporo osób ma problem.

Ogólnie jest to banalna infekcja i ciekawi mnie czy losowy, poprawny kod zostanie zaakceptowany przez ten śmieć ?

[michaelwaut]

A wracając do tematu, czy avast inernet security zablokuje ewentualnie taki atak? Jaka będzie informacja przekazana? Wprawdzie nie korzystam z żadnych mega podejrzanych stron, tylko że to jak widać żaden powód, bo infekcja może czaić się wszędzie.

[Boshi]

Picasso, nie tylko u was jest wysyp tego syfu. Na dobreprogramy również co drugi temat to blokada Ukash.

[Conor29134]

A na pclab tak gdzieś 3 do 5 wątków dziennie.

Do tego na peb-ie dopiero początek łącznie z 4 tematy.

Boshi coś cie nie zrozumieli na geekstogo :-) niezłą gafę walnołeś że nie napisałeś że chcesz uczestniczyć w geekU.

[kasper93]

Pozwolę sobie zapytać, bo ostatnio się zastanawiałem. Jakim kanałem rozprzestrzenia się ten ukash? Ogromna fala jest aktualnie, a z powietrza się to nie bierze... Z internetu, ale skąd? Wiem naiwne pytanie

Edytowane 13 Lipca 2012 przez picasso
Post przeklejony z wątku dyskusyjnego poświęconego innym zagadnieniom. //picasso

[Landuss]

@kasper93 wypowiedzi użytkowników z forum masz w poście #2 powyżej.

Edytowane 13 Lipca 2012 przez picasso
W związku z przeniesieniem postów do innego wątku, modyfikuję Twoją wypowiedź. To są cytaty z posta #2. //picasso

[Bonifacy]

Pozwolę sobie zapytać, bo ostatnio się zastanawiałem. Jakim kanałem rozprzestrzenia się ten ukash? Ogromna fala jest aktualnie, a z powietrza się to nie bierze... Z internetu, ale skąd? Wiem naiwne pytanie

wariant z przymróżenien oka :

 

- Tato, a jak przyszedłem na świat?

- No dobrze mój synu, kiedyś musieliśmy odbyć tę rozmowę: Tata poznał mamę na chatroomie.

Później tata i mama spotkali się w cyberkafejce i w toalecie mama zechciała zrobić kilka downloadów z taty memory stick'a.

Jak tata był gotowy z uploadem zauważyliśmy, że nie zainstalowaliśmy żadnego firewalla.

Niestety było już za późno, żeby nacisnąć "Cancel" albo "Esc", a i meldunek "Czy na pewno chcesz ściągnąć plik?" już na początku skasowaliśmy w opcjach "Ustawienia".

Antywirus u twojej mamy już od dłuższego czasu nie był uaktualniany i nie poradził sobie z taty robakiem.

Więc nacisnęliśmy klawisz "Enter" i mama otrzymała komunikat: "Przypuszczalny czas kopiowania 9 miesięcy"...

[Anonim8]

wariant z przymróżenien oka :

 

Rozwaliłeś mnie Bonifacy.

[leworeczna]

OK, powód jest - bezmyślne klikanie w linki. Owszem, sporo stron odwiedziłam, ale zazwyczaj czekam jeszcze te kilka sekund zanim kliknę, żeby wyświetlił mi się na podglądzie adres na jaki trafię. Ale tym razem pootwierałam strony restauracji "jak leci" z wyników wyszukiwania Google, nie zastanawiając się nad podglądami linków (no bo to przecież knajpy). A tu zonk.

A teraz pytanie - czy jest jakaś szansa żeby się przed tym paskudztwem ustrzec w przyszłości i jakoś zabezpieczyć?

I faktycznie jesteście na patelni - tuż obok dobrychprogramów i instrukcji z tej strony http://www.warsztatinternetowy.pl/bezpieczenstwo-twojego-komputera/twoj-komputer-zostal-zablokowany-z-powodu-naruszenia-prawa-polskiego (ale jakoś jej nie zaufałam po przejrzeniu tego co tutaj).

[Conor29134]

Leworęczna można uruchomić przeglądarkę w sandboxie,podobno nie przepuszcza tego świństwa.

Pozatym to podstawą są regularnę aktualizacje systemu jak i oprogramowania typu java i flash jak i przeglądarek.

[piotreek]

Można też po za aktualizacjami stosować dodatek do FF (na inne przeglądarki chyba też jest) https://addons.mozilla.org/pl/firefox/addon/wot-safe-browsing-tool/

[Conor29134]

Można też noscript+adblock pod firefoxem a pod operą noAds.

[piotreek]

Wszystko można tylko większość przerasta aktualizacja Javy i Flasha a co dopiero dodatki do przeglądarki

[Conor29134]

Tak ciężko odinstalować javę i flasha.

W jednym z logów na pclab widziałem javę 6 update 15.

Welsoff nie jedno ma imię jak napisała picasoo teraz już nie wszystki tworzą folder w Dane aplikacji\Microsoft\Windows\XXXX\XXXXX.exe

Wciska się też po shella i userinit przez co nie można zesknować spod trybu awaryjnego i trzeba użyć otlpe.

[piotreek]

Przypominają mi się czasy postrachu CIH-a (Czarnobyl) i kasowania BIOS-ów