Anonim6 Opublikowano 1 Lipca 2012 Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Wysyp takich problemow od kilku dni. Mam prosbe o wyjasnienie do picasso lub Landuss-a. Moze jest jakis problem z zabezpieczeniami w szczegolnych systemach czy poszczegolnych programach zabezpieczajacych. Moze informacja do uzyszkodnikow zabezpieczy choc niewielka ilosc potencjalnych klientow (w tym mnie) od zlego. To jakas epidemia? Czy tylko nieuwaga lub moze calkowita indolencja poszkodowanych. Z jakich stron to sciagaja? Moglbym analizowac logi i sposoby naprawy, ale nie potrafie i juz dziadka marka nie nauczycie. Prosze wiec o wyjasnienie z czystej ciekawosci - "What's up, doc?" Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2012 Zgłoś Udostępnij Opublikowano 2 Lipca 2012 (edytowane) Artykuły: Ten komputer został zablokowany - ransomware żąda voucheru Ukash na 100 euro ! Weelsof atakuje polskich internautów Uwaga na wirusa Weelsof - żąda 100 euro za odblokowanie komputera Próbki wypowiedzi z forum: jak doszło do infekcji? Dostałem maila, od "beaty kowal", kobiety nie znam, ale czekałem na informacje newsletterem z internetowego sklepu, myślałem ze to może właśnie jest on, i klikłem nie myśląc. Strona gdzieś mnie chciała przekierować ale wyłączyłem. Niestety nie pamiętam co na tej stronie było. Felerny adres to: hxxp://rafflescatering.com/jtosag.html Nie mam pojęcia skąd ściągnęła się ta infekcja, nie przeglądałem żadnych "nierutynowych" stron (tylko standardy takie jak facebook, lastfm itp.). Podczas przeglądania stron internetowych wyskoczyła dość dobrze znana na forum blokada ukash. dziś podczas otwierania strony internetowej mój komputer został zablokowany. wczoraj gdy brat grał w counter-strike wyskoczyło to gówno za przeproszeniem W sobote wieczorem podczas gry w Counter Strike, chciał mi się pobrać plik "cstrike.exe" ze strony "free-leaks.com" czy coś w tym stylu, nie myśląc wiele, wcisnąłem enter i nieświadomy niczego, grałem dalej. W googlach wyszukiwane były informacje historyczne nt. jednostek wojskowych.Potem sprawdzano co znajduje się pod wyświetlonumi linkami. W wyniku czytania inforamcji z tych stron komputer został zablokowany "z powodu naruszenia prawa polskiego" i prosi o płatnośc z pomocą ukash Nie będę ukrywał, że jest to moja wina. AVG wykrył wirusa, ale zignorowałem to; no bo co może być strasznego w fotce lamp dziennych firmy Hella. Chwila nieuwagi i ulica ciupagi. Link z panoramy firm Z relacji osoby która była przy komputerze w momencie jego pojawienia się wynika że miało to miejsce podczas przeglądania jakiś blogów nt. mody, w momencie wczytywania się zdjęcia wyświetlił się komunikat o konieczności zapłaty grzywny i od tego momentu komputer działa tylko w trybie awaryjny. Stało się to po pobieraniu pliku PDF z wnioskiem o warunki przyłączenia gazu ze strony PGNiG. Schemat: kliknięty określony URL (multi-źródła, całkiem prawdopodobne i serwisy społecznościowe jako metoda transportu), który ma exploit, załadowanie infekcji może być zależne od luk w oprogramowaniu (nie na darmo w dziale wszystkich musztrujemy, by aktualizowali Adobe / Java i podobne). To nie odbiega metodologią od innych grasujących "infekcji z Facebook" czy "infekcji ze Skype", gdzie to klik w URL jest decydujący, użytkownicy albo są ślepi albo postępują wbrew logice, a oprogramowanie zabezpieczające to nie wszystko (zresztą musi mieć osłonę web, która blokuje URL przed jego otworzeniem). Ponadto, typ użytkownika też tu ma coś do rzeczy, ogromny procent zainfekowanych to rozruba w logach, masa śmieci sponsorowanych sugerująca całkowity brak uwagi przy "klikach" i mechaniczne postępowanie. Ta infekcja to nic wysoce szczególnego, jedna z wielu i nawet niezbyt skomplikowana (to tylko po stronie użytkownika wygląda przerażająco). Taki typ ransomware w obiegu od dawna, tylko zmieniają się typy plansz i kody okupu. UKASH nie jest: - świeżynką: od jakiegoś czasu już grasuje, teraz po prostu teren jego dystrybucji został rozszerzony. - najgorszym wariantem wydarzeń: są w obiegu infekcje tego typu, które nie tylko pokazują zgrabny komunikat o opłatach, ale jeszcze na dodatek szyfrują dane użytkownika i bez dekryptora dane do śmieci. Skomasowanie wątków jest też wprost proporcjonalne do forum, które miało pierwszeństwo w diagnostyce. Google zaindeksowało i oto jesteśmy na patelni. Ponadto, sprawy wyglądają na forum "drastycznie" z każdą nową infekcją. . Edytowane 18 Lipca 2012 przez picasso Więcej cytatów dodane. //picasso Odnośnik do komentarza
Anonim6 Opublikowano 2 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2012 Teraz powinienem napisac - "tak jak myslalem", ale pamietam jak syn kupil pierwszy PC 100 lat temu za kase zarobiona w wakacje i co ja wtedy wyprawialem z tym blaszakiem lacznie z tym, ze kupilem platnego Nortona bo juz rady sobie nie dawalem z wirusami, a brat przysylal mi na CD stery do grafiki bo taki bylem zozgarniety, ze nie moglem znalezc w sieci. Tak czy siak proces wyglada podobnie jak z przestepcami i policja. - znamy ta grupe przestepcza , monitorujemy jej dzialania i juz zaraz ich aresztujemy , a grupa jak dzialala tak dziala nastepne 10 lat. Czyli nie do zastopowania historia. Klikanie bez pojecia mam w swoim pokoju pod nosem w postaci kochanej malzonki. Bacznie obserwuje jej poczynania i boki mozna zrywac. Mam "nadzieje", ze nie wszyscy przeczytaja i wezma do serca Twoje wyjasnienie i pracy Ci nie zabraknie. Dziekuje i pozdrawiam. Odnośnik do komentarza
Grisza Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 Moje skromne spostrzeżenie: zwykłe przeglądanie Internetu, czyli to świństwo może kryć się pod reklamami sponsorów lub pod klikalnym obiektem (np. link do strony, aby przejść dalej do jakiegoś artykułu na tej samej witrynie). Odnośnik do komentarza
wolsky Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 WP doradza na usuniecie tego wirusa użycie COMBOFIX-a... http://tech.wp.pl/kat,1009779,title,Ten-komputer-zostal-zablokowany-jak-odblokowac,wid,14737749,wiadomosc.html?ticaid=1ec6c źródło: CERT / WP.PL Odnośnik do komentarza
picasso Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Ten artykuł napisał jakiś dyletant, wpuszczanie użytkowników w maliny. - Jest to oczywista namowa użytkowników początkujących do użycia aplikacji, która ich przerasta. Uruchomienie jest obwarowane licznymi zasadami, o których taki zielony nie ma pojęcia lub nie będzie chciał się odzielenić, ze względu na jedyne zainteresowanie w zdjęciu planszy okupowej, gdzie tam czytanie o takich "detalach" jak przygotowanie podłoża, skutki uboczne etc... - To i tak jest nieskuteczne, a Weelsof różne ma oblicza. Forum jest aktualnie zalane tym problemem, a my z Landussem osiwieliśmy, to hardcore z jakim nigdy nie mieliśmy do czynienia. Spora wiekszość z proszących o pomoc uruchomiła właśnie ComboFix przed poproszeniem o pomoc, oczywiście z miernym skutkiem. Tylko nieliczne przypadki były uwieńczone sukcesem. Nieliczne. Po "poradach" WP musimy sprzątać, deinstalować wszystkim narzędzie z systemu lub usuwać jego szczątki. Okazuje się też, że błoga część nic nie wie na temat zasad używania tejże aplikacji. Widocznie jak mówię: mimo odkierowania do oficjalnej instrukcji użycia, nie jest to jednak czytane. - Skoro już podawane instrukcje usuwające, raczyliby opisać metodę mniej inwazyjną. ComboFix wdraża multi-procedury, inwazyjne. . Odnośnik do komentarza
Flame Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 (edytowane) Czysto teoretycznie - na szczęście nie mam tej infekcji - co się stanie gdy wprowadzimy losowy kod UKASH będąc odłączonym od sieci ? Chociażby stąd: http://cert.pl/tools/genukash.php Edytowane 14 Lipca 2012 przez picasso Temat doklejony. //picasso Odnośnik do komentarza
jigaboo Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Nic się nie stanie.. próbowałem i wyskoczył komunikat o złym kodzie.. Odnośnik do komentarza
Flame Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Czyli obecna postać infekcji jest zmodyfikowana, albo w poniższym linku się mylą http://www.cert.pl/news/5483 Odnośnik do komentarza
jigaboo Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Widzę że nie tylko ja dziś zostałem zaatakowany przez ten wirus.. Odnośnik do komentarza
Flame Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Poza mną - co wynika z pierwszego wpisu i mam nadzieję, że tak pozostanie - to sporo osób ma problem. Ogólnie jest to banalna infekcja i ciekawi mnie czy losowy, poprawny kod zostanie zaakceptowany przez ten śmieć ? Odnośnik do komentarza
michaelwaut Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 A wracając do tematu, czy avast inernet security zablokuje ewentualnie taki atak? Jaka będzie informacja przekazana? Wprawdzie nie korzystam z żadnych mega podejrzanych stron, tylko że to jak widać żaden powód, bo infekcja może czaić się wszędzie. Odnośnik do komentarza
Boshi Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 Picasso, nie tylko u was jest wysyp tego syfu. Na dobreprogramy również co drugi temat to blokada Ukash. Odnośnik do komentarza
Conor29134 Opublikowano 12 Lipca 2012 Zgłoś Udostępnij Opublikowano 12 Lipca 2012 A na pclab tak gdzieś 3 do 5 wątków dziennie. Do tego na peb-ie dopiero początek łącznie z 4 tematy. Boshi coś cie nie zrozumieli na geekstogo :-) niezłą gafę walnołeś że nie napisałeś że chcesz uczestniczyć w geekU. Odnośnik do komentarza
kasper93 Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 (edytowane) Pozwolę sobie zapytać, bo ostatnio się zastanawiałem. Jakim kanałem rozprzestrzenia się ten ukash? Ogromna fala jest aktualnie, a z powietrza się to nie bierze... Z internetu, ale skąd? Wiem naiwne pytanie Edytowane 13 Lipca 2012 przez picasso Post przeklejony z wątku dyskusyjnego poświęconego innym zagadnieniom. //picasso Odnośnik do komentarza
Landuss Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 (edytowane) @kasper93 wypowiedzi użytkowników z forum masz w poście #2 powyżej. Edytowane 13 Lipca 2012 przez picasso W związku z przeniesieniem postów do innego wątku, modyfikuję Twoją wypowiedź. To są cytaty z posta #2. //picasso Odnośnik do komentarza
Bonifacy Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Pozwolę sobie zapytać, bo ostatnio się zastanawiałem. Jakim kanałem rozprzestrzenia się ten ukash? Ogromna fala jest aktualnie, a z powietrza się to nie bierze... Z internetu, ale skąd? Wiem naiwne pytanie wariant z przymróżenien oka : - Tato, a jak przyszedłem na świat? - No dobrze mój synu, kiedyś musieliśmy odbyć tę rozmowę: Tata poznał mamę na chatroomie. Później tata i mama spotkali się w cyberkafejce i w toalecie mama zechciała zrobić kilka downloadów z taty memory stick'a. Jak tata był gotowy z uploadem zauważyliśmy, że nie zainstalowaliśmy żadnego firewalla. Niestety było już za późno, żeby nacisnąć "Cancel" albo "Esc", a i meldunek "Czy na pewno chcesz ściągnąć plik?" już na początku skasowaliśmy w opcjach "Ustawienia". Antywirus u twojej mamy już od dłuższego czasu nie był uaktualniany i nie poradził sobie z taty robakiem. Więc nacisnęliśmy klawisz "Enter" i mama otrzymała komunikat: "Przypuszczalny czas kopiowania 9 miesięcy"... Odnośnik do komentarza
Anonim8 Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 wariant z przymróżenien oka : Rozwaliłeś mnie Bonifacy. Odnośnik do komentarza
leworeczna Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 OK, powód jest - bezmyślne klikanie w linki. Owszem, sporo stron odwiedziłam, ale zazwyczaj czekam jeszcze te kilka sekund zanim kliknę, żeby wyświetlił mi się na podglądzie adres na jaki trafię. Ale tym razem pootwierałam strony restauracji "jak leci" z wyników wyszukiwania Google, nie zastanawiając się nad podglądami linków (no bo to przecież knajpy). A tu zonk. A teraz pytanie - czy jest jakaś szansa żeby się przed tym paskudztwem ustrzec w przyszłości i jakoś zabezpieczyć? I faktycznie jesteście na patelni - tuż obok dobrychprogramów i instrukcji z tej strony http://www.warsztatinternetowy.pl/bezpieczenstwo-twojego-komputera/twoj-komputer-zostal-zablokowany-z-powodu-naruszenia-prawa-polskiego (ale jakoś jej nie zaufałam po przejrzeniu tego co tutaj). Odnośnik do komentarza
Conor29134 Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Leworęczna można uruchomić przeglądarkę w sandboxie,podobno nie przepuszcza tego świństwa. Pozatym to podstawą są regularnę aktualizacje systemu jak i oprogramowania typu java i flash jak i przeglądarek. Odnośnik do komentarza
piotreek Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Można też po za aktualizacjami stosować dodatek do FF (na inne przeglądarki chyba też jest) https://addons.mozilla.org/pl/firefox/addon/wot-safe-browsing-tool/ Odnośnik do komentarza
Conor29134 Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Można też noscript+adblock pod firefoxem a pod operą noAds. Odnośnik do komentarza
piotreek Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Wszystko można tylko większość przerasta aktualizacja Javy i Flasha a co dopiero dodatki do przeglądarki Odnośnik do komentarza
Conor29134 Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Tak ciężko odinstalować javę i flasha. W jednym z logów na pclab widziałem javę 6 update 15. Welsoff nie jedno ma imię jak napisała picasoo teraz już nie wszystki tworzą folder w Dane aplikacji\Microsoft\Windows\XXXX\XXXXX.exe Wciska się też po shella i userinit przez co nie można zesknować spod trybu awaryjnego i trzeba użyć otlpe. Odnośnik do komentarza
piotreek Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Przypominają mi się czasy postrachu CIH-a (Czarnobyl) i kasowania BIOS-ów Odnośnik do komentarza
Rekomendowane odpowiedzi