Skocz do zawartości
Anonim6

Jaki jest powód/powody infekcji - ukash, weelsof itp.

Rekomendowane odpowiedzi

Wysyp takich problemow od kilku dni. Mam prosbe o wyjasnienie do picasso lub Landuss-a. Moze jest jakis problem z zabezpieczeniami w szczegolnych systemach czy poszczegolnych programach zabezpieczajacych. Moze informacja do uzyszkodnikow zabezpieczy choc niewielka ilosc potencjalnych klientow (w tym mnie) od zlego. To jakas epidemia? Czy tylko nieuwaga lub moze calkowita indolencja poszkodowanych. Z jakich stron to sciagaja?

Moglbym analizowac logi i sposoby naprawy, ale nie potrafie i juz dziadka marka nie nauczycie. Prosze wiec o wyjasnienie z czystej ciekawosci - "What's up, doc?"

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Artykuły:

 

Ten komputer został zablokowany - ransomware żąda voucheru Ukash na 100 euro !

Weelsof atakuje polskich internautów

Uwaga na wirusa Weelsof - żąda 100 euro za odblokowanie komputera

 

Próbki wypowiedzi z forum:

 

jak doszło do infekcji? Dostałem maila, od "beaty kowal", kobiety nie znam, ale czekałem na informacje newsletterem z internetowego sklepu, myślałem ze to może właśnie jest on, i klikłem nie myśląc. Strona gdzieś mnie chciała przekierować ale wyłączyłem. Niestety nie pamiętam co na tej stronie było. Felerny adres to: hxxp://rafflescatering.com/jtosag.html

 

Nie mam pojęcia skąd ściągnęła się ta infekcja, nie przeglądałem żadnych "nierutynowych" stron (tylko standardy takie jak facebook, lastfm itp.).

 

Podczas przeglądania stron internetowych wyskoczyła dość dobrze znana na forum blokada ukash.

 

dziś podczas otwierania strony internetowej mój komputer został zablokowany.

 

wczoraj gdy brat grał w counter-strike wyskoczyło to gówno za przeproszeniem

 

W sobote wieczorem podczas gry w Counter Strike, chciał mi się pobrać plik "cstrike.exe" ze strony "free-leaks.com" czy coś w tym stylu, nie myśląc wiele, wcisnąłem enter i nieświadomy niczego, grałem dalej.

 

W googlach wyszukiwane były informacje historyczne nt. jednostek wojskowych.

Potem sprawdzano co znajduje się pod wyświetlonumi linkami.

W wyniku czytania inforamcji z tych stron komputer został zablokowany "z powodu naruszenia prawa polskiego" i prosi o płatnośc z pomocą ukash

 

Nie będę ukrywał, że jest to moja wina. AVG wykrył wirusa, ale zignorowałem to; no bo co może być strasznego w fotce lamp dziennych firmy Hella.

 

Chwila nieuwagi i ulica ciupagi. Link z panoramy firm

 

Z relacji osoby która była przy komputerze w momencie jego pojawienia się wynika że miało to miejsce podczas przeglądania jakiś blogów nt. mody, w momencie wczytywania się zdjęcia wyświetlił się komunikat o konieczności zapłaty grzywny i od tego momentu komputer działa tylko w trybie awaryjny.

 

Stało się to po pobieraniu pliku PDF z wnioskiem o warunki przyłączenia gazu ze strony PGNiG.

 

Schemat: kliknięty określony URL (multi-źródła, całkiem prawdopodobne i serwisy społecznościowe jako metoda transportu), który ma exploit, załadowanie infekcji może być zależne od luk w oprogramowaniu (nie na darmo w dziale wszystkich musztrujemy, by aktualizowali Adobe / Java i podobne). To nie odbiega metodologią od innych grasujących "infekcji z Facebook" czy "infekcji ze Skype", gdzie to klik w URL jest decydujący, użytkownicy albo są ślepi albo postępują wbrew logice, a oprogramowanie zabezpieczające to nie wszystko (zresztą musi mieć osłonę web, która blokuje URL przed jego otworzeniem). Ponadto, typ użytkownika też tu ma coś do rzeczy, ogromny procent zainfekowanych to rozruba w logach, masa śmieci sponsorowanych sugerująca całkowity brak uwagi przy "klikach" i mechaniczne postępowanie.

 

Ta infekcja to nic wysoce szczególnego, jedna z wielu i nawet niezbyt skomplikowana (to tylko po stronie użytkownika wygląda przerażająco). Taki typ ransomware w obiegu od dawna, tylko zmieniają się typy plansz i kody okupu. UKASH nie jest:

- świeżynką: od jakiegoś czasu już grasuje, teraz po prostu teren jego dystrybucji został rozszerzony.

- najgorszym wariantem wydarzeń: są w obiegu infekcje tego typu, które nie tylko pokazują zgrabny komunikat o opłatach, ale jeszcze na dodatek szyfrują dane użytkownika i bez dekryptora dane do śmieci.

 

Skomasowanie wątków jest też wprost proporcjonalne do forum, które miało pierwszeństwo w diagnostyce. Google zaindeksowało i oto jesteśmy na patelni. Ponadto, sprawy wyglądają na forum "drastycznie" z każdą nową infekcją.

 

 

 

.

Edytowane przez picasso
Więcej cytatów dodane. //picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Teraz powinienem napisac - "tak jak myslalem", ale pamietam jak syn kupil pierwszy PC 100 lat temu za kase zarobiona w wakacje i co ja wtedy wyprawialem z tym blaszakiem :P lacznie z tym, ze kupilem platnego Nortona bo juz rady sobie nie dawalem z wirusami, a brat przysylal mi na CD stery do grafiki bo taki bylem zozgarniety, ze nie moglem znalezc w sieci.

Tak czy siak proces wyglada podobnie jak z przestepcami i policja. - znamy ta grupe przestepcza , monitorujemy jej dzialania i juz zaraz ich aresztujemy :lol: , a grupa jak dzialala tak dziala nastepne 10 lat. Czyli nie do zastopowania historia.

Klikanie bez pojecia mam w swoim pokoju pod nosem w postaci kochanej malzonki. Bacznie obserwuje jej poczynania i boki mozna zrywac.

 

Mam "nadzieje", ze nie wszyscy przeczytaja i wezma do serca Twoje wyjasnienie i pracy Ci nie zabraknie. :)

Dziekuje i pozdrawiam.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Moje skromne spostrzeżenie: zwykłe przeglądanie Internetu, czyli to świństwo może kryć się pod reklamami sponsorów lub pod klikalnym obiektem (np. link do strony, aby przejść dalej do jakiegoś artykułu na tej samej witrynie).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Ten artykuł napisał jakiś dyletant, wpuszczanie użytkowników w maliny.

- Jest to oczywista namowa użytkowników początkujących do użycia aplikacji, która ich przerasta. Uruchomienie jest obwarowane licznymi zasadami, o których taki zielony nie ma pojęcia lub nie będzie chciał się odzielenić, ze względu na jedyne zainteresowanie w zdjęciu planszy okupowej, gdzie tam czytanie o takich "detalach" jak przygotowanie podłoża, skutki uboczne etc...

- To i tak jest nieskuteczne, a Weelsof różne ma oblicza. Forum jest aktualnie zalane tym problemem, a my z Landussem osiwieliśmy, to hardcore z jakim nigdy nie mieliśmy do czynienia. Spora wiekszość z proszących o pomoc uruchomiła właśnie ComboFix przed poproszeniem o pomoc, oczywiście z miernym skutkiem. Tylko nieliczne przypadki były uwieńczone sukcesem. Nieliczne. Po "poradach" WP musimy sprzątać, deinstalować wszystkim narzędzie z systemu lub usuwać jego szczątki. Okazuje się też, że błoga część nic nie wie na temat zasad używania tejże aplikacji. Widocznie jak mówię: mimo odkierowania do oficjalnej instrukcji użycia, nie jest to jednak czytane.

- Skoro już podawane instrukcje usuwające, raczyliby opisać metodę mniej inwazyjną. ComboFix wdraża multi-procedury, inwazyjne.

 

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Czysto teoretycznie - na szczęście nie mam tej infekcji - co się stanie gdy wprowadzimy losowy kod UKASH będąc odłączonym od sieci ?

Chociażby stąd:

http://cert.pl/tools/genukash.php

Edytowane przez picasso
Temat doklejony. //picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Poza mną - co wynika z pierwszego wpisu i mam nadzieję, że tak pozostanie - to sporo osób ma problem.

Ogólnie jest to banalna infekcja i ciekawi mnie czy losowy, poprawny kod zostanie zaakceptowany przez ten śmieć ?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

A wracając do tematu, czy avast inernet security zablokuje ewentualnie taki atak? Jaka będzie informacja przekazana? Wprawdzie nie korzystam z żadnych mega podejrzanych stron, tylko że to jak widać żaden powód, bo infekcja może czaić się wszędzie.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Picasso, nie tylko u was jest wysyp tego syfu. Na dobreprogramy również co drugi temat to blokada Ukash.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

A na pclab tak gdzieś 3 do 5 wątków dziennie.

Do tego na peb-ie dopiero początek łącznie z 4 tematy.

Boshi coś cie nie zrozumieli na geekstogo :-) niezłą gafę walnołeś że nie napisałeś że chcesz uczestniczyć w geekU.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Pozwolę sobie zapytać, bo ostatnio się zastanawiałem. Jakim kanałem rozprzestrzenia się ten ukash? Ogromna fala jest aktualnie, a z powietrza się to nie bierze... Z internetu, ale skąd? Wiem naiwne pytanie

Edytowane przez picasso
Post przeklejony z wątku dyskusyjnego poświęconego innym zagadnieniom. //picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

@kasper93 wypowiedzi użytkowników z forum masz w poście #2 powyżej.

Edytowane przez picasso
W związku z przeniesieniem postów do innego wątku, modyfikuję Twoją wypowiedź. To są cytaty z posta #2. //picasso

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Pozwolę sobie zapytać, bo ostatnio się zastanawiałem. Jakim kanałem rozprzestrzenia się ten ukash? Ogromna fala jest aktualnie, a z powietrza się to nie bierze... Z internetu, ale skąd? Wiem naiwne pytanie

wariant z przymróżenien oka ;) :

 

- Tato, a jak przyszedłem na świat?

- No dobrze mój synu, kiedyś musieliśmy odbyć tę rozmowę: Tata poznał mamę na chatroomie.

Później tata i mama spotkali się w cyberkafejce i w toalecie mama zechciała zrobić kilka downloadów z taty memory stick'a.

Jak tata był gotowy z uploadem zauważyliśmy, że nie zainstalowaliśmy żadnego firewalla.

Niestety było już za późno, żeby nacisnąć "Cancel" albo "Esc", a i meldunek "Czy na pewno chcesz ściągnąć plik?" już na początku skasowaliśmy w opcjach "Ustawienia".

Antywirus u twojej mamy już od dłuższego czasu nie był uaktualniany i nie poradził sobie z taty robakiem.

Więc nacisnęliśmy klawisz "Enter" i mama otrzymała komunikat: "Przypuszczalny czas kopiowania 9 miesięcy"...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

OK, powód jest - bezmyślne klikanie w linki. Owszem, sporo stron odwiedziłam, ale zazwyczaj czekam jeszcze te kilka sekund zanim kliknę, żeby wyświetlił mi się na podglądzie adres na jaki trafię. Ale tym razem pootwierałam strony restauracji "jak leci" z wyników wyszukiwania Google, nie zastanawiając się nad podglądami linków (no bo to przecież knajpy). A tu zonk.

A teraz pytanie - czy jest jakaś szansa żeby się przed tym paskudztwem ustrzec w przyszłości i jakoś zabezpieczyć?

I faktycznie jesteście na patelni - tuż obok dobrychprogramów i instrukcji z tej strony http://www.warsztatinternetowy.pl/bezpieczenstwo-twojego-komputera/twoj-komputer-zostal-zablokowany-z-powodu-naruszenia-prawa-polskiego (ale jakoś jej nie zaufałam po przejrzeniu tego co tutaj).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Leworęczna można uruchomić przeglądarkę w sandboxie,podobno nie przepuszcza tego świństwa.

Pozatym to podstawą są regularnę aktualizacje systemu jak i oprogramowania typu java i flash jak i przeglądarek.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wszystko można tylko większość przerasta aktualizacja Javy i Flasha a co dopiero dodatki do przeglądarki ;)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Tak ciężko odinstalować javę i flasha.

W jednym z logów na pclab widziałem javę 6 update 15.

Welsoff nie jedno ma imię jak napisała picasoo teraz już nie wszystki tworzą folder w Dane aplikacji\Microsoft\Windows\XXXX\XXXXX.exe

Wciska się też po shella i userinit przez co nie można zesknować spod trybu awaryjnego i trzeba użyć otlpe.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...