Wannacry, στην κυριολεξία...

  • Αγαπητοί φίλοι και φίλες.

    Με ιδιαίτερη χαρά σας προσκαλούμε στην κοπή της πρωτοχρονιάτικης πίτας του AVClub στη Θεσσαλονίκη για το 2024 την Κυριακή 07 Απριλίου και ώρα 14.00

    Δηλώστε τη συμμετοχή σας εδώ, θα χαρούμε πολύ να σας γνωρίσουμε από κοντά.

nicksoti

AVClub Addicted Member
14 April 2013
1,911
Καλησπέρα σε όλους.

1η φορά γράφω στην κατηγορία, αφορμή μια περιπέτεια που περνώ εδώ και 3 μέρες. Γράφω αυτή τη στιγμή από εφεδρικό λειτουργικό μιας και έχω πέσει όμηρος ransomware προσπαθώντας να πληρώσω... λύτρα σε bitcoins για να ανακτήσω 2-3 χαμένες δουλειές. "Θύμα" περίπου 1GB βίντεο, το 1/3 αυτών σημαντικότατα. Μέσα σε αυτά έτοιμη δουλειά προς παράδοση σε πελάτη, τελικά και πρωτότυπα αρχεία. Θα περιγράψω την εμπειρία μου όσο πιο διεξοδικά μπορώ γιατί είμαι άυπνος 3 μέρες... Για να επιστήσω προσοχή, αλλά και να ζητήσω μια μικρή βοήθεια. Έχουμε και λέμε:

- Έπεσα θύμα παραλλαγής του γνωστού ransomware που έχει χτυπήσει το διαδίκτυο.
- Τον ιό τον "έπιασα στα πράσα" να κρυπτογραφεί τους δίσκους μου, μιας κι εκείνη τη στιγμή δούλευα στον υπολογιστή και άκουγα τα raid να σπινάρουν τρελά. Πρόλαβα να σωθούν πολλά. Όχι όλα δυστυχώς. Χτύπησε οτιδήποτε ήταν συνδεδεμένο πάνω στο pc, και δυστυχώς είχα συνδεδεμένοuς και 2 backup δίσκους... Βέβαια αν δεν εχα κάνει shutdown είχα πιθανότητα να βρεθεί το κλειδί από την ram, αλλά που να το jξέρω....
- Επεσα στην πιο πρόσφατη παραλλαγή του ιού, φρεσκότατος κανενός μηνός. Έπειτα από έρευνα σε forums αντιβιοτικών, επικοινωνία με διεύθυνση ηλεκτρονικού εγκλήματος και ό'τι άλλο υπάρχει, δυστυχώς προς το παρόν δεν αποκρυπτογραφούνται τα αρχεία.
- Είμαι σε συνεχή επικοινωνία και διαπραγμάτευση με τον εκβιαστή. Μέσω tor browser σκοτεινά δίκτυα και άλλα παράξενα που κανείς δεν μπορεί να ανιχνεύσει.
- Αφού καταλήξαμε μετά από τραγελαφικές καταστάσεις στο ποσό (σκεφτείτε μόνο ότι ο τύπος κάποια στιγμή εντόπισε μήνυμά μου σε forum εξωτερικού που ζητούσα βοήθεια και μου αύξησε την τιμή αρχικά, μιλάμε για οργάνωση όχι αστεία) ε, έπρεπε να μάθω να αγοράζω bitcoins, να φτιάχνω πορτοφόλια κλπ. ο εκβιαστής βιαστικός. Ακόμα προσπαθώ. Τα εμπόδια πολλά για να γίνει γρήγορα. Άλλο ανταλλακτήριο είχε θέμα στους servers που ταυτοποιούσαν, σε άλλο δεν δέχτηκαν τη... selfie μου με την ταυτότητά μου μιας και είμαι με +30 κιλά, μούσια και αρκετά γηραιότερος από τη φωτογραφία της ταυτότητάς μου, το άλλο δεν αναγνώριζε την visa της πειραιώς γιατί δεν ήταν secured verified, η πειραιώς να ισχυρίζεται ότι το έχει καταργήσει στις κάρτες της και έπρεπε να λειτουργεί αυτόματα.... Δοκιμάζω έμβασμα και έλεγε 3 εργάσιμες, συν άλλη μία να στο αποδώσει το ανταλλακτήριο, συν πορτοφόλια διαόλια και ο hacker είναι βιαστικός... μια εξάντληση.
- Εννοείται έχω αλλάξει ότι κωδικούς σε τράπεζες mail κλπ κλπ υπήρχε, το κεφάλι μου καζάνι. Αυτά στην αρχή από από safe mode, κατόπιν από άλλο ξεχασμένο λειτουργικό σε δίσκο που είμαι και τώρα. Επίσης αγορά νέων δίσκων για backup των "πρωτότυπων"... κρυπτογραφημένων να υπάρχουν, μπας και στραβώσει τίποτα στην αποκρυπτογράφηση ΑΝ τελικά γίνει.

Το φαινόμενο είναι σε έξαρση να γνωρίζετε. Από τη δίωξη μου είπαν ότι παίρνουν δικηγορικά γραφεία και λογιστήρια κλαίγοντας στην κυριολεξία. Emails από web clouds λαμβάνω τελευταία με προσφορές για προστασία από wannacry.

Σε αυτή τη σελίδα υπάρχει συνεργασία της europol με αρκετές εταιρίες antimlaware για ξεκλείδωμα των αρχείων, όπως και πολλές συμβουλές.

Προσωπικά, προτείνω να κλείσετε την 445 πόρτα στο router σας, όσοι με windows να εγκαταστήσετε το πρόσφατο update της microsoft (καλά να πάθω για να μην έχω την αυτόματη ενημέρωση ενεργοποιημένη) και να αγοράσετε κάποιο cloud service για backup. Ένα καλό και οικονομικό είναι της Carbonite, απεριόριστο χώρο με 50 δολάρια το χρόνο, αλλά αν googlάρετε έχει κουπόνια που ρίχνουν την τιμή σημαντικά.

Η ειρωνία είναι ότι μόλις είχα βάλει vdsl γι αυτό το λόγο ακριβώς, για το γρήγορο upload, έχω εγγραφεί και στο carbonite, αλλά μέχρι να λυθούν κάποια προβλήματα με την καλωδίωση του καφαο μου είχα το μαμά router της wind απείραχτο δίχως το extra καλό linksys - ddwrt ρουτεράκι μου με το αποτελεσματικό firewall του... μέχρι και secure vpn αγορασμένο είχα για κάποιες περιπτώσεις.. Ειρωνεία, ή όσο το "ψάχνεις" τόσο χειρότερα;

Τέλος, αν κάποιος φίλος εδώ γνωρίζει από bitcoins και θέλει μέσω pm να προσφερθεί για επικοινωνία για βοήθεια, είμαι όλος... μάτια!
Αν δεν με ξαναδείτε, ίσως με έχει φάει η ρώσικη μαφία, ίσως να έχουν χρησιμοποιήσει κανα τραπεζικό μου λογαριασμό για ξέπλυμα και με έχουν συλλάβει, ίσως να με "καθαρίσει" καμιά νευριασμένη νύφη που το βίντεο του γάμου της θα έχει κατάλληξη .onion και δεν θα παίζει-bye-
 
Last edited:
22 June 2006
34,697
NEO HRAKLEIO
Τι να πω ρε φιλε... Περαστικά!
Κάτι ήξερα που είχα Mac τόσα χρόνια.

Ελπίζω να ξεμπερδέψεις.


Sent from my SM-T810 using Tapatalk
 
Last edited:

nicksoti

AVClub Addicted Member
14 April 2013
1,911
Ναι επικοινώνησα, απλά δεν μπορούν να κάνουν τίποτα. Ο ιός και η κρυπτογράφηση είναι πανίσχυρη. Από ότι έχω διαβάσει παίζει να είναι κλεμένος από την ΝSA...
Kαλά ρε π@ύστη μου εμένα βρήκαν; Ποιός είμαι; Είχα κάποτε μια προσωπική κόντρα με τον Philip Bloom και τον Σκορτζέζε, τα είχα χώσει και λίγο στον Πουτιν κάποτε αλλά δεν περίμενα να φτάσουν ως εκεί...

Κάτι που με "σώζει" είναι ότι όσο μεγαλύτερο είναι το αρχείο τόσο μικρότερη είναι η "ζημιά" αναλογικά, οπότε θεωρητικά μπορεί να ανακτηθεί καλά, ως "κατεστραμένο" με ειδικούς αλγόρυθμους. Μιλάμε όμως για εταιρίες εξειδικευμένες που παίρνουν πολλά χιλιάρικα. Το έψαξα. Επειδή τα αρχεία βίντεο όμως είναι τεράστια, υπάρχει ελπίδα. Υπάρχει και τύπος φωτογράφος - προγραμματιστής και παθών που έφτιαξε εως και δικό του αλγόρυθμο ανακατασκευής των αρχείων της δικής του κάμερας.

Δοκίμασα σβέλτα κάποια utilities, μπελάς αλλά κάτι γίνεται, βάζεις το κατεστραμένο και ένα αρχείο από την ίδια κάμερα, και σου βγάζει καινούριο, βέβαια πρέπει να θυμάσαι σε τι ανάλυση, fps κλπ είχες τραβήξει και πάλι βγαίνει μια ψιλοαρλούμπα, πότε με shuttering, πότε αποσυγχρονισμένο ήχο κλπ, με trial and error ίσως κάτι γίνεται. Και άντε να το κάνεις σε 100άδες αρχεία και μάλιστα από 2 και 3 κάμερες... κλαφτα. Τουλάχιστο είναι μια ελπίδα. Φυσικά τώρα που να ασχοληθώ παραπάνω.

Η πλάκα είναι ότι το sony vegas ανοίγει κανονικά όσα αρχεία ήταν proxy δικά του. Τα κάνει reconstruct μόνο του. Μόνο 1-2 δεύτερα στην αρχή έχουν παράσιτα. Νομίζω πως έτσι "σώζω" εύκολα μέρος της μιας δουλειά, το πολυκάμερο στην εκκλησία σίγουρα γιατί τα είχα κάνει proxy από το vegas. Βέβαια έτοιμο μοντάζ χαμένο.

Το πιο πιθανό είναι ότι κάποιος decrypter θα βγει. Το ψάχνουν ήδη. Αλλά αυτό μπορεί να πάρει έως και μήνες. Θα κάνω ένα ομαδικό ραντεβού, θα εξηγήσω την κατάσταση, θα ζητήσω υπομονή, θα αλλάξω 10 χρώματα και βλέπουμε. Τουλάχιστο εχουν τις φωτογραφίες και το κλιπ ήδη, τα άλμπουμ στα χέρια μου - και πληρωμένα μόλις- προς παράδοση... Έρανος υπέρ μου δεκτός, σιγά μην ζητήσω και το χρηματικό υπόλοιπο...

Γιάννη νεότερα σε λίγες μέρες.... και προσοχή!!!!
 
Last edited:

Werewolf

Supreme Member
15 January 2010
7,214
Θα σου προτεινα υστερα απο την περιπετεια σου, να εγκαταστησεις και ενα πολυ καλο antivirus για να εχεις το κεφαλι σου ησυχο στο μελλον.
π.χ. εγω χρησιμοποιω το Bitdefender internet security οπου εχει επιλογη προστασιας ransomware, ωστε να μην επιτρεπει αλλαγες και τυχον κρυπτογραφησεις στα αρχεια.
 

nicksoti

AVClub Addicted Member
14 April 2013
1,911
Δεν γνωρίζω... μπορώ μόνο να υποθέσω. Πχ αρχίζω να έχω υποψίες για το αγορασμένο secure vpn μου, με την έννοια μήπως "χτύπησαν" κανα server τους. To χρησιμοποίησα λίγο εκείνη την ημέρα. Το θυμάμαι γιατί δεν το χρησιμοποιώ συχνά. Μόνο για συναλλαγές κλπ.

Ισως να άνοιξα καταλάθος κάποιο αρχείο σε mail που δεν έπρεπε, διότι την ίδια μέρα έκανα μαζικό έλεγχο στα spam κλπ του gmai αναζητώντας κάποιο mail που περίμενα.. Ίσως να υπάρχει και στόχευση σε mail "ευπαθών" ομάδων, όπως φωτογράφους λογιστικά γραφεία κλπ..

Τέλος την ίδια μέρα, λίγες ώρες πριν, τα λαμπάκια του router αναβόσβυναν υπερωρίες δίχως να έχει συνδεθεί κανείς, η cpu του στο panel στο 100%, αφού του έκανα restart.

Τέλος, ίσως η μικρή να μπήκε να δει καμιά ταινιούλα από γνωστή ιστοσελίδα στο laptop της(αχ,αχ) και να μην το πηρα χαμπάρι. Κανονικά είχα ξεχωριστό guest wifi υποδίκτυο ξεκομμένο για την "οικογενοιακή" χρήση. Αλλά με τα τρεχάματα με το vdsl της wind 10 μέρες δεν είχα στήσει τέτοια κόλπα... κακώς.

Γενικά βράστα. Κάποτε που είχα τα πάντα σε usb εξωτερικούς, μέχρι και στο αυτοκίνητο είχα δίσκους (λέω να κλέψουν το σπίτ και το αμάξι μαζί ταυτόχρονα δεν γίνεται) αλλά μπέρδεμα με τις αντιγραφές, πιο πολύ κινδύνευα από λάθος δικό μου. Μου είχε κρασάρει και ένας δίσκος που ευτυχώς ανακτήθηκε, λέω τέρμα τα εξωτερικά, βάλε βγάλε καλώδια τριβόλια. Raid στο κουτί όλα και σε 1-2 εξωτερικούς μόνο τα σημαντικά πρόσφατα. Τώρα πλέον cloud και ο θεός βοηθός. Η μάλλον, ΚΑΙ cloud.

Φαίνονται υπερβολικά, αλλά 1 φορά στα 5 χρόνια να γίνει το κακό αρκεί για καταστροφή...
 

nicksoti

AVClub Addicted Member
14 April 2013
1,911
Είχα αγορασμένο το spyhunter που παλαιότερα με είχε σώσει, παράλληλα με το δωρεάν της AVAST και το firewall της microsoft. Δεν έκαναν τίποτα...
Το πρόβλημά μου είναι τα windows 7 που χρόνια τώρα δεν λέω να αλλάξω γιατί που να ξανασετάριζα τα πάντα, άσε που τα ξέρω. Εγκατάσταση σχεδόν 4ετίας. Είχα και κάποια προγράμματα παλαιότερα, ρυθμισούλες διαολάκια plugins... Kακώς.

Θα δω την επιλογή του bitdefender, ενδιαφέρον ακούγεται με την επιλογή μη-κρυπτογράφησης. που να τα ξέρω τα ρημάδια, πριν πάθω.... μέσα σε 3 μέρες διάβασα το μισό διαδίκτυο για το θέμα του ransomware, πριν δεν είχα ιδέα πόσο επικίνδυνο και καταστροφικό είναι.

Το χουνέρι με τα mac μου αξίζει, ο Γιάννης καιρό το λέει, αλλά αυτή τη στιγμή είμαι σε δύσκολη φάση... αφήστε το για όταν ξεμπερδέψω!

edit: για το πως κολάνε υπάρχουν μάλλον πιο ειδικοί εδώ μέσα από μένα να πουν... τι να πω.
 

billpeppas

Supreme Member
23 October 2013
6,770
Athens
Δεν θέλω να σας αναστατώσω, αλλά και εσείς με τα Mac μην αφήνεστε... οι ransomware ιοί επί το πλείστον χρησιμοποιούν... Java για την κρυπτογραφική διαδικασία, παίζουν και σε Mac :D

Nick δυστυχώς τα ξεμπερδέματα σε αυτή την φάση μόνο πληρώνοντας.

Οι κρυπτογραφίσεις που χρησιμοποιούν είναι πολύ πολύπλοκες που ακόμα και ολόκληρο datacenter της Google να βάλεις για να βρεί το δικό σου decryption key θέλει εκατοντάδες χρόνια.
 

nicksoti

AVClub Addicted Member
14 April 2013
1,911
Οι κρυπτογραφίσεις που χρησιμοποιούν είναι πολύ πολύπλοκες που ακόμα και ολόκληρο datacenter της Google να βάλεις για να βρεί το δικό σου decryption key θέλει εκατοντάδες χρόνια.

Να μην ελπίζω δηλαδή στην 4πύρηνό μου ε;

Να σου πω την αλήθεια είχε περάσει από το μυαλό μου στην αρχή να αγόραζα ώρες σε κάποιο δυνατό VPS, πριν βέβαια διαβάσω και διαπιστώσω ότι δεν πρόκειται ούτε για κάποια φάρσα ούτε για κανα ιό της πλάκας, αλλά για... πυρηνική βόμβα.
 

spcav

AVClub Fanatic
18 August 2006
16,549
Πω ρε φίλε...υπομονή

Ειναι απο αυτά που λες οτι δεν πρόκειται να σου συμβούν....

Αν επιτρέπεται, τι τάξη μεγέθους ειναι τα λύτρα;
 

AKISKDG

AVClub Enthusiast
25 July 2011
789
Απίστευτο και καλό κουράγιο. Εγώ χρόνια τώρα πληρώνω την ετησια συνδρομή για το norton και πλεον για να καλυπτω και τους υπολογιστές των παιδιών...και έλεγα φέτος να μην ανανεωνα και να εμεν ε το degender, αλλά μετα απο αυτά...

Στάλθηκε από το A0001 μου χρησιμοποιώντας Tapatalk
 

ln()

Supreme Member
1 February 2007
5,738
Βόλος
Πριν από χρόνια ένας γνωστός φωτογράφος είχε πάθει τα ίδια με την πρώτη γενιά ransomware. Έχασε πάρα πολλές δουλειές, μεταξύ των οποίων και αυτές που τράβηξε τις προηγούμενες μέρες. Καταστροφή.
Μόλις πριν 15 μέρες τράβηξα κι εγώ μια τρομάρα, όταν έβλεπα τον σκληρό να δουλεύει σαν τρελό στο boot. Το έσβησα αμέσως και πήγα για έλεγχο όλους τους σκληρούς. Ευτυχώς δεν είχα πάθει τίποτα.
Από ανθρώπους που ξέρουν καλύτερα από μένα, μου είπαν ότι είναι απαραίτητο τα backup να μην είναι συνδεδεμένα με share στον υπολογιστή και ότι ένας Samba Server δεν μπορεί να προσβληθεί.
 

tmjuju

Administration Team
Staff member
21 January 2007
21,651
quote: ‛Προσωπικά, προτείνω να κλείσετε την 445 πόρτα στο router σας’
Εάν όντως ήταν το file sharing ανοιχτό στο νετ, τότε ήταν απλά ζήτημα χρόνου να μολυνθείς. (και πριν το wannacry)
Αυτός είναι ο τρόπος που πολλαπλασιάζεται αυτόματα, μέσω των shares.
Από εκεί και πέρα όντως μπορεί και κατεβάζοντας μολυσμένο αρχείο.

Δεν θέλω να παραλληλησω τη σοβαρότητα του wannacry με αλλα mac, αλλα λ.χ. https://apple.slashdot.org/story/17/05/18/1527224/app-makers-code-stolen-in-malware-attack και στο mac την πατάς…

Updates, πάντα άμεσα, ακόμα και σε iphones
(Να μη σας πω ποσά iphone χρειαστήκαν restore από ένα κακόβουλο SMS παλιότερα)

Το μεγαλύτερο σφάλμα είναι η αίσθηση ασφάλειας, νομίζει κανείς ότι αν έχει λ.χ. ένα AV ή ένα MAC δεν θα πάθει τίποτα…. Η μόνη λύση είναι η τελευταία πρόταση σε αυτό το post … offsite backups / non live backups

IP Cameras, και άλλες φθηνές IP συσκευές που δεν κάνουν updates, μέγα κίνδυνος

Και επιτέλους όχι άλλα XP στο δίκτυο και στο Internet…

Καλή τύχη εφόσον πληρώσεις τα λίτρα … κανείς δεν εγγυάται τίποτε, αν και αυτό το ξέρεις είδη

Ούτε τα AV προστατεύουν έτσι απλά από τα πάντα, ιδανικά θα έπρεπε να είναι μπλοκαριμένη η προσβαση στο crypto.dll (e.g. HIPS rules on eset)

Γνωρίζω προσωπικά πολλές <<σοβαρές και μη >> εταιρίες, γραφεία λογιστών / δικηγόρων , που την έχουν πατήσει , τωρα ή και πριν χρόνια

Από κακή τύχη συνέπεσε τα backup να είναι πάνω στον ίδιο υπολογιστή και όχι off site. Δυστυχώς οι διαδικασίες των backup είναι χρονοβόρες, και λίγοι τις ακολουθούμε τακτικά. Εάν καταφέρουμε να μας γίνει συνήθεια , αυτός είναι ο πιο αποτελεσματικός τρόπος προστασίας.
 

tmjuju

Administration Team
Staff member
21 January 2007
21,651
Συνεχίζοντας, για όσους απλά προτείνουν εύκολες λύσεις βαλε το τάδε software πάρε το τάδε προϊόν.

Τουλάχιστον στην περίπτωση του wannacry μπορεί τελικά και να ανακτήσεις τα δεόμενα σου… ίσως … πιθανά …

Σε περίπτωση καταστροφικής φωτιάς, σεισμού, πλημύρας
Σε περίπτωση που ένας κλέφτης / διαρρήκτης πάρει τα πάντα
Το ίδιο δεν θα ήταν το αποτέλεσμα?
να χάσει κανείς την πολύτιμη δουλειά του – τα αρχεία του - τις φωτο - του τα βιντεο του
 

tmjuju

Administration Team
Staff member
21 January 2007
21,651
Ο wannacry ήταν άλλωστε βασίτικε σέ ένα μονο οπλο από το οπλοστάσιο της NSA

Να θυμίσω ότι τα όπλα της NSA δεν περιορίζονται σε windows. Άλλα σε κάθε τύπο εξοπλισμού, είτε είναι cisco router ή iphone ή καμερα.
Να θυμίσω ότι έκλεισε ολόκληρο το NHS. Προσωπικά είχα μάθει τι γίνεται στο NHS πριν εμφανιστεί στα μέσα.
Πάλι καλά κάποιοι servers δεν ήταν windows. Πάλι καλά κάποια ιατρικά μηχανάκια δεν ήταν σε windows. Δυστυχώς δεν ήταν καθόλου ’αναίμακτο’ το περιστατικό.

Σήμερα πια κυκλοφορούν πολύ πιο περίπλοκοι’ wannacry’ που ενσωματώνουν δεκάδες άλλα ‛όπλα ‛ .