VIRY.CZ

Riesim siet, kde bol jeden PC napadnuty Ransomware-om a okrem toho, ze sa zasifroval napadnuty PC, ransomware zasifroval aj zdielany HDD v sieti. Toto som uz vyriesil, PC dostalo format, HDD je uz mimo siete avsak riesim iny problem, ktory s tym moze suvisiet.

V sieti su PC s Windows 7, iMacy a MacBooky a stava sa, ze ked si niekto da nacitat nejaku stranku, tak sa mu nacita fake page (vacsinou nejaka reklama). Tu zatvorim a po opatovnom nacitani mojej ziadanej stanky je vsetko uz ok. Potom je urcity cas klud (desiatky minut) a potom zas pri poziadavke o nacitanie nejakej stranky obavi nejaka fake page.

Robi to ako na windowsoch tak na apple zariadeniach. Dokonca na Apple som si vsimol ze to robi aj v chrome aj v safari. Malwarebyte na apple nic nenasiel a medzi pluginmi v prehliadaci tiez nic nie je. Moze to byt niekde v routri? Stretol sa s tym niekto? Router je Mikrotik 1016-12G.

vo vseobecnosti by si mal:
zmenit heslo na routri, hlavne ak mas admin:admin
skontrolovat/zmenit nastavenie DNS na routri
skontrolovat DNS aj na pocitacoch
vyprazdnit vsetky cache na vsetkych prehliadacoch

- Meno a heslo na routri nebolo admin/admin ale aj tak som ho zmenil
- Skusal som DNS poskytovatela aj Googlu, stale rovnaky vysledok
- Na Macu vidim ze DNS server je zadefinovany router, co je ok
- Cache prehliadacov bola vycistena

Problem sa stale objavuje. Je to dost divne kedze sa to objavuje bez rozdielu na Windowsoch, Macbookoch a tiez sa to objavilo v iPhone aj na Androide.

Co by som mal vyskusat ako dalsie?
Nejaky analyzator alebo cistic siete?

na tych Win masinach by som skusil zoek https://forum.viry.cz/viewtopic.php?f=1 ... k#p1500010

Vyskusam, aj ked pre mna je dolezitejsie ako to dostat z Apple zariadeni, ktorych je podstatne viac ako tych s windows.
Len upresnim, ze "virus" vzdy otvara stranku "http://debbton.com/afu.php?zoneid=1410276" a ta nasledne automaticky otvori stranku s reklamou.

upravene JaRon

stranku treba zablokovat

Sorry za vstup.

Skus otestovat, ci to robi v inych sietach, kazdopadne tipujem to na problem s routrom. Ak je to mozne, urob factory reset routra, aktualizuj ho na poslednu verziu firmware a nasledne ho nastav rucne.

Jakym zpusobem byl PC ransomwarem infikovan? RDP, priloha mailu...?
Mas na mikrotiku silne heslo, respektive sledujes failed login attempts?
Nemohlo dojit ke kompromitaci mikrotiku prostrednictvim napadene stanice (nebylo heslo k mikrotiku ulozene napr. ve WinBoxu napadene stanice)?
Pokud problem resis na vsech platformach (Win, iOS, Android), vypada to na problem s mikrotikem. Pokud neni doba od incidentu nekolik mesicu, mrkni do logu na mikrotiku.

Format je skoda... casto se da neco vytahnout z event vieweru. Nejake blizsi info o pouzitem ransomwaru mas (nazev/obsah souboru s instrukcemi, samotnou binarku, priponu zasifrovanych souboru, konktaktni mail, ...)?

Skusim zodpovedat na vsetky otazky:

- do infikovaneho PC bol az doteraz vytvoreny RDC pristup z vonku na standardnom porte, PC malo heslo, ale aj tak je dost pravdepodobne ze sa virusm mohol dostat do PC prave tadialto.
- heslo na mikrotiku bolo dost silne, ale preistotu som ho uz znova zmenil.
- winbox na napadnutom PC nebol, ale v mikrotiku bolo nastavene ziskavanie DNS zo siete automaticky, tym si Mikrotik osvojil nejake bulharske DNS, to som uz vymazal a DNSka som na routri zadal rucne.
- prekvapujuco logy na Miktoriku nie su dlhsie ako par hodin a tam nic nebolo.
- ukazka zakryptovaneho suboru https://drive.google.com/open?id=1C__yc ... Wo5MXW2xKB

Ked som nastavil rucne DNS na tie od IPS a sekundarne z GOOGLE a zaroven zablokoval na routrovom firewalle adresu "deloton.com" tak je klud. Ale akonahle zrusim firewall na tuto adresu, tak to tu je znova. Aj ked DNS na rourty budu nastavene v poriadku. Na zaklade toho usudzujem, ze stale je nieco v sieti, ale neviem kde by to mohlo byt.

pri daných poctoch a zostave pocitacov je zrejme, ze ide o isty druh firmy,
preto by som doporucil neslape.cz
Kedze je zrejme, ze siet nie je cista, bude potrebne najprv urcit zdroj nakazy:
Win alebo Mac kedze ide o firmu, nemal by byt problem investovat
do nejakého AV pre MAC https://forum.viry.cz/viewtopic.php?f=29&t=151839
odomna vsetko, kolegovia mozno doplnia

S neslape.cz som to uz riesil a dany ransomware aktualne nie je mozne dekryptovat, takze preto bol urobeny ten format HDD.
Co sa tyka Anviru pre MAC, prebehol som zariadenia cez Bitdefender a Malwarebyte a boli ciste.
Skor si myslim ze to bude v nejakom zariadeni ako maly router, ktory robi podsiete, teoreticky nejaky mobilny telefon.

pisal si, ze Win masin nemas vela, ak si urobil zoek, skusil by som este MBAR a TDSSKiller, pravdepodobnost,
ze to robi nejaka Win masina je vysoka

Ok, vyskusam a dam vediet. Potrva to kym to vsetko prebehnem.