Prolomení hesel

[Rudy]

Smazáno bylo toto: https://forum.viry.cz/viewtopic.php?p=1554866#p1554866 , plus to, co smazal ADW a všechny předchozí vaše pokusy o vyčištění různými AV. Zkusíme ještě vyčistit samotné prohlížeče:

Stahnete Zoek.exe https://www.edisk.cz/stahni/21334/zoek.rar_1.3MB.html/a ulozte jej na plochu

Pokud pouzivate Win Vista ci W7, kliknete na Zoek pravym a dejte Run As Administrator ci Spustit jako spravce
Do okna vlozte skript nize

autoclean;
resethosts;
emptyclsid;
IEdefaults;
FFdefaults;
CHRdefaults;
emptyIEcache;
emptyFFcache;
emptyCHRcache;
emptyalltemp;
emptyflash;
emptyjava;
emptyrecycle.bin;

Nasledne kliknete na Run Script
PC provede opravu, restartuje se a da Vam log, jeho obsah vlozte sem.

[Tarkin]

Log jsem nakonec přihodil do přílohy, protože byl příliš velký.

Pár dotazů:
1, Už jsem byl připraven, že PC reinstaluji, pro jistotu. Má to smysl? Nebo je to opravdu 100% čisté?
2, Na Aukru se dá opatřit licence na Avast Ultimate za pár korun, je tento antivir solidní náhradou free Defenderu, nebo se vyplatí připlatit za lepší?
3, Co Zoek provedl? Respektive nebyl jsem schopný se přihlásit v Chromu a cokoliv na tohle forum odeslat, skončil jsem vždy na login page. Proč?

zoek.zip

(43.22 KiB) Staženo 114 x

[Rudy]

Zoek nebyl ukončen. Spustil jste ho jako správce?

[Tarkin]

Nahráno jako příloha, viz předchozí příspěvek.

[Rudy]

OK. Nyní by již měl být PC vyčištěn zcela kompletně a pokud by útočník na vás znovu zaútočil, musel by buď zvenčí, nebo byste musel znovu nabrat nějakého šmejda. Doporučuji pořádný antivir (viz výše), případně osobní firewall, i když ten systémový by měl stačit.

[Tarkin]

Teoretická otázka. Kdybych měl bývale nastavený například bitwarden a aktivní Avast Ultimate. Došlo by k tomuhle?

Respektive má smysl přejít z uložených hesel v prohlížeči, respektive v google password manageru na například ten bitwarden?

[Rudy]

Je možné, že ne, ale s jistotou se to říci nedá. Nevím, nakolik je/byl útočník kvalifikovaný, aby mohl toto provádět. Podle mého pokud je PC dostatečně chráněný se toto nemůže stát. Musel jste být pro někoho nadmíru zajímavý, že vám byla prolomena prakticky všechna hesla. Pravda je, že útočníci bývají o krok vpředu před těmi, kteřím se brání. Dobrý FW a AV by měl problém vyřešit.

[Tarkin]

Pojďme se pobavit i další teoretické rovině.

Vlezl jsem na nějaký torrenty a s tím stahl tuto havěť, dvou hloupostí jsem ji i spustil a vypustil do systému.
Co se děje pak? Jak si to představit?

Tvůrce havěti dostane jakousi notifikaci, že jeho bordel se někde uchytil a ukradl data? A ten tyto data vezme a prodá někde dál?

A k čemu vůbec někomu je, aby se na malý okamžik dostal na nějaké socky, přepsal LinkedIn, postl příspěvek na IG atd...

[Rudy]

Torrenty (totéžý platí i o péčku, nebo nelegálním softwaru) stahuje jen blbec. Každý rozumný uživatel ví, že právě torrenty a podobné věci jsou semeništěm malware všeho druhu. Doporučuji vám chovat se na internetu tak, abyste (pokud možno) nepochytal žádné malwre, neupozorňoval na sebe ničím, co by mohlo někoho upozornit na vaší přítomnost na určitých segmentech internetu. Já se tím řídím a dosud jsem takový problém, jako je ten váš, neměl. Tady není o čem teoretizovazt.

[altrok]

2, Na Aukru se dá opatřit licence na Avast Ultimate za pár korun, je tento antivir solidní náhradou free Defenderu, nebo se vyplatí připlatit za lepší?

Netusim, nedelal bych to. Radeji radnou licenci treba ESETu.

Teoretická otázka. Kdybych měl bývale nastavený například bitwarden a aktivní Avast Ultimate. Došlo by k tomuhle?

Jak jsem psal drive, nemame presny vzorek, takze nevime od kdy ho AV detekuji a co to presne je - vychazim jen ze dvou nazvu detekci Defenderu, takze neni mozne odpovedet. Pokud bys mel BitWarden, ale stejne bys mel prihlasene relace v prohlizeci, stale bys mohl prijit o cookies viz muj predchozi post.

Respektive má smysl přejít z uložených hesel v prohlížeči, respektive v google password manageru na například ten bitwarden?

Urcite ano, protoze extrakci ulozenych hesel v prohlizecich provadi kazdy infostealer a je to banalni ukon (i ja jsem si v Pythonu napsal 15 radkovou fci na export hesel z Chromu). Password manageru je vic a pokud mas netrivialni zpusob overeni, myslim si, ze utocnik sahne po nejake snadnejsi obeti.

Vlezl jsem na nějaký torrenty a s tím stahl tuto havěť, svou hloupostí jsem ji i spustil a vypustil do systému.
Co se děje pak? Jak si to představit?

Pokud se jedna o neco noveho, pak te zadny antivir nezachrani. Dale zalezi na konkretnim vzorku, o ktery mi celou dobu jde, viz zadost o obsah slozek, ktere se mi uplne nezdaji.

Tvůrce havěti dostane jakousi notifikaci, že jeho bordel se někde uchytil a ukradl data? A ten tyto data vezme a prodá někde dál?

https://flare.io/learn/resources/steale ... ybercrime/
Presne tak, na jeho info panelu na C2C (command and control) serveru mu vyskocis jako dalsi radek v tabulce. Ne jenom ukradl. Pokud si zajistil i trvaly pristup/persistenci (coz je princip RAT, viz vyse), jsi soucasti botnetu a muzes dlouhodobe prispivat k bambilionu skodolibych cinnosti - DDoS, brute forcovani, dalsi kradeze u tebe (kryptomeny, internetove bankovnictvi), ...

A k čemu vůbec někomu je, aby se na malý okamžik dostal na nějaké socky, přepsal LinkedIn, postl příspěvek na IG atd...

K cemu je kradez identity? Muzu prostrednictvim existujiciho, overeneho uctu s dobrou reputaci sirit dalsi spamy, podvodne reklamy, prosit kamose o penize, pokud mas sparovanou i kreditku, tak kupovat reklamy na socky (ted se s deepfakama na investice roztrhl pytel)... jses bilej kun a dusledky techto drobnosti jdou na tvou hlavu. Utocnik je krytej. Pokud jsi prisel i o email, zamysli se, k jakym dalsim sluzbam se da resetnout heslo a o co vsechno muzes prijit.
O male chvili se da polemizovat. Mozna u tebe, ale ver, ze existuje dost mene IT gramotnych lidi, kteri to neresi vubec nebo nevi jak apod.

Dalsi veci, ktera je bohuzel stale vice nez bezna, je password reuse. Odchytnu tvoje heslo, zjistim si kde makas a zkusim tohle heslo i do tveho O365 uctu (ne vsichni pouzivaji MFA) a uz jsme o level vys, neboli u BEC (business email compromise) a tady uz se zacina psat uplne jiny pribeh.

[Tarkin]

Díky za pomoc s řešením a vysvětlením.

V tuhle chvíli jsem pro jistotu udělal na PC čistou instalaci. Už rozchodil i Avast Ultimate a 90% hesel změnil na vygenerovaný a schovaný bitwarden.

Zmíněné složky už tedy neexistují. K viru samotnému bych se možná i dostal, ale nechci riskovat, že si opět zasviním systém.

[Olivere]

Ahoj!

Tak to máš docela šokující zážitek! Je to opravdu divné, jak najednou jsi přišel o všechny ty sociální sítě. Určitě to musí být dost nepříjemné a frustrující. Možná opravdu došlo k nějakému bezpečnostnímu incidentu, kdy jsi stáhl něco podezřelého, co přes exáč přeneslo viry na tvůj počítač a telefon.

Ale jsi na správné cestě, že jsi už udělal několik kroků k zajištění svého účtu. Výměna antiviru, změna hesel s 2fa ověřením a používání správce hesel jsou dobré kroky k ochraně. Přesto se samozřejmě nedivím, že máš strach, co bude dál.

Je úžasné, že ses snažil získat zpět své účty a že se ti to nakonec podařilo, i když to nebylo snadné. Celá situace ukazuje, jak je důležité mít silné zabezpečení a být ostražitý, protože ve světě online může dojít k mnoha rizikům.

Moc doufám, že se ti podaří získat zpět kontrolu nad svými účty a že se ti podaří vyřešit všechny problémy. Držím ti palce a doufám, že se vše brzy zlepší!

Přeji ti hodně štěstí! Oliver

[altrok]

@Olivere, sh!tpost generovaný umělou inteligencí a zakončený reklamním odkazem pod smajlíkem oceňujeme permanentním ovocem. Tohle zde prosím nedělejte.

Díky za pomoc s řešením a vysvětlením.

V tuhle chvíli jsem pro jistotu udělal na PC čistou instalaci. Už rozchodil i Avast Ultimate a 90% hesel změnil na vygenerovaný a schovaný bitwarden.

Zmíněné složky už tedy neexistují. K viru samotnému bych se možná i dostal, ale nechci riskovat, že si opět zasviním systém.

Snad to byla dostatečná lekce před dalším warezem. I za Rudyho, nemáš zač