hacked

pe 7 aprilie am fost hackuit

de catre cine ? de chinezi, de brazilieni, de italieni

cum ? au folosit o vulnerabilitate a modulului webdav de la apache si au creat in user “tutorial” caruia i-au dat drepturi de remote desktop, au pornit remote desktop, i-au creat reguli in firewall. dupa aia au intrat remote pe computer si au sters tot. intamplarea a facut sa fiu prin zona si am scos firul de internet. prea tarziu pentru mine, deja am pierdut datele (neimportante ce-i drept). prea repede pentru ei petru ca cine stie ce urmau sa faca.

mi-am recuperat datele cu Minitool Power data recovery (versiunea giveaway) in proportie de 90 %

partea inteligenta a fost alegerea numelui de utilizator “tutorial” deoarece orice incercare de a cauta pe internet informatii ma ducea in punct mort.

revin

 

virusul cryptowall

deja se aduna desule persoane ale caror computere au fost infectate cu virusul cryptowall de tip ransomware (adica cere bani ca sa iti dea documentele inapoi). nu o sa fac teoria paiului ca sa vedem cum l-au luat sau de unde. o sa scriu cam ce face si ce e de facut.

1. cripteaza fisierele folosind o cheie la intamplare

2. salveaza in registrii numele fisierului criptat si probabil cheia de criptare

3. trimite pe serverul hackerilor cheia de criptare, numele fisierului si ip-ul extern

4. pune in locul unde au fost criptate fisierele 4 fisiere help_decrypt cu textul de rascumparare.

cam asta este

cum scap de el ?

relativ simplu

1. se intra in safe mode

2. se cauta in registrii partea de autorun (sunt mai multe sectiuni, foloseste systemexplorer sau autoruns) si sterge tot ce nu e la locul lui

3. goleste %temp%

4. foloseste shadow explorer ca sa restaurezi fisierele originale in locul celor criptate (este indicat sa nu stergi fisierele criptate inainte de a folosi shadow explorer)

 

revin