Jeg har også gjort litt research rundt denne jævelskapen her, tenkte jeg ville dele det jeg har funnet så langt:
--Det er så godt som ingen antivirus som oppdager denne enda, siden produsentene av disse programmene ikke har fått analysert det nok til å kunne lage en "identifikasjon" -derfor bør man følge med i svingene
--Maskiner som allerede er infisert med Zeus (også kalt Zbot) er svært utsatt, fordi Zeus kan instrueres til å laste ned og kjøre dette viruset -og mange andre for den saks skyld. Zeus er et av de mest utbredte trojaner/dropperene om dagen, og den kan ligge inaktiv i årevis og vente på instruksjoner.
--Programfilen sendes også som epost-vedleg, da som regel i fra et "seriøst firma" ("Xerox" er et av dem) bedrifter kan fa post i fra en ukjent adresse med samme domenenavn som bedriftens egne adresser. Vedlegget er en ZIP-fil som inneholder et "pdf-dokument" som egentlig er en exe-fil med pdf-ikon. Siden Windows skjuler filtypen som standard, vil de fleste tro at det faktisk er et pdf-dokument
--Programfilen kjører i fra %appdata% (eks: C
users\per\appdata) viss man lager en group policy som nekter programmer å kjøre derfra er man relativt trygg, men ikke helt. Kan også skape problemer med legitime programmer som kan være installert der
--Det kommer en ny registernøkkel under HKCU/Microsoft/Windows/[noe helt tilfeldig tullball]
--Jævelskapen viser ikke vinduet som krever løsepenger før den har kryptert godt over halvparten av tilgjengelig data, noen ganger ikke før ALT er kryptert.
Den VIL kryptere alle tilgjengelige disker, shares og eksterne lagringsenheter (harddisker, minnepinner, lagringsområdet på telefoner osv...) så lenge brukeren har skrivetilatelse til området.
Viss dataene først har blitt kryptert er du fucked da det kreves helt ukristelige mengder datakraft for å knekke krypteringen på tusenvis av filer, hver fil er angivelig kryptert med hver sin unike nøkkel, uten at dette er fulstendig bekreftet. Denne nøkkelen blir lagt til på slutten av hver enkelt fil ETTER at selve nøkkelteksten også har blitt kryptert med denne 2048bit RCA-nøkkelen, dette er også ikke helt bekreftet, men ting peker vistnok i denne retningen.
Den beste løsningen da er bare og gjenoprette backup, har du flaks er backupen fra tidligere på dagen
Windows' innebygde shaddow-copies fungerer også knall da dette av en-eller-annen grunn ikke blir kryptert, disse kan finnes igjen viss man laster ned ShaddowExplorer.
Du fjerner selvsagt viruset FØR du gjenopretter backupen, du vil vel ikke risikere at den blir kryptert også..?
--Det går rykter om at den private nøkkelen (Den som trengs for å dekryptere detaene) kan snappes opp med WireShark når viruset starter krypteringen første gang, er dog noe upraktisk og ha wireshark kjørende i månedsvis i tilfelle noe skulle skje...
--Viruset bruker en slags alogaritme for å beregne en tilfeldig URL til serveren som styrer dritten, det sies dog at det fremdeles er et begrenset antall adresser (Sier seg i grunn selv, de kan vel ikke kjøpe titusenvis av domener...?)
Den prøver seg fram helt til den finner en adresse som svarer.
En liste over kjente url'er til serveren er som følger:
Kode
Object URL # Requests
wqvnkgtquoixx.com/home/
jbkoqywkqjpjji.net/home/
keqrmonphudew.net/home/
miuongoruxtuhy.biz/home/
qipixdjsccnyc.biz/home/
pfasmsxcpsfkle.biz/home/
evkmaldroiifk.ru/home/
saallnwetwuac.org/home/
ygvnalgjbukky.info/home/
aiqyntcdnvfyy.com/home/
bxgqnvtusprlg.net/home/
cabcbepofqmaw.biz/home/
upalbsjwadwmy.ru/home/
qtnwayrgotgvf.info/home/
trusflrovxooa.ru/home/
vruwobfqmerby.org/home/
nqjfxvpobfgss.net/home/
otauuhgyfkeyx.info/home/
xjfaclsceyycp.info/home/
rjydbnflxdqfo.com/home/
fyafqsphgcwpn.net/home/
sejfjeaeybkcf.biz/home/
suiqcimovbpqnc.info/home/
gtkhyjkahaqmn.ru/home/
pyduriwnnvmyh.org/home/
hjivfvfffwnskq.net/home/
ejoypeccwsmgn.com/home/
aejmsdjdnlxpo.net/home/
ligpryhpqpdwne.com/home/
bikasivqvqovf.biz/home/
bytobtevojrmf.ru/home/
uycjwfvptmknld.com/home/
cducbyqjwoisf.org/home/
yxorjdnsljkpj.info/home/
yoxgrovxecngq.com/home/
ottxtmpqbfivg.biz/home/
vvopcjmnxbhbwc.ru/home/
asytrtilmhemq.net/home/
gctqpdxpmfmir.biz/home/
juuquupfwkohs.biz/home/
bryjvxpmikgjtg.ru/home/
itetdtsollwar.org/home/
rspqurslksuqf.info/home/
kdfwnedtksawjy.biz/home/
etrwsvkcdukdlg.ru/home/
erxigxprcxick.info/home/
rhykvgjqlqkis.com/home/
gjiltokqbestr.net/home/
tyjnjwepkwuaq.biz/home/
oweahscscnpoo.ru/home/
taesdijrndsatw.org/home/
pbfnhbxmlmkyo.org/home/
mmirxnturglis.com/home/
oesuleotqmvaa.biz/home/
pitilmknalqkq.ru/home/
iigcbmauiqvfba.ru/home/
fuoxdmpthwgih.org/home/
gpyalwdsbfdvf.info/home/
tfacbcnojejgn.com/home/
besvehfusgclh.net/home/
cydxmrstmoyyx.ru/home/
poeacwdpunfjg.org/home/
qydbouvxduubsr.ru/home/
okjjdmhkqnkgf.com/home/
pokwdrtxysbmf.net/home/
yeiviemnuxabpv.com/home/
ooltxrisjwradh.org/home/
jydfvwjmiojvs.biz/home/
kdesvcvaqtacj.ru/home/
ktnhehwlcwgjj.org/home/
tnjlrciuvwfam.info/home/
hdknhkctfphgu.com/home/
vftofmvgnrmbt.net/home/
pwnjswxvhgbdm.ru/home/
lyooqnqqhotjju.biz/home/
lohwjyiyqkwfqi.info/home/
mclqdpsghdjqje.ru/home/
dmolifruqydju.org/home/
feyovpfgitkkl.info/home/
citujrmxlfigj.com/home/
dmuijairuedqj.net/home/
eaexwcajdaphq.biz/home/
feflwkvdmykrh.ru/home/
xrxskmcywoeju.org/home/
ajivxwpkojlku.info/home/
odfkpkipydkslh.net/home/
bnjjxflexigul.com/home/
ryyyyfgfvtsnct.info/home/
mnfdfpdotefros.net/home/
uwdykbjtyjnkje.biz/home/
vvbfgrejcdvwje.org/home/
ggltstdpfixlmg.com/home/
ttgwxyheyuxdud.net/home/
laqigkmwntydsb.biz/home/
xarbteoehyyaik.net/home/
myoocbhmqnhpjy.org/home/
opalnungbnmmot.org/home/
jxvaxrprklbjlm.info/home/
kaqiuwvbeulwci.com/home/
yvbswhukhiskve.net/home/
kwtgtikhnfjvjl.net/home/
nkbxareutxbqjc.ru/home/
bxvbfarpkqqerj.org/home/
dttreqmrlsedie.info/home/
neegqpcrrrqvut.biz/home/
tspwdnloqrybym.com/home/
rbjkbglbcucwua.org/home/
ksxfginiuiagub.info/home/
twhbawgddwpvuw.info/home/
fkccpkpsimeybd.com/home/
pyocsnovymedni.net/home/
qbjkpveipcyunx.biz/home/
kmwxovbjqgjmad.com/home/
rumsrejxaorcum.ru/home/
ffbxddujmmpsxl.biz/home/
swhbomykqemtll.org/home/
sxwfupthcyeqjh.net/home/
cpgpwafuancriy.org/home/
adjkrhdkuxysov.biz/home/
nqenwmhyokyknc.ru/home/
bxjlbrafmvaobr.ru/home/
bchqnrqmbdkvfl.org/home/
icmiuojikeeglw.info/home/
jehqrtprenotca.com/home/
fvmfpbqlweuqcc.org/home/
lwfhkayvijlhld.info/home/
guklllendjgtct.info/home/
avprsocmlqjigs.ru/home/
gecmmdcdjwpjlp.org/home/
iaadlnplnoarlk.info/home/
rpayeuhoyexfpe.net/home/
vnugqvdgehpfkw.com/home/
rbxjldlktkpsjx.org/home/
mqipmcwrvlbxlw.com/home/
nsdxjkmembvpcv.net/home/
gkdtedfdjppeuj.ru/home/
nqcfresqxteaxk.biz/home/
bgdeqjwfchhvwq.ru/home/
tvelvheabunfpq.biz/home/
adgceuhdxrinww.biz/home/
vukflsvgxbgvui.ru/home/
wylroxcpcqgjle.org/home/
xxjxkowffkovlp.info/home/
uwqjgsrxuhyopp.net/home/
jdtwkyaduxkmve.com/home/
erbxffpmhwjmwq.com/home/
urndyegetlhnwl.biz/home/
truhmarggnfawj.org/home/
vnsxlqmihpsywr.info/home/
tlxpdlcqaglewt.ru/home/
hbyoctplnodrvn.org/home/
daetjwkwtfhjwj.info/home/
fvckinfyuhuinp.net/home/
atiyxjksylosbu.biz/home/
xiyefnrwyvdcth.com/home/
lrvlcsbkbnljsx.net/home/
yhwkbxfyfbofbu.biz/home/
uycyyswttiedtd.info/home/
swgfawqxupccrf.com/home/
tbhrdcwhyfcpib.net/home/
uafxymkjfknspa.ru/home/
pnjatcvupcddtl.info/home/
qrkmwhcetrdqtc.com/home/
qtqhbembdaeyrl.net/home/
FOR GUDS SKYLD,
IKKE GÅ INN PÅ NOEN AV DISSE ADRESSENE!
Legg de til i ruterens liste over blokkerte adresser, eller i windows' hosts-file
Er sikkert noe jeg har glemt, i såfall så får jegkomme tilbake til det senere.