.locky ransomware

Door fvdberg op woensdag 17 februari 2016 19:40 - Reacties (30)
Categorie: Fixes, Views: 24.119

Mijn afgelopen dagen stonden in het teken van .locky een nieuwe cryptolocker

Wat weten we tot nu toe:

Virustype is een exploit van een 4e generatie ransonware van het cryptowall type. het gedraagt zich als Dridex

Virus is afkomstig uit de Neutrino exploit kit en deze specifieke variant wordt sinds 7-2-2016 op de marketplaces op TOR aangeboden maar is vermoedelijk al langer actief.

Het virus wordt sinds 15-2-2016 gespot en opgemerkt. De oorsprong lijkt in Duitsland te liggen

Op een Indiaas forum is deze trojan op 8-2-2016 gemeld: http://pantip.com/topic/34773071 dit is dus net nadat de kit op de marketplaces op TOR op dook.

De command and control was in ons geval een Russische webserver

Wordt verspreid via:

1. email bijlage in email met factuur (ATTN: Invoice J-98223146)
2. Macro bestand in word documenten

het virus wordt uitgevoerd op gebruikersniveau en heeft dus nooit meer rechten als de gebruiker in kwestie. in een AD omgeving is het wijs om direct gebruikers die je verdenkt gelijk te blokkeren. wanneer je constateert dat deze een .locky bestand aan maakt.

De encryptie key wordt door de Russische server aangeboden en is te onderscheppen door het netwerk verkeer van de geinfecteerde machine uit te sniffen en lijkt niet te veranderen.

Het virus maakt als eerst een .locky bestand aan in een map, kan dit niet dan gaat hij door zonder iets te doen. Damage control is dus preventief de extensie .locky blokkeren op je fileshares zodat deze niet aangemaakt kan worden.

Malwarebytes Anti Rootkit kan het virus prima verwijderen.

Impact

Op alle lokale , netwerk en UNC paden waar de gebruiker schrijfrechten op heeft worden de bestanden met de volgende extensies versleuteld:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

De volgende paden en extensies worden over geslagen:

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

In de versleutelde mappen wordt een ransom note geplaatst met de naam _Locky_recover_instructions.txt

Locky vewijderd alle Shadow Volume Copies op de machine met de volgende opdracht: vssadmin.exe Delete Shadows /All /Quiet

Locky past de Windows wallpaper naar %UserpProfile%\Desktop\_Locky_recover_instructions.bmp, met daar op dezelfde instructies als in de ransom note

Locky gerelateerde bestanden:

%UserProfile%\Desktop\_Locky_recover_instructions.bmp
%UserProfile%\Desktop\_Locky_recover_instructions.txt
%Temp%[random].exe (in ons geval LadyBI.exe)

Locky gerelateerde register aanpassingen:

HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed 1
HKCU\Control Panel\Desktop\Wallpaper "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"

Wij hadden recente backups van de geraakte bestanden, maar zelfs daarmee is het nog een Hell of a job om de schade te herstellen. decrypten is geen optie, dus backup, backup en nog eens backup!

Wij hebben op basis van de uitgedeelde rechten de groep met potentiele besmette accounts kunnen beperken tot een handje vol en hadden het relatief snel onder controle.

Zie ook dit topic op GoT: .LOCKY nieuwe crypto locker virus

Cheat Sheet - Directadmin

Door fvdberg op zaterdag 13 februari 2016 10:00 - Reacties (3)
Categorie: Cheat Sheets, Views: 4.452

Alle custombuild pakketten updaten
cd /usr/local/directadmin/custombuild
./build update
./build all d

Globale aliassen toevoegen en aanpassen
pas het volgende bestand aan:

/etc/httpd/conf/httpd.conf

(/etc/httpd/conf/extra/httpd-alias.conf als je een custombuild gebruikt)

ik gebruik phpsysinfo even als voorbeeld, maar dat mag je voor alles wat je wil aanpassen

Voeg toe:

Alias /phpsysinfo /var/www/html/phpsysinfo/

herstart nu apache.

alles wat naar http://www.[domein]/phpsysinfo gaat komt nu uit op phpsysinfo

Map permissies herstellen
1. Open SSH en log in met je admin account.
2. type su en daarna je root wachtwoord
3. voer uit:

for i in `ls`; do { chown -R $i:$i $i; }; done;
/usr/local/directadmin/scripts/set_permissions.sh all
/etc/init.d/directadmin restart

Named start niet meer
Reset named:
/sbin/chkconfig named reset
/sbin/service named start

NL taalpakket toevoegen
Voer uit:
cd /usr/local/directadmin/data/skins/
wget www.ermis.nl/enhanced.zip
unzip enhanced.zip
chown -R diradmin:diradmin enhanced/images/
chown -R diradmin:diradmin enhanced/lang/
chown diradmin:diradmin enhanced/files_custom.conf
chmod -R 755 enhanced/images/
chmod -R 755 enhanced/lang/
chmod 755 enhanced/files_custom.conf
rm enhanced.zip

Installeer Dovecot
cd /usr/local/directadmin/custombuild
./build update
/etc/init.d/directadmin restart

./build dovecot
./build todovecot
/etc/init.d/directadmin restart

Start/restart dovecot:
Linux: /sbin/service dovecot restart
Debian: /etc/init.d/dovecot restart
FreeBSD: /usr/local/etc/rc.d/dovecot restart

wacht even een paar dagen om zeker te weten dat dovecot goed werkt, doe daarna:

echo "action=delete&value=mbox" >> /usr/local/directadmin/data/task.queue

Hiermee verwijder je de oude mbox bestanden

Update Apache en PHP
cd /usr/local/directadmin/custombuild
./build update
./build apache
./build php n
./build rewrite_confs

PHP-IMAP module toevoegen
Overgenomen van Directadmin: http://www.directadmin.com/imap.txt

Written for CustomBuild 1.2, but can be changed for CB2, see below.

cd /root
wget files.directadmin.com/services/all/imap_php.sh
chmod 755 imap_php.sh
./imap_php.sh

If you'ure using CustomBuild 2.0, edit the file before running it.
Change:
CONFIGURE=configure.php5
to be:
CONFIGURE=configure.php55
or whichever php version.

If you're using suPhp, php-fpm or fastcgi, change:
WEB=ap2
to be:
WEB=suphp
WEB=fpm
WEB=fastcgi

Webmail voor domein
Maak een virtualhost voor apache2 aan

cd /usr/local/directadmin/data/templates
cp virtual_host2.conf custom

Bewerk de nieuwe virtual_host2.conf (apache 2) file

cd custom
vi virtual_host2.conf

voeg de volgende code toe:

ServerName webmail.|DOMAIN|
ServerAdmin |ADMIN|
DocumentRoot /var/www/html/roundcube
CustomLog /var/log/httpd/domains/|DOMAIN|.bytes bytes
CustomLog /var/log/httpd/domains/|DOMAIN|.log combined
ErrorLog /var/log/httpd/domains/|DOMAIN|.error.log

Opslaan (:w) en Sluiten (:q).

Voer onderstaande regel uit om de httpd.conf te herschrijven.

echo "action=rewrite&value=httpd" >> /usr/local/directadmin/data/task.queue
/usr/local/directadmin/dataskq d

Als laatste moet de DNS nog aangepast worden.

cd /usr/local/directadmin/data/templates
cp dns_a.conf custom
cd custom
echo "webmail=|IP|" >> dns_a.conf

Apache bijwerken naar nieuwere versie
cd /usr/local/directadmin/custombuild
vi options.conf

edit:
druk op insert en pas aan:

php5_ver=5.x naar de versie die je wil (bijvoorbeeld 5.3) en sla op (esc en dan :wq)
./build update
./build php d

Windows 10 - Prolific PL-2303 Serieel - USB Fix

Door fvdberg op vrijdag 12 februari 2016 10:00 - Reacties (13)
Categorie: Windows 10, Views: 11.133

Om bepaalde redenen pushed Microsoft een nieuwere Prolific driver waardoor een aantal typen Prolific serieel-usb chipsets het niet meer doen. deze starten niet.

Dit heeft te maken met de chinese klonen die op de markt zijn.
maar ook de "echte"PL-2303X en PL-2303HXA, die zijn volgens prolific EOL.

Helaas zitten die in de meeste converters en is dit voor de meeste mensen niet duidelijk

Om ze toch bruikbaar te maken moet je voorkomen dat microsoft de driver automatisch update.

Dit doe je als volgt:

Plak het volgende in je notepad en sla het op als prolific_prevent_update.reg, die uitvoeren en windows doet er niets meer mee


code:
1
2
3
4
5
6
7
8
9
10
11
12
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions]
"DenyDeviceIDs"=dword:00000001
"DenyDeviceIDsRetroactive"=dword:00000000

 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceInstall\Restrictions\DenyDeviceIDs]
"1"="USB\\VID_067B&PID_2303"
"2"="USB\\VID_067B&PID_2303&REV_0300"
"3"="USB\\VID_067B&PID_2304"


hierna kan je de juiste driverversie installeren die wel werkt: Dat is: 3.2.0.0

executable:
https://www.pyramidtimesy...iver_Prolific_3_2_0_0.exe

zip:
http://www.w9lrt.com/defa.../baofengprolificvista.zip

Ook is er iemand die een installer voor heeft gemaakt als je geen zin hebt om zelf even het registerbestandje te maken

zie http://www.ifamilysoftware.com/news37.html

Raspberry Pi 2 (B) - OpenGL Activeren

Door fvdberg op donderdag 11 februari 2016 13:37 - Reacties (1)
Categorie: Raspbian, Views: 2.290

De stappen om de Raspbian versie in het geheel naar de laatste versie te updaten en OpenGL aan te zetten zijn:

ga naar de console

sudo apt-get update
sudo apt-get dist-upgrade
sudo apt-get install raspi-gpio
sudo apt-get install xcompmgr libgl1-mesa-dri
sudo rpi-update
sudo raspi-config

onder "Advanced Options" de GL Driver activeren.

nu een sudo reboot en het werkt!

aanvulling:

Als je het regenboog scherm ziet en daarna niets, dan kunnen er een aantal zaken aan de hand zijn:

1. Je hebt waarschijnlijk een overclock in je config.txt staan. Icm overclock werkt het niet.
2. Het voltage uit je voeding is te laag. probeer een betere kwaliteit voeding of usb kabel

Optie 2 is bij de meesten die dit probleem hebben de oorzaak.

Om het uit te zetten ga je in de config.txt naar dtoverlay=vc4-kms-v3d en zet je er een # voor.

werkt dat niet?

is de pi via ssh (putty) te benaderen? ga dan in putty naar de raspi-config en zet het uit.
is de pi niet via ssh te benaderen, haal dan de sd uit de pi en stel je config.txt zo in dat je direct naar de console boot en start daar raspi-config en zet de optie weer uit.

Lukt dat ook niet? kopieer dan je backup van image voor de update terug naar je sd kaart met win32diskimager.

Ik adviseer dus om vooraf wel even een backup van de SD kaart te trekken met win32diskimager!

Raspberry Pi (Zero) - PAL instellen voor de composiet TV out

Door fvdberg op donderdag 11 februari 2016 10:00 - Reacties (1)
Categorie: raspberry, Views: 1.986

Type in: sudo nano /boot/config.txt

Ga naar de regel

uncomment for composite PAL
#sdtv_mode=2

Haal het # voor sdtv_mode=2 weg.

eventueel kan je meer opties toevoegen:

sdtv_aspect defines the aspect ratio for composite output (default=1)
sdtv_aspect=1 4:3
sdtv_aspect=2 14:9
sdtv_aspect=3 16:9

Dit werkt als volgt:
plak de regel sdtv_aspect=3 onder sdtv_mode=2

er staat nu:

# uncomment for composite PAL
sdtv_mode=2
sdtv_aspect=3

We hebben ingesteld: een PAL scherm met een 16:9 beeldverhouding.

druk op ctrl-o om de aanpassingen op te slaan en op ctrl-x om nano af te sluiten.

type nu in: sudo reboot

de instellingen zijn na de herstart actief.

meer opties kan je vinden in deze wiki: elinux.org/RPiconfig