Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

*WBZIN*

Wstęp

W ostatnich dwóch tygodniach systemy, które mam pod opieką padły celem dość poważnej w skutkach infekcji wirusem. Sieci dość duże i złożone (po kilkaset komputerów), w teorii wielostopniowe zabezpieczenia a jednak się stało... Cały czas zastanawiam w jakim tonie powinien być ten wpis:

  • poradnika "jak zapobiegać takim atakom" - troszkę dziwnie, żeby osoba, która dostała dwie "kosy" pod żebra tłumaczyła techniki obrony przed atakiem nożem,
  • płaczliwym: "nie znacie dnia ani godziny" - nic się nie da zrobić, nie ma sensu walczyć z wiatrakami, ogólnie Vanitas vanitatum et omnia vanitas,
  • BOFHowym* - wszystko było dobrze, tylko to wina tych niedobrych użyszodników. PEBKAC*
  • Sytuacja wyjątkowo mało ciekawa, gdy trzeba odciąć dostęp do zasobów siecowych praktycznie wszystkim użytkownikom: świadomość nadchodzących strat finansowych wynikających z zastoju firmy, oraz utraty (przy odpowiednich wiatrach...) "tylko" kilku godzin pacy. Może mieć to też konsekwencje w utracie zaufania do osób/firmy inkasującej często konkretne kwoty za zapobieganie takim awariom systemu.

    Początek katastrofy

    Czwartek zapowiadał się dość spokojnie. Duże wdrożenie zamknięte, w systemie ticketowym w miarę spokój: do piątku pozostały już tylko jakieś maszynowe "roboty głupiego" - zestawić kilka tuneli VPN, przygotować serwer pocztowy do migracji w chmurę ("cutover migration"), skonfigurować prosty backup, odpowiedzieć na kilka maili. Gdzieś tam przewinęła mi się przez monitoring informacja o wzmożonej aktywności serwera plikowego u jednego klientów - nie odbiegało to jednak szczególnie od norm: "ot, skanowanie antywirusowe". Helpdesk odebrał zgłoszenie, że jeden z użytkowników ma "problem z otwarciem plików Excel na serwerze", czyli w teorii coś związanego z pakietem biurowym, ewentualnie skojarzenia plików systemu operacyjnego:
    "hłehłehłe - pewnie znowu próbowała otwierać .xls Acrobat Readerem"
    Pomoc techniczna oddzwania, wejście na zdalny pulpit i pada sakramentalne "motyla noga" (czy jakoś tak, kolega mógł powiedzieć troszkę inaczej). W udziałach sieciowych (katalogach na serwerach) zaczęły pojawiać się dość jednoznaczne zestawy plików:

  • HELP_DECRYPT.TXT
  • HELP_DECRYPT.URL
  • HELP_DECRYPT.HTML
  • HELP_DECRYPT.PNG
  • Statek nabiera wody

    Niektórym czytelnikom bloga już pewnie na tym etapie pojawił się uśmiech od ucha do ucha: "jak dobrze, że nie trafiło na mnie". Tak, to niestety Cryptolocker (w najnowszej wersji CryptoWall 3.0).

    Z racji tego, że infekcję Cryptoleckerem przerabiałem już kilka razy pierwszy odruch to spakować kubeczek i wyjechać w Bieszczady - wyłączyć telefon, zaczekać kilka dni i wrócić: "może sama się rozwiąże?".
    Cryptolocker (pisał o tym na DP Adam "eimi" Golański) jest klasifikowany jako koń trojański a dokładniej "ransomware", czyli "okup za Twoje dane". Sam proces infekcji nie przebiega jakoś magicznie: głównym źródłem jest wpuszczenie szkodnika przez nieświadomego użytkownika ("drive-by download"): załącznik do maila informujący o niezapłaconej fakturze, albo dołączone do strony internetowej ze szczególnym naciskiem na serwisy społecznościowe (Facebook wiedzie tu prym). Efekt działania jest dość upiorny. Program najpierw łączy się do swoich zewnętrznych serwerów, gdzie informuje o nowym zarażonym komputerze (wysyła adres IP "internetowy", informację o systemie operacyjnym, lokalizację). Kolejny etap do generacja silnej 2048-bitowej pary kluczy RSA ściśle powiązanej z zaatakowanym systemem (niepowtarzalnych), gdzie część publiczna pozostaje "na ofierze", za to część prywatna ląduje na zewnętrzym serwerze grupy przestępczej. No i tu zaczyna się główne działanie: pliki zarówno na komputerze lokalnym, jak i na zasobach sieciowych (serwerach"podmapowanych" jako litery dysków), urzadzeniach USB do których ma dostęp zostają zaszyfrowane - tyczy się to głównie dokumentów arkuszy kalkulacyjnych (xls*), tesktowych (doc*) i PDF. Należy pamiętać, że dotyczy to także podpiętych zasobów Dropbox, Google Drive, SkyDrive. Oryginał i klucze deszyfrujące zostają oczywiście usunięte. Robal doczekał się już trzeciej wersji, gdzie autorzy bardzo dziękują za porady jak uniemożiwić prostą deszyfrację, przechwycenie kluczy itp.
    Na koniec wirus stara się jeszcze zatrzymać usługę VSS (Volume Shadow Copy) przy okazji czyszcząc "cache" zmian na plikach: jednym słowem "uwala wersjonowanie":vssadmin.exe Delete Shadows /All /Quiet

    Statek tonie

    Jak już wspomniałem, w katalogach z zaszyfrowanymi danymi pojawiają się jednocześnie pliki z informacją co się dokładnie stało (HELP_DECRYPT):
    Na końcu dodane są linki z unikalnym adresem strony:
  • ofiara ma tydzień na wpłacenie okupu o równowartości 500USD (BTC),
  • po upływie tego czasu kwota się podwaja,
  • autorzy wspaniałomyślnie informują jak najprościej kupić BTC,
  • po podaniu ID transakcji BTC zostanie przesłany klucz deszyfrujący.
  • Nie miałem jeszcze "okazji" wpłacać okupu, ale podobno rzeczywiście wywiązują się z umowy - ot, kultura.

    Wypompowywanie wody z tonącego statku

    Na tym etapie najważniejsze jest powstrzymanie dalszej infekcji a w przypadku środowiska biznesowego - odcięcie użytkowników od zasobów sieciowych. Wykrycie źródła ataku jest proste ze względu na właściciela plików HELP_DECRYPT:
    Zablokować port sieciowy na zarządalnym switchu/odebrać prawa użytkownikowi do zasobów sieciowych/wyłączyć prąd* - niepotrzebne skreślić. Użytkownik ma natychmiastowo zniknąć z sieci.
    Na tym etapie zaczyna już się pewnie odbijanie piłeczki - kto jest winny. To jeszcze nie czas na takie dyskuje, warto mimo wszystko przywrócić firmę do pracy.

    Najpierw trzeba ocenić straty. Już sama spersonalizowana strona informuje, że będzie ciekawie: 50.000 plików to już całkiem sporo:

    Z racji wspomianego pliku HELP_DECRYPT.TXT można też w przybliżeniu ocenić liczbę katalogów i gdzie koń trojański miał dostęp:

    6000 katalogów nie napawa optymizmem. Tu zaczyna się najprzyjemniejsza część "zabawy". Przez głowę przechodzą myśli: "czy oby są pewne kopie bezpieczeństwa", oraz "kto poinformuje, że trzeba przywrócić pliki z ostatniego backupu". Sporo dłubania, czasem skryptowania: temat na osobny wpis. W uproszczeniu:
  • uzyskać z zarażonego komputera listę zaszyfrowanych plików
  • Informacja o tym jest przechowywania w rejestrze w gałęzi: HKCU\Software\<unikalny_identyfikator_komputera>\<losowy_klucz>Jest kilka narzędzi do tego służących, ja korzystałem najczęściej z ListCWall od BleepingComputer- bardzo ładnie wyrzuca do pliku potrzebne informacje:
  • przeparsowowanie pliku
  • Lista zaszyfrowanych plików będzie miała najczęściej ścieżki względne, np.:Z:\2015\Sprawozdanie_05.2015.xlsgdzie "fizycznie dane znajdują się "bezwlędnie" na dysku serwera:E:\Shared\Accounts\2015\Sprawozdanie_05.2015.xlsTu wchodzą wyrażenia regularne - pod Windowsem używam Notepad++, jednak poprzez to, że "wychowałem" się na *nix wygodniej mi to robić pod Linuksem (kto co lubi: grep, sed, awk, perl itd.).
  • wrzucenie tego do skryptu, który zastąpi uszkodzone pliki,
  • usunięcie plików HELP_DECRYPT
  • To warto zostawić na sam koniec.
  • zabezpiecznie ostatniego "dobrego" backupu
  • Istotny element - znając prawa Murphyego po trzech miesiącach okaże się, że jest jeszcze zaszyfrowany jeden dokument Excela od którego zależy istnienie firmy - a polityka backupu (retencja) nie zabezpiecza już go.

    Czy musiało do tego dojść?

    Sytuacja opanowa, firma powoli wraca do życia, jednak minęło kilka godzin: NIESMAK POZOSTAŁ.

    Wróćmy jednak do części czysto technicznej - jak do tego doszło? Czy winny jest program antywirusowy? IDS? Procedury, albo sami użytkownicy? A może to wina tego "niedobrego niedopracowanego Windowsa" a receptą są stacje robocze wyposażone w system opearcyjny bazujący na jądrze Linuksa?

    Skupmy się jednak na faktach:

  • po stronie serwerowej Windows 2012,
  • po stronie klienckiej Windows 7/8.x Pro, brak w sieci urządzeń bazujących na Vista/XP i starszych wydaniach tego OS.
  • Zacznijmy od samego "dołu". Stacje robocze wyposażone w silnik antywirusowy "Vipre", aktualizacje sprzed kilku godzin. Osobiście już widziałem Cryptolockera bezpardonowo omijającego AVG, Trend Micro. Mimo tego, że mam pewne uprzedzenie do Endpointów Symanteca, mają pewną zaletę - po infekcji komputer jest praktycznie nie do użytku (obciążenie procesora, pamięci), więc użytkownik bardzo szybko zgłosi problem a Cryptolocker nie będzie miał zasobów do szybkiego działania (tak, to był sarkazm w stosunku do Nortona). Mam nadzieję, że nie będzie to uznane za reklamę z mojej strony, ale jestem miło zaskoczony endpointami od Bitdefendera. AV reaguje całkiem rześko na Cryptolockera i przycina go w zarodku.
    Wracając do tematu: stacje robocze skonfigurowane nadgorliwie, można powiedzieć, że faszyzm od IT bije na kilometr (wytyczne zarządu tamtej firmy):

  • użytkownik nie ma uprawnień lokalnego administratora,
  • jako że mam uczulenie na wektor ataku możliwy od strony Flasha - dosłownie ze trzy komputery w sieci mają pluginy do tego dzieła szatana,
  • Zminimalizowanie możliwości uruchamiania programów przez użytkowników ("Disallowed Security Level" w GPO)
  • "%username%\Appdata\Roaming\*.exe" C:\<random>\<random>*.exe "%temp%\\*.exe" "%userprofile%\Start Menu\Programs\Startup\*.exe” "%username%\Application Data\*.exe” "%userprofile%\*.exe” "%username%\Appdata\*.exe” "%username%\Appdata\\Local\*.exe” "%username%\Application Data\Microsoft\*.exe” "%username%\Local Settings\Application Data\*.exe” "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\.*exe" Polecam to rozwiązanie, pierwsza linia helpdesku bardzo za to nam podziękuje - przebite opony w samochodzie, etc. - zwiększy to obciążenie pomocy technicznej znacząco...

  • filtrowanie poczty internetowej
  • W dzisiejszych czasach nie wyobrażam sobie, aby emaile nie przechodziły przez filtry antyspamowe i antywirusowe. Nie trzeba tego robić na własnych gratach (w przypadku lokalnego serwera pocztowego wiadomości mogą iść przez zewnętrzne "odpluskiwacze", koszty tego nie są aż tak wysokie),

  • Przepuszczanie przez całego ruchu WAN przez porządny "appliance"
  • Zaraz będzie "hur durr, takie brzydkie obce słowo". Głównie chodzi o odsiewanie wirusów na poziomie ruchu wchodzącego, oraz odpowiednie reguły firewall. Można to "klepać" ręcznie, ale mimo wszystko lepszym rozwiązaniem jest automatyka bazująca na sprawdzonych rozwiązaniach (CISCO, czy inny Fortinet).

  • Dropboxy, Skydrive i inne gdrive
  • Standardem już jest w wielu firmach zakaz korzystania z przenośnych urządzeń USB (pendrive, dyski twarde), za to "chmura" bije popularność zarówno w nieautoryzowanym wynoszeniu danych z firmy, jak i przynoszeniu do niej niebezpiecznych dla biznesu plików

  • Serwisy społecznościowe
  • Temat na osobny wpis. Nie mam nic przeciwko samej ideii FB i innych Twiterów:
    "zrobiłem kupę, oto zdjęcie"
    Nie moja sprawa, to nie płacę ludziom za wrzucanie zdjęć: "oto ja na wakacjach w basenie". Mnie interesuje jednak część techniczna, czyli głupkowate uruchamianie wszystkiego, co jest na takich stronach. Niektórzy sami w ten sposób piszą "podanie" o web filtering.

  • przeszkoleni pracownicy
  • Komentarz do tego punktu może w następnym wpisie... ;-)

    Dziura w statku

    Wróćmy jednak do samej infekcji, bo zacząłem się niepotrzebnie rozpisywać o kwestiach technicznych. Stało się, jest poważny przestój w firmie. Zawiodły wszelkie zabezpieczenia. W tym przypadku był to czynnik ludzki. Grom hejtu spadnie oczywiście na IT, jednak w każdej większej firmie jest przynajmniej jednen cwaniak.
    Wie zawsze lepiej, czyta "Komputer Świat" a po cichu "Niebezpiecznik". Pierdoła, gnom, co przyniesie z domu stary router, wepnie do wolnego portu pod biurkiem ("bo chciałem rozdzielić tylko internet na komputer i laptop"), przy okazji ogłupi serwer DHCP ("no przecież to tylko switch! Jaki DHCP?"). Taki mały karakan, co jeszcze pobiegnie do kierownictwa: "no przecież to powinno być zaimplementowane na zarządzalnym switchu, aby odłączać nieautoryzowany serwer DHCP na porcie, czytałem o tym w Chwili dla Ciebie". Potem wiedząc, że nie może tego robić i łapy powinien mieć ucięte na wysokości miejsca, gdzie plecom kończy się ich szlachetna nazwa podepnie się do zasobów sieciowych (zna przecież nazwę swojego użytkownika i hasło) i jeszcze zamapuje dyski sieciowe (gdyby stosował ścieżki UNC, to Cryptowall by nawet nie wiedział o tych danych).

    Do czego dążę...

    Podmywajcie się dziewczyny, nie znacie dnia ani godziny

    Czas na jakieś podsumowanie tego chaotycznego wpisu. Moim konikiem są dwie dziedziny: wirtualizacja, oraz szeroko pojęta kwestia DR ("Disaster Recovery"), którego częścią są kopie bezpieczeństwa (backup). Wielu pewnie czytając ten tekst powie, że "w mojej firmie nigdy nie było takiej sytuacji, IT to brzydale bez szkoły z miodem w uszach a pracownicy tej firmy to idioci". Przy kilku latach doświadczenia z wieloma "gaszenami pożaru" mam prawo stwierdzić, że nie ma zabezpieczenia, które całkowicie chroni przed takimi sytuacjami. Przy okazji wielu szkoleń słyszałem dość ważną kwestię: "wykryć, że już się coś stało i jak najszybciej zatrzymać rozprzestrzenanie się problemu". IDSy/IPSy to podstawa - wykrywanie anomalii w sieci, stacjach roboczych i na serwerach. Nawet proste stałe parsowanie logów z audytu systemu plików po stronie serwera. No i jak wspomniałem: kopie bezpieczeństwa. Backup, który jest testowany i przynajmniej dwa różne narzędzia do tego - np. lokalne snapshoty i kopia na zewnątrz ("off-site backup"). Co rozumiem przez testowanie i gdzie można sobie wsadzić niektóre procedury DR? O tym już w następnym wpisie.

    -----------------------------------------------------------------------* WBZIN - Wpis Bez Żadnej Interesującej Nazwy (celowe nawiązanie do "TWAIN")
    * BOFH [EN: B@stard Operator From Hell PL: POPR: Pi@przony Operator z Piekła Rodem]
    * PEBKAC - Problem Występuje Pomiędzy Klawiaturą a Krzesłem (wina użytkownika).

    http://www.techrepublic.com/article/cryptowall-what-it-is-and-how-to-p...

    http://blogs.cisco.com/security/talos/cryptowall-3-0-----------------------------------------------------------------------< Wszystkie literówki, błędy ortograficzne i stylistyzne w tekście są celowym zabiegiem artystycznym :-) > 

    windows bezpieczeństwo porady

    Komentarze

    0 nowych
    Shaki81 MODERATOR BLOGA  38 #1 29.07.2015 18:04

    Ja niestety niedawno przeżyłem podoba sytuację, tylko, że miałem problemy z backupem i odtwarzanie jednego z systemów zajęło kilka dni.

    bachus   20 #2 29.07.2015 18:06

    @Shaki81: ...ale to będzie zawsze Twoja wina. Nie ważne, że masz "podkładki" mailowe dotyczące backupów, środków na to i w co trzeba zainwestować ;-)

    Shaki81 MODERATOR BLOGA  38 #3 29.07.2015 18:12

    @bachus: ba, tyle to wiem, backupem tego systemu miała się zajmować zewnętrzna firma, ale to i tak ja oberwałem i dość mocno.

    bachus   20 #4 29.07.2015 18:15

    @Shaki81: to może w następnym wpisie, ja to zawsze rozgrywam tak, że w dość systematycznych odstępach czasu wrzucam w jakiś zasób uwzględniony do backupu plik testowy, kasuję go po 1-2 dniach a po tygodniu proszę o odzyskanie jego (albo jak to moje systemy, to sprawdzam, czy się do niego dostanę).

    januszek   19 #5 29.07.2015 20:23

    Jest jakiś prosty sposób obrony?

    bachus   20 #6 29.07.2015 20:39

    @januszek: pisałem przecież - ^#@$#@) to wszystko, nie przejmować się i wyjechać w Bieszczady ;-) Tak poważnie - w przypadku tego zagrożenia wyjątkowo upierdliwie - szczególnie, że wirus jest ciągle poprawiany przez autorów. Najprościej to pewnie... zrezygnować z mapowania dysków i korzystać z UNC i skrótów UNC (\\SERWER\ZASOB\) no ale nie do przejścia raczej przy przyzwyczajeniach w firmach. Ciężka sprawa - można całkowicie wyblokować załączniki .exe z poczty (zaglądać w ZIPy a jak się nie da zajrzeć, to blokować).
    Do krytycznych danych powinni mieć dostęp do zapisu tylko nieliczni w firmie i to osoby ogarnięte. Problem w tym, że prawie wszędzie "na górze" jest wesoły dziadek (właściciel, etc.), który w przerwach rezerwacji pola gofowego otwiera gmaila ("no bo jak szefowi zablokować wszystko?"). W teorii samo wyblokowanie obcych .exe powinno dać radę, ale jak widać nie zawsze. Znajdzie się cwaniak.

    januszek   19 #7 29.07.2015 21:08

    @bachus: Jak najprościej wyblokować obce exe?

    bachus   20 #8 29.07.2015 21:26

    @januszek: pisałem w sekcji: "Zminimalizowanie możliwości uruchamiania programów przez użytkowników ("Disallowed Security Level" w GPO)"

    januszek   19 #9 29.07.2015 21:35

    @bachus: A na Home?

    t0ken   9 #10 29.07.2015 23:20

    Świetny wpis, gotowa instrukcja prewencyjno-ratunkowa!

    Ostatnio w pewnej niedoinwestowanej instytucji komputery zaczęły przymulać. Bałem się, że złapały jakieś zwierzątko. Tymczasem program antywirusowy po aktualizacji zaczął istotnie mocniej obciążać owe poczciwe Win XP z 512MB na pokładzie.

    lucas__   13 #11 30.07.2015 01:37

    @januszek: Zainstaluj se Linuksa buahaha

    januszek   19 #12 30.07.2015 07:03

    @lucas__: Myślę, że osiągnąłbym taki sam efekt jak po zaszyfrowaniu dysków cryptolokerem ;P

    Axles   17 #13 30.07.2015 08:23

    bachus jak zwykle świetny wpis, liczę także na te wspomniane odniesienia 'to historia na inny wpis' no i gratulacje za wygraną walkę z CW.
    Tak z ciekawości, masz backup wszystkich pliki wszystkich pracowników? Gdzie wy to magazynujecie?

    bachus   20 #14 30.07.2015 08:49

    @januszek: myślę, że jedynie myślenie co się włącza chroni.
    @Axles: zależy od firmy. W 99% wszyscy wiedzą, że dekstop nie jest do przechowywania ważnych informacji, tylko udziały sieciowe. Wiadomo, że i tak najwięcej ważnych danych jest na Pulpitach ;-) Można oczywiście przekierowywać katalogi domowe łącznie z pulpitem na serwer ('roaming profile').

    januszek   19 #15 30.07.2015 10:02

    @bachus: Akurat myślenie jest w tym przypadku deficytowym towarem. Muszę wymyślić jakiś prosty sposób ochrony sprzętu używanego przez kogoś kogo tu nazwałeś wesołym dziadkiem ;)

    bachus   20 #16 30.07.2015 10:08

    @januszek: prosty sposób oznacza zawsze jakiś wydatek - np. dysk na USB o pojemności chociaż trochę większej niż dane na wszystkich partycjach (dojdzie kompresja) + backup bazujący na snapshotach i do tego backupy przyrostowe z jakąś niedużą retencją. Oprogramowanie - od kilku lat "gustuję" w ShadowProtect (Storagecraft), Acronis też sobie radzi.
    Przewaga backupów "migawkowych"? Poza możliwością odzyskiwania pojedycznych plików odtwarzasz cały system / partycje. Czasowo ogranicza Cię tylko interfejs (USB, czy SATA). Backup "migawkowy" już kilkanaście razy uratował mi cztery litery.

    Autor edytował komentarz.
    bystryy   10 #17 30.07.2015 13:00

    W każdej chwili może to spotkać firmę, w której pracuję. Zmapowane dyski tutaj to standard, podobnie jak słownikowe hasła do zasobów.

    bachus   20 #18 30.07.2015 13:10

    @bystryy: ja wyjątkowo walczę z popularnym Passw0rd1/Passw0rd!/Pa55w0rd ("no przecież ma cyfrę, wielką literę i znak specjalny!"). To i tak postęp w stosunku do "password'). Zbyt skomplikowane/wymuszanie długich haseł to też zła droga, bo będą zapisywane na monitorze/po klawiaturą.

    Songokuu   14 #19 30.07.2015 22:41

    Bardzo ciekawy wpis. Mam nadzieję, że coś ugrasz w konkursie blogowym :)
    Ot, taka nagroda za wygraną z CW.

      #20 30.07.2015 22:56

    To jak ten cwaniak wprowadził tego szkodnika do firmy skoro były takie zabezpieczenia ?

    Axles   17 #21 31.07.2015 07:56

    @bachus: Albo hasła typu H@lina12 a później dochodzą albo zamieniane są cyferki 3, 4 itd.
    Tak wracając do twojego tematu, jak CW ubiłeś, nie wystarczy przecież odłączyć od sieci pcta. Chyba, że po odliczaniu sam się dezaktywuje i wtedy można dopiero starania odzyskiwania z kopii zacząć?

    FaUst   12 #22 31.07.2015 11:16

    Karakan z własnym switchem, routerem i czytelnik dobrych... znaczy niebepiecznika... skąd ja to znam ;) Thx God miałem 2 takie akcje i zawsze udało się za pomocą Shadow Copy wszystko odzyskać, ale wpis zapisuję w zakładce "ku pamięci" ;)

    bachus   20 #23 31.07.2015 11:27

    @Axles: fizyczne odłączenie (odpięcie kabla / wifi), zablokowanie portu / odebranie uprawnień - wszystko jedno jak, stacja robocza nie ma prawa "pisać" do serwera. Sam desktop to najmniejszy problem - w firmach nawet nie myśli się o odwirusowywaniu, stacja robocza idzie "do spodu" (reinstalacja, czasem z obrazu to kwestia 30 minut łącznie z konfiguracją). Jak użytkownik miał ważne dane na desktopie - jego problem.

    DiamondBack   13 #24 02.08.2015 17:51

    "HELP_DECRYPT.TXT
    HELP_DECRYPT.URL
    HELP_DECRYPT.HTML
    HELP_DECRYPT.PNG"

    Taki widok bardziej straszy jak najmocniejszy horror

    bachus   20 #25 02.08.2015 17:55

    @DiamondBack: coś w tym jest, ostatnio od kolegi z poprzedniej firmy dostałem SMSa: "HELP_DECRYPT.TXT", wiedziałem z czym i u kogo walczy ;-)

    Semtex   18 #26 02.08.2015 18:26

    Świetny wpis, prawie przegapiłem, dobrze, że znalazł się w podsumowaniu :D

    whanamingo   2 #27 04.08.2015 16:25

    @t0ken: Czy można wiedzieć jaki to antywirus tak zaczął zamulać?

    t0ken   9 #28 04.08.2015 22:04

    @whanamingo: polski Arcabit. Na (bardzo) nielicznych w Instytucji nowoczesnych komputerach z Win8 działa dobrze.