[MDaemon-L] Virus ransomware vbaru dg attachment .zip
On 14/12/15 15:09, benny wrote: > Kami pernah kena 2x dan AV nya memang bisa menrecover dan itu varian virus > yang baru dan belum ada penangkalnya. > Dan solusinya hanya di backup file harus ok. Ini tips dari Kaspersky untuk pencegahan terhadap ransomeware virus. https://blog.kaspersky.com/ransomware-10-tips/10673/ backup dan penerapan attachment restriction dan anti spoofing merupakan hal-2x yang dianjurkan. Virus umumnya tidak berada di lampiran file tetapi di URL link yang ada di phising mail tersebut, dengan demikian proxy yang punya kemampuan mendeteksi situs bervirus akan membantu mengatasi hal ini. -- syafril --- Syafril Hermansyah MDaemon-L Moderators, MDaemon 15.5.3-64 Beta C, SP 4.5.1-64 Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon. Wisdom comes not from age, but from education and learning. --- Anton Chekhov -- --[MDaemon-L] Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com Versi terakhir MD 15.5.2, SP 4.5.1, BES 2.0.2, OC 3.5.1, SG 3.0.3
[MDaemon-L] Virus ransomware vbaru dg attachment .zip
On 14/12/15 10:10, Syafril Hermansyah wrote: > On 14/12/15 09:23, Ivan wrote: >> Pak jadi sebaiknya file zip/rar jangan dimasukkan dalam exclusion list ? >> di MD saya file zip/rar ada dalam exclusion list > > Riskan kalau .zip masuk kedalam exclusion list, sebaiknya biarkan masuk > ke quarantine queue dulu dan setelah diperiksa secara manual bisa di > approve. Ini daftar extension file yang sebaiknya dimasukkan kedalam daftar attachment restriction http://www.howtogeek.com/137270/50-file-extensions-that-are-potentially-dangerous-on-windows/ -- syafril --- Syafril Hermansyah MDaemon-L Moderators, MDaemon 15.5.3-64 Beta C, SP 4.5.1-64 Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon. Learning is not child's play; we cannot learn without pain --- Aristotle -- --[MDaemon-L] Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com Versi terakhir MD 15.5.2, SP 4.5.1, BES 2.0.2, OC 3.5.1, SG 3.0.3
[MDaemon-L] Virus ransomware vbaru dg attachment .zip
On 14/12/15 16:03, Syafril Hermansyah wrote: > On 14/12/15 10:10, Syafril Hermansyah wrote: >> On 14/12/15 09:23, Ivan wrote: >>> Pak jadi sebaiknya file zip/rar jangan dimasukkan dalam exclusion list ? >>> di MD saya file zip/rar ada dalam exclusion list >> >> Riskan kalau .zip masuk kedalam exclusion list, sebaiknya biarkan masuk >> ke quarantine queue dulu dan setelah diperiksa secara manual bisa di >> approve. > > Ini daftar extension file yang sebaiknya dimasukkan kedalam daftar > attachment restriction > > http://www.howtogeek.com/137270/50-file-extensions-that-are-potentially-dangerous-on-windows/ Jangan berlebihan melakukan melakukan attachment restriction agar bisnis tetap berjalan. Walau di halaman itu dikatakan ada vulnerable terhadap PDF file (yang mengandung vbscript, pidrop pdf), tetapi tidak perlu melakukan block terhadap PDF file asalkan semua user sudah pakai adobe acrobat reader terbaru atau baca dengan browser firefox/chrome/safari, disamping itu umumnya antivirus for file sudah siap melindungi terhadap pidrop pdf ini. --> There are other types of file extensions – like .PDF – that have had a string of security problems. However, for most of the file types above, there’s just no securing them. They exist to run arbitrary code or commands on your computer. <-- hal itu merujuk ke pdf reader lama (adobe acrobat reader dibawah versi 9.x https://www.sans.org/security-resources/malwarefaq/pidief.php http://security.stackexchange.com/questions/64052/can-a-pdf-file-contain-a-virus --> Yes, in fact, there have been many historical PDF exploits. The PDF reader built into popular Internet browsers support a robust sandboxed security model, so viewing a PDF in a browser is much more secure than viewing the same file in a native PDF reader. I'd recommend either Chrome or Safari as they've done best in penetration testing. <--- http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=TrojanDropper:Win32/Pidrop.A -- syafril --- Syafril Hermansyah MDaemon-L Moderators, MDaemon 15.5.3-64 Beta D, SP 4.5.1-64 Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon. Orang menilai org lain berdasarkan apa yg dikatakannya dan apa yg diperbuatnya, org menilai diri sendiriberdasarkan apa yg dipikirkannya dan apa yg hendak dicobanya -- Comtesse Diane, 1829-1899 -- --[MDaemon-L] Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com Versi terakhir MD 15.5.2, SP 4.5.1, BES 2.0.2, OC 3.5.1, SG 3.0.3
[MDaemon-L] Virus ransomware vbaru dg attachment .zip
>Disini saya menggunakan 2 AV yaitu ESET NOD32 dan SYMANTEC, Untuk yang ESET >NOD32 saat kita send/receive email di Ms. Outlook, File yang mengandung virus >tersebut langsung didelete oleh ESET dan Email tersebut dipindah ke folder >Infected Item (dibuat sendiri oleh ESET). >Sedangkan yang menggunakan SYMANTEC lolos saja dan akhirnya kena ke user. >Meski virusnya sudah dihilangkan, tapi Data/File tidak bisa diselamatkan saat >ini karena terenkripsi. Hiks Semoga ada yang baik hati share key-nya. Kami pernah kena 2x dan AV nya memang bisa menrecover dan itu varian virus yang baru dan belum ada penangkalnya. Dan solusinya hanya di backup file harus ok. Regards, Benny -- --[MDaemon-L] Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com Versi terakhir MD 15.5.2, SP 4.5.1, BES 2.0.2, OC 3.5.1, SG 3.0.3
[MDaemon-L] Virus ransomware vbaru dg attachment .zip
On 12/12/15 17:21, Syafril Hermansyah wrote: Kalau tidak ada bypass (exclusion) maka MD 15.5.x akan deteksi sampai 10 level untuk zip/rar/7z, sehingga KAV engine akan bisa mendeteksinya. Dengan perkataan lain, KAV bisa mendeteksi ransomware asalkan file tersebut tidak di compress atau di compress 1 level; jika lebih dari 2 level KAV perlu bantuan decompression dari MDaemon Content Filtering Engine., Pak jadi sebaiknya file zip/rar jangan dimasukkan dalam exclusion list ? di MD saya file zip/rar ada dalam exclusion list -- --[MDaemon-L] Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com Versi terakhir MD 15.5.2, SP 4.5.1, BES 2.0.2, OC 3.5.1, SG 3.0.3
[MDaemon-L] Virus ransomware vbaru dg attachment .zip
On 14/12/15 09:23, Ivan wrote: > Pak jadi sebaiknya file zip/rar jangan dimasukkan dalam exclusion list ? > di MD saya file zip/rar ada dalam exclusion list Riskan kalau .zip masuk kedalam exclusion list, sebaiknya biarkan masuk ke quarantine queue dulu dan setelah diperiksa secara manual bisa di approve. -- syafril --- Syafril Hermansyah MDaemon-L Moderators, MDaemon 15.5.3-64 Beta C, SP 4.5.1-64 Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon. If you really want to do something, you'll find a way. If you don't, you'll find an excuse. -- Jim Rohn -- --[MDaemon-L] Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com Versi terakhir MD 15.5.2, SP 4.5.1, BES 2.0.2, OC 3.5.1, SG 3.0.3
[MDaemon-L] Virus ransomware vbaru dg attachment .zip
On 14/12/15 10:57, Sukardy wrote: Salah satu user saya juga kena virus ransomware, dan semua file dirubah jadi .vvv. Saya lihat didalam folder .zip tersebut terdapat satu file lagi yaitu .js. Jadi untuk saat ini saya block extension .js terlebih dahulu di MDAEMON supaya user lain tidak menerima attachment .js tersebut lg. Untuk yang kena virus ransomware varian baru ini (Filecoder.EM -> ESET) saya sudah cari key buat decript .vvv dan sampai sekarang blm menemukan solusinya. Info dari pembuat virusnya katanya dienkripsi dengan RSA 4096. Hati-hati juga dengan Mapping folder ke File Server. Itu juga bakal dirubah ke .vvv. Cabut saja koneksi LAN/Internet dari PC yang terinfeksi karena untuk enkripsi, dia membutuhkan koneksi internet ke Server Pembuat (DNS di PC tersebut dirubah, check saja IPCONFIG /ALL lewat CMD). Jika sudah ada yg menemukan solusinya mohon bantuan share juga ya. Terima Kasih. Regards, Sukardy AV local di PC/laptop lolos juga pak sukardy dan Slamet ? dan jika harus terhubung ke Inet apakah tidak tertangkap juga oleh Firewall gateway (IPS & AV) ? Rgds, -- --[MDaemon-L] Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com Versi terakhir MD 15.5.2, SP 4.5.1, BES 2.0.2, OC 3.5.1, SG 3.0.3
[MDaemon-L] Virus ransomware vbaru dg attachment .zip
> > Untuk yang kena virus ransomware varian baru ini (Filecoder.EM -> > > ESET) saya sudah cari key buat decript .vvv dan sampai sekarang blm > > menemukan solusinya. > AV local di PC/laptop lolos juga pak sukardy dan Slamet ? dan jika harus > terhubung ke Inet apakah tidak tertangkap juga oleh Firewall gateway (IPS & AV) ? Disini saya menggunakan 2 AV yaitu ESET NOD32 dan SYMANTEC, Untuk yang ESET NOD32 saat kita send/receive email di Ms. Outlook, File yang mengandung virus tersebut langsung didelete oleh ESET dan Email tersebut dipindah ke folder Infected Item (dibuat sendiri oleh ESET). Sedangkan yang menggunakan SYMANTEC lolos saja dan akhirnya kena ke user. Meski virusnya sudah dihilangkan, tapi Data/File tidak bisa diselamatkan saat ini karena terenkripsi. Hiks Semoga ada yang baik hati share key-nya. Regards, Sukardy -- --[MDaemon-L] Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com Versi terakhir MD 15.5.2, SP 4.5.1, BES 2.0.2, OC 3.5.1, SG 3.0.3
[MDaemon-L] Virus ransomware vbaru dg attachment .zip
Dear Pak Syafril, Salah satu user sy kena virus ransomware yg berasal dari attachment yg berekstensi .zip , Sepertinya anti virus security plus masih tembus pak. File yang di encrypt extensi-nya ada tambahan .vvv Mohon pencerahannya terkait issue ini ? Best Regards, Slamet Raharjo IT Dept. -- --[MDaemon-L] Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com Versi terakhir MD 15.5.2, SP 4.5.1, BES 2.0.2, OC 3.5.1, SG 3.0.3
[MDaemon-L] Virus ransomware vbaru dg attachment .zip
> > Pak jadi sebaiknya file zip/rar jangan dimasukkan dalam exclusion list ? > > di MD saya file zip/rar ada dalam exclusion list > Riskan kalau .zip masuk kedalam exclusion list, sebaiknya biarkan masuk ke quarantine queue dulu > dan setelah diperiksa secara manual bisa di approve. Salah satu user saya juga kena virus ransomware, dan semua file dirubah jadi .vvv. Saya lihat didalam folder .zip tersebut terdapat satu file lagi yaitu .js. Jadi untuk saat ini saya block extension .js terlebih dahulu di MDAEMON supaya user lain tidak menerima attachment .js tersebut lg. Untuk yang kena virus ransomware varian baru ini (Filecoder.EM -> ESET) saya sudah cari key buat decript .vvv dan sampai sekarang blm menemukan solusinya. Info dari pembuat virusnya katanya dienkripsi dengan RSA 4096. Hati-hati juga dengan Mapping folder ke File Server. Itu juga bakal dirubah ke .vvv. Cabut saja koneksi LAN/Internet dari PC yang terinfeksi karena untuk enkripsi, dia membutuhkan koneksi internet ke Server Pembuat (DNS di PC tersebut dirubah, check saja IPCONFIG /ALL lewat CMD). Jika sudah ada yg menemukan solusinya mohon bantuan share juga ya. Terima Kasih. Regards, Sukardy -- --[MDaemon-L] Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com Versi terakhir MD 15.5.2, SP 4.5.1, BES 2.0.2, OC 3.5.1, SG 3.0.3
[MDaemon-L] Virus ransomware vbaru dg attachment .zip
On 2015-12-12 16:40, Slamet Raharjo wrote: > Salah satu user sy kena virus ransomware yg berasal dari attachment yg > berekstensi .zip , > Sepertinya anti virus security plus masih tembus pak. Periksa di quarantine exclusion, apakah extension zip masuk dalam daftar? Atau sender/recipient masuk dalam daftar exclusion http://mdaemon.dutaint.co.id/mdaemon/15.5/index.html?antivirus.htm klik "Configure Exclusions" > Mohon pencerahannya terkait issue ini ? Kalau tidak ada bypass (exclusion) maka MD 15.5.x akan deteksi sampai 10 level untuk zip/rar/7z, sehingga KAV engine akan bisa mendeteksinya. Dengan perkataan lain, KAV bisa mendeteksi ransomware asalkan file tersebut tidak di compress atau di compress 1 level; jika lebih dari 2 level KAV perlu bantuan decompression dari MDaemon Content Filtering Engine., Tetapi kalau versi MD dibawah 15.5.x hanya deteksi sekitar 5 level, sementara dibawah 14.x akan deteksi 1 level dan hanya zip saja (tidak untuk rar/7z). -- syafril --- Syafril Hermansyah Running MDaemon 15.5.3-64 Beta C, SP 4.5.1-64 Apa yg Anda sukai pd diri org-2x lain pd umumnya juga adl yg mrk sukai pd diri Anda --Lord Chesterfield, 1694-1773 -- --[MDaemon-L] Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com Versi terakhir MD 15.5.2, SP 4.5.1, BES 2.0.2, OC 3.5.1, SG 3.0.3
