Поиск |
|
Форма входа |
|
Меню сайта |
|
Парнеры сайта |
|
Статистика |
|
|
Приветствую Вас, Гость · RSS |
21.12.2024, 19:53 |
|
О хакерах и других опасностях в Интернете
| |
Ermolay14 | Дата: Суббота, 20.05.2017, 20:30 | Сообщение # 1 |
Генералиссимус
Группа: Проверенные
Сообщений: 3572
Статус: Offline
| Всё о хакерах и их деятельности
|
|
| |
viasiljev | Дата: Среда, 28.06.2017, 00:07 | Сообщение # 2 |
Генералиссимус
Группа: Пользователи
Сообщений: 3206
Статус: Offline
| Dr.Web сообщил о новом шифровальщике, атакующем компании России и Украины
«Доктор Веб» сообщила о о новой эпидемии шифровальщика, которой подверглись нефтяные, телекоммуникационные и финансовые компании России и Украины. Как рассказали CNews в компании, новый энкодер детектируется продуктами Dr.Web.
По имеющейся у специалистов Dr.Web информации, троянец распространяется самостоятельно, как и нашумевший WannaCry. Точных данных о том, используется ли тот же самый механизм распространения, пока нет.
В настоящее время аналитики исследуют нового троянца. Некоторые источники в СМИ проводят параллели с вымогателем Petya (детектируется Dr.Web в частности как Trojan.Ransom.369) в связи с внешними проявлениями работы вымогателя, однако способ распространения новой угрозы отличается от использовавшейся Petya стандартной схемы.
Сегодня, 27 июня, в 16:30 по московскому времени, этот шифровальщик был добавлен в вирусные базы Dr.Web как Trojan.Encoder.12544.
«Доктор Веб» призывает всех пользователей быть внимательными и не открывать подозрительные письма (эта мера необходима, но не достаточна). Следует также создавать резервные копии критически важных данных и устанавливать все обновления безопасности для ПО. Наличие антивируса в системе также обязательно.
|
|
| |
Moder | Дата: Среда, 28.06.2017, 17:40 | Сообщение # 3 |
Генералиссимус
Группа: Администраторы
Сообщений: 1282
Статус: Offline
| Найден простой способ борьбы против нового вируса Petya.C
В минувший вторник, 27 июня, в России и Украине огромное количество компаний подверглись хакерской атаке. Компьютеры «Башнефти», «Роснефти», киевского метро, аэропорта «Борисполь», украинских энергокомпаний, банков, крупных магазинов, мобильных операторов и многих других были заражены новой модификацией вируса-вымогателя Petya. Специалисты компании Symantec, специализирующейся на разработке программного обеспечения в области информационной безопасности, нашли простой способ защиты от этого вируса.
Мы уже писали, как могут защитить себя от вируса пользователи Windows 7 и Windows 10. Сотрудники Symantec выяснили, что при заражении компьютера вирус ищет файл, расположенный по адресу «C:\Windows\perfc». Если такого файла нет, то вирус начинает шифрование данных, а если есть — просто прекращает свою работу.
Таким образом, чтобы защититься от вируса Petya пользователю достаточно просто создать соответствующий файл на своём компьютере. Для этого зайдите в папку «Windows» на системном диске «(C:)», нажмите в любом пустом месте правой кнопкой мыши, а затем в появившемся контекстном окне выберите пункт «Создать» и создайте файл с именем «perfc» без расширения. Для этой операции вам потребуются права администратора. Файл также можно создать в любой другой папке, а затем скопировать его в «Windows».
Ко всему прочему, представители Microsoft заявили, что встроенный в Windows «Защитник Windows» способен оградить пользователей от нового вируса, так как он использует некоторые уязвимости, которые ранее использовал вирус WannaCry. Причём компьютеры с Windows 10 и всеми последними обновлениями заражению не подвержены.
|
|
| |
Ermolay14 | Дата: Пятница, 30.06.2017, 12:22 | Сообщение # 4 |
Генералиссимус
Группа: Проверенные
Сообщений: 3572
Статус: Offline
| Эксперты ломают голову над атакой NotPetya
Атаки вредоносного ПО NotPetya (также известного как ExPetr, NyetYa, PetrWrap и GoldenEye), инфицировавшего за два дня тысячи компьютеров во многих странах мира, не только серьезно повлияли на работу почти 140 различных компаний и организаций, но и поставили в тупик специалистов по кибербезопасности. Они не могут понять целей организаторов этих атак. Формально NotPetya действует как зловред-вымогатель: шифруя файлы на инфицированных устройствах, он требует выкуп в сумме 300 долларов в криптовалюте биткоин.
Однако киберпреступники использовали один-единственный биткоин-кошелек и один-единственный адрес электронной почты, по которому жертвы могли связаться с ними. После его блокировки связь с вымогателями оказалась невозможной, а потому дальнейшее распространение зловреда не имеет для них никакого финансового смысла. «Организаторы атаки – превосходные программисты, но никудышные вымогатели», – заметил по этому поводу исследователь компании Gigamon Кевин Мэджи. Его слова подтверждаются и тем, что за два дня атаки биткоин-кошелек хакеров пополнился менее чем на 10 тысяч долларов.
Однако другие эксперты отмечают, что, возможно, вымогательство и не было целью атакующих. В частности, специалисты «Лаборатории Касперского» обращают внимание на то, что восстановление зашифрованных NotPetya файлов невозможно в принципе. Для расшифровки заблокированных компьютеров требуется генерируемый при запуске зловреда уникальный идентификатор каждой из жертв, ассоциированный с ключом шифрования. В случае с NotPetya его нет, а потому рассчитывать на восстановление данных даже после уплаты выкупа не приходится. И очевидно, что организаторам атаки это известно лучше других. Следовательно, их целью было вовсе не обогащение. Но что же?
Ряд исследователей предположили, что атаки NotPetya – скорее попытка посеять панику и дестабилизировать работу предприятий и организаций-жертв. В этом случае зловред можно считать кибероружием. Сильнее всего от его атак пострадала Украина, что, разумеется, послужило поводом для спекуляций по поводу всемогущих «российских хакеров». Но следует иметь в виду, что и Россия попала в «первую пятерку» наиболее пострадавших стран, а среди компаний, попавших под удар NotPetya, есть, например, и «Роснефть».
|
|
| |
TV-sat-user | Дата: Суббота, 01.07.2017, 18:49 | Сообщение # 5 |
Генералиссимус
Группа: Пользователи
Сообщений: 2663
Статус: Offline
| Телеметрия Microsoft показала масштабы распространения Petya
На уходящей неделе мир в целом и Европа в частности пострадали от вредоносного приложения Petya. После атаки WannaCry в начале мая к таким событиям приковано особо пристальное внимание и пресса широко освещала его, в том числе телевидение.
Масштаб атаки пока остаётся неизвестным, но Microsoft поможет прояснить ситуацию. Телеметрия её операционных систем даёт возможность отследить уровни распространения приложения.
Эта атака является более сложной по сравнению с предыдущей, но несмотря на это программа пробралась менее чем на 20 тысяч компьютеров. Больше всех пострадала Украина, на которую пришлось 70% заражений. Большинство пострадавших компьютеров работают на Windows 7.
Метод распространения приложения показан на диаграмме, где синими прямоугольниками выделены механизмы системы Windows 10, способные обеспечить защиту. Microsoft делает акцент на том, что сетевые администраторы с устаревшими операционными системами, такими как Windows 7, не обладают преимуществами современного аппаратного и программного обеспечения. Из-за этого они должны использовать усиленные конфигурации безопасности, способные замедлить распространение подобных вредоносных приложений. Необходимо блокировать или ограничивать доступ определённых IP-адресов к файлообменным протоколам SMB и блокировать удалённое выполнение кода через PSEXEC.
Распространение Petya специально ограничено. При запуске приложение получает определённое время для распространения, прежде чем система будет перезагружена. По умолчанию время составляет 60 минут. После перезагрузки программа не может быть запущена снова.
Petya пытается внести изменения в главную загрузочную запись и перезаписывает два сектора в разделе C:, уничтожая Volume Boot Record этого раздела. Зачем это делается, неизвестно; к тому же код занимает в 10 раз больше памяти, чем нужно.
Если Petya обнаруживает на компьютере антивирус Касперского или внести изменения в главную загрузочную запись не удаётся, программа уничтожает десять первых секторов на жёстком диске. Если обнаруживается антивирус Symantec, приложение не использует SMB.
Иногда данные восстановить всё же удаётся. Например, когда компьютер обладает Secure Boot и UEFI. В этом случае можно попытаться выполнить восстановление при загрузке. Если UEFI нет, но установлен антивирус Касперского и загрузка невозможна, можно загрузить компьютер с установочного носителя, открыть консоль восстановления и выполнить следующие команды:
bootrec /fixmbr
bootrec /fixboot
Если же показывается записка с требованием выкупа, восстановление невозможно. В таком случае лучше выполнить чистую установку системы и попытаться восстановить файлы при помощи специальных утилит. Преимущество Petya над WannaCry заключается в использовании двух эксплоитов для распространения, а изменение загрузочного сектора приводит к более тяжёлым повреждениям системы.
|
|
| |
Robor | Дата: Суббота, 19.08.2017, 21:01 | Сообщение # 6 |
Генералиссимус
Группа: Пользователи
Сообщений: 16528
Статус: Offline
| Locky вернулся
Сразу несколько компаний и исследователей, специализирующихся в области кибербезопасности, сообщили о массированных атаках шифровальщика Locky. Этот опасный зловред стал самым популярным у киберпреступников вымогательским ПО в 2016 году, однако в начале нынешнего года практически исчез с радаров. Высказывались предположения, что его создатели могли быть арестованы правоохранительными органами. Но если это и так, то у них определенно нашлись «наследники». Всего за одну неделю в августе обнаружились сразу две новых версии Locky.
О первой из них сообщил 9 августа исследователь под ником Racco42. Она получила название Diablo6 – по имени расширения .diablo6, присваиваемого программой зашифрованным файлам. За расшифровку заблокированных файлов зловред требует 49 биткоинов (порядка 1600 долларов). А уже 16 августа аналитики Malwarebytes нашли еще одну версию Locky, названную Lukitus – также по расширению зашифрованных файлов. Обе разновидности распространяются в спам-сообщениях, число которых позволяет предположить использование ботнета. Так, защитными решениями Comodo Group только 9-11 августа было обнаружено свыше 62 тысяч писем, содержавших Diablo6 во вложениях. Отправлены они были более чем с 11600 различных IP-адресов в 133 странах мира. Исследователи Malwarebytes также сообщили, что и Diablo6, и Lukitus распространяются через ботнет Necurs.
Статистики распространения Lukitus пока нет, что же касается Diablo6, то чаще всего сообщения, содержавшие этот зловред, отправлялись, по данным Fortinet, пользователям в США (37 процентов всех случаев) и Австрии (36 процентов). Далее следуют Великобритания, Дания и Индия. Пользователям следует проявить максимальную осторожность в отношении писем от неизвестных отправителей, поскольку средств расшифровки заблокированных Locky файлов по-прежнему не существует.
|
|
| |
Bfm | Дата: Среда, 30.08.2017, 22:53 | Сообщение # 7 |
Генералиссимус
Группа: Пользователи
Сообщений: 2692
Статус: Offline
| «Игру престолов» используют для распространения вредоносного ПО
Компания Proofpoint сообщила о массовой рассылке фишинговых сообщений, спекулирующих на недавней хакерской атаке, которой подвергся канал HBO. Тогда хакерам удалось похитить порядка 1,5 терабайта данных канала, включая конфиденциальные документы, а также сценарии и еще не вышедшие в эфир эпизоды нескольких сериалов, в том числе и «Игры престолов». Организаторы нынешней рассылки, судя по всему, не имеют отношения к атаке на сети канала, однако не прочь сыграть на ней – а заодно и на любопытстве нетерпеливых поклонников.
Рассылаемые письма имеют заголовок «Хочешь увидеть «Игру престолов» заранее?» и содержат вложенный файл game of thrones preview.docx. При его открытии исполняется вредоносный код, и компьютер инфицируется троянцем удаленного доступа (RAT) 9002. Во всей этой истории вызывает удивление разве что нерасторопность хакеров. Седьмой сезон «Игры престолов» завершился вчера, а съемки восьмого еще не начались, поэтому увидеть хоть что-то заранее сейчас точно невозможно. Впрочем, первые упоминания о вредоносной рассылке появились еще 25 августа, а потому некоторое количество поклонников все же могли попасться на уловку хакеров. Специалисты Proofpoint уточняют, что стиль атаки и характер используемых инструментов могут свидетельствовать о том, что за операцией стоит китайская хакерская группировка Deputy Dog (также известная как APT17), действующая, предположительно, при поддержке властей КНР.
|
|
| |
Bfm | Дата: Среда, 30.08.2017, 22:54 | Сообщение # 8 |
Генералиссимус
Группа: Пользователи
Сообщений: 2692
Статус: Offline
| Ликвидирован опасный Android-ботнет
Совместная работа специалистов нескольких технологических компаний позволила оперативно ликвидировать набиравший силу Android-ботнет WireX. Впервые специалисты по кибербезопасности зафиксировали его активность 2 августа. На протяжении последующих недель счет объединенных в него устройств пошел уже на десятки тысяч, а общее число инфицированных устройств эксперты оценивают в несколько сотен тысяч. Вредоносное ПО было замаскировано в легитимных приложениях (чаще всего – медиаплейерах и рингтонах), которые исправно выполняли свои основные функции. Но одновременно инфицированные устройства участвовали в организованных ботнетом DDoS-атаках, бомбардируя выбранные киберпреступниками сайты запросами HTTP GET до тех пор, пока те не переставали отвечать на запросы.
Масштабы этих атак заставили объединить усилия представителей нескольких компаний, включая Akamai. Победа над ботнетом «была бы невозможна без оперативного взаимодействия компаний, работающих в области расследования киберугроз, предотвращения DDoS-атак, и самих жертв этих атак, – говорится в ее заявлении. – Каждый из участников этого взаимодействия сыграл свою роль, раскрыв ту или иную деталь большой головоломки». Особое беспокойство специалистов вызывает тот факт, что вредоносные приложения распространялись через флагманский магазин Google Play Store. В настоящий момент из него удалены уже порядка 300 приложений, ассоциированных с WireX. Это говорит о том, что, несмотря на все принимаемые меры, защита Google Play от проникновения вредоносного ПО по-прежнему остается не слишком эффективной.
|
|
| |
Bfm | Дата: Среда, 25.10.2017, 20:33 | Сообщение # 9 |
Генералиссимус
Группа: Пользователи
Сообщений: 2692
Статус: Offline
| Вирус-шифратор Diskcoder.D (BadRabbit) атаковал Россию и Украину
24 октября российские СМИ, а также компании и государственные учреждения Украины подверглись атаке шифратора. По данным открытых источников, в числе пострадавших Киевский метрополитен, аэропорт Одессы, Министерство инфраструктуры Украины, редакции «Интерфакса» и «Фонтанки».
По данным вирусной лаборатории ESET, в атаке на Киевский метрополитен использовалось вредоносное ПО Diskcoder.D – новая модификация шифратора, известного как Petya. Предыдущая версия Diskcoder была задействована в кибератаке в июне 2017 года.
СПРАВКА
Система телеметрии ESET в настоящее время фиксирует сотни атак Diskcoder.D. Большинство срабатываний антивирусных продуктов ESET приходится на Россию и Украину, затронуты также Турция, Болгария и некоторые другие страны.
Специалисты ESET работают над анализом Diskcoder.D. По предварительным данным, вредоносное ПО использует инструмент Mimikatz для извлечения учетных данных в зараженных системах. Кроме того, в нем предусмотрен жестко закодированный список учетных данных.
|
|
| |
|
|