BOMBERuss

Исследователи подразделения Microsoft Malware Protection Center сообщили о появлении нового представителя семейства вымогателей Troldesh, также известного как Encoder.858 или Shade. Как отмечают специалисты, новый вариант претерпел ряд изменений, самым крупным из которых является взаимодействие с анонимной сетью Tor.

Впервые вымогательское ПО Troldesh было замечено ИБ-исследователями в начале 2015 года. Оказавшись на системе троян создает файлы %APPDATA%\windows\csrss.exe (копия вредоносной программы) и %TEMP%\state.tmp (временный файл, используемый для шифрования). Troldesh изменяет некоторые записи в системном реестре с целью запуска при каждом включении компьютера.

Шифровальщик отображает на экране требование о выкупе за восстановление файлов на русском и английском языках, что может говорить о причастности к его созданию русскоязычных вирусописателей.

Приложение CryptoDrop пока работает только на компьютерах под управлением Windows и приглядывает за файловой системой, замечая признаки активности различных вымогательских программ. Предотвратить работу шифровальщика, пока тот еще не принялся за дело, в большинстве случаев невозможно, но вредоноса можно вовремя остановить. Исследователи пишут, что им удалось сократить потерю данных до 0,2%, то есть CryptoDrop замечает, что происходит нечто подозрительное, и блокирует малварь раньше, чем та успевает нанести файловой системе сколь-нибудь значительный урон. Для этого CryptoDrop ищет следующие признаки вредоносной активности:

-Неожиданное и массовое изменение типов файлов.

-Непохожесть: зашифрованные файлы совершенно непохожи на оригиналы, представленные в открытом виде. В конце концов, в этом вся суть шифрования.

-Энтропия: работа шифровальщика неизменно ведет к увеличению энтропии.

-Вторичные признаки: помимо перечисленных пунктов, исследователи выработали ряд не менее полезных вторичных индикаторов. К ним относятся удаление большого количества файлов разом, «эффект воронки», затрагивающий типы файлов (файлы, обработанные малварью получают одинаковое расширение) и так далее.

Архитектура CryptoDrop:

Такой подход показывает неплохие результаты. Так, в ходе эксперимента шифровальщики запускали на компьютере, содержащем порядка 5100 разных файлов. CryptoDrop действительно распознал вредоносную активность на ранней стадии: в среднем приложение замечало криптовымогателя после того, как он зашифровал 10 файлов. То есть потери составляют 0,2% от всех данных в системе.

Эксперты тестировали свою разработку на 492 разновидностях малвари и в итоге добились практически стопроцентного распознавания инфекций. Приведенная ниже таблица демонстрирует результаты тестов различных семейств вымогателей.

CryptoDrop — это не первая попытка создать «вакцину» против таких угроз. Весной текущего года свою «прививку» против шифровальщиков представили разработчики Bitdefender. Также независимый исследователь Шон Уильямс (Sean Williams) своими силами работает над проектом Cryptostalker. Его утилита призвана защитить от шифровальщиков Linux системы. Пока Cryptostalker находится на ранней стадии разработки, но со временем Уильмс планирует портировать свой инструмент на Windows и Mac.

Создатели CryptoDrop не обошли коллег вниманием, они честно пишут, что их решение подвержено тем же проблемам, что и Cryptostalker Уильямса:

«CryptoDrop не может определить, были ли изменения, которые он наблюдает, намеренными. К примеру, он не сумеет распознать, шифровальщик или сам пользователь зашифровал пакет документов. В результате мы полагаем, что такие программы как GPG и PGP, приложения для компрессии данных и прочие приложения, производящие трансформации такого рода, могут вызвать ложноположительное срабатывание CryptoDrop, если они будут применены к большому количеству файлов».

С подробным докладом исследователей, который был представлен на конференции, можно ознакомиться здесь (PDF). Скачать CryptoDrop, к сожалению, пока невозможно: в данный момент разработчики заняты поисками партнеров для коммерциализации своего решения.

В четверг, 7 июля, президент РФ Владимир Путин подписал «антитеррористический пакет» законов, обязывающий телекоммуникационные компании хранить и передавать по требованию ФСБ данные о телефонных разговорах и сообщениях пользователей.

Поскольку многие платформы для общения используют шифрование, для того чтобы получить доступ к содержимому разговора или переписки, спецслужбе понадобятся ключи шифрования. Согласно предписанию президента, на получение криптографических ключей ФСБ отводится срок в две недели. Каким образом спецслужба должна их добыть, не уточняется.

Разработанный депутатом Госдумы Ириной Яровой и сенатором Виктором Озеровым «Антитеррористический пакет» законов обязывает операторов связи в течение шести месяцев хранить данные о разговорах, переписке и пересылаемых файлах пользователей. По словам министра связи и массовых коммуникаций РФ Николая Никифорова, документ разрабатывался без учета позиции Минкомсвязи, а правоприменение некоторых его норм «является затруднительным».

Как заявили операторы связи, выполнение требований «антитеррористического пакета» приведет к росту цен на их услуги, однако Яровая заверила, что этого не произойдет. 

Microsoft начала демонстрацию полноэкранных баннеров на экранах пользователей «старых» версий Windows с предложением обновиться до Windows 10. До 29 июля включительно владельцы компьютеров с установленной Windows 7 (SP1) и Windows 8.1 могут перейти на «десятку» совершенно бесплатно. Другими словами, если на вашем PC или Mac установлена Windows 7 или 8.1 и вы не обновитесь до указанной даты, то решив перейти на Windows 10 в дальнейшем, Вам придется заплатить за лицензию – 7900 рублей за версию Home. Однако, похоже, найден способ обойти это ограничение.

С одной стороны, решение не получать обновление до Windows 10, а остаться на текущей версии операционной системы для кого-то может быть вполне взвешенным и оправданным. С другой — можно представить ситуацию, когда можно и пожалеть о том, что не обновился бесплатно. Вдруг, в какой-то момент появятся игры, рассчитанные только на DirectX 12, которая не поддерживается в той же Windows 7.

Обозреватели ресурса Remontka обнаружили способ бесплатного обновления до Windows 10 даже после указанной даты. Сообщается, что он полностью рабочий и доступен для пользователей любых компьютеров.

Как бесплатно установить Windows 10 после 29 июля:

Шаг 1: Обновите Windows 7 (SP1) или Windows 8.1 на Windows 10.

Шаг 3: Выполните откат на старую версию операционной системы.

При бесплатном обновлении активация Windows 10 закрепляется за текущим оборудованием (digital entitlement). После осуществления «прикрепления» возможна чистая установка «десятки» с USB-флешки на этом же компьютере или ноутбуке, в том числе без ввода ключа (нужно нажать «У меня нет ключа» в программе установки). В конце произойдет автоматическая активация при подключении к Интернету.

По словам авторов способа, сведений о том, что указанная привязка ограничена по времени, нет. Таким образом, если выполнить цикл «Обновление» — «Откат», то, когда потребуется, пользователь всегда сможет установить Windows 10 в активированной редакции (Домашняя, Профессиональная) на этот же компьютер в любое время, даже после 29 июля.

Поскольку откат с Windows 10 до предыдущих ОС встроенными средствами системы не всегда работает гладко, более предпочтительным вариантом (или как средство для подстраховки) может быть либо создание полной резервной копии текущей версии Windows, либо временное клонирование системного диска на другой диск с последующим восстановлением.

Telegram вышел на рынок гораздо позже WhatsApp, Viber, WeChat и других. Однако за короткое время приобрел репутацию самого безопасного мессенджера. Разработка основателя соцсети «ВКонтакте» Павла Дурова была представлена под лозунгом «Вернем себе право на приватность».

В основе Telegram лежит технология шифрования переписки MTProto, которую разработал брат Павла Дурова, Николай. Вскоре после запуска сервиса Дуров устроил конкурс на взлом защиты мессенджера. Участникам Хакатона предлагалось достать переписки Дурова в «секретном чате» за $200 000. Но в рамках конкурса никто этого сделать не смог.

Эксперты однако скептически настроены к Telegram, в основном из-за того, что шифрование переписки происходит только в чатах и шифрование по умолчанию отключено. Главный технолог Американского союза гражданских свобод Кристофер Согоян заявил, что позиционирование мессенджера с точки зрения безопасности неоправданно, поскольку компании должны думать о защите по умолчанию, а не заставлять пользователей менять настройки клиента.

Шифрование — ключевая функция безопасности мессенджеров, при этом самым надежным считается сквозное. Его суть заключается в том, что ключи для расшифровки сообщений хранятся на устройствах пользователей, а не на внешних серверах. Соответственно, никто, кроме пользователей, не может получить доступ к переписке. Этот формат шифрования используется по умолчанию в WhatsApp, Viber, iMessage и других сервисах.

Закрытость для независимого аудита делает MTProto потенциально уязвимым для будущих атак, считают эксперты. Они утверждают, что конкурсы, которые проводил Дуров, делались исключительно для пиара, так как эти мероприятия не доказывают защищенности сервиса и вводят в заблуждение пользователей.

Так как Telegram, как и многие другие мессенджеры, используют для авторизации отправку сообщений на номер телефона, получить доступ к аккаунту и переписке можно даже не взламывая MTProto. Дело в том, что в основе такого способа передачи информации лежит технология сорокалетней давности Signalling System No.7 (SS7).

Спецслужбы могут перехватить сообщение с кодом и получить доступ к любому аккаунту. Ранее это продемонстрировали российские, а затем немецкие хакеры. А благодаря тому, что Telegram хранит всю историю обычных сообщений, злоумышленникам это только на руку.

Уязвимость безопасности SS7 позволяет, зная номер жертвы, без труда инициировать процедуру восстановления доступа к аккаунту, после чего перехватить сообщение и установить свой собственный пароль. Эта уязвимость делает шифрование Telegram, WhatsApp и Viber бесполезным и открывает для успешных атак любой привязанный к номеру телефона аккаунт.