С тегами:

вирус

Любые посты за всё время, сначала свежие, с любым рейтингом
Найти посты
сбросить
загрузка...
73
Ваш компьютер атакован опаснейшим вирусом
55 Комментариев  

По роду своей деятельности очень часто общаюсь с бухгалтерами различных фирм. Последний год участились такие случаи: бухгалтер получает письмо с вложением (то ли pdf, то ли doc), а там типа письмо из налоговой. Гербовая печать, бланк - все как полагается. Только лишь бухгалтер откроет это письмо, как во всей локальной сети происходит шифрование баз данных "1С". Причем шифрованию подвергаются и архивы в том числе. Единственное, что остается - это открытые в момент шифрования базы. И то есть предположение, что как только ее закроешь - она так же станет неработоспособной. На компьютере оставляется файл с указанием сколько и куда нужно заплатить. Обычно это Qiwi или биткоин.

Ваш компьютер атакован опаснейшим вирусом не мое, шифровальщик, вирус, длиннопост

Поначалу вроде бы шифровалось абсолютно все, до чего мог дотянуться вирус, но последнее время заметил, что атаке подвергаются только базы "1С". Если не делался архив в облако или на внешние накопители - дело труба. Никто из моих знакомых не спас информацию.


И вот сейчас читаю такую статистику ...

Ваш компьютер атакован опаснейшим вирусом не мое, шифровальщик, вирус, длиннопост
Показать полностью 1
43
Браво, МТС!
25 Комментариев  

На волне постов про МТС.

Я, как один из клиентов этого оператора связи, часто с ними ругался.

Сами подключали гудки, всякие оповещения, какие-то ещё не понятные услуги, да и просто так снимали бабло. Ну чё я объясняю, все сами всё знают.

Но вот вспомнился случай один. МТС начал жрать бабки, каждый день по "столько то" рублей. Через сайт и танцев с бубном просмотрел историю списаний денег.

И там в списке периодически проскакивала графа "USER_84732....", точно не помню, и списание -37 рублей.

Ну ладно. Звоню в МТС. Через пол часа и танцев с бубном дозваниваюсь до оператора.

Объясняю ситуацию:

Я-  Так и так, куда деньги делись

МТС-  Минуточку. Деньги списаны за подключенные платные услуги в виде контента.

Я-  Ничего я не подключал. Может вы сами, опять?

МТС-  Нет нет, что вы!

Я -  А кто ?!

МТС-  Ну вы наверно заходили на какие-то сайты и там вирус, само подключилось!

Я-  Отлично! И что делать?

МТС-  Ну я вам отключу сейчас эти услуги.

Я-  Ну спасибочки. А что дальше? В интернет вообще не заходить?

МТС-  *Всякий бред и непонятная мне дичь*


Это я к чему всё. Более полугода назад поменял оператора, у которого просто напросто отсутствуют всякие услуги. Какой говорить не буду, за рекламу примите.

И знаете что? Ни разу ни списывали деньги хрен пойми за что.

Мораль? Этот МТС просто в кооперативе со всеми этими, так сказать, вирусами. А как дело доходит до разговор, так сразу "Это не мы! Вы что??!!"

Избавился от этого "вируса" и только рад. Нервы дороже.

34
Вирусы, трояны, черви, трефы...
0 Комментариев в Информационная безопасность  
Вирусы, трояны, черви, трефы...
41
Финансовая кампания TwoBee: Как украсть миллионы простым редактированием файла
2 Комментария в Информационная безопасность  

Для того, чтобы украсть более 200 миллионов рублей, киберпреступникам не обязательно заражать банкоматы, системы банк-клиент или взламывать платежные системы. Иногда они пользуются более простыми, но оттого не менее действенными методами. Как оказалось, даже в 2016 году можно украсть денежный перевод, просто отредактировав текстовый файл при помощи троянской программы. И не один раз, а проделать этот трюк с целым рядом серьезных организаций.


В конце 2016 года «Лаборатория Касперского» обнаружила зловред, подменяющий реквизиты в платежных поручениях. Такой подход нельзя назвать новым, например, несколько лет назад платежные поручения подменял троянец Carberp. Сейчас, из-за появления функции шифрования документов в большинстве финансовых систем, такая техника уже уступила место другим, более сложным методам атак.


Целью атакующих были типовые текстовые файлы, используемые для обмена данными между бухгалтерскими и банковскими системами. По умолчанию для этих файлов заданы стандартные имена, что позволяет легко найти их. Информация о денежных переводах попадает в эти файлы перед тем, как деньги уйдут по указанным реквизитам, и здесь у атакующих появляется возможность изменить получателя платежа. Благо, текстовый формат выгрузки данных прост, не защищен и может быть изменен зловредом.

Финансовая кампания TwoBee: Как украсть миллионы простым редактированием файла вирус, TwoBee, Касперский, кража, редактирование файла, длиннопост
Показать полностью 7
637
Герпес: вирусная рулетка
169 Комментариев  

Сегодня свой рассказ я посвящу вирусу герпеса. По телевизору часто мы видим рекламу препаратов для лечения, когда речь заходит о ЗППП - мы вспоминаем о герпесе наряду с вичом и сифилисом. В общем, вещь это довольно распространённая. Ему свойственно почти тотальное инфицирование - около 95% населения!

Герпес: вирусная рулетка герпес, вирус, Медицина, познавательно, зппп, ветрянка, длиннопост

Конечно же, бм ругался на комикс, но я хочу, чтоб он здесь повисел)

Давайте разбираться теперь:)


Виновник сего торжества - Вирус простого герпеса (ВПГ). Относится к Семейству Herpesviridae. Род Simplexvirus. Современной науке известно аж 8 видов вируса герпеса, а именно:

ВПГ-1

ВПГ-2

Вирус ветряной оспы

Вирус Эпштейна-Барр

Цитомегаловирус

представители 6,7,8 видов до конца не изучены, про них почти ничего не могу сказать.

Показать полностью 7
76
Cappsule – Виртуальная среда для анализа вирусов.
4 Комментария в Информационная безопасность  
Cappsule – Виртуальная среда для анализа вирусов. Cappsule, hack tools, вирус, cryptoworld, длиннопост

Введение


В основе работы почти всех применяемых сегодня песочниц для изоляции приложений, будь то песочницы Firejail, песочницы iOS, Android или даже системы Docker, лежит один простой принцип: запереть приложение в его каталоге и отрезать ему доступ к информации об остальной части системы и ее API. Как это реализуется — с помощью chroot, пространств имен и seccomp-bpf, как в большинстве песочниц Linux, или с помощью запуска каждого приложения с правaми созданного специально для него юзера и своей собственной системы ограничения прав, как в Android, — неважно. А важно то, что в каждом из этих случаев за изоляцию приложений отвечает ядро ОС, общее для всех них.



Благодаря использованию встроенных в ядро механизмов изоляции такие песочницы очень дешевы в создании и обслуживании, они не приводят к существенному увеличению расхода оперативной памяти, не съедают место на диске и вообще отличаются высокой эффективностью. Однако платить, как известно, приходится за все, и в данном случае расплата бьет по тому самому месту, которое песочницы и призваны охранять, — безопасности основной системы.



Запуская софт в пeсочнице, мы рассчитываем оградить его от других песочниц и операционной системы, просто для того, чтобы взлом этой софтины или наличие в ней малвари не привели к компрометации всех остальных данных. И в большинстве случаев это работает, но ровно до тех пор, пока взломщик не найдет способ из нее выбраться. А способ этот в грамотно спроектированной песочнице обычно один — уязвимость в ядре ОС. Почти вся малвaрь для Android, способная получить права root, и большинство джейлбрейков iOS эксплуатируют дыры в ядре. А ядро настольного Linux почти ничем не отличается от ядра того же Android. И дыры в нем находят хоть и чуть реже (благодаря меньшему количеству блобов от производителей железа), но регулярно.



Разработчикам песочниц и операционных систем, запускающих софт в песочницах, это хорошо известно, как и последствия. Поэтому Apple и Google, все операционки которых используют идею песочниц, борются с этой угрозой при помощи апдейтов: появилась информация о дыре — быстро ее исправляем и выкатываем обновление. У Apple это получается хорошо, у Google плoхо, но в любом случае, если информации о дыре нет, не будет исправления. И если на твоем смартфоне оно не так уж и важно, то в Linux-системе, где хранится твой Bitcoin-кошелек и куча другой конфиденциальной информации, взлом системы через запущенный в песочнице браузер может привести к очень печальным последствиям.



Один из способов борьбы с 0day-уязвимостями в ядре — виртуальная машина, такая как VirtualBox, QEMU или Parallels. Запускаем небезопасное приложение внутри виртуальной машины вместо классической песочницы, и вуаля — взлом самого приложения и возможный взлом ядра никак не затрагивают основную ОС. В таком подходе уязвимым местом оказывается не ядро, а гипервизор и код, эмулирующий различные железные подсистемы: сетевую карту, USB- и SATA-контроллеры. И еcли посмотреть на статистику уязвимостей того же VirtualBox, то становится ясно, что в целом критических уязвимостей здeсь намного меньше, чем, например, в ядре Linux. Но что более интереcно: почти все из них находят именно в коде эмуляции железа.



И здесь мы подходим к самoму интересному вопросу: а можно ли создать настолько простую виртуальную машину (в идеале вообще без кода эмуляции железа), чтобы она была практически неуязвима, но тем не менее способна запускать стандартный пользовательский софт?

Виртуалка без эмуляции


Несмотря на то что Cappsule использует в своей работе механизмы виртуализации Intel VT-x и EPT, назвать ее полноценной виртуальнoй машиной крайне сложно. Это система изоляции, построенная на технологиях виртуализации. Она использует простой и компактный гипервизор (всего 15 тысяч строк кода), позволяющий запустить копию ядра Linux основной ОС и выбранное приложение внутри виртуального окружения с полной интеграцией приложения в текущий графический интерфейс.



Cappsule не эмулирует железо и не оперирует полноценными виртуальными машинами с собственным ядром, виртуальными дисками, сетевой картой и другими кoмпонентами обычного ПК, как это делает VirtualBox или QEMU. Она действует намного хитрее: сразу после своей загрузки загружает в ядро текущей ОС модуль с гипервизором и отдает ему управление. Гипервизор в свою очередь создает новое виртуальное окружение и размещает внутри него текущую ОС. Этот метод называется Blue Pill (он был описан Йоанной Рутковской в 2006 году) и нужен для того, чтобы получить контроль над исполнением текущей ОС.

Cappsule – Виртуальная среда для анализа вирусов. Cappsule, hack tools, вирус, cryptoworld, длиннопост

После этого гипервизор Cappsule останавливает исполнение ядра ОС, переводит в офлайн все ядра процессора, кроме текущего, делает снимок пaмяти, занимаемой ядром ОС, затем возвращает ядру управление. Позднее, получив запрос на запуск приложения в песочнице, гипервизор создает еще одно виртуальное окружение с копией памяти ядра, запускает в нем несколько служебных процессов и указанное приложение.



Для приложения такая виртуальнaя система выглядит настоящей. Оно может работать с файловой системой, выполнять сетевые запросы, выводить на экран картинку и выполнять системные вызовы ядра. Но так как Cappsule не эмулирует железные компоненты классической виртуальной машины и не предоставляет доступ к реальному железу (фактически запрещены любые операции ввода-вывода), для того чтобы дать приложению возможность доступа к файловой системе, сетевому адаптеру и GUI-подсистеме, Cappsule запускает внутри виртуального окружения три специальных процесса:


Fsclient для проброса файловой системы (точнeе, иерархии) основной системы внутрь виртуальной. Fsclient имеет клиент-серверную архитектуру и общается с демоном fsserver, запущенным в хост-системе. При доступе к тому или иному файлу fsclient отправляет запрос fsserver, а тот в ответ выдает результат запроса или ошибку доступа, если доступ к этому файлу запрещен в настройках. Естественно, виртуальное окружение может выполнять запись файлов, поэтому, чтобы не скомпрометировать хост-систему, fsserver модифицирует файлы в режиме copy-on-write (для этого он использует технологию OverlayFS ядра Linux, ту же, на которой построена система слоев в Docker). Другими словами, все модификации файлов из виртуального окружения будут уникальны только для этого виртуального окружения; изменить файлы напрямую оно не может.


Netclient для проброса внутрь виртуального окружения сетевого интеpфейса. В этом случае используется схожая схема: netclient создает внутри виртуального окружения сетевой интеpфейс tun0, все операции чтения и записи в который отправляются демону netserver, работающему в хоcт-системе. С помощью настроек брандмауэра netserver перенаправляeт эти данные на реальный физический сетевой интерфейс машины, опять же консультируясь с настройками.


Guiclient для доступа приложения к графической подсистеме хоста. Принцип работы примерно тот же. Guiclient запускает внутри окружения виртуальный X-сервер, запросы к которому перенаправляются в guiserver на хост-системе, а тот, в свою очередь, перенаправляет эти запpосы настоящему X-серверу. Guiclient создан на базе графической подсистемы операционной системы Qubes OS и так же, как последняя, позволяет бесшовно вписать окно запущенного внутри песочницы приложения в графический интерфейс хост-системы.

Демонстрация работы Cappsule

Благодаря такой архитектуре Cappsule реализует очень простые и устойчивые к взлому песочницы. По факту для взломщика (или малвари), оказавшегося внутри такой песочницы, есть только четыре возможности из нее выбраться: через уязвимость гипервизора или уязвимость в одном из трех компонeнтов — fsserver, netserver и guiserver. Причем последние три работают с правами создавшего песочницу пользователя.

Где взять?


Исходный код Cappsule открыт, поэтому скачать и скомпилировать ее может любой желающий. Однако есть довольно серьезные ограничения. Первое: система требует процессор с поддержкой Intel VT-x и EPT, так что древние процессоры и AMD не подойдут. Второе: официально поддерживается единственный дистрибутив — Ubuntu 16.04 с ядром 4.4.0. Но протестировать систему можно и в виртуалке. Для этого разработчики подготовили образы VMware и VirtualBox.



Вся документация доступна в отдельном Git-репозитории. Из нее можно узнать, как установить Cappsule и пользоваться ею, создавать файлы политик для ограничения приложений в доступе к файлам или сетевому взаимодeйствию. В целом все довольно просто. В случае с Ubuntu 16.04 достаточно установить пакет:



$ wget https://irma.quarkslab.com/cappsule/cappsule-1.0.deb
$ sudo dpkg --force-confnew -i cappsule-1.0.deb
$ export PATH=$PATH:/usr/local/cappsule/usr/bin

Затем запустить демон:


$ sudo /usr/local/cappsule/usr/bin/daemon


И можно работать с приложениями в песочницах:


$ virt exec --no-gui --policy unrestricted bash


На экране должно появиться приглашение интерпретатора bash, запущенного в песочнице. Опция —policy unrestricted здесь означает, что будут использованы политики unrestricted, разрешающие доступ к любым файлам и любым сетевым хостам по протоколам UDP и TCP. Сами политики размещаются в JSON-файлах в каталoге /usr/local/cappsule/etc/cappsule/policies/. Кроме unrestricted, в нем можно найти политики для Firefox, Irssi, Evince и Apache. Причем, если имя приложения совпадает с именем файла политик, они будут загружены автоматически:


$ virt exec firefox


Графические приложения запускаются в своих собственных окнах, но поддержка копирования и вставки, а также вывода и записи аудио пока не реализованы.

Выводы


Cappsule еще слишком молодой проект, чтобы говорить о его будущем. Но одно ясно точно: это самая интересная и в теории надежная реализация песочниц для Linux из всех существующих на данный момент. Cappsule представляет намного более узкий attack surface в сравнении с песочницами уровня ОС или полнoценными виртуальными машинами.


Из песочницы Cappsule невозможно сбежать, взломав ядро или найдя баг в реализации виртуальных устройств, как это уже было в случае с багами в драйвере флоппи-привода и OpenGL-драйвере VirtualBox. Система крайне проста и эффективна, она требует лишь свежее ядро Linux и поддержку технологий виртуализации в процессоре.

Показать полностью 1
269
Пользователям Chrome стоит опасаться сообщений «шрифт не найден»
28 Комментариев в Информационная безопасность  

Специалисты компании Proofpoint предостерегают пользователей Windows и браузера Chrome: хакеры придумали новый трюк и теперь маскируют свои атаки под загрузку дополнительного пакета шрифтов.


Исследователи пишут, что атакующие полагаются на достаточно простую технику, они компрометируют различные сайты и добавляют в их код скрипты собственного производства. Эти скрипты фильтруют входящий трафик, а также загружают еще один вредоносный скрипт, который опасен только для Windows-версии Chrome. Этот скрипт, в свою очередь, отвечает за подмену всех HTML-тегов на странице на «& # 0», в результате чего контент портится и превращается во множество символов «�». Как правило, сайты выглядят таким образом, если возникают проблемы со шрифтами и рендерингом символов.


Поверх страницы, которая становится нечитаемой из-за действий скрипта, атакующие выводят всплывающее окно, которое сообщает жертве, что на ее компьютере не хватает некоего специфического шрифта, и для нормальной работы ресурса шрифт необходимо скачать и установить. Закрыть это окно, нажав на крестик в углу, не получится.

Пользователям Chrome стоит опасаться сообщений «шрифт не найден» вирус, загрузка, шрифт, windows, Google Chrome, маскировка, длиннопост
Показать полностью 1
362
Вирус, принц Империи неклеточных (я только перевел)
18 Комментариев  
Вирус, принц Империи неклеточных (я только перевел)
4691
Как убрать «вирус» и самопроизвольно открывающиеся вкладки браузера
510 Комментариев  

Описание проблемы: через какой-то промежуток времени открывается вкладка в браузере с каким-либо левым сайтом, чаще всего «Вулкан Удачи».


Столкнулась с этой проблемой и моя жена, после того как её «подружки-тру-софтер-инсталляторы» поставили ей офис.

Куча проверок различными антивирусами, всякими поисковиками Malware и т.д. не принесли результатов - вкладка открывается, причем сайты с которыми она открывается периодически меняются.


В общем искал я проблему, касперский молчал, реестр в порядке... так и забил я на это дело.

Осенило меня лишь через неделю. Я решил заглянуть в «Планировщик задач Windows»


К моему удивлению я обнаружил там несколько задач, не меньше я был рад когда посмотрел, что конкретно делает задача. А было все просто, задача с периодичностью в 22 минуты запускала браузер с передачей в параметре адреса сайта. Впервые это решение было опубликовано мной на StackOverflow, а сегодня руки дошли опубликовать его здесь, т.к. в интернете нигде я не нашел данного решения.

Как убрать «вирус» и самопроизвольно открывающиеся вкладки браузера вирус, антивирус, windows, браузер, новая вкладка?, Google Chrome, Firefox, internet explorer

Суть соответственно проста, требуется удалить из планировщика эти задачи.

Все эти задачи имеют общий вид имени а-ля «InternetX», где X какая-либо буква (B, C, D)

Так же видел задачу, которая запускала не конкретный браузера, а приложение Windows (OpenWith.exe), которое предлагало пользователю выбор браузера, в котором открыть сайт.

Показать полностью 1
1333
Согревающее пламя
57 Комментариев  

Когда болеешь вирусными заболеваниями и лежишь с температурой под 40, то понимаешь, что тебя согревает только одна мысль - все эти мелкие ничтожества никто без тебя, без тебя им не выжить, и только твоя щедрость и слабый иммунитет поддерживают их маленькую бесполезную жизнь.


Счастливых праздников и не болейте!

2308
Вакцина от вируса Эбола признана на 100% эффективной
232 Комментария в Наука | Science  

Всемирная организация здравоохранения (ВОЗ) обнародовала результаты клинических испытаний новой вакцины rVSV-ZEBOV от лихорадки Эбола в Гвинее. Согласно статье, опубликованной в медицинском журнале Lancet, эффективность препарата составила 100%.

Вакцина от вируса Эбола признана на 100% эффективной Вирус, Эбола, Вакцина, Победа, smallpaste

Визуальная реконструкция вируса


Ebolavirus (эбо́лавирус, вирус Эбо́ла или вирус Э́бола) — род вирусов из семейства филовирусов (Filoviridae), вызывающих геморрагическую лихорадку Эбола у высших приматов. Кроме рода, вирусом Эбола могут называть конкретного представителя рода — чаще всего Zaire ebolavirus, который был выделен первым из рода в 1976 году в бассейне реки Эбо́ла в Заире, от чего и образовалось название.

ВОЗ проводила испытания в Гвинее совместно с минздравом страны и международными медицинскими организациями в 2015 году. В них приняли участие более 11 тысяч человек. Ни один из 5837 вакцинированных не заразился вирусом в течение 10 и более дней. Среди тех, кто не прошел вакцинацию, за тот же период было зафиксировано 23 случая заболевания.


Геннотерапевтический препарат на основе обезвреженного рекомбинантного вируса везикулярного стоматита (rVSV) обеспечивает в организме человека продолжительный синтез гликопротеина эболавируса штамма Заир. В ходе клинических испытаний были привиты более 5000 человек, проживающих в непосредственной близости от эпицентра вспышки Эболы. Учёные тщательно наблюдали за привитыми людьми на протяжении 84 дней (примерно вчетверо больше, чем занимает инкубационный период лихорадки Эбола). За этот период не заболел ни один человек, получивший дозу вакцины. Более того, вакцинация эффективно предотвратила распространение инфекции внутри выделенного кластера.


Ссылка 1

Ссылка 2

Ссылка 3

Показать полностью
177
И снова шифровальщик vault
146 Комментариев в Информационная безопасность  

Второй раз по работе сталкиваюсь с шифровальщиком, первый был еще в 2011 году, не столько шифровальщик, сколько портил заголовок файла, можно было починить вручную. А теперь да, как об стенку головой. RSA-1024. В связи с этим возникает 2 вопроса, на который я не могу найти ответ:

1) можно ли включать и выключать java-машину в винде по своему желанию? Я представляю это как кнопку в панели задач "java on" и "java off". Хоть какие-то костыли. Оба вложения были java скриптами. Ведь если снести полностью яву в системе, то скрипт не запустится. Но нельзя, не будут работать кнопки на сайтах и т.д. Поэтому нужен тупой рубильник. В идеале привязка java off к открытию вложения в почтовом клиенте ("вы хотите открыть вложение?"-"да"- "может быть java off"?)


2) можно ли сделать файл-ловушку для щифровальщиков, например файл *.doc (*.xls, *.jpg)размером 1 Гб (5Гб, 10 Гб) со структурой, максимально трудной для шифрования (не просто из нулей или повторяющихся фрагментов, нужен генератор)? Поместив такой файл в корень диска С (или откуда он там начинает шифровать?)можно хотя бы замедлить процесс шифрования и получить дополнительный шанс прервать его, не удалится закрытый ключ. Ну а если повесить на открытие такого файл простой обработчик с окном предупреждения, то вообще красота. (Раньше когда солнце было ярче, водка слаще была такая шутка - рассылали знакомым архивированный файл (сколько-то Гб) из нулей, он сжимался до нескольких килобайт. Антивирус, который проверял почту (только пошли тогда) должен был его распаковать во временную папку перед проверкой - у многих банально не хватало места на винте или Celeron 450 впадал в ступор на пару часов).


Я понимаю, что надо работать со включенным UAC и восстановлением дисков, не в коем случае не под админом, максимально ограничивать права через групповые политики. Все равно это не дает 100% гарантии, также как антивирусы, при этом нормальной работой это назвать нельзя. Уж лучше тогда действительно Linux. Постоянно бэкапить? На флешку нельзя, надо все равно вынимать, сетевые диски и облака (приаттаченные)шифруются точно также как локальные. ФТП? Не у каждого есть и не каждый может с ним работать.


Почему же не сделать защиту именно в тех точках, в которые бъет шифровальшик, максимально облегчив задачу себе и пользователям?


В свое время, когда была эпидемия вирусов на флешках, я был приятно удивлен утилитой USB Vaccine, которая просто закидывала на съемный носитель неправильный файл autorun.inf, который нельзя было стереть, и таким образом блокировала работу autorun вирусов. По-моему очень красиво и в духе стратегии достижения цели малой кровью.


P.S. Видел на профильных форумах объявления о продаже систем рассылки этих шифровальщиков, ведь ничего в голове не нужно для этого - 1500 долл и в автоматическом режиме все работает, дают абузоустойчивый сервак со всеми приблудами, автоматом скачиваются последние версии почтовых баз, троянов, тебе только на биткоин кошелек капает бабло.  Правда сейчас как я понял стали письма читать - раньше рассылали по шаблону "управление судебных приставов" - "за вами долг, ознакомьтесь во вложении", обратный адрес - sud12345@mail/ru. А сейчас видимо читают ломаные ящики и руками рассылают с них контекстно каждому абоненту из адресной книги что кому интересно. Мы например получили шифровальщик в письме от знакомого контрагента чуть ли не в ответ на наш запрос какой-то хрени типа акта сверки. Грех было не открыть. Платить пока не собираемся. Что-то было сохранено, правда старые версии. Как не странно из корзины вытащили много, ее почему-то не тронуло.

P.P.S. Напоследок пожелание для тех, кто этим занимается

И снова шифровальщик vault вирус, шифровальщик, vault, баттхёрт
Показать полностью 1
1464
Когда случайно установил Амиго
95 Комментариев  
Когда случайно установил Амиго
1013
Вредоносная реклама теперь нацелена не на браузеры, а на роутеры
137 Комментариев в Информационная безопасность  

Вредоносными рекламным кампаниями сегодня трудно кого-либо удивить, но специалисты Proofpoint обнаружили новую тенденцию в данной области. Теперь злоумышленники нацеливаются не на браузеры пользователей, а на их роутеры. Итоговая цель атакующих – внедрить рекламу в каждую страницу, которую посетит зараженная жертва. Интересно, что данная кампания ориентирована не на пользователей IE, как это бывает чаще всего, но на пользователей Chrome (как десктопной, так и мобильной версии).

Вредоносная реклама теперь нацелена не на браузеры, а на роутеры вредоносная реклама, вирус, атака, роутер, механизм, длиннопост
Показать полностью 1
538
Новый вид мошенничества (по крайней мере я не слышал о таком)
204 Комментария в Антимошенник  

В общем - случилось с моей женой, пока я на работе был.

У меня работа в интернете, коммерция, поэтому нездоровыми предложениями "закалён" и разных видов обмана встречал много.


А тут жена в декрете, с маленьким ребенком, которого надо укладывать спать... Почему я это пишу - потому что такие "неудобные" ситуации, а также спешка и прочее - та самая "брешь", через которую нас и достают, как правило.

А теперь суть и последовательность:
1) Жена разместила объявление на Авито (ох, и присосались мошенники к этой "бесплатной" доске)...
2) Далее ей приходит сообщение SMS с неизвестного номера: Предлагаю обмен: www.avito-id123456.ru (ссылка не та, я не стал размещать ссылку на вирус).
Ну да, мне очевидно, что это не Авито, но не все так прошарены + ребёнок в руках.
3) Она открывает сообщение, надеясь посмотреть фото. Но ничего не открывается. Думаю, все поняли, что "словила" вирус на телефон Android.
4) А вот далее началась забавная вещь, которая была бы и для меня неожиданной... От Сбербанка (именно от него, не с поддельных номеров) поступают сообщения о переводе средств на ее собственный телефон (оператор TELE2)! Это, конечно, очень подозрительно, но то, что они поступают тебе - не так пугает.
5) Далее поступают СМС-ки о том, что деньги с твоего телефона переводятся на чью-то карту. Что??? Какого фига? Как это возможно? Блин, незнание - виной всему. Оказывается, у TELE2 есть такая услуга "Денежные переводы", с помощью которой можно СМС-кодом деньги отправлять на банковские карты. По умолчанию она включена или может быть включена посредством СМС.

Что в итоге произошло: вирус перехватил управление СМС-сообщениями и перевел с карты Сбербанка на телефон деньги. Кто не знает - это очень просто (если подключен "мобильный банк", достаточно отправить СМС на номер "900" с нужной суммой - и все. Далее с помощью тех же СМС-сообщений деньги со счета TELE2 были переведены на карту злоумышленника. Также он оплатил за свою связь :)

Убытки: отделались небольшой суммой - порядка 3 тыс. руб., но сумма могла быть в разы больше!

Что делать в такой ситуации: признаюсь - до конца не изучил все детали, но вот советы, которые приходят на ум:

1. были перехвачены именно СМС-сообщения. Я думаю, что они отправлялись с телефона жены, и это делал вирус, а читал сообщения и управлял ими мошенник со своего компьютера или телефона. Учитывая, что он переводил оплату за телефон крупными суммами, банк просил ввести код подтверждения - и он его вводил! То есть читал и отправлял сообщения. Отсюда вывод - если увидели не свое сообщение, сразу введите НЕВЕРНЫЙ код!!! Это заблокирует карту на 10 минут и у Вас будет время позвонить в банк. Либо можно ввести сразу несколько СМС с небольшими суммами - по 2 цифры, например (25) - это будет воспринято или как код, или как следующий перевод, но уже не на большую сумму, а на мелкую.
2. Можно отключить обмен данными. В этом случае СМС перестанут отправляться, и будет минута для связи с банком и блокировки карты. Но я не уверен, что у злоумышленника нет какого-нибудь блока по этому случаю - жена так не делала, пришло на ум уже позже.

3. Можно выключить телефон и позвонить с другого (если есть под рукой). Так уж точно СМС с Вашего не пройдет в банк.

4. Надо включить "запрет денежных переводов" в TELE2. Код для запрета *179*0# Есть ли такое у других операторов - не знаю.

5. Не открывать всякую хрень от незнакомых людей. Совет банальный, но самый действенный. Обычно люди пишут и изъясняются иначе, чем мошенники.

6. Поставить антивирус.
7. Внести поправки в законопроект и рубить ворам руки, чтобы они носом смс-ки набирали.


Извините за слишкоммногобуков - первый пост :)

Показать полностью
51
Реверсинг малвари для начинающих.
29 Комментариев в Информационная безопасность  

Предлaгаем твоему вниманию цикл статей «Reversing malware для начинающих», посвященных методикам и техникам анализа бинарного кода вредоносов в «домашней лаборатории». В первой статье мы коснемся специфики ремесла, рассмотрим основной инструментарий, необходимый для исследований, и сделаем обзор наиболeе интересных и значимых ресурсов для самостоятельного изучения.

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Reversing как искусство



Сегодня анализ вредоносного кода — это целая индустрия в области обеспечения информационной безопасности. Им занимаются и антивирусные лаборатории, выпускающие свои продукты для защиты, и узкоспециализированные группы экспертов, стремящихся быть в тренде векторов атак, и даже сами вирусописатели, которые кoнкурируют между собой за потенциального клиента — «жертву». Для вирусного аналитика, сидящего в застенках какого-нибудь крупного разработчика, это каждодневная кропотливая работа, требующая порой нестандартного и проактивного подхода. Однако, несмотря на то что функциональность малвари постоянно совершенствуется и техники обфускации модифицируются, общие методы анализа остаются уже долгое время неизменными.



Одна из важных чаcтей анализа малвари — реверсинг (англ. reverse [code] engineering), или «обратная разработка», программного обеспечения. Если в двух словах, реверсинг — это попытка изучить и воссоздать алгоритмы работы программы, не имея на руках исходных кодов, с помощью специальных отладочных техник. По сравнению с анализом малвaри тут возникает очень много весьма тонких нюансов. Во-первых, реверсинг ПО в абсолютном большинстве случаев запрещается лицензионным соглашением, так что любые попытки что-то изучить в «образовательных целях» совершаются только на свой страх и риск. Анализ же малвари таких ограничений не содержит, более того, это «дело благородное» — к примеру, изучив, каким образом ramsomware шифрует файлы жертвы, можно попробовать создать для нее декриптор, что, кстати, очень часто и делают разработчики антивирусного ПО. Во-вторых, реверсинг, как правило, направлен в сторону коммерческого ПО, делающего из trial или незарегистрированной версии ПО вполне рабочую (warez). Иными словами, это распространение пиратских копий ПО. Эти действия нарушают множество статей авторского и интеллектуального права, патентного законодательства, международных соглашений и тому пoдобного.

Показать полностью 10
1674
Вирусы - как это работает
93 Комментария в Наука | Science  

Доброго времени суток, всем кто еще не видел данных фильмов - очень рекомендую к просмотру.


Советский фильм Свердловской киностудии 1976 года (но актуален по сей день) "Жизнь клетки и взаимодействие её с вирусом":

Британский фильм BBC 2012 года (почти тоже самое, но, так сказать, в актуализированной редакции) "Внутренняя Вселенная: Тайная жизнь клетки":

Рекомендую именно оба фильма, т.к. после советского ВВС-шный смотрится легче (многое становится понятнее) и не менее интереснее.


Ну и если Вам понравились данные фильмы - вот бонус: довольно известная книга о вирусах (2011 года). Книга небольшая и её можно прочитать за 3-4 часа.

Не пожалейте времени и не пожалеете, что не пожалели времени

Книга Карла Циммера "Планета вирусов"

68
Операция Avalanche: ликвидирована сеть, распространявшая более 20 семейств вирусов
6 Комментариев в Информационная безопасность  

Представители Европола и Министерства юстиции США рассказали, что 30 ноября 2016 года был дан старт глобальной операции «беспрецедентных масштабов», получившей кодовое имя Avalanche («Лавина»). Для ликвидации огромной киберпреступной сети усилия объединили правоохранительные органы и ИБ-специалисты более чем из 40 стран мира (Европол, ФБР, Интерпол, ICANN, Symantec, Shadowserver Foundation, Registrar of Last Resort и многие, многие другие). Операцию предваряли четыре года расследований и другой предварительной работы.


В результате операции Avalanche обыски прошли в 37 различных локациях, и были арестованы пятеро подозреваемых. Представителей Евпропола рассказали

Associated Press, что арестовать удалось именно глав преступной группы: «Avalanche работали как настоящая компания, так что мы арестовали их “президента” и “членов совета директоров”». Кроме того, более 800 000 доменов перешли под контроль властей или были заблокированы, 39 серверов были изъяты и еще 221 сервер ушел в оффлайн, после того как хостинг-провайдеров уведомили о нарушениях.

Правоохранители поясняют, что на протяжении минимум семи лет злоумышленники предоставляли услуги по схеме «киберпреступления как сервис». Инфраструктура Avalanche использовалась для хостинга и распространения более чем 20 семейств различных вирусов, в том числе таких известных вредоносов, как GozNym, Marcher, Dridex, Matsnu, URLZone, XSWKit, Pandabanker, Cerber и Teslacrypt. Кроме того, злоумышленники занимались рассылкой спама, что идет рука об руку с распространением малвари, а также отмыванием денег, поиском и наймом так называемых «денежных мулов». Огромный ботнет насчитывал как минимум 500 000 устройств по всему миру, которые за прошедшие годы успели атаковать более 40 крупных финансовых организаций, а также пользователей более чем в 180 странах мира. Суммарный ущерб оценивается в «сотни миллионов евро».

«Вы просто связываетесь с такой организацией, а они предоставляют всё, что вам только нужно», — объясняют сотрудники Европола.

По данным компании Symantec, правоохранители начали «соединять точки» в 2012 году, когда в Германии расследовали деятельность нескольких вредоносов и обнаружили, что совершенно разная малварь использует одну и ту же инфраструктуру.

До этого, в 2010 году, аналитики Anti-Phishing Working Group в своем отчете (PDF) называли Avalanche «самой прибыльной группой фишеров в мире» и отмечали, что ботнет Avalanche ответственен за две трети фишинговых атак, проведенных во второй половине 2009 года (84 250 из 126 697). Тогда операторы Avalanche активно распространяли небезызвестный Zeus и уже использовали 959 доменов для своих вредоносных кампаний.

Инфраструктуру ботнета по состоянию на декабрь 2016 года описали в своем блоге представители некоммерческой организации Shadowserver Foundation, которые последние 18 месяцев помогали правоохранителям в подготовке операции. Ниже также можно увидеть инфографику Европола, посвященную операции.

Показать полностью 2
2373
Важное уточнение
111 Комментариев  

Надпись на плакате: «Не подхватите грипп! Вакцинация может предотвратить заражение». Примечание мелким текстом: «Вирус гриппа изображен не в натуральную величину».

Важное уточнение вирус, социальная реклама, плакат, Вакцина, важное уточнение

Отсюда.

32
Шо тут горело?
35 Комментариев  

А горело тут, собственно, у меня.
Друзья мои, я все понимаю, устанавливаешь себе на комп программу, забыл галочки поснимать со всяких амиго-майлов, ловишь вирусню - твой косяк, невнимательность! Но когда ты мирно, никого не трогая, читаешь на сайте инфу, тебе вылазит окошко с рекламой, ты пытаешься ее закрыть крестиком, и тут та-даааам! Ни вопроса, ни запроса и тебе скачивается файл! Но и это еще не все - у этого файла нынче акция: "сам скачаюсь, сам откроюсь и установлю тебе амигоМайлВордофтанксярлык и кучу всего в предачу! Не благодари."

Если вам скажут, что скорость света максимальна - это ложь! Максимальна была скорость установки всей этой звездятины на мой компьютер.

Сижу, пью чай, чищу комп, горюю, что забыла включить свой антивирусник.

Будте бдительны друзья, какую только хрень на просторах не подцепишь!

Бм ругался на мемосик.

Шо тут горело? амиго браузер, вирус, компьютер, пригорело


Пожалуйста, войдите в аккаунт или зарегистрируйтесь