С тегами:

троян

Любые посты за всё время, сначала свежие, с любым рейтингом
Найти посты
сбросить
загрузка...
186
Банковский троян Svpeng атакует российских пользователей Android Chrome
24 Комментария в Информационная безопасность  
Банковский троян Svpeng атакует российских пользователей Android Chrome вирус, троян, кража, android, Google Chrome, apk

Специалисты «Лаборатории Касперского» обнаружили вредоносную кампанию по распространению опасного банковского Android-трояна Svpeng. Для данной цели злоумышленники используют рекламный сервис Google AdSense.

Первые случаи инфицирования были зафиксированы в августе нынешнего года. Как тогда обнаружили эксперты, при просмотре некоторых новостных сайтов, использующих AdSense для показа рекламы, на Android-устройство пользователя автоматически загружался банковский троян. Подобное поведение вызвало интерес у исследователей, поскольку обычно при загрузке приложений браузер уведомляет пользователя о потенциально опасных программах и позволяет выбирать, сохранить файл или нет.


По данным ЛК, за два месяца жертвами вредоноса стали примерно 318 тысяч пользователей из России и СНГ. При показе вредоносной рекламы на SD-карту устройства загружался APK-файл, содержащий новую версию Svpeng - Svpeng.q.


Перехватив трафик с атакуемого устройства, эксперты выяснили, что в ответ на HTTP-запрос с C&C-сервера злоумышленников загружается скрипт JavaScript, используемый для показа вредоносного рекламного сообщения. Данный скрипт содержит обфусцированный код, включающий APK-файл под видом зашифрованного массива байт. Помимо различных проверок, код проверяет язык, который использует устройство. Злоумышленники атакуют только гаджеты, использующие интерфейс на русском языке.


Вышеописанный метод работает только в версии Google Chrome для Android. Как пояснили исследователи, при скачивании .apk с использованием ссылки на внешний ресурс, браузер выдает предупреждение о загрузке потенциально опасного объекта и предлагает пользователю решить, сохранить или нет загружаемый файл. В Google Chrome для Android при разбиении .apk на фрагменты не осуществляется проверка типа сохраняемого объекта и браузер сохраняет файл, не предупреждая пользователя.


Эксперты ЛК проинформировали Google о проблеме. Компания уже подготовила устраняющий данную уязвимость патч, который будет включен в состав следующего обновления браузера.


http://www.securitylab.ru/news/484387.php

Показать полностью
174
Троян-шифровальщик лишил зарплаты казанских полицейских
62 Комментария в Информационная безопасность  
Троян-шифровальщик лишил зарплаты казанских полицейских мвд, троян, криптор, полиция, казань

Казанское линейное управление МВД России по Республике Татарстан стало жертвой хакерской атаки. В результате заражения компьютера главного бухгалтера вредоносным ПО была повреждена программа для бухучета «Парус», используемая при расчете зарплаты полицейских.

Как сообщает портал life.ru, главный бухгалтер управления получила от злоумышленников фишинговое электронное письмо, замаскированное под счет от компании «Ростелеком». К сообщению прилагалось два заархивированных документа. В первом файле содержалось вымогательское ПО, а во втором - сообщение от хакеров. Как пояснили злоумышленники, вредоносная программа зашифровала все хранящиеся на компьютере данные и для их восстановления нужно связаться с хакерами по указанному адресу.


Несмотря на наличие антивируса, после открытия вредоносного вложения шифровальщик повредил все хранящиеся на рабочем компьютере бухгалтера документы и программу для бухучета. Восстановить «Парус» не удалось.


http://www.securitylab.ru/news/484185.php

43
Троян PSW.OnLineGames угрожает пользователям Steam
66 Комментариев в Информационная безопасность  

Компания ESET рассказала о новой зловредной программе, которая поражает компьютеры с Windows. Называется троян PSW.OnLineGames и в его задачи входит получение информации об аккаунтах пользователей Steam с их регистрационными данными.

Троян PSW.OnLineGames угрожает пользователям Steam вирус, троян, Steam, Геймеры, аккаунт, кража

Вирусная лаборатория ESET предупреждает об угрозе, ориентированной на геймеров – трояне PSW.OnLineGames. Вирус предназначена для «угона» игровых аккаунтов. В 2016 году число обнаружений вредоносной программы превысило 250 тысяч.


Мошенники распространяют троян при помощи социальной инженерии. Для этого они регистрируются в многопользовательских онлайн-играх и вступают в контакт с обычными игроками, приглашая их в рейды и гильдии. В какой-то момент потенциальную жертву просят установить приложение, например, программу для голосовой связи с партнерами по команде.


Под видом безобидного приложения пользователь получает троян PSW.OnLineGames. Вредоносная программа перехватывает нажатия клавиш и передает на удаленный сервер злоумышленников логин и пароль от учетной записи на игровом сервисе.


Особый интерес для мошенников представляют Steam-аккаунты и данные популярных многопользовательских игр, в частности, World of Warcraft.


Пользователи крупнейших игровых платформ остаются приоритетной целью мошенников. ESET рекомендует игнорировать письма и ссылки, присланные незнакомцами, не вводить логин и пароль от игрового аккаунта на сторонних сайтах, а также своевременно обновлять антивирусное ПО и браузер.

http://www.infocity.az/2016/10/троян-psw-onlinegames-охотитс...

111
В Австралии хакеры подбрасывают USB-флешки с трояном в почтовые ящики
111 Комментариев в Информационная безопасность  

21 сентября 2016 года на официальном сайте полицейского управления штата Виктория появилось необычное предупреждение. По данным правоохранительных органов, неизвестные лица подбрасывают в почтовые ящики жителей небольшого городка Пакенхэм (Pakenham), расположенного в 56 километрах от Мельбурна, USB-флешки без какой-либо маркировки. Когда любопытные пользователи подключают такие флешки к компьютерам, ничего хорошего, вполне предсказуемо, не происходит. Полицейские сообщили, что жертвы атаки наблюдали «мошеннические предложения от стриминговых сервисов» и столкнулись «с другими серьёзными проблемами».

В Австралии хакеры подбрасывают USB-флешки с трояном в почтовые ящики вирус, троян, почтовый ящик, новость, Австралия, полиция

Кому понадобилось распространять вирус столь странным образом, атакуя город, чье население составляет порядка 30 000 человек, пока неясно.


Тем не менее, нет ничего удивительного в том, что многие жители Пакенхэма решили проверить содержимое флешек и подключили их к своим ПК. К примеру, в октябре 2015 года специалисты CompTIA провели исследование, согласно результатам которого 17% пользователей в пяти городах США не задумываясь подключат найденную на улице флешку к компьютеру.


Еще одно похожее исследование (PDF) было представлено в апреле 2016 года. Тогда исследователи из Иллинойсского университета в Урбане-Шампейне, университета Мичигана и Google разбросали в кампусе университета 297 флеш-накопителей. В итоге пользователи нашли 98% из них, и в 135 случаях (45%) попытались подключить накопители к своим компьютерам и выяснить, с чем имеют дело.


Полиция штата Виктория напоминает: не стоит подключать к ПК подозрительные девайсы, найденные на улице или подброшенные в почтовый ящик.

https://xakep.ru/2016/09/22/malware-in-letterboxes/


ПыСы: А Вы подключаете найденную на улице флеху к компьютеру чтобы посмотреть содержимое?

Показать полностью
42
Троян Gugi с легкостью обходит механизмы безопасности в Android 6 Marshmallow
13 Комментариев в Информационная безопасность  

В выпущенной в прошлом году Android 6 Marshmallow компания Google реализовала ряд нововведений, призванных улучшить безопасность мобильной операционной системы. Тем не менее, принятые меры становятся совершенно бесполезными, когда дело доходит до социальной инженерии.

Как сообщает эксперт «Лаборатории Касперского» Роман Унучек, операторы банковского трояна Trojan-Banker.AndroidOS.Gugi.c или просто Gugi обманным путем заставляют пользователей установить вредонос на свои устройства в обход механизмов безопасности в Android 6 Marshmallow.

Троян Gugi с легкостью обходит механизмы безопасности в Android 6 Marshmallow вирус, троян, Android, безопасность, данные, социальная инженерия

Злоумышленники распространяют Gugi посредством фишинговых SMS-сообщений. Кликнув на содержащуюся в сообщении ссылку, жертва инициирует загрузку трояна на свое устройство. Здесь вредоносу нужно пройти первый тест.

Троян Gugi с легкостью обходит механизмы безопасности в Android 6 Marshmallow вирус, троян, Android, безопасность, данные, социальная инженерия
Показать полностью
179
Автор вируса BILAL BOT написал в IBM о том, что они не верно описали его троян
14 Комментариев в Информационная безопасность  

В апреле текущего года специалисты команды IBM X-Force описывали в своем блоге интересную ситуацию: автор популярного мобильного банкера GM Bot оказался заблокирован на крупных торговых площадках даркнета, и за освободившееся место на данном «рынке» немедленно развернулась активная борьба. Среди претендентов на роль нового лидера в этой области был и мобильный троян Bilal Bot. Но, как оказалось, весной исследователи IBM X-Force описали данный троян не совсем верно, о чем им недавно сообщил сам автор этого вируса.


Сначала создатель Bilal Bot связался с журналистами издания Softpedia, сообщив им, что они распространяют ложную информацию о его вредоносе. Журналисты не восприняли письмо всерьез и, по сути, отмахнулись от его автора, посоветовав тому поговорить с представителями IBM X-Force, которые являлись первоисточником опубликованных данных. Разумеется, никто не ожидал, что автор трояна в самом деле станет предъявлять претензии исследователям, но именно так и произошло.

Автор вируса BILAL BOT написал в IBM  о том, что они не верно описали его троян вирус, троян, автор, почта, IBM, длиннопост
Автор вируса BILAL BOT написал в IBM  о том, что они не верно описали его троян вирус, троян, автор, почта, IBM, длиннопост
Показать полностью
37
Новый троян способен обходить защиту UAC и устанавливать фальшивую версию Google Chrome
27 Комментариев в Информационная безопасность  

Метод обхода UAC заключается в использовании одной из ветвей системного реестра для запуска с повышенными правами.

Новый троян способен обходить защиту UAC и устанавливать фальшивую версию Google Chrome вирус, троян, подмена браузера, Mutabaha, UAC, Outfire, DrWEB, длиннопост

Вирусные аналитики компании «Доктор Веб» исследовали нового троянца – Trojan.Mutabaha.1. Он устанавливает на компьютер жертвы поддельную версию браузера Google Chrome, которая подменяет рекламу в просматриваемых веб-страницах.


Ключевая особенность троянца Trojan.Mutabaha.1 — оригинальная технология обхода встроенного в Windows защитного механизма User Accounts Control (UAC). Информация об этой технологии обхода UAC была впервые опубликована в одном из интернет-блогов 15 августа, и спустя всего лишь три дня в вирусную лабораторию «Доктор Веб» поступил первый образец эксплуатирующего именно этот способ троянца, который и получил название Trojan.Mutabaha.1. Указанная технология заключается в использовании одной из ветвей системного реестра Windows для запуска вредоносной программы с повышенными привилегиями. Троянец содержит характерную строку, включающую имя проекта:

F:\project\C++Project\installer_chrome\out\Release\setup_online_without_uac.pdb

В первую очередь на атакуемом компьютере запускается дроппер, который сохраняет на диск и запускает программу-установщик. Одновременно с этим на зараженной машине запускается .bat-файл, предназначенный для удаления дроппера. В свою очередь, программа-установщик связывается с принадлежащим злоумышленникам управляющим сервером и получает оттуда конфигурационный файл, в котором указан адрес для скачивания браузера.

Показать полностью 2
183
ФСБ обнаружила вирус в сетях 20-ти правительственных организаций
137 Комментариев в Информационная безопасность  

Федеральная Служба Безопасности РФ сообщила, что в инфраструктуре различных правительственных, научных и военных учреждений была выявлена малварь. По описанию вредоносы напоминают RAT (Remote Access Trojan), и ФСБ сообщает, что обнаруженные вредоносы ранее уже применялись в нашумевших операциях по кибершпионажу как в России, так и других странах мира.

ФСБ обнаружила вирус в сетях 20-ти правительственных организаций вирус, новость, ФСБ, правительственные организации, политика, троян

Официальный пресс-релиз гласит, что заражению подверглись «информационные ресурсы органов государственной власти и управления, научных и военных учреждений, предприятий оборонно-промышленного комплекса и иные объекты критически важной инфраструктуры страны». Из этого сотрудники ФСБ сделали вывод, что атака являлась результатом направленной и спланированной операции.


Какая именно малварь была обнаружена в сетях госорганов, не сообщается. Основываясь на проведенном анализе стилистики кода, наименованиях файлов, параметрах использования и методах инфицирования, ФСБ заявляет, что аналогичная малварь ранее уже попадала в поле зрения экспертов как в России, так и в других странах.

«Новейшие комплекты данного программного обеспечения изготавливаются для каждой жертвы индивидуально, на основе уникальных характеристик атакуемой ПЭВМ», — пишет ФСБ, еще раз подчеркивая, что атаки были таргетированными.

Также сообщается, что вредоносы распространялись классическим способом: посредством писем, содержащих вредоносные вложения. Если пользователь «проглотил наживку», и малвари удалось проникнуть в систему, далее она принималась за шпионскую работу. Вредоносы загружали извне необходимые модули (учитывая особенности каждой отдельной жертвы) и переходили к перехвату сетевого трафика, его прослушиванию, снятию скриншотов экрана. Также малварь следила за пострадавшими через веб-камеры, подслушивала посредством микрофонов, записывала аудио и видео, без ведома жертвы, перехватывала данные о нажатии клавиш клавиатуры и так далее.

«ФСБ России во взаимодействии с Министерствами и ведомствами проведен комплекс мероприятий по выявлению всех жертв данной вредоносной программы на территории Российской Федерации, а также локализации угроз и минимизации последствий, нанесенных ее распространением», — в заключение сообщает пресс-релиз.

https://xakep.ru/2016/08/01/fsb-found-rats/

638
ВНИМАНИЕ! Опасный вирус-шифровальщик для 1С
132 Комментария  

Антивирусная компания "Доктор Веб" сообщила 22 июня 2016 г. о том, что выявлен опасный вирус для 1С:Предприятия – троянец, запускающий шифровальщика-вымогателя.


Троянец распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка» и следующим текстом:


Здравствуйте!
У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл - Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты.

К письму прикреплен файл внешней обработки для программы «1С:Предприятие» с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно.

Какую бы кнопку ни нажал пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы «1С:Предприятие» появится форма с изображением забавных котиков.


В это же самое время троянец начинает свою вредоносную деятельность на компьютере. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения идентичен приведенному выше. Вместо адреса отправителя троянец использует e-mail, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть. 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:


"Управление торговлей, редакция 11.1"

"Управление торговлей (базовая), редакция 11.1"

"Управление торговлей, редакция 11.2"

"Управление торговлей (базовая), редакция 11.2"

"Бухгалтерия предприятия, редакция 3.0"

"Бухгалтерия предприятия (базовая), редакция 3.0"

"1С:Комплексная автоматизация 2.0"


После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку. К сожалению, в настоящее время специалисты компании «Доктор Веб» не располагают инструментарием для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие», даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов.


http://1c.ru/news/info.jsp?id=21537

https://news.drweb.ru/show/?i=10034&c=5&lng=ru&p=0

Показать полностью
52
Троянчик от GameNet (Black Desert) и как его удалить. Решение.
71 Комментарий  

Может кто и выкладывал как победить этого трояна - не видела.

Появляется ли он после дальнейшей игры в БДДДО - не знаю, но скорее всего да, обновы жеж. Но если  вы решили вычистить все остатки то...


Взялась я за это смело, начну со своих неудач.


1) Открываем диспетчер задач, завершаем процессы Thorn.exe и ThornHelper.exe.

Как мы видим - они появляются снова.

Открываем пуск - в поиск пишем cmd. И в терминале прописываем следующее

Троянчик от GameNet (Black Desert) и как его удалить. Решение. Троян, GameNet, Black Desert, Чистка, Вопрос и ответ, длиннопост

2) Как мы видим - мыло мочало начинаем сначала.

Открываем путь файла, заходим в папку, пробуем удалить - естественно нас оправляют лесом.

Показать полностью 2
63
Троян TRIADA является одним из самых технически сложных образцов малвари.
66 Комментариев в Информационная безопасность  

ТРОЯН TRIADA НАУЧИЛСЯ ПЕРЕХВАТЫВАТЬ И ПОДМЕНЯТЬ URL В БРАУЗЕРАХ.

Троян TRIADA является одним из самых технически сложных образцов малвари. троян, triada, android, информационная безопасность, длиннопост, совет

В марте 2016 года специалисты «Лаборатории Касперского» рассказали о мобильном трояне Triada, который атакует Android-устройства. Тогда эксперты писали, что этот вредонос является одним из самых технически сложных образцов малвари, что им доводилось видеть. Теперь исследователи «Лаборатории Касперского» сообщают, что Triada обзавелся опасным модулем и демонстрирует новую технику атак, перехватывая и подменяя ссылки в мобильных браузерах.



Напомню, что Triada — это первый троян, который на практике научился осуществлять успешные атаки на процесс Zygote; ранее подобные техники рассматривались исключительно с теоретической точки зрения и в виде proof-of-concept. Родительский процесс Zygote содержит системные библиотеки и фреймворки, используемые практически всеми приложениями, и является своего рода шаблоном. После удачного осуществления атаки, троян становится частью этого шаблона, что дает ему возможность проникнуть во все приложения, установленные на зараженном устройстве, а затем изменить логику их работы.



Также Triada использует модульную структуру. То есть основной загрузчик устанавливает на устройство жертвы различные модули малвари, обладающие теми функциями, которые на данный момент нужны злоумышленникам.



6 июня 2016 года исследователи «Лаборатории Касперского» представили подробный разбор одного из модулей Triada, который был обнаружен еще в марте текущего года, вскоре после обнаружения самого трояна. Модуль Backdoor.AndroidOS.Triada.p/o/q атакует процессы четырех популярных браузеров для Android:


android.browser (стандартный Android-браузер);


com.qihoo.browser (защищенный 360 Browser);


ijinshan.browser_fast (браузер Cheetah);


oupeng.browser (браузер Oupeng).

Модуль осуществляет внедрение вредоносных DLL (Triada.q, который затем скачивает Triada.o) в перечисленные процессы. Эти DLL среагируют сразу, как только браузер получит и соберется обработать новую ссылку. Вредоносный компонент трояна передаст данные о ссылке на управляющий сервер злоумышленников, где ссылка пройдет проверку. В случае необходимости, URL может быть подменен на другой, то есть жертву перенаправят на сайт злоумышленников.

Троян TRIADA является одним из самых технически сложных образцов малвари. троян, triada, android, информационная безопасность, длиннопост, совет

Исследователи пишут, что в основном злоумышленники использовали данную схему атак для доставки рекламы, в большинстве случаев просто изменяя домашнюю страницу браузера жертвы или поиск по умолчанию. По сути, модуль применялся как обычное adware-решение, несмотря на весь его вредоносный потенциал. Более того, авторы Triada, похоже, вообще забросили данную разработку и не используют этот компонент малвари уже некоторое время.



В заключение аналитики «Лаборатории Касперского» отмечают, что создатели малвари для Android весьма ленивы. Хотя в последнее время злоумышленники стали уделять больше внимания структуре ОС и пополнили свой арсенал новыми, более сложными векторами атак, чаще атакующие все же идут по пути наименьшего сопротивления. К примеру, им проще похищать деньги у жертв напрямую, посредством отправки сообщений на платные номера или подделывая окна банковских приложений.

Как прогнать преступников из своего телефона?

Самое неприятное в истории с «Триадой» то, что от нее с большой вероятностью могут пострадать очень много людей. Согласно нашим данным, во второй половине 2015 года каждый десятый пользователь Android был атакован теми самыми мелкими троянцами, получающими права суперпользователя, которые среди прочего могут устанавливать на устройство «Триаду». Таким образом, жертвами этого троянца уже могут быть миллионы пользователей.


Так как защитить себя от мерзкого проныры? Не так уж сложно.


1. Во-первых, всегда устанавливать последние системные обновления. Мелким зловредам сложно перехватить root-привилегии в устройствах с Android 4.4.4 и выше, так как большое количество уязвимостей в этих версиях ОС было закрыто. Если на вашем телефоне установлена более-менее современная операционная система, вы находитесь в относительной безопасности. Однако наша статистика показывает, что около 60% пользователей Android сидят на Android 4.4.2 и более древних версиях этой ОС. И вот для них шанс заразиться весьма высок.


2. Во-вторых, лучше вообще не испытывать судьбу и не подсчитывать вероятность тех или иных шансов. Надежную защиту вашего устройства обеспечит только хороший антивирус. Известно немало случаев, когда даже в официальных магазинах Google находили троянцев (собственно, мелкие зловреды, скачивающие «Триаду, как раз из таких). Так что рекомендуем вам установить надежное защитное решение.

Подведем итоги: «Триада» — это еще один весьма наглядный пример неприятной тенденции. Разработчики вредоносного ПО начали воспринимать Android всерьез. Более того, они научились эффективно использовать его уязвимости.



Образцы мобильных троянцев, обнаруженные нами в последнее время, почти такие же сложные и скрытные, как и их Windows-собратья. Единственный способ эффективной борьбы с ними — это не дать им попасть в устройство, поэтому так важно установить хорошее защитное решение.


Источники:

https://xakep.ru/2016/06/08/triada-browser-module/

https://blog.kaspersky.ru/triada-trojan/11102/

Показать полностью 1
3269
Всем кто пострадал от трояна-шифровальщика TeslaCrypt .
122 Комментария  
Всем кто пострадал от трояна-шифровальщика TeslaCrypt . хакеры, шифрование, троян, TeslaCrypt

Издание Bleeping Computer сообщает о том, что создатели знаменитого трояна TeslaCrypt, который зашифровывал файлы на атакованных машинах, опубликовали мастер-ключ для разблокировки и закрыли проект. 

Источник: https://habrahabr.ru/company/pt/blog/301226/

БМ выдавал какие то чаты.

468
Новый вирус криптовымогатель "Locky"
161 Комментарий  

Исследователями в области информационной безопасности был обнаружен новый тип ransomwave — вредоносной программы, шифрующей пользовательские файлы и требующей выкуп в bitcoin. Новый криптовымогатель, который сами создатели назвали «locky», распространяется не совсем стандартным для подобного ПО способом — при помощи макроса в Word-документах.


По словам специалиста по информационной безопасности Лоуренса Абрамса, криптовымогатель маскируется под выставленный пользователю счет и приходит жертве по почте.


Прикрепленный файл имеет имя вида invoice_J-17105013.doc, а при его открытии пользователь увидит только фарш из символов и сообщение о том, что «если текст не читабелен, включите макросы».

Новый вирус криптовымогатель "Locky" вирус, троян, ransomwave, внимание, длиннопост, locky, habrahabr
Показать полностью 2
5412
Наш препод по информационной безопасности
181 Комментарий  
Наш препод по информационной безопасности
1207
Троян с доставкой
151 Комментарий  
Показать полностью 1 Производственное предприятие, утро понедельника, звонок секретарю:

М: Здравствуйте, я из ООО Ромашка, у меня вопрос по акту сверки,
М: подскажите телефон вашей бухгалтерии или переключите.
С: Переключаю.

Бухгалтерия

М: Здравствуйте, я Иванов Сергей Юрьевич, из налоговой инспекции,
М: мы решили провести у вас выездную проверку 20 августа.
Бух: Но у нас уже была проверка 3 месяца назад.
М: Это внеочередная. Продиктуйте адрес электронной почты,
М: отправлю вам информацию, какие документы нужно
М: подготовить и предоставить.
Бух: Может переключить вас на главбуха?
М: Давайте не будем тратить ваше и мое время,
М: продиктуйте адрес, я отправлю информацию,
М: а если что не понятно вы потом нам перезвоните.
М: Телефон вы знаете, он есть на нашем сайте.
Бух: Хорошо, xxxxx@xxxx.ru
М: Не вешайте трубку, сейчас отправлю вам письмо.
Бух: Ок
М: Пришло письмо?
Бух: Да
М: Там ссылка в конце, жмите.
Бух: Нажала, ничего не происходит.
Бух: А вот вижу архив и в нем файл. Что-то файл не открывается,
Бух: нажала и ничего.
М: Наверно у вас не установлена какая-то программа,
М: перешлите письмо коллегам пусть они попробуют открыть.
М: Если будут какие вопросы, звоните, телефон на нашем сайте.
М: Всего доброго.

Бухгалтерия, 5-ю минутами позже.

Бух: Оль, мне сейчас из налоговой звонили, сказали будет проверка,
Бух: прислали письмо со списком необходимых документов,
Бух: но что-то не открывается.
Бух: Попробуй у себя открыть, я тебе отправила.
Оля: Нажала, ничего не происходит. Может отправить Наташе?

Секретарь, через 10 минут, звонок.

М: Здравствуйте, а у вас есть отдел снабжения?
С: Да, что вы хотели?
М: Я генеральный директор ООО Ромашка, мы новая молодая фирма,
М: хотим с вами сотрудничать. Переключите пожалуйста.
С: Переключаю

Снабжение:

М: Здравствуйте, я Иванов Сергей Юрьевич из ООО Ромашка,
М: мы новая молодая фирма, очень хотим с вами сотрудничать.
М: У нас широкий выбор комплектующих и материалов
М: по очень низким ценам. Давайте адрес вашей электронки,
М: пришлю каталог.
Сотр: yyyy@xxxx.ru
М: Подождите, не вешайте трубку, сейчас отправлю вам письмо.
М: Отправил, пришло?
Сотр: Да, вижу.
М: Там есть ссылка, откройте, там архив, а в нем каталог.
Сотр: Скачал, открыл, но ничего не вижу.
М: Поробуйте еще раз
Сотр: Щелкнул еще раз, ничего не происходит
М: Наверно у вас не установлена какая-то программа,
М: попробуйте переслать коллегам и открыть у них.
М: Надеюсь на взаимовыгодное сотрудничество, всего доброго.

Сисадмин, через 30 минут.

Звонок из бухгалтерии:
Бух: У меня перестали открываться документы, у Оли и Наташи тоже.
Бух: Опять вы там что-то делаете, а нам срочно работать надо.
Админ: Расскажите подробнее что случилось и что вы делали перед этим.
Бух: Ничего не делала, работала как обычно.
Бух: Вот сейчас нужен документ, а он не открывается.
Бух: Перезагрузила компьютер, думала поможет, но нет.
Бух: И почта не работает, нам из налоговой важный
Бух: документ прислали, не можем открыть.
Бух: Если через 5 минут не заработает, я буду жаловаться,
Бух: за что вам только деньги платят (бросает трубку).

Звонок из снабжения:
Сотр: Договор не открывается, а 10 минут назад все работало.
Админ: Расскажите что вы делали перед этим.
Сотр: Пытался открыть каталог, присланный по почте.

Как вы уже наверное догадались, это троян. Троян-шифровщик, представляющий собой скрипт с двойным расширением в архиве:
Документы для налоговой проверки(и еще куча букв и пробелов).doc.js
Каталог (куча пробелов).doc.js

Скрипт скачивает из интернета утилиту для шифрования, находит и шифрует все доступные файлы по маске doc, xls, ppt, docx, xlsx, jpg и т.д.
Далее на рабочем столе оставляет файл с инструкциями. И e-mail вымогателей (на gmail.com) для переговоров о выкупе ключа дешифровки.

В итоге шифрованные документы были удалены и восстановлены из резервной копии, ущерба нет.
Троян вобщем-то не нов, его вариации гуляют в сети не один год, а вот способ распространения удивил.
238
Когда обнаружен троян
И антивирус не в силах тебе помочь...
16 Комментариев  
Когда обнаружен троян И антивирус не в силах тебе помочь...
348
План «Троян»: 300 атомных бомб на СССР
102 Комментария  
Показать полностью 1 План «Троян»: 300 атомных бомб на СССР
78
Троян, ворующий предметы из инвентаря Steam
45 Комментариев  
Показать полностью 1 Троян, ворующий предметы из инвентаря Steam
1702
Предостережение! Воры по всюду!!!
ссылка на пост - http://pikabu.ru/story/_1550803
237 Комментариев  
Предостережение! Воры по всюду!!! ссылка на пост - <a href="http://pikabu.ru/story/vot_on_pleer_moey_mechtyi__1550803">http://pikabu.ru/story/_1550803</a>
55
Вирусы
Внимание: длиннопост!
27 Комментариев  
Показать полностью 1 Вирусы Внимание: длиннопост!
ТОП самых выгодных автосервисов!
37 Комментариев; спонсорский пост от  
ТОП самых выгодных автосервисов! длиннопост
Показать полностью


Пожалуйста, войдите в аккаунт или зарегистрируйтесь