106

Исходные коды вируса-шифровальщика SLocker для Android .

Вымогатель SLocker, также известный как Simple Locker, является одним из наиболее известных и старейших шифровальщиков для Android. Именно он устроил настоящую эпидемию летом 2016 года, а в мае 2017 года исследователи обнаружили более 400 новых образцов вируса. Спустя еще месяц, в июне 2017 года, специалисты Trend Micro заметили, что вымогатель начал копировать GUI нашумевшего шифровальщика WannaCry.

Исходные коды вируса-шифровальщика SLocker для Android . Вирус, Шифровальщик, Исходный код, Android, Slocker, Безопасность
SLocker – один из немногих мобильных вымогателей, который действительно шифрует данные жертв, а не просто запугивает пострадавших, блокируя экран устройства. SLocker использует алгоритм AES, шифрует все данные на устройстве, а потом блокирует жертве доступ к каким-либо функциям девайса и требует выкуп. Для связи с командными серверами вирус использует Tor, в результате чего отследить «источник» практически невозможно.
Исходные коды вируса-шифровальщика SLocker для Android . Вирус, Шифровальщик, Исходный код, Android, Slocker, Безопасность

Для ознакомления!

Исходный код вируса SLocker (опубликовал fs0c1ety):

https://github.com/fs0c1ety/SLocker

Пользователям Android рекомендуется удвоить бдительность и помнить о простейших правилах безопасности:

-не открывать почтовые вложения, полученные из неизвестных источников;

-не нажимать на ссылки, полученные в SMS- и MMS-сообщениях;

-отключить в настройках безопасности Android установку приложений не из Google Play;

-своевременно обновлять ОС и приложения;

-не подключаться к незащищенным и непроверенным публичным сетям Wi-Fi, и вообще отключать Wi-Fi если он не используется.

Дубликаты не найдены

+10
Пользователям рекомендуется ... своевременно обновлять ОС ...
Прям очень не люблю я производителей которые забивают на девайсы после года, а то и раньше (почти всех производителей) спасибо циан/лайнэйдж - хоть не самому "своевременно обновлять ОС".
раскрыть ветку 3
+1

резурекшэн ремикс

+1

Ну дык ты сам купил девайс, производители которого не позаботились о своевременных обновлениях.


Проголосовал рублём

0
Ну и то циан и линь не на всех девайсах есть. Ток на наиболее популярных
+2

Просто всё необходимое хранить в облаке.

Если появится эта дрянь - перешить всё к херам и загрузить из облака.

раскрыть ветку 2
0

С облаками тоже много веселых вещей связано, особенно, если ты параноик. Действительно выход - это поднять у себя дома свой сервер, например, ownCloud, и через него все синхронизировать, и еще просто хранить бекапы.

раскрыть ветку 1
0
На флешку файлы, и дело с концом!
+1
Ага... Главное не ставить что попало...
0

тот случай, когда у тебя вв

0
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку 5
+5

Хочешь полной безопасности?

1. Деньги храни в банке. 3ех литровой.


2. Компьютер используй без подключения к сети и отключенными USB и DVD-ROM.


3. Используй только городской телефон.


4. Живи на необитаемом острове.

раскрыть ветку 4
0
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку 2
0
Комментарий удален. Причина: данный аккаунт был удалён
0

Блин у меня почти 9к непрочитанных на двух ящиках скопилось...

Может когда нибудь я найму китайца, что бы он навел там порядок

раскрыть ветку 2
+4
Наведу порядок.
Только сортировка по заранее оговоренным признакам.

Возьму 999 рублей.
раскрыть ветку 1
+3
Комментарий удален. Причина: данный аккаунт был удалён
-2

вот мне нравится, люди ставят клиент-банк  ,  давая дистанционный доступ к своему счету.

и могут все просрать случайно перейдя по ссылке.


слабоумие и слабоумие.

раскрыть ветку 1
-2

Да, а еще забивают туда свои денежные карты, а потом удивляются – а куда это деньги с них уходят?

-12
Врётиии!! На андройед нибываит вирусав! Тамушта эта линух! Линух-хуинух матьего! Эта самайа лудшайа телефон!
раскрыть ветку 8
+5
Иллюстрация к комментарию
ещё комментарии
+1
Ну и? Среда исполнения кода - Java машина Dalvik.
ещё комментарии
Похожие посты
149

Записки ведущего #46 Баста, карапузики, кончилися танцы

Привет всем моим подписчикам и Пикабутянам! Я пишу о праздниках и около праздничной суете.

В стране бушует вирус, и эта тема коснулась нашей братии на 146%. Сейчас я приоткрою завесу тайны о настроениях за кулисами организаторов и ведущих торжеств.

Для начала о моей ситуации на апрель:
👉 10.04 Юбилей
👉 11. 04 Свадьба
👉 12.04 Квиз в ресторане
Всё полетело к чертям.
100% Отмены.

👉 18.04 Свадьба
👉 25.04 Свадьба
👉 30.04 Свадьба
Под бооольшим вопросом...

Все чаты ведущих и организаторов переполнены паникой. Коллеги обсуждают как сохранить свои мероприятия. Обсуждают тему возврата или невозврата предоплат.

Прекрасно понимаю, что долгое ожидание торжества со стороны невест, и финансовая нестабильность со стороны подрядчиков побуждает людей на не самые светлые поступки :

Записки ведущего #46 Баста, карапузики, кончилися танцы Ведущий Андрей Родионов, Кризис, Вирус, Безопасность, Свадьба, Берегите себя, Негатив, Надежда, Длиннопост

Но дело даже не в том, чтобы отгулять долгожданное событие или получить гонорар. Суть в том, что в угоду своих желаний, не стоит отправляться в общественные места пренебрегая опастностью заражения себя и близких.

Вчера вечером я принял решение, что на свои торжества в апреле я не поеду и либо предложу провести свои мероприятия коллегам, либо верну предоплату.

У меня двое детей и если заражусь, то мы с супругой поедем на 21 день во взрослый карантин, а дети (7, 5 лет и грудничёк 6ти месяцев) в детский стационар. Так себе перспектива.

Интернет переполнен видео где вместо того, чтобы сидеть по домам-люди жарят шашлык, а другие делают про первых видеообзоры и гуляют в центре города. Сколько из них уже стало потенциальными носителями?

Я вас очень прошу- не гуляйте на торжествах, как минимум в ближайший месяц. Оградите себя и своих близких. Всё это через несколько месяцев обязательно закончится и тогда хоть неделю веселитесь. Тем более, по окончании всей этой истории праздник вам выйдет значительно дешевле 😁

Не давайте вирусу повода и всё будет лучше.

Радость от мимолётного торжества может нивелироваться последствиями, о которых (возможно) придётся Горько пожалеть.

p. s. В свете последних событий, следующий пост будет то же весьма мрачен.
Будет интересно, хоть и не особо весело. Подписывайтесь. Погрустим вместе.

Показать полностью
462

Как вскрывают пароли представители  правоохранительных органов

Как вскрывают пароли представители  правоохранительных органов Хакеры, Взлом, Вирус, Шифрование, Интернет, Безопасность, IT, Исследования, Длиннопост

Хакеры, мошенники, работники IT-безопасности, следственные органы и спецслужбы — все они при определенных обстоятельствах могут попытаться добраться до информации, защищенной с помощью паролей. И если инструменты, которыми пользуются хакеры и спецслужбы, в целом практически совпадают, то подход к задаче отличается кардинальным образом. За исключением единичных дел, на раскрытие которых могут быть брошены огромные силы, эксперт работает в рамках жестких ограничений как по ресурсам, так и по времени, которое он может потратить на взлом пароля. Какие подходы используют правоохранительные органы и чем они отличаются от работы хакеров — тема сегодняшнего материала.


Добрым словом и пистолетом

Разумеется, в первую очередь представители органов безопасности действуют методом убеждения. «Ты не выйдешь отсюда, пока не разблокируешь телефон», — говорят они задержанному, положив перед ним документ, где английским по белому написано, что «предъявитель сего имеет право досмотреть содержимое мобильных устройств» задержанного. Вот только о том, что задержанный обязан собственный телефон разблокировать, в документе ни слова. Что совершенно не мешает органам безопасности беззастенчиво пользоваться правом, которого у них нет.


Трудно в такое поверить? На самом деле не очень: последний такой случай произошел буквально на днях. Американский гражданин Сидд Бикканнавар (Sidd Bikkannavar), работающий в NASA, был задержан на границе при въезде в страну; именно «словом и пистолетом» его убедили разблокировать корпоративный смартфон.


Да, ты не обязан свидетельствовать против самого себя и выдавать свои пароли. Этот принцип наглядно иллюстрируется очередным случаем. Подозреваемый в хранении детской порнографии сидит уже 27 месяцев за то, что отказывается сообщить пароли от зашифрованных дисков. Презумпция невиновности? Не, не слышали.


Впрочем, подобные меры можно применять не всегда и не ко всем. Мелкого мошенника, брачного афериста или просто любителя накачать музыки «про запас» без внятных доказательств в тюрьму не запрешь, равно как и серьезного преступника с деньгами и адвокатами. Данные приходится расшифровывать, а пароли — вскрывать. И если в делах, связанных с тяжкими преступлениями и угрозой национальной безопасности (терроризм), руки у экспертов развязаны, а ограничений (финансовых и технических) практически нет, то в остальных 99,9% случаев эксперт жестко ограничен как доступными вычислительными возможностями лаборатории, так и временными рамками.


А как с этим обстоят дела в России? На границе устройства разблокировать пока не заставляют, но… процитирую эксперта, который занимается извлечением информации с телефонов и компьютеров задержанных: «Самый действенный способ узнать пароль — это звонок следователю».


Что можно сделать за 45 минут? А за два дня?

Фильмы не всегда врут. На одной из выставок ко мне подошел человек, в котором я сразу опознал начальника полицейского участка: большой, лысый и чернокожий. Информация с жетона подтвердила первое впечатление. «У меня в участке штук двести этих… айфонов, — с ходу начал посетитель. — Что вы можете сделать за 45 минут?» С такой постановкой вопроса мне раньше сталкиваться не приходилось. Впрочем, на тот момент (три года назад) еще были популярны устройства без сканера отпечатков, Secure Enclave только-только появился, а с установкой jailbreak проблем, как правило, не возникало. Но вопрос занозой засел у меня в голове. Действительно, а что можно сделать за 45 минут? Прогресс идет, защита усложняется, а времени у полиции больше не становится.


В самых незначительных делах, когда телефон или компьютер пользователя конфискуются «на всякий случай» (например, задержали за мелкое хулиганство), у следствия не будет ни времени, ни сил, ни зачастую работников высокой квалификации для вскрытия пароля. Не удалось разблокировать телефон за 45 минут? Обратимся к уликам, собранным более традиционным образом. Если за каждое зашифрованное устройство каждого мелкого хулигана биться до последнего, ресурсов не хватит ни на что другое.


В более серьезных случаях, когда конфискуется в том числе и компьютер подозреваемого, следствие может приложить и более серьезные усилия. Опять же, от страны, от тяжести преступления, от важности именно цифровых улик будет зависеть и количество ресурсов, которые можно затратить на взлом.


В разговорах с полицейскими разных стран чаще всего возникала цифра «два дня», при этом подразумевалось, что задача ложится на существующий кластер из пары десятков компьютеров. Два дня на вскрытие паролей, которыми защищены, к примеру, криптоконтейнеры BitLocker или документы в формате Office 2013, — не слишком ли мало? Оказывается, нет.


Как они это делают

Инструменты для взлома паролей у полиции были изначально, но полноценно применять их научились не так давно. К примеру, полицию всегда интересовали пароли, которые можно извлечь из компьютера подозреваемого, — но извлекали их сначала вручную, потом — при помощи единичных утилит, которые могли, например, получить только пароль от ICQ или только пароль к учетным записям в Outlook. Но в последние несколько лет в полиции пришли к использованию инструментов «всё в одном», которые сканируют жесткий диск и Registry устройства и сохраняют в файл все найденные пароли.


Во многих случаях полиция пользуется услугами частных криминалистических лабораторий — это касается как рутины, так и громких дел (толстый намек на процесс в Сан-Бернардино). А вот «частники» готовы воспользоваться самыми «хакерскими» методами: если оригинальные данные не изменяются, а следов вмешательства не остается, то способ, которым был добыт нужный пароль, значения не имеет, — в суде эксперт может сослаться на коммерческую тайну и отказаться раскрывать технические детали взлома.


Реальные истории

Иногда действовать требуется быстро: вопрос не в ресурсах, вопрос во времени. Так, в 2007 году в лабораторию поступил запрос: пропал 16-летний подросток. Родители обратились в (тогда еще) милицию, которая и пришла в лабораторию с ноутбуком пропавшего. Ноутбук защищен паролем. Было понятно, что нескольких месяцев на перебор паролей нет. Пошла работа по цепочке. Снят образ диска, параллельно запущена атака на пароль в Windows. Запущен поиск паролей на диске. В результате в Elcomsoft Internet Password Breaker был найден пароль к почте. Больше ничего интересного на компьютере не оказалось. Ничего, что могло бы помочь в поисках, в почте не было, но через почтовый ящик удалось сбросить пароль к ICQ, а там обнаружилась переписка с друзьями, из которой стало понятно, в какой город и к кому «пропал» подросток. Закончилось благополучно.


Однако далеко не всегда у историй хороший конец. Несколько лет назад в лабораторию обратился французский частный следователь. Его помощи попросила полиция: пропал известный спортсмен. Полетел в Монако, дальше следы теряются. В распоряжении следствия оказался компьютер спортсмена. Проанализировав содержимое диска, на компьютере обнаружили iTunes и панель управления iCloud. Стало понятно, что у спортсмена iPhone. Попробовали получить доступ к iCloud: пароль неизвестен, но маркер аутентификации (вытащили из iCloud Control Panel) сработал. Увы, как это часто бывает, в облачной резервной копии не оказалось никаких намеков на местонахождение «пропажи», а сама резервная копия была создана чуть ли не полтора месяца назад. Внимательный анализ содержимого позволил обнаружить пароль от почты — он был сохранен в заметках (тот самый «желтый стикер» с паролем, чтобы не забыть). Зашли в почту, нашли бронь отеля. Полиция подхватилась… Увы, история закончилась плохо: спортсмена нашли мертвым.


Но вернемся к нашим двум дням для взлома. Что можно сделать за это время?


Насколько (бес)полезны стойкие пароли

Не сомневаюсь, ты много раз слышал советы, как выбирать «стойкий» пароль. Минимальная длина, буквы и цифры, специальные символы… А так ли это важно на самом деле? И поможет ли длинный пароль защитить твои зашифрованные тома и документы? Давай проверим!


Для начала — немного теории. Нет, мы не будем в очередной раз повторять мантру о длинных и сложных паролях и даже не будем советовать пользоваться паролехранилками. Просто рассмотрим две картинки:

Как вскрывают пароли представители  правоохранительных органов Хакеры, Взлом, Вирус, Шифрование, Интернет, Безопасность, IT, Исследования, Длиннопост

Скорость перебора паролей с использованием видеокарты: вот BitLocker и RAR5

Как вскрывают пароли представители  правоохранительных органов Хакеры, Взлом, Вирус, Шифрование, Интернет, Безопасность, IT, Исследования, Длиннопост

а вот Microsoft Office, Open Office и IBM Notes


Как видим, скорость перебора для томов BitLocker — всего 860 паролей в секунду при использовании аппаратного ускорителя на основе Nvidia GTS 1080 (к слову, это действительно быстро). Для документов Microsoft Office 2013 цифра повыше, 7100 паролей в секунду. Что это означает на практике? Примерно вот это:

Как вскрывают пароли представители  правоохранительных органов Хакеры, Взлом, Вирус, Шифрование, Интернет, Безопасность, IT, Исследования, Длиннопост

Таким образом, на очень быстром компьютере с аппаратным ускорителем пароль, состоящий из пяти букв и цифр, будет взломан за день. Если в том же пятизначном пароле затешется хотя бы один специальный символ (знак препинания, #$%^ и подобное), ломать его придется уже две-три недели. Но пять знаков — мало! Средняя длина пароля сегодня — восемь символов, а это уже далеко за пределами вычислительных возможностей даже самых мощных кластеров в распоряжении полицейских.


Тем не менее большинство паролей все-таки вскрывается, и именно за два дня или даже быстрее, причем вне зависимости от длины и сложности. Как так? Неужели полицейские, как в фильмах, узнают имя собачки подозреваемого и год рождения его дочери? Нет, все гораздо проще и эффективнее, если говорить не о каждом отдельном случае, а о статистических показателях. А с точки зрения статистики гораздо выгоднее использовать подходы, которые работают в «большинстве» случаев, даже если они не дадут результата в конкретном деле.


Сколько у тебя паролей?

Я подсчитал: у меня 83 уникальных пароля. Насколько они на самом деле уникальны — разговор отдельный; пока просто запомним, что у меня их 83. А вот у среднего пользователя уникальных паролей гораздо меньше. По данным опросов, у среднего англоязычного пользователя 27 учетных записей в онлайновых сервисах. Способен ли такой пользователь запомнить 27 уникальных, криптографически сложных паролей? Статистически — не способен. Порядка 60% пользуются десятком паролей плюс их незначительными вариациями (password, password1, ну, так и быть, — Password1234, если сайт требует длинный и сложный пароль). Этим беззастенчиво пользуются спецслужбы.


Если есть доступ к компьютеру подозреваемого, то извлечь из него десяток-другой паролей — вопрос техники и нескольких минут. К примеру, можно воспользоваться программой Elcomsoft Internet Password Breaker, которая вытаскивает пароли из браузеров (Chrome, Opera, Firefox, Edge, Internet Explorer, Yandex) и почтовых клиентов (Outlook, Thunderbird и другие).


В ней можно просто побродить по хранилищам паролей, а можно нажать Export, в результате чего за считаные секунды все доступные пароли будут извлечены из всех поддерживаемых источников и сохранены в текстовый файл (дубликаты удаляются). Вот этот-то текстовый файл и есть готовый словарь, который в дальнейшем используется для вскрытия паролей, которыми зашифрованы файлы с серьезной защитой.

Извлекаем пароли из браузеров и почтовых клиентов

Допустим, у нас есть файл P&L.docx, извлеченный с компьютера пользователя, и есть словарик из его паролей от нескольких десятков (или даже сотни) учетных записей. Попробуем воспользоваться паролями для расшифровки документа. С этим может помочь практически любая программа для перебора паролей, которая поддерживает формат документов MS Office 2013. Нам привычнее Elcomsoft Distributed Password Recovery.


Атака происходит в три этапа. На первом этапе просто подключаем словарь «как есть».

Как вскрывают пароли представители  правоохранительных органов Хакеры, Взлом, Вирус, Шифрование, Интернет, Безопасность, IT, Исследования, Длиннопост

Этот этап занимает доли секунды; вероятность успеха «здесь и сейчас» — порядка 60% для среднестатистического пользователя (не хакера, не айтишника и не киберпреступника).


Второй этап — используется тот же словарь, состоящий из паролей пользователя, но в конец каждого пароля дописываются цифры от 0 до 9999.

Как вскрывают пароли представители  правоохранительных органов Хакеры, Взлом, Вирус, Шифрование, Интернет, Безопасность, IT, Исследования, Длиннопост

Наконец, третий этап — тот же документ, тот же словарь, но прогоняются вариации («мутации» в терминологии EDPR). На скриншоте можно увидеть список доступных мутаций:

Как вскрывают пароли представители  правоохранительных органов Хакеры, Взлом, Вирус, Шифрование, Интернет, Безопасность, IT, Исследования, Длиннопост

Большой соблазн — активировать их все, но практического смысла в этом немного. Имеет смысл изучить, как именно конкретный пользователь выбирает свои пароли и какие именно вариации он использует. Чаще всего это одна или две заглавных буквы (вариация case средней степени), одна или две цифры в произвольных местах пароля (вариация digit средней степени) и год, который чаще всего дописывается в конец пароля (вариация year средней степени). Впрочем, на данном этапе все-таки имеет смысл просмотреть пароли пользователя и учесть вариации, которые использует именно он.


На втором и третьем этапах обычно вскрывается каждый десятый пароль. Итоговая вероятность расшифровать документ у среднего пользователя — порядка 70%, причем время атаки ничтожное, а длина и сложность пароля не имеют ровно никакого значения.


Исключения из правила

Если у одного пользователя файлы и учетные записи защищены одними и теми же паролями, это вовсе не означает, что так везти будет каждый раз. Например, в одном случае подозреваемый хранил пароли в виде имен контактов в телефонной книге, а в другом сборник паролей совпадал с именами зашифрованных файлов. Еще один раз файлы были зашифрованы названиями мест отдыха подозреваемых. Инструментов для автоматизации всех подобных случаев просто не существует: даже имя файла следователю приходится сохранять в словарь вручную.


Длина не имеет значения

Если говорить о длине и сложности паролей, то большинство пользователей не привыкли себя утруждать. Впрочем, даже если бы почти все использовали пароли максимальной длины и сложности, это не повлияло бы на скорость атаки по словарям, составленным из утечек.


Если ты следишь за новостями, то, вероятно, слышал об утечках баз данных с паролями из Yahoo (три раза подряд!), LinkedIn, eBay, Twitter и Dropbox. Эти службы очень популярны; в общей сложности утекли данные десятков миллионов учетных записей. Хакеры проделали гигантскую работу, восстановив из хешей большую часть паролей, а Марк Бёрнетт собрал все утечки воедино, проанализировал ситуацию и сделал интереснейшие выводы. По данным Марка, в том, какие пароли выбирают англоязычные пользователи, прослеживаются четкие закономерности:

0,5% в качестве пароля используют слово password;

0,4% в качестве пароля используют последовательности password или 123456;

0,9% используют password, 123456 или 12345678;

1,6% используют пароль из десятки самых распространенных (top-10);

4,4% используют пароль из первой сотни (top-100);

9,7% используют пароль из top-500;

13,2% используют из top-1000;

30% используют из top-10000.

Дальше Марк не анализировал, но мы продолжили его последовательность, воспользовавшись списком из 10 миллионов самых популярных паролей. По нашим данным, пароли из этого списка использует всего 33% пользователей, а длительность атаки растет на три порядка.


Что нам дает эта информация? Вооружившись статистикой и словариком из

10 тысяч самых распространенных паролей, можно попробовать расшифровать файлы и документы пользователя даже в тех случаях, когда о самом пользователе ничего не известно (или просто не удалось получить доступ к компьютеру и извлечь его собственные пароли). Такая простейшая атака по списку из всего 10 тысяч паролей помогает следствию примерно в 30% случаев.


70 + 30 = 100?

В первой части статьи мы воспользовались для атаки словарем, составленным из паролей самого пользователя (плюс небольшие мутации). Согласно статистике, такая атака работает примерно в 70% случаев. Второй метод — использование списка из top-10000 паролей из онлайновых утечек, что дает, снова согласно статистике, тридцатипроцентную вероятность успеха. 70 + 30 = 100? В данном случае — нет.


Даже если «средний» пользователь использует одни и те же пароли, даже если эти пароли содержатся в утечках, ни о какой гарантии речи не идет. Офлайновые ресурсы, зашифрованные тома и документы могут быть защищены принципиально другими паролями; вероятность этого никто не измерял. При расследовании преступлений, связанных с компьютерами, заметно возрастает вероятность нарваться на пользователя, который не попадает в категорию «средних». Говорить о том, что 30% или 70% паролей любого пользователя вскрываются за несколько минут (априорная вероятность), не совсем корректно. А вот о семидесятипроцентной раскрываемости (апостериорная вероятность) рапортовать можно.


Именно такими, быстрыми, легко автоматизируемыми и неплохо прогнозируемыми способами любят пользоваться правоохранительные органы, если «доброе слово и пистолет» не срабатывают.


На этом всё?

Разумеется, на перечисленных атаках процесс не останавливается. Подключаются собственные словари — как с популярными паролями, так и словари английского и национального языков. Как правило, используются вариации, здесь единого стандарта нет. В ряде случаев не брезгуют и старым добрым brute force: кластер из двадцати рабочих станций, каждая из которых укомплектована четырьмя GTX 1080, — это уже полмиллиона паролей в секунду для формата Office 2013, а для архивов в формате RAR5 и вовсе за два миллиона. С такими скоростями уже можно работать.


Разумеется, пароли к учетным записям, которые можно извлечь из компьютера подозреваемого, далеко не всегда помогут в расшифровке файлов и криптоконтейнеров. В таких случаях полиция не стесняется привлекать и другие методы. Так, в одном случае следователи столкнулись с зашифрованными данными на ноутбуках (системные накопители были зашифрованы с использованием BitLocker Device Protection совместно с модулем TPM2.0).


Атаковать эту защиту «в лоб» бесполезно; никакой пароль в этом случае пользователь не устанавливает. Помог анализ другого устройства, на которое пользователь заходил с помощью той же учетной записи Microsoft Account. После восстановления пароля к Microsoft Account расшифровка системного накопителя стала делом техники. В другом случае данные с зашифрованных ноутбуков были найдены на сервере в незащищенном виде.


Как защититься? В первую очередь проведи аудит своих паролей. Попробуй проделать все то, что показали мы. Удалось взломать пароль к документу, архиву, зашифрованному тому за несколько минут? Делай выводы. Не удалось? Методов мягкого убеждения никто не отменял.
https://t.me/deepernetwork_news

Показать полностью 6
677

Не рабочий сегодня день

Сегодня придя на работу, бухгалтер встала в ступор и с криками, все пропало!!! Пошла пить чай на весь день. Причиной внепланового чаепития стал вирус- шифровальщик crypted000007...

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Не медля я открыл этот файл и увидел что собственно хочет разработчик данного шифрования

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Просмотрев несколько форумов таких как, Каспеский и dr.web, паника началась и у меня, разработчик все зашифровал в системе RSA-3072. Пройдя по ссылке которая указана в .txt от разраба, перед мной предстал сайт связи с террористом

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Написав в форме обратной связи, если её можно так назвать, обращение, я решил пока он не ответит на почту просвятится и узнать что же за метод RSA шифрования, оказывается все началось в августе 1977 года в колонке «Математические игры» Мартина Гарднера в журнале Scientific American, с разрешения Рональда Ривеста появилось первое описание криптосистемы RSA. Читателям также было предложено дешифровать английскую фразу, зашифрованную описанным алгоритмом:

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

В качестве открытых параметров системы были использованы числа n=1143816...6879541 (129 десятичных знаков, 425 бит, также известно как RSA-129) и e=9007. За расшифровку была обещана награда в 100 долларов США. По заявлению Ривеста, для факторизации числа потребовалось бы более 40 квадриллионов лет. Однако чуть более чем через 15 лет, 3 сентября 1993 года было объявлено о старте проекта распределённых вычислений с координацией через электронную почту по нахождению сомножителей числа RSA-129 и решению головоломки. На протяжении полугода более 600 добровольцев из 20 стран жертвовали процессорное время 1600 машин (две из которых были факс-машинами. В результате были найдены простые множители и расшифровано исходное сообщение, которое представляет собой фразу «THE MAGIC WORDS ARE SQUEAMISH OSSIFRAGE» («Волшебные слова — это брезгливый ягнятник»). 

Не рабочий сегодня день Вирус, Работа, Шифровальщик, Длиннопост

Это и есть ягнятник

Вообщем просвятится я знатно, и понял что данный орешек просто так не расколоть, и так и не дождался ответа на почту от разработчика данного вируса...
Буду ждать. О результатах если интересно напишу в следующем посту.

P.S вирус довольно новый, активный, предупредите своих знакомых, коллег и всех всех, нельзя открывать подозрительные письма на почте и уж тем более не переходить по ссылкам в них! Обязательно пользоваться антивирусом, и открывать только знакомые сайты. Нам это послужило уроком, а вам желаем научится на наших ошибках.

Показать полностью 3
1339

Полмиллиона пользователей Android скачали опасный вирус

Полмиллиона пользователей Android скачали опасный вирус Android, Вирус

Эксперты в области кибербезопасности обнаружили в магазине Google Play 13 поддельных приложений, замаскированных под оригинальные программы. В общей сложности их скачали более 560 тысяч раз, пишет сотрудник компании ESET Лукас Стефанко (Lukas Stefanko) в своем Twitter.


Все вредоносные приложения-игры были опубликованы в магазине от имени разработчика Luis O Pinto. Сразу после установки программы удаляли свою иконку с экрана и запускали загрузку другого приложения в фоновом режиме.


Вторая программа, в свою очередь, маскировалась под сервис Game Center, который сразу же запрашивал разрешение на полный доступ к сети и автозапуску при включении смартфона. После одобрения пользователя троян начинал крутить рекламу на экране каждый раз, когда владелец телефона разблокировал его.


Журналисты The Bleeping Computer отметили, что модераторы Google Play не удалили приложения даже после того, как зараженные пользователи оставили множество отзывов о поддельном ПО. Ситуация изменилась лишь после того, как эксперты обнародовали информацию о вредоносных программах.

231

Пользователи Android, изоляция банк клиентов.

Здравствуйте. Счастья, здоровья, держитесь там. Приношу извинения, тчо сильно затянул написание этой заметки. Автор занимался определёнными изысканиями в одной отбитой области и по этой причине времени написать сий трудъ не было. Паралельно бросил пить, курить, занялся спортом, похудел, ох*уел как хорошо жить вне интернетов в реальном мире. Да-да всем срать, приступаю. Извиняйте за тавтологию, если повторю то, что уже писал.


Предисловие: меня удивляет безалаберность большинства пользователей, никто из моих знакомых не использует аккаунты в телефоне, работают под администратором в ОС или, админы поймут, запускают продуктивные приложения из-под рута. Возможно люди станут чуть более расторопными, когда уже будет поздно. Те, у кого троян, скачанный в виде игрушки с левого сайта племянником-двоюродной_сестры-тёти спёр деньги со счёта мобильного или с банковской карты обычно прозревают.


Начиная с версии Android 4.2 у владельцев планшетов существует возможность создавать несколько учетных записей для разделения устройства между разными пользователями. В мобильных телефонах данная функция появилась, начиная с версии 5.0. Я предлагаю использовать эту возможность для обеспечения более высокого уровня безопасности.


Что нам понадобится: Устройство на android 5+, второй, гугл аккаунт.


Краткое руководство к действию. Справедливо для голого Android, названия пунктов меню взяты из версии 8.1


После первоначальной загрузки телефона, не стоит настраивать вообще ничего, кроме трёх пунктов, этот аккаунт является администратором и позволяет давать доступ к sms/вызовам другим пользователям, добавлять и удалять их, предполагаю в будущем возможности контроля и ограничений будут расширены.


1) Добавьте пароль для аккаунта, именно пароль, длинный жирный необрезанный. Впрочем вы можете руководствоваться своими соображениями и использовать любой вариант.

Настройки – Местоположение и защита – Блокировка экрана.


2) Проверьте, что ваше устройство зашифровано.

Настройки – Местоположение и защита – Шифрование и учетные данные – Зашифровать данные.


3) Создаём пользователей.

Настройки – Пользователи и аккаунты – Пользователи.


Создаём 2 аккаунта:

Первый - будет нашим повседневным с обычной учетной записью Google, отпечатком пальца для разблокировки и прочими свистелками/перделками.

Второй мы планируем использовать для всех приложений с доступом к финансовым активностям, именно для него я и могу рекомендовать завести отдельный гугл.аккаунт не связанных НИКОИМ образом с первым.


Можно расширить список аккаунтов и изолировать назойливые игры, которые пытаются изнасиловать вас своими уведомлениями и напоминаниями. Также есть гостевой аккаунт.


Рекомендации для параноиков:


1) Не привязывайте номер телефона к второму «банковскому» аккаунту гугл. В случае, если недобросовестный опсос перевыпустит симку, все(ну почти все) банк клиенты перестанут работать на сутки, а получить доступ к вашему аккаунту человек сможет. Зная, как в данный момент развита электронная коммерция, этого может быть достаточно для создания вам проблем. Простой пример – привязанная к аккаунту карта для платежей gPay.


2) Используйте 2FA – двухфакторная аутентификация. Обязательно сгенерируйте новые резервные коды для входа, именно они являются наиболее безопасным способом восстановить доступ к аккаунту.

https://myaccount.google.com/signinoptions/two-step-verification


3) Идеальным вариантом является использование «паролей для приложений». Генерируются один раз, записывать не надо, запоминать тоже, геморройно бывает настраивать новое устройство, но лучше этого пока не придумали.

https://myaccount.google.com/apppasswords


4) Проведите аудит конфиденциальности. Я лично выключил для банковского вообще всё.

https://myaccount.google.com/privacycheckup


5) Отключите/удалите все не нужные вам приложения.

Это сократит как расход батареи, при переходе между аккаунтами многие приложения получают событие для пробуждения, так и позволит чуть ограничить собираемые о вас данные. Оставить точно стоит gPlay, т.к. обновлять приложения нужно обязательно, остальной софт по-вкусу.

Настройки – Приложения и уведомления – Показать все.

При выборе приложения вы провалитесь в меню, где будет возможность удалить обновление/отключить приложение.


6) Отключите Google Instant App!

Настройки – Google – Сообщения с предпросмотром приложений.


Что это за зверь? Теоретически задумка неплохая, при переходе на сайт, устройство загрузит приложение, что-то вроде тонкого клиента сайта, после чего вы сможете пользоваться сайтом в рамках экосистемы вашего устройства. Например, можно будет моментально оплатить покупку, привязанной к аккаунту картой. А можно потерять все деньги, если это приложение окажется зловредом, подписанным корректным сертификатом. Тот же aliexpress вообще никаких вопросов не задаёт, просто деньги с карты списывает.


p.s.

Для Xiaomi на прошивках MIUI существует аналог – второе пространство. К сожалению множественное добавление пользователей тут невозможно, однако есть такие фишки, как:

1) Скрытие из меню основного аккаунта пункта второго пространства.

2) Вход в разны аккаунты из одного экрана блокировки по разным паролям/отпечаткам пальца. Не знающий человек просто не догадается, что в телефоне есть изолированный сегмент с блекджеком и ещё чем-нибудь.

3) Склероз мой друг. Если верно помню, есть возможность "завернуть" определённые контакты с вызовами и смс во второе пространство. И никто не узнает, что вы бэтмен, ходите на сторону/ведёте двойную жизнь(курьерам с зп 300к в месяц привет). В крайнем случае сяоми из-коробки имеет applock, который способен скрывать даже конкретные сообщения из чатов.


Спасибо за интерес. К сожалению у меня нет совершенно времени отвечать.

Показать полностью
3346

Как «заразить» Android смартфон вредоносным ПО

Телефон принесли в сервис, уже наверное, третий за неделю с вирусом, который рассылается через смс с другого заражённого устройства, при этом также списываются деньги с карт. Удалив вредоносное приложение через безопасный режим, решил повторить те действия которые необходимо выполнить, что бы «заразить» устройство. У меня просто нет слов…

1442

Автор вредоноса Sigrun бесплатно предоставил русскоязычным пользователям дешифровщик 

В случае с иностранными пользователями злоумышленник требует выкуп в размере $2,5 тыс. в криптовалюте.

Автор вредоноса Sigrun бесплатно предоставил русскоязычным пользователям дешифровщик  Хакеры, Вирус, Шифровальщик, Расшифровка, Россияне, Вымогательство, Sigrun

Разработчик вредоносного ПО Sigrun бесплатно предоставил пользователям, у которых русский язык указан в качестве основного, дешифровщик файлов. Об этом сообщил специалист по кибербезопасности Алекс Свирид (Alex Svirid) в соцсети Twitter.

Как следует из предоставленных одним из пользователей Twitter скриншотов, если в случае с американским пользователем злоумышленник потребовал выкуп в размере $2,5 тыс. в криптовалюте, то жертве из России хакер согласился помочь бесплатно.

Автор вредоноса Sigrun бесплатно предоставил русскоязычным пользователям дешифровщик  Хакеры, Вирус, Шифровальщик, Расшифровка, Россияне, Вымогательство, Sigrun
Вам не придется платить. Я просто помогу тебе


Как полагают специалисты, автор вредоносного ПО сам проживает на территории РФ и подобная тактика является попыткой избежать излишнего внимания со стороны правоохранительных органов.

Вредонос Sigrun представляет собой вымогательское ПО, которое после инфицирования компьютера требует у пользователей выкуп в криптовалюте за дешифровку данных.

https://www.securitylab.ru/news/493721.php

189

Новый вирус распространяется на Windows-ПК через 0Day-уязвимость 

Новый вирус распространяется на Windows-ПК через 0Day-уязвимость  Уязвимость, Microsoft, Вирус, Безопасность, Компьютер

Эксперты по кибербезопасности из Qihoo 360 обнаружили новый вид компьютерного вируса, который успешно передаётся через 0Day-уязвимость в браузере Internet Explorer и приложениях на ядре IE.


Уязвимость нулевого дня в последних сборках Internet Explorer открывает злоумышленникам возможность установить бэкдор для вируса на компьютерах пользователей с ОС Windows через документы Microsoft Office. Для этого не обязательно постоянно пользоваться названным браузером, достаточно даже один раз, например, чтобы скачать более популярный Chrome. Нужно быть внимательным и не открывать документ MS Office, в котором "вшита" web-ссылка на установку вредоносного кода. Как только жертва открывает файл, на ПК с удалённого сервера загружаются компоненты для запуска трояна. В ходе атаки вирус использует способ обхода UAC (User Account Control, Контроль учетных записей), технику отражающей DLL-загрузки (Reflective DLL Loading), «безфайловую» загрузку и стеганографию файлов для засекречивания своей деятельности.


Корпорация Microsoft уже предупреждена об уязвимости, но пока соответствующая "заплатка" не выпущена. До этого момента эксперты по кибербезопасности рекомендуют не открывать незнакомые MS Office-документы из сомнительных источников.

24gadget

Новый вирус распространяется на Windows-ПК через 0Day-уязвимость  Уязвимость, Microsoft, Вирус, Безопасность, Компьютер
1003

Больше 20 миллионов пользователей используют фальшивые блокировщики рекламы

По мотивам https://pikabu.ru/story/mayner_hanstrackr_v_prilozhenii_chro...

Один из сооснователей и разработчиков AdGuard, Андрей Мешков, опубликовал в блоге компании интересную запись. Он пишет, что из-за плохой модерации Chrome Web Store более 20 млн пользователей установили себе фальшивые блокировщики рекламы и фактически являются участниками ботнета.

Фальшивые блокировщики рекламы, равно как и подделки любых популярных аддонов и приложений, вовсе не редкость. К примеру, осенью 2017 года в официальном Chrome Web Store обнаружили поддельную версию Adblock Plus, которой пользовались порядка 37 000 человек.

Мешков рассказывает, что данная проблема не нова. Мошенники довольно давно размещают в Chrome Web Store клоны популярных блокировщиков (добавляя всего несколько строк собственного кода). В результате пользователи вполне могли установить что-то вроде Adguard Hardline или Adblock Plus Premium или другие имитации. Единственный возможный способ борьбы с подобными фейками — это обратиться к Google с жалобой о неправомерном использовании товарного знака. Удаление клона занимает несколько дней.

По данным AdGuard, в настоящее время ситуация стала хуже, а мошенники умнее. На скриншоте ниже приведены результаты поиска, содержащие подделки. К этим клонам злоумышленники добавили пару строк кода и аналитику, но также употребляют ключевые слова в описании расширений, чтобы оказаться первыми в результатах поиска.

Больше 20 миллионов пользователей используют фальшивые блокировщики рекламы Вирус, Расширение, Adblock, Фейк, Безопасность, Браузер, Длиннопост

Очевидно, что таких простых трюков и пребывания в топе достаточно для завоевания доверия случайных пользователей. К примеру, только у одной из подделок насчитывается более 10 миллионов пользователей.

Больше 20 миллионов пользователей используют фальшивые блокировщики рекламы Вирус, Расширение, Adblock, Фейк, Безопасность, Браузер, Длиннопост

Об исследовании кода можно прочитать тут:

https://blog.adguard.com/ru/bolshie-20-millionov-polzovatiel...

https://xakep.ru/2018/04/20/fake-adblockers/


Так что опасные расширения с именами:

AdRemover for Google Chrome™(10+ млн пользователей);

uBlock Plus(8+ млн пользователей);

Adblock Pro(2+ млн пользователей);

По сути почти все расширения со словом «AdRemover» и «Adblocker» являются потенциально опасными, так как эти ключевые слова используют злоумышленники для поднятия своих фейков в топ.

Так же обратите внимание на превьюшку расширения в Chrome Web Store (скрин 1). У поддельных расширений она зачастую без логотипа и нарисована "на коленке в парке под пивко".


Для того чтобы скачать официальный блокировщик:

AdBlock https://getadblock.com/

ABP  https://adblockplus.org/ru/

uBlock https://www.ublock.org/

AdGuard https://adguard.com/ru/adguard-browser-extension/overview.ht...


Это самое распространенное.

Берегите свои данные и себя!

Показать полностью 1
121

Новый вирус-шифровальщик: Bad Rabbit. Атакованы "Интерфакс", "Фонтанка" и ряд украинских организаций

Новый вирус-шифровальщик: Bad Rabbit. Атакованы "Интерфакс", "Фонтанка" и ряд украинских организаций Вирус, Шифровальщик, Bad Rabbit, Интерфакс, Фонтанка, Длиннопост

Информационное агентство «Интерфакс» подверглось атаке со стороны хакеров, работа его сайта оказалась нарушена, рассказали РБК в пресс-службе компании. За разблокировку компьютеров агентства хакеры требуют выкуп в биткоинах, сообщили источники.


«Мы подверглись хакерской атаке. Специалисты работают над устранением проблемы. Деталей мы не знаем», — сообщили РБК в пресс-службе «Интерфакса». Отвечая на вопрос, требовали ли хакеры биткоины, в пресс-службе заявили, что ничего не знают об этом.


Источник РБК в «Интерфаксе» сообщил, что работа сайта была нарушена примерно в 14:20.


В социальной сети «ВКонтакте» агентство сообщило, что технические службы работают над восстановлением системы. «В связи с вирусной атакой возникли сбои в работе серверов «Интерфакса». В настоящее время технические службы предпринимают все меры для восстановления работы систем. Приносим извинения читателям и подписчикам!» — говорится в сообщении.


На момент публикации материала сайт агентства был недоступен.


В социальных сетях сотрудники агентства опубликовали фотографии экранов своих рабочих компьютеров. На них виден текст, согласно которому хакеры требуют выкуп в биткоинах. При этом указано название вируса, заблокировавшего компьютеры, — Bad Rabbit. Сумма выкупа за каждый компьютер составляет 0,05 биткоина (более 16 тыс. руб. по курсу 24 октября). После получения суммы выкупа злоумышленники обещают передать пароль для доступа к информации.


«Суть в том, что вирус запустили на сервер. А все компы, соответственно, к нему подключены. Поэтому заразиться мог любой», — пояснил источник РБК. В настоящее время инженеры отключили основной сервер и пытаются подключиться к резервному.


«Сейчас обесточили все компьютеры, АССОИ (система передачи внутренней информации от компьютера к компьютеру, в том числе от регионов) не пострадала», — рассказал еще один источник.


Об атаке хакеров сообщило и петербургское издание «Фонтанка». Согласно сообщению пресс-службы, опубликованному во «ВКонтакте», сайт может быть недоступен в течение нескольких часов.


Главный редактор «Фонтанки» Александр Горшков подтвердил РБК информацию о хакерской атаке на сайт издания. «Примерно в 15:20 в результате преступных действий злоумышленников был осуществлен взлом серверов «Фонтанки». Мы абсолютно не сомневаемся, что это часть действий злоумышленников, которые действуют в отношении нас на протяжении последних недель, размещая клеветнические заказные материалы на десятках ресурсов в сети интернет, а также донося до контролирующих органов ложную информацию — эти действия сродни деятельности террористов. Но у них ничего не получится», — рассказал Горшков. Он добавил, что проблема будет решена «в обозримое время». Горшков отказался конкретизировать предполагаемых хакеров, добавив, что «Фонтанке» известны их «личности, которые со временем будут названы».


Основатель компании в сфере информационной безопасности Group-IB Илья Сачков в своем Facebook сообщил, что происходящее можно считать новой волной хакерских атак. «Сейчас началось то, о чем мы предупреждали, — новая волна шифровальщика, атакующего российские СМИ. Group-IB достоверно известно о трех успешных атаках сегодня. Судя по экранам компьютеров, не похоже на Petya или WannaCry. Но это лишь картинка. Часть компьютеров уже у нас на экспертизе», — рассказал он.


Параллельно с атакой хакеров на российские СМИ стало известно, что нападению подверглись и учреждения на Украине. Так, информация о нарушении работы информационных систем появилась в Facebook аэропорта Одессы. «Сообщаем, что информационная система Международного аэропорта «Одесса» подверглась хакерской атаке. Все службы аэропорта работают в усиленном режиме. Приносим свои извинения пассажирам за вынужденное увеличение времени обслуживания», — говорится в сообщении. Дежурный оператор в аэропорту сообщил РБК, что в международном аэропорту в Одессе «по техническим причинам» не работает интернет, «Самолеты взлетают, регистрация идет, просто у нас не работает интернет», — сказал собеседник РБК.


О хакерской атаке сообщила и пресс-служба Киевского метрополитена. Хакерам удалось нарушить возможность оплаты проезда с помощью бесконтактных банковских карточек. «Внимание! Кибератака! Метро работает в обычном режиме, кроме банковских сервисов (оплата бесконтактными банковскими карточками на желтом турникете или MasterPass)», — сообщается в официальном аккаунте киевского метро в Facebook.


Еще одной жертвой хакеров, как передает телеканал «112 Украина», стал сайт Министерства инфраструктуры Украины. Портал ведомства оказался недоступен, при запросе выдается сообщение об ошибке. В пресс-службе министерства РБК заявили, что атаки на сайт не было. «Но были сигналы на атаки других организаций. Есть письмо СБУ, которое рекомендует в случае появления информации о возможных атаках, отключать сервера и так далее, чтобы обезопасить системы от атак. Поэтому в плановом режиме отключили», — пояснили в пресс-службе.


В мае масштабная хакерская атака стала причиной нарушений работы государственных и финансовых учреждений по всему миру. Программа-шифровальщик под названием WannaCry использовала уязвимость в системе Windows. В России кибератакам подверглись телекоммуникационные компании «МегаФон» и «ВымпелКом», МВД и РЖД. Также хакеры пытались взломать серверы Минздрава, однако ведомству удалось предотвратить атаку. Атаки на электронную инфраструктуру зафиксировал и Сбербанк. Компания «Роснефть» из-за действий хакеров была вынуждена перейти на резервную систему управления.

Источник + новостной сюжет Яндекс.Новостей
Показать полностью
270

Отключайте Bluetooth, или же уязвимость "BlueBorne"

Всем привет. Наверняка, в вашем телефоне/компьютере/планшете и т.д. есть Bluetooth. Оказывается, если вы его не отключаете в публичных местах это может повлечь за собой серьезные последствия. Например, над вашим телефоном будет полностью перехвачен контроль, а вы и не заметите.

Отключайте Bluetooth, или же уязвимость "BlueBorne" Вирус, Bluetooth, Android, Windows, Linux, Уязвимость, Привет читающим теги

Сначала, злоумышленник смотрит, какие есть устройства со включенным Bluetooth поблизости. Допустим, он нашел ваш телефон. Определяет MAC-адрес и операционную систему, которую вы используете. Далее, он уже может делать все что угодно, лучше всего показывает эту уязвимость данный ролик: https://www.youtube.com/watch?v=Az-l90RCns8 (Пикабу запрещает мне публиковать видео прямо в посте :( )


Из этого всего можно сделать вывод, то что даже если вы используете антивирус, не подключаетесь к публичным Wi-Fi сетям, но забыли выключить Bluetooth, то любой предприимчивый хакер может перехватить контроль над вашим банковским приложением через Bluetooth.


Отключайте Bluetooth, товарищи пикабушники.

76

И снова всплывающая реклама на Android. STS

Прошлым утром я проснулся не от будильника, а от внезапно заигравшей видеорекламы на телефоне. Рекламные баннеры появлялись тоже где угодно, даже во время звонка! Вроде и прошивка официальная, обновляется по воздуху регулярно, и приложения все установлены проверенные и антивирус есть. В общем, начал копать. С помощью приложения Airpush Detector(не сочтите за рекламу) я увидел вот это:

И снова всплывающая реклама на Android. STS Sts, Applovin, Android, Реклама, Вирус

Гугл ничего вразумительного  на sts ad framework applovin не показал, пришлось действовать по наитию. К слову, на моем телефоне не установлен root, вероятно поэтому прямо из airpush detector'a удалить тапом по экрану зловреда не удалось.

Решилось все проще, скачал ES Проводник(опять же, не реклама), и через поиск в правом верхнем углу экрана по запросу STS нашлась некая папка com.fly.sts . В ней содержались некоторые файлы, js скрипты, рекламные баннеры в виде картинок и даже .mp4 видео! 25 Мегабайт радости. Легким движением руки удаляем всю папку и перезагружаем телефон. Вуаля, рекламы нет.

Вопрос откуда это взялось, почему не нашлось ни одним антивирусом остается открытым. За последние месяца 3 ничего нового на телефон не ставилось. Более того, мои знакомые репортуют о подобной проблеме в течении последних пары дней. Вероятно кому то будет полезно.

Говорят тут любят котиков.

И снова всплывающая реклама на Android. STS Sts, Applovin, Android, Реклама, Вирус
285

Письма счастья. Шифровальщик

Письма счастья. Шифровальщик Мошенничество, Шифровальщик, Шифрование, Вирус, Интернет, Безопасность

Вот такие письма нам иногда падают на корпоративную почту. Во вложении скорее всего скрип шифровальщик.

Забавляет глупость мошенников - провели проверку, выявили задолженность и просят реквизиты :)  

Будьте внимательны при работе с электронной почтой!

1296

Whatsapp хранит переписку на смартфоне в открытом виде

Disclaimer:
Пост несёт сугубо информативно-познавательный характер, не несёт в себе призывов к действию. За рейтингом не гонюсь, можете минусить, но советую сначала прочесть
Однажды, почти случайно, залез я посмотреть что хранит Whatsapp в своих базах данных на смартфоне. Изначально цель была не эта, но потом стало интересно.

Мой смартфон — на андроиде. Поскольку есть рут и я не боюсь экспериментов над своим девайсом, мне не составляет труда изредка пользоваться приложением, название которого я не назову :) Во-первых, это может спровоцировать кого-то на неразумные действия в чей-то адрес, а такую ответственность брать на себя мне не хочется, а во-вторых, пикабушники люто не одобряют рекламные (либо похожие на таковые) посты.

Приложение позволяет на рутованном андроиде включать и отключать разные компоненты других приложений, например, выключить активность ("окно"), которое отображает полноэкранную рекламу, либо выключить сервис, в фоне отправляющий какую-то инфу чёрт знает кому. А также даёт просматривать и изменять хранимые другими приложениями данные в их базах данных.

В андроиде есть встроенный механизм баз данных (на движке SQLite). Мулечка в том, что любое приложение может иметь БД в защищённом хранилище системы, где будет накапливать и хранить свои данные. Это если на пальцах объяснять, более опытные разработчики могут внести дополнения в комментах.

Я не силён в шифрованиях, устройстве мессенджеров и шизой на тему информационной безопасности не страдаю. Однако обнаружил любопытную вещь.

После появления Телеграма, Whatsapp начал хвастаться сквозным шифрованием. Даже если оно есть по факту и работает, то почему в БД этого месссенджера хранятся все данные в открытом виде и никак (от слова совсем) не зашифрованы?

Отправляю тестовое сообщение:
Whatsapp хранит переписку на смартфоне в открытом виде Android, Whatsapp, Мессенджер, Telegram, База данных, Безопасность, Информационная безопасность, Шифрование, Длиннопост

Смотрю в базу (БД msgstore, таблица messages):

Whatsapp хранит переписку на смартфоне в открытом виде Android, Whatsapp, Мессенджер, Telegram, База данных, Безопасность, Информационная безопасность, Шифрование, Длиннопост

Список всех баз данных:

Whatsapp хранит переписку на смартфоне в открытом виде Android, Whatsapp, Мессенджер, Telegram, База данных, Безопасность, Информационная безопасность, Шифрование, Длиннопост

Там хранятся различные настройки, которые в рамках данного поста неинтересны.

Список всех таблиц самой интересной БД msgstore:

Whatsapp хранит переписку на смартфоне в открытом виде Android, Whatsapp, Мессенджер, Telegram, База данных, Безопасность, Информационная безопасность, Шифрование, Длиннопост
Whatsapp хранит переписку на смартфоне в открытом виде Android, Whatsapp, Мессенджер, Telegram, База данных, Безопасность, Информационная безопасность, Шифрование, Длиннопост

Если вкратце, тут хранятся служебные данные о чатах, местоположениях и всяком таком.
В том числе — сами переписки.

Список чатов (таблица chat_list). Это тот список контактов, с которыми у вас уже начато общение, и который вы видите в первую очередь, открывая приложение.

Whatsapp хранит переписку на смартфоне в открытом виде Android, Whatsapp, Мессенджер, Telegram, База данных, Безопасность, Информационная безопасность, Шифрование, Длиннопост

Ещё раз покажу таблицу messages — список всех сообщений.

Отображается ИД собеседника (поле key_remote_jid, значения включают номер телефона), само сообщение в открытом виде (data), Unix-метка даты сообщения (timestamp), прямая ссылка на медиа-контент (адрес ведёт на сервера Whatsapp; поле media_url), подпись к медиа-контенту в открытом виде (к фотографии, например; поле media_caption)и много чего ещё.

Whatsapp хранит переписку на смартфоне в открытом виде Android, Whatsapp, Мессенджер, Telegram, База данных, Безопасность, Информационная безопасность, Шифрование, Длиннопост

Поле data пустое там, где вместо чистого текста отправлено, например, фото или состоялся звонок.

Whatsapp хранит переписку на смартфоне в открытом виде Android, Whatsapp, Мессенджер, Telegram, База данных, Безопасность, Информационная безопасность, Шифрование, Длиннопост

Ссылка на медиа примерно следующая:https://mmi652.whatsapp.net/d/кучарандомныхсимволов/кучадруг...
Эту ссылку можно открыть в браузере. Если она действительна, то скачивается файл file.enc, который, к счастью, зашифрован: это может быть фото, аудио, видео, что угодно ещё. Если ссылка оказывается недействительной, то в браузере ответом будет строка Media object not found.

Ниже таблица messages_fts_content (есть ещё аналогичная messages_fts). Тут тоже сообщения, и они тоже в открытом виде. Предназначение таблицы мне непонятно, ибо детально не разбирался.

Whatsapp хранит переписку на смартфоне в открытом виде Android, Whatsapp, Мессенджер, Telegram, База данных, Безопасность, Информационная безопасность, Шифрование, Длиннопост

Чем это опасно?

Если смартфон попадёт в руки опытного и знающего подлеца, получить все ваши переписки в Whatsapp ему не составит никакого труда. Вообще никакого. Защищены только медиафайлы, которые зашифрованы и хранятся на серверах WA.

К слову, для тех, кто не в курсе: это объясняет тот факт, что после удаления папки Whatsapp из памяти телефона, где хранится кеш фотографий, зашифрованные бекапы чатов и прочее, медиа-контент заново выкачивается при открытии чата.

Послесловие
На закуску — вот что хранит Telegram. Одна БД, предназначенная для сбора статистики об использовании приложения для отправки в Google. И все таблицы этой БД пусты!

Whatsapp хранит переписку на смартфоне в открытом виде Android, Whatsapp, Мессенджер, Telegram, База данных, Безопасность, Информационная безопасность, Шифрование, Длиннопост

Может быть, это общеизвестный факт в кругах (около)айтишников, но знать об этом надо каждому. Подумайте, прежде чем отдавать смартфон, например, в сервисный центр (увы, там часто работают нездоровые идиоты) или подпускать к нему идиота типа меня :)

Всем добра!

БМ сходил с ума от скриншотов.

Показать полностью 9
266

Защита от шифровальщиков. Делаем псевдопесочницу.

Сегодня я не буду про VPN, прокси и пр. Сегодня про личную информационную безопасность на своём компьютере.

Сейчас, как никогда, актуальна тема эпидемий вирусов, троянов и пр. И в большинстве своём их цель одна — заработать денег для своих создателей. Малварь может украсть ваши платежные данные и с ваших счетов будут списаны деньги. Но, в последнее время, основной тренд — это шифрование файлов жертвы. Шифруются или все подряд файлы, или наиболее ценные, по маске. Итог один: у вас появляется окно с требованием заплатить выкуп за расшифровку.


Различные антивирусные программы, в том числе именитых брендов, далеко не панацея. Малварь почти всегда будет использовать встроенные в операционную систему механизмы (в том числе и шифрования). Антивирусы крайне редко распознают свежих вредоносов с таким функционалом.


Стоит помнить, что основной канал распространения вредоносов — это электронная почта. Ничто не защитит вас так, как ваша осмотрительность и паранойя. Но надеяться на это полностью не стоит. Кроме того, наверняка, за вашим компьютером работает кто-то кроме вас, кто не столь осмотрителен и параноидален. Так что же делать?


Есть интересный подход к этой проблеме. Его реализацию можно найти в ряде источников в сети. И сейчас мы его рассмотрим.

Защита от шифровальщиков. Делаем псевдопесочницу. Малварь, Вирус, Шифровальщик, Троян, Информационная безопасность, Антивирус, Длиннопост

Итак, давайте рассуждать логически. Вредонос создан с целью заработка. Его преимущество во внезапности. Ведь как только о нём все узнают, как только специалисты разберут его по ноликам и единичкам, внесут в антивирусные базы, вредонос уже не сможет зарабатывать. И создатель вредоноса, как правило, принимает меры, чтобы защитить своё творение от изучения. Вредоносы, для анализа, запускают в специальной среде, где он не сможет натворить дел. Т.е. это некая искусственная среда (виртуальная машина, изолированная сеть) где за действиями вредоноса можно наблюдать, понять, как он работает. Такую искусственную среду называю "песочницей". В большинство вредоносов встраивают инструменты обнаружения работы в песочнице. И тогда он прекращает свою работу и удаляет себя. Ниже я расскажу вам, как сделать свой компьютер с ОС Windows похожим на такую песочницу. Таким образом мы введем вредонос в заблуждение и остановим его работу. Конечно это не панацея. Конечно нельзя ограничится только этими мерами. Но лишними они точно не будут.


Для начала сделаем свою сетевую карту похожей на сетевую карту виртуальной машины.


Узнаем название своей видеокарты. Открываем Пуск->Панель управления.


В Windows XP : Открываем "Сетевые подключения". Ищем свое "Подключение по локальной сети" или "Подключение беспроводной сети". Правой кнопкой мыши (далее - ПКМ) и "Свойства". В окошке "Подключение через" смотрим название нашего сетевого адаптера и запоминаем.


В Windows 7,8,10: Открываем "Сеть и интернет"->"Центр управления сетями и общим доступом". Слева ищем "Изменение параметров адаптера". Ищем свое "Подключение по локальной сети" или "Подключение беспроводной сети". ПКМ и "Свойства". В окошке "Подключение через" смотрим название нашего сетевого адаптера и запоминаем.


Нажмите сочетание клавишь Win+R (или Пуск->Выполнить) и введите

regedit

В Windows 8 и 10 права пользователя сильно обрезаны. Тут стоит сначала создать ярлык на рабочем столе с названием regedit. В строчке, где нужно указать расположение объекта, вписать просто "regedit" без кавычек. Потом щелкнуть правой кнопкой мыши на ярлыке и выбрать "Запуск от имени администратора".


Итак мы запустили RegEdit или редактор реестра Windows. Слева, в дереве реестра последовательно идём по "веткам"

HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Control -> Class

И ищем ветку, которая начинается с {4D36E972

Защита от шифровальщиков. Делаем псевдопесочницу. Малварь, Вирус, Шифровальщик, Троян, Информационная безопасность, Антивирус, Длиннопост

Здесь мы видим ветки с четырехзначными номерами (0000, 0001, 0002 и т.д.). Становимся на каждую из них последовательно, в правом окне ищем параметр с именем DriverDesc и значением, соответствующим названию вашего сетевого адаптера. Как только нашли, в правом окне на свободном месте ПКМ и Создать -> Строковый параметр. Имя ему вписываем

NetworkAddress

и жмём Enter для сохранения имени. Затем открываем наш новый ключ двойным кликом и вписываем значение

005056xxxxxx

где вместо xxxxxx любые случайные 6 цифр. И жмём ОК. Теперь, после перезагрузки, у нашего сетевого адаптера будет MAC адрес из диапазона системы виртуализации VMware.


Внимание: если вы находитесь в корпоративной среде или сетевая карта компьютера подключена напрямую (без маршрутизатора) к сетям провайдера, то вы можете остаться без связи. Если что-то пошло не так, удалите параметр NetworkAddress и перезагрузите компьютер.


А теперь сделаем самое интересное. Воспользуемся скриптом FSP (fake sandbox process). Скачать его можно здесь.

Защита от шифровальщиков. Делаем псевдопесочницу. Малварь, Вирус, Шифровальщик, Троян, Информационная безопасность, Антивирус, Длиннопост

Распаковываем архив. Внутри папка installer, а в ней файл fake-sandbox-installer.bat. Запустим его, на все вопросы ответим утвердительно путем ввода буквы y и нажатия Enter.


В автозагрузке (Пуск -> Программы (Все программы) -> Автозагрузка) должен появится fake_sandbox


После перезагрузки компютера в Диспетчере задач (для вызова Win+R, набрать taskmgr и нажать ОК. Выбрать вкладку "Процессы".) появятся фейковые процессы "WinDbg.exe","idaq.exe","wireshark.exe", "vmacthlp.exe", "VBoxService.exe", "VBoxTray.exe", "procmon.exe", "ollydbg.exe", "vmware-tray.exe", "idag.exe", "ImmunityDebugger.exe" и пр. На самом деле это запущен безобидный ping.exe, но под разными именами. А вот малварь, видя такой набор специализированных процессов, подумает, что её изучают в песочнице и самоубъётся.


Ну и вишенкой на торте: найдите файл vssadmin.exe в папке C:\Windows\System32 и переименуйте его как-нибудь. Естественно для этого нужны права администратора. Vssadmin - это инструмент управления теневыми копиями. Вредоносы с помощью него удаляют ваши бэкапы.

Всем безопасности и анонимности, много и бесплатно.


З.Ы. По моим статьям я получаю много вопросов. А еще многие хотят просто поговорит на околоИБэшные темы. В общем расчехлил я старый говорильный инструмент. Подробности здесь.

Показать полностью 3
2105

Дешифровщик .jaff, .wlu и .sVn (вирус Jaff)

Jaff шифрует файлы и добавляет расширения  .jaff, .wlu и .sVn, требует выкуп 1,79 биткоина, то есть порядка $4000.


Через диспетчер задач вырубаем процесс вируса. Как правило произвольное имя процесса. Для примера было SKM_C224e9930.exe

Дешифровщик .jaff, .wlu и .sVn (вирус Jaff) Декриптор, Вирус, Шифровальщик, Расшифровка, Утилиты, Длиннопост

Качаем декриптор с сайта каспера http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhn...


Утилита предложит выбрать зашифрованный файл с расширением .jaff, .wlu или .sVn, далее попросит выбрать текстовый файл с требованием выкупа.

Дешифровщик .jaff, .wlu и .sVn (вирус Jaff) Декриптор, Вирус, Шифровальщик, Расшифровка, Утилиты, Длиннопост
Дешифровщик .jaff, .wlu и .sVn (вирус Jaff) Декриптор, Вирус, Шифровальщик, Расшифровка, Утилиты, Длиннопост

Утилита просканирует весь компьютер и расшифрует файлы (может занять длительное время).

По завершении сканирования будет такая картина:

Дешифровщик .jaff, .wlu и .sVn (вирус Jaff) Декриптор, Вирус, Шифровальщик, Расшифровка, Утилиты, Длиннопост

Печаль в том что вместе с расшифрованными файлами останутся их зашифрованные копии.

Дополнительная инфа https://www.bleepingcomputer.com/news/security/decrypted-kas...


Ранее о дешифровщиках: http://pikabu.ru/story/spisok_dekriptorov_faylov_posle_zaraz...

Показать полностью 3
141

Ошибки в коде WannaCry помогают бесплатно восстановить файлы

Исходный код вымогательского ПО WannaCry оказался довольно низкого качества.

Изучив исходный код вымогательского ПО WannaCry, ранее инфицировавшего сотни тысяч компьютеров по всему миру, специалисты компании «Лаборатория Касперского» обнаружили ряд ошибок, делающих возможным восстановление зашифрованных файлов с помощью общедоступных программных инструментов.


К примеру, ошибка в механизме обработки файлов только для чтения означает, что программа вообще не может шифровать подобные файлы. Вместо этого вредонос создает зашифрованные копии файлов, а оригинальные версии остаются нетронутыми. При этом они делаются скрытыми, но не удаляются, и получить доступ к ним можно, включив опцию отображения скрытых файлов.


В случае, если файлы расположены в «важных» папках («Рабочий стол» или «Мои документы»), WannaCry перезаписывает оригинальные файлы и восстановить их будет невозможно (разве что заплатить выкуп). «Неважные» файлы отправляются во временную папку %TEMP%\%d.WNCRYT и просто удаляются с диска без перезаписи. В таком случае их можно восстановить с помощью специальных программ.

«Мы уже наблюдали это раньше - разработчики вымогательского ПО часто допускают грубые ошибки, позволяющие исследователям в области кибербезопасности успешно восстановить файлы. WannaCry - по крайней мере первый и наиболее распространенный представитель данного семейства - как раз такое вредоносное ПО», - отметил эксперт «ЛК» Антон Иванов.

Напомним, о масштабной кампании с использованием вымогательского ПО WannaCry стало известно 12 мая нынешнего года. За несколько дней вредонос инфицировал более 400 тыс. компьютеров в свыше 150 странах мира. Как сообщалось ранее, наибольшее число атак пришлось на Россию, однако по данным компании Kryptos Logic, лидером по числу случаев заражения стал Китай, тогда как РФ оказалась на третьем месте после США.

http://www.securitylab.ru/news/486528.php?utm_referrer=https...
515

Превращаем старый смартфон в систему наблюдения.

Всем привет. возникла небольшая идейка, соорудить из старого смартфона нечто, что может заменить/дополнить систему видеонаблюдения в доме. Плюсы на лицо, старых смартфонов полно, (я уже давно занимаюсь разработкой и старые девайсы скапливаются). Камеры у них вполне себе качественные, даже у относительно старых устройств.

Поскольку видео камеры есть - решено было сделать фото фиксацию.


Почему фото? Во первых качество, даже 5мп это гораздо круче чем Full HD камера безопасности. Для систем безопасности не так важно движение, как возможность опознать на изображении личность.



Набросал маленькое ТЗ.


1) Снимать фото по движению.


2) При накоплении определенного кол-ва фотографий зиповать их.


3) Аплоадить фото в дропбокс или фтп.


4) Желательно пощадить батарейку, если вдруг систему обесточат.



Сказано, сделано. За недельку набросал и отладил программулину. Выглядит проще некуда:

Превращаем старый смартфон в систему наблюдения. Android, Наблюдение, Безопасность, Камера, Фотография, Таймлапс, Длиннопост

Приложение состоит из трех частей, Settings активити, основной сервис , и сервис делающий шоты с камеры.

Логика работы такая, выставляем чувствительность детектора. Выставляем время через какое необходимо проверять на движение (от 1 секунды). Далее настройки зиповки, так же добавил функцию конвертирования картинок в mp4 ( fullhd потеря качества, ).


Файлы создаются в папке sdcard/CamMoLapse


Аплоад пока не реализовал, так же в планах настройки для управления вспышкой. Настройки качества Jpeg, может быть подключение внешних датчиков движения по блюпуп или gpio.



PS: пишу программу для себя, тестирую на стареньком Nexus S, но если кому то тема интересна - буду делиться софтиной. Если есть интересные идейки на эту тему, или в плане новых фич - делитесь.


В гугл плей выкладывать не буду. Линк на приложуху: https://www.dropbox.com/s/isze6964fflx7or/cammolapse.apk?dl=...



Вес 9 метров из за внешних либ ffmpeg и gpuimage



PSS: Не советую ставить на рабочий смарт - запустите, забудете - наделает фоток и забьет всю память. Контроль максимального объема и перезапись по кругу пока не реализовал.

Показать полностью 1
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: