6

Ох уж этот майл.ру...

Недавно чистил компьютер,заметил такую штуковину- нагруженность ЦП 51-52%, когда в стреднем должна быть не более 10% заглянул я в процессы,а там вроде ничего особенного,но смотрю,там прилично занимает некий майл.rу updater. Нажимаю:"Завершить процесс" а он вроде завершился,и ОП-ПА,опять запустился. Я не пойму,шо це таке,так повторялось несколько раз,зашел в папки,а там в програмных такая папочка Скрытая майл ру. Я её решил удалить,а она защищена и вообще программа в ней запущена. Причем папка эта в компе с 2011 года(!) Я ринулся по просторам интернета,там ничего полезного. Этой программы вроде как нигде нет. Тогда решил я по всему компу пошарить,и в диспетчере задач в разделе задач(не помню название) тоже обнаружил майл ру. Я его выключил,и благо,получилось выключить в процессах. Наконец он стал открытым. Я его сразу же удалил,и нагруженность процессора сразу спала до 30%. Алилуя. Оказалось,эту заразу установил Guardian,вшитый в игрушку. В итоге,после удаления,компьютер стал работать куда быстрее.

Дубликаты не найдены

+6
зашел в папки? сразу видно профи
+4
ждала пост о том, как эта зараза забила реестр, о том, как ты храбро боролся с автоустановкой этого, а ты всего лишь ПАПОЧКУ УДАЛИЛ. Не это я хочу читать в 21 веке(
у меня вот как-то zaxar установился, баннеры открывал, там приключение на несколько томов хватит, штука не опасная, но грузит проц до 99% и очень легко распространяется, щитай вирус. Я и папки удаляла, и клинеры пробовала, и реестр чистила и автозагрузку, не помогало. Но в итоге все равно победила. А вы тут про какой то мейл
ещё комментарии
+5
Охренеть... У него винда с 11 года...
раскрыть ветку 2
+1

Как компьютер на выпускной подарили, так и стоит )

-6

Нет,майл ру передалось с предыдущего винчестера.

ещё комментарий
+7

Прекрасные школьники и их поток сознания -/

+2

Есть такая штука древняя, называется unlocker, как раз для удаления таких запущенных файлов

+1

Mail.ru.... "Вирус"..  Читать надо, где галочки стоят, при установке программ, у тебя, небось, ещё и Яндекс-браузер с Яндекс-баром откуда-то появляются, и антивирь MCaffee стоит, тоже откуда-то появившийся.... ))

раскрыть ветку 1
-4

Этого добра нет))) и майл ру установилось вместе с игрой. А к ниму куча ссылок и ярлыков. Все удалил,установился автообновляйщик. Все поудалял.

+1
Блин, ну нафуя так делать, это ж вирус получается? Как по тыкве им стучать ?
+1

Как вы, блять, это ловите! Разве что специально можно. И удаляется элементарно.

раскрыть ветку 6
0

Легко. Я раз порнобаннер в электробиблиотеке словил. Причем в проверенной. Повезло что легкий был, диспетчер задач не блокировал.

А еще есть страшный зверь-любознательная мама. Аот тогда я амигов наудалялся

...

раскрыть ветку 2
0

Ну вот сложно мне это представить.

раскрыть ветку 1
-4

Ты такой умный. Эту фигню нельзя было удалить,пока была включена,а выключить её не получалось.

раскрыть ветку 2
0

Да, я умный. Удаляется за 5 минут. Выключить не получается? Ну да... тебе в таком случае надо форматировать винт... :(

0

Я уже сказал чем удалить. А то ты получилось гланды через жопу вырывал)))

+1

Я вообще сервисы эти не ставлю и при инсталляции снимаю галочки - установить то, сделать по умолчанию - сё...

0
а с вирусом который в роутере вай фай прописывается не доводилось бороться? эпично тоже. лечится то элементарно но в первый раз здорово в тупик ставит
0

ТС, ты главное не перезагружайся. Залезть любой софтиной в автозагрузку. Скорее всего там сидит автоустановщик этого дерьма. И из реестра советую вычистить все что с майл ру связано

раскрыть ветку 2
0

Он папки удаляет, какой реестр? )

-4

Кстати,я CCleaner проверил,там в автозагрузке добавилось куча всего. Майл ру включительно. Удалил все нафиг

0

Спасибо, как раз разбирались с нашим ноутом

0
Я однажды случайно накачал Амиго, Оперу и прочую херотень
раскрыть ветку 3
+1
Иллюстрация к комментарию
0

Подружке про "случайно" рассказывай!

0
У меня так друг умер
Похожие посты
245

Отправка писем через Gmail, ЯндексПочта и @mail из Excel

Создать интеграцию Microsoft Excel с Outlook, легко, средствами VBA. Можно ли отправлять письма другими почтовыми сервисами? Например, через Gmail, самый популярный в мире почтовый сервис, от Google.

Отправка писем через Gmail, ЯндексПочта и @mail из Excel Microsoft Excel, Компьютер, Полезное, Программирование, Mail ru, Vba, Длиннопост, Gmail, Яндекс Почта

Ответ можно, используя настройки SMTP, IMAP, POP.

Макросы приложенные к данной статье дают возможность отправить отдельный лист или книгу с помощью CDO.

CDO является библиотекой объектов, которая предоставляет интерфейс Messaging Application Programming Interface (MAPI), позволяет отправлять и получать сообщения.

Решение для MS Office без Outlook.

Алгоритм настройки макросов

Копируйте код в Личную книгу макросов или в файл своей надстройки;

Добавьте в код адрес нужной почты и пароль:

.Item(msConfigURL & "/sendusername") = "ДОБАВЬТЕ ВАШУ ПОЧТУ"

.Item(msConfigURL & "/sendpassword") = "ДОБАВЬТЕ ПАРОЛЬ"

.From = "ДОБАВЬТЕ ВАШУ ПОЧТУ" ' От кого = username почты

Подключите в редакторе VBA (Alt+F11) библиотеку Microsoft CDO для Windows 2000:

Отправка писем через Gmail, ЯндексПочта и @mail из Excel Microsoft Excel, Компьютер, Полезное, Программирование, Mail ru, Vba, Длиннопост, Gmail, Яндекс Почта
Отправка писем через Gmail, ЯндексПочта и @mail из Excel Microsoft Excel, Компьютер, Полезное, Программирование, Mail ru, Vba, Длиннопост, Gmail, Яндекс Почта

Код макроса на GitHub

Отправить текущий активный лист, как вложение по эл.почте

Отправить текущую книгу, как вложение по эл.почте

Скачать файл с макросами

Копируйте код на русской раскладке клавиатуры, чтобы сохранить комментарии.

Особенности настройки почты

Как настроить доступ к Gmail в сторонних почтовых клиентах

Если вы используете двухэтапную проверку, следуйте инструкции:

Пароль при установленной двухэтапной проверке
Отправка писем через Gmail, ЯндексПочта и @mail из Excel Microsoft Excel, Компьютер, Полезное, Программирование, Mail ru, Vba, Длиннопост, Gmail, Яндекс Почта

А как же наши дорогие Яндекс.Почта и @mail?

Чтобы их использовать, удалите или закомментируйте в коде макроса строки .Item(msConfigURL & "/smtpserver") кроме:

Отправка писем через Gmail, ЯндексПочта и @mail из Excel Microsoft Excel, Компьютер, Полезное, Программирование, Mail ru, Vba, Длиннопост, Gmail, Яндекс Почта

.Item(msConfigURL & "/smtpserver") = "smtp.yandex.ru"

Отправка писем через Gmail, ЯндексПочта и @mail из Excel Microsoft Excel, Компьютер, Полезное, Программирование, Mail ru, Vba, Длиннопост, Gmail, Яндекс Почта

tem(msConfigURL & "/smtpserver") = "smtp.mail.ru"

В заключение, удобный макрос для открытия почты Gmail из Excel при помощи Send Keys:

Sub ActivateGmail() " Активировать почту Gmail
' Открыть
Handle = "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
RetVal = Shell(Handle, 1)
Application.Wait Now + TimeValue("00:00:02")
SendKeys ("https://mail.google.com/mail/u/0/#inb..."), True
Application.Wait Now + TimeValue("00:00:03")
SendKeys ("{ENTER}"), True
Application.Wait Now + TimeValue("00:00:02")
'Создать письмо
SendKeys ("C"), True
End Sub

Для браузера Chrome.

Чтобы сразу открывалось окно нового сообщения, в настройках включите Быстрые клавиши.

Измените Handle на путь вашего браузер, а SendKeys ("https://mail.google.com/mail/u/0/#inb...") на другой почтовый клиент, по логике должно работать.

Спасибо, что дочитали до конца!

Было полезно? Ставьте лайк, пишите, что думаете в комментариях и подписывайтесь на канал, если еще не сделали этого.

Показать полностью 4
919

Ответ на пост «Archeage от Mail.ru бесшумно майнит Криптовалюту?» 

Вот и я застала Mail.ru за этим неприличным занятием. Сфоткала в спешке, так как при открытии Диспетчера задач сие непристойное действо в срочном порядке прекращается. Не любит он, когда за ним подглядывают!


(а я то думала, почему довольно тихий ноутбук периодически взлетает, судя по звукам - да, хоть и 23% всего - видимо, он уже сбавлял темпы после запуска taskmgr)


Может знающие люди подскажут, как без палева отследить, сколько ресурсов он всё-таки потребляет? Просто интересно)


@support.mail, как вы в этот раз открутитесь?

Ответ на пост «Archeage от Mail.ru бесшумно майнит Криптовалюту?» Mail ru, Вирус, Майнинг, Криптовалюта, Ответ на пост

Баянометр решил рассказать о других мошенниках


P.S. Первый пост, не пинайтесь, пожалуйста)

8070

Archeage от Mail.ru бесшумно майнит Криптовалюту?

Навеяно постом Mail.ru и их игры

Archeage от Mail.ru бесшумно майнит Криптовалюту? Mail ru, Archeage, Вирус, Длиннопост, Майнинг, Криптовалюта

Итак, ситуация следующая:

Приобрели новый компьютер, поставили на него чистую Windows 10 (даже лицензионную, если это имеет значение в контексте) с последними обновлениями, скачали установщик игрового центра с официального сайта Mail.ru, установили его и скачали из него игру Archeage. На тот момент на компьютере не было установлено ничего, кроме продуктов Mail.ru


При попытке запуска игры, в течении недели Windows Defender трижды блокировал запуск и показывал информацию о том, что файлы 32-х битной и 64-х битной версии игры содержат в себе win32/CoinMiner. Для тех, кто не совсем в теме, CoinMiner - это троянская программа, которая использует ресурсы компьютера, чтобы добывать злоумышленникам биткоины или другую криптовалюту. Обычно - бесшумно.


Соответственно, назревает вопрос: откуда в файле, скачанном с ваших ресурсов, имеется вирус?


И это - не единичный случай. Данная проблема наблюдалась не только у меня, но и у как минимум у трех моих друзей. У всех разные антивирусы, разные вариации ОС. Один б-г знает, сколько еще людей может страдать такой же ситуацией и просто не знать об этом.


Чтобы все-таки запустить игру нужно или "разрешить" работу CoinMiner'а, или удалить исполняемый файл (и скачать почти всю игру заново, чтобы она снова заработала), но ошибка со временем снова повторяется.

Archeage от Mail.ru бесшумно майнит Криптовалюту? Mail ru, Archeage, Вирус, Длиннопост, Майнинг, Криптовалюта

Обращался в техническую поддержку по этому вопросу, где получил не получил внятного ответа. Диалог вообще закрыли без обсуждения, зато получил "исчерпывающий" и неоднозначный ответ:

К сожалению, высокие настройки безопасности антивирусного ПО могут блокировать или повреждать установочные файлы. Использовать или не использовать наши программы в конечном итоге решать вам.

Господа из Mail.ru, или уже из My.games, дайте официальный ответ на эту тему.

Дополнение: #comment_172229823

Показать полностью 1
71

Steam только через 4 года убрал из продажи игру, которой уже не было...

Steam только через 4 года убрал из продажи игру, которой уже не было... Steam, Вирус, Компьютерные игры, Троян, Идиотизм, Видео, Длиннопост

в мае 2016 вышла в Steam игра Garlock Online

https://store.steampowered.com/app/389530/Garlock_Online/

Вот только вместе с игрой покупатели получили и троян, но разрабы не растерялись и удалили все файлы из игры (без шуток)

https://steamdb.info/app/389530/history/

Steam только через 4 года убрал из продажи игру, которой уже не было... Steam, Вирус, Компьютерные игры, Троян, Идиотизм, Видео, Длиннопост

и продолжили продавать воздух, т.е. даже купив игру, попробовав её скачать, пользователь получал просто пустую папку, вместо игры.

Steam только через 4 года убрал из продажи игру, которой уже не было... Steam, Вирус, Компьютерные игры, Троян, Идиотизм, Видео, Длиннопост

Это продолжалось целых четыре года, игра перешла даже на Free-to-Play(бесплатную) модель распространения, но ирония в том, что файлов игры по прежнему не было.


И вот сегодня в истории поставлена точка, игру убрали из магазина.

Steam только через 4 года убрал из продажи игру, которой уже не было... Steam, Вирус, Компьютерные игры, Троян, Идиотизм, Видео, Длиннопост
Показать полностью 3
123

Чем болеют братья наши железные — история компьютерных вирусов

Чем болеют братья наши железные — история компьютерных вирусов Компьютер, Вирус, История, Программа, Длиннопост

Ушла эпоха, когда компьютеры и интернет воспринимались большинством, как высокотехнологичные игрушки для подростков. Теперь они, хотим мы того или нет — одна из несущих стен жизненного уклада каждого. Зараженный компьютер — это гораздо больше, чем досадная поломка дорогой техники. Это риск информационных, потенциально и репутационных, финансовых потерь. Подхватить грипп для многих уже гораздо менее неприятный сценарий, чем подхватить компьютерный вирус.


Между тем и сама железная зараза за годы ее существования изменилась кардинально. Если первые ее представители создавались научного интереса ради, с целью вендетты, ну или просто чтобы досадить как можно большему числу ламеров, то современная инфекция — это могущественное оружие, используемое для краж, рэкета (со взятием ПК в заложники), давления на конкурентов и выведения из строя целых предприятий.


Концепция вирусов, как размножающихся без участия человека механизмов, была предсказана еще в 1951 году Джоном Нейманом в его «Теории самовоспроизводящихся автоматических устройств». Само же явление увидело свет… и вот здесь данные разнятся. Дело в том, что первые программы, которые можно окрестить этим болезненным словом, были либо вовсе безвредны, либо задумывались с невинной целью и причиняли неудобства, скорее вследствие недоработки.


Так, в 1973 году прототип интернета — ARPANET в лабораторных застенках поразил шалун Creeper. Он самостоятельно путешествовал от компьютера к компьютеру и дразнил пользователей выводящимся на экраны сообщением: «Я Крипер! Поймай меня, если сможешь». Этим зловредность Крипера и ограничивалась.


А в 1975 году Джон Волкер написал PERVADE — подпрограмму для популярной (по меркам тех лет) игры ANIMAL, которая с помощью наводящих вопросов отгадывала названия задуманных игроком животных. С натяжкой ее можно назвать первым трояном. После каждой партии она модернизировала игру новыми вопросами, а заодно и копировала ее во все директории компьютера, чем основательно замусоривала и без того скудную память. А ведь Волкер всего-то навсего хотел упростить распространение ANIMAL и избавить себя от нескончаемых просьб, желающих выслать им очередную копию игры.


Вирус Elk Cloner, который многие считают первым истинным вирусом, получившим массовое распространение на пользовательских компьютерах, изначально задумывался, как невинная шалость в духе Крипера. В 1981 году он принялся заражать Apple II, перемещаясь между машинами с помощью дискет. На каждый 50-й запуск системы он выводил на экраны стихотворение:


Elk Cloner: программа с индивидуальностью


Она проникнет во все ваши диски


Она внедрится в ваши чипы


Да, это — Cloner!


Она прилипнет к вам как клей


Она даже изменит оперативную память


Cloner выходит на охоту!


Вредительских функций написавший Cloner 15-летний школьник Ричард Скренет не предусматривал. Однако своенравный вирус повадился портить диски с нестандартными версиями DOS, удаляя содержимое резервных дорожек. Ущерб в таких случаях был уже вполне осязаем, в отличии от душевных страданий, вызванных стишком-дразнилкой.


Многие ругают антипиратскую защиту игр Denuvo, но в 80-е методы борьбы с пиратами были куда менее гуманны. В 1986 году братья Фарук Альви решили защитить свою программу для наблюдения за сердечным ритмом от незаконного копирования при помощи вируса Brain. Он заражал загрузочный сектор жесткого диска, замедлял работу и вежливо предлагал позвонить создателям нелегально установленной программы, чтобы излечиться. Только в США оказались заражены 18 тысяч компьютеров, а братья Альви первыми познали гнев недовольных антипиратской защитой пользователей.


А вот вирус Jerusalem был написан чистейшего зла ради в 1987-м. Он заражал файлы EXE, COM и SYS. Каждый раз при активации запрашиваемые файлы увеличивались в размере, что приводило к захламлению памяти. Также через полчаса после запуска системы Jerusalem серьезно замедлял ее работу, изменяя время прерывания процессов. Но то были лишь цветочки. Во всей красе Jerusalem проявлял себя в пятницу 13-го, уничтожая любой запущенный в этот день файл.


Первый сетевой червь-шпион атаковал ARPANET в 1988. По замыслу создателя Червь Морриса должен был лишь собирать данные о владельцах ПК, подключенных к ARPANET. Для проникновения он использовал уязвимости почтовых сервисов и сетевых протоколов. Червь Морриса подбирал пароль по словарю и инфицировал компьютер, если не обнаруживал на нем своей копии. Но, даже если копия вируса на компьютере уже была, с небольшой периодичностью червь инфицировал его повторно. На всякий случай. Это и послужило основным источником проблем. Компьютеры заражались многократно, работа системы все больше замедлялась, вплоть до полного отказа. Суммарный ущерб от действий червя оценили в 96 миллионов долларов. Обескураженный непредвиденными последствиями создатель сам сдался полиции, благодаря чему отделался штрафом и исправительными работами.


Первый зловред-вымогатель, словно благодаря ясновидению, позволившему его создателю предсказать масштабы пандемии, вызванной его потомками в будущем, был окрещен — AIDS (СПИД). Вирусописец Джозеф Попп собственноручно разослал около 20 000 дискет с вирусом (каторжный труд, в сравнении с современной почтовой спам-рассылкой, посредством пары кликов). Дискеты манили новой информацией о настоящем НЕкомпьютерном вирусе СПИДА, но после проникновения зараженной дискеты в дисковод PC, в определенном смысле происходило именно то, чего беспечные пользователи и боялись — инфицирование. Через 90 запусков компьютера AIDS шифровал все файлы, оставляя в доступности лишь README, в котором находилось предложение отправить деньги на почтовый ящик в Панаме в обмен на восстановление доступа к информации. Во время обналичивания такого чека Джозефф Попп и был арестован и впоследствии осужден за вымогательство.

Чем болеют братья наши железные — история компьютерных вирусов Компьютер, Вирус, История, Программа, Длиннопост

Вирусы лихих 90-х были не в пример добрее и невиннее своего десятилетия. Часто они писались ради забавы и самовыражения, вне зависимости от того сколько бед приносили. Так, вирус Walker раз в 30 секунд отправлял гулять по экрану дедушку. По-видимому, из уважения к старости, пока дедушка ковылял, компьютер зависал и не реагировал на команды пользователя. Романтичный вирус Girls признавался в любви всем девочкам и запускал песню Yesterday группы The Beatles. А Mars Land каждый час по полминуты заставлял пользователей любоваться высококачественной 3D-моделью поверхности Марса.


1995 год ознаменовался появлением первого макровируса Concept. Инновационные вирусы распространялись при помощи макросов в документах Word. Для их написания не нужно было владеть языком программирования, достаточно лишь разобраться в WordBasic (чему тоже далеко не каждую бабушку можно научить, но все же). Вирусоделие пошло в массы, и к 1998 году число вредоносного ПО увеличилось почти в 4,5 раза.


Тогда же, в 1998 году, увидел свет кинескопа троян Back Orifice, по совместительству первый бэкдор — вредоносная программа удаленного администрирования. Установленный на компьютер жертвы Back Orifice давал злоумышленнику практически безграничную удаленную власть над его системой. ЛЮБОЙ файл можно было скачать, переписать, уничтожить. Вводимые с клавиатуры пароли, выводимые на экран монитора изображения — все становилось достояние хакера. Создатели бэкдора охарактеризовали свой продукт слоганом — «В локальной сети или через Internet Back Orifice предоставляет пользователю больше возможностей на удаленном Windows-компьютере, чем имеет сам пользователь этого компьютера».


«Чернобыль» или CIH почти год, не обнаруживая себя, заражал компьютеры по всему миру. А 26-го апреля 1999 года, в годовщину аварии на Чернобыльской АЭС, около полумиллиона владельцев PC испытали на себе новый вид техногенной катастрофы — вся информация на их компьютерах оказалась уничтоженной. «Чернобыль» не пожалел даже BIOS, повредив данные на микросхемах. Интересно, что автор CIH, Чэнь Инхао, хоть и испытал глубокий стыд, и даже написал заблаговременно официальное извинение, не получил никакого наказания, так как не нарушил ни одного Тайваньского закона того времени.


Появление вируса Happy99 дало начало массовому переходу вирусов к распространению через интернет. Счастливый «червь» передвигался с помощью EXE-файла вложенного в электронное письмо. Он поздравлял «счастливчика» с новым 1999 годом, а после копировал свой код в системный каталог Windows.


Таким же незамысловатым способом в мае 2000 года распространился и вирус LoveLetter. Этот подлец играл на самых тонких струнах человеческой психики и рассылал «любовные послания», открыв которые, пользователь кроме глубокого разочарования получал еще и гору проблем в придачу. Вирус не только портил личные файлы и заменял их зараженными, но и пересылал сам себя всем контактам в адресной книге Microsoft Outlook. За такие подвиги почтовый червь ILOVEYOU попал в книгу рекордов Гиннеса и стал героем фильма.


Еще один представитель опасных сетевых беспозвоночных — Code Red. Летом 2001 года вирус был выпущен в сеть. Он заражал компьютеры не благодаря доверию наивных людей, а при помощи уязвимости в веб-сервере Microsoft IIS. В начале Код Красный не вызывал опасений. Ну кого, в самом деле, способна напугать надпись на экране «Взломано китайцами»? Но позже оказалось, что зараженный сервер спустя 20 дней должен был начать DDOS-атаку на несколько IP-адресов, в числе которых оказался и Белый дом США.


Через пару лет своими «успехами» на поприще интернет-вредительства смогли похвастаться SQL Slammer и Conficker. Slammer, используя переполнение буфера в Microsoft SQL server, вызвал массовый паралич пользовательского трафика. Перегруженные роутеры просто не справлялись и постоянно восстанавливали таблицу маршрутизации, тем самым задерживая и останавливая сетевой трафик. Червь настолько стремительно распространился, что умудрился на сутки лишить всю Южную Корею радости от просмотра котиков в интернете и каток в Starcraft.


В свою очередь, вирус Conficker в лучших традициях вестернов заставил объединиться в борьбе с ним крупнейшие корпорации — Microsoft, Dr.Web, Kaspersky Lab, ESET, Symantec. А Microsoft даже пообещала 250 тысяч долларов тому, кто найдет создателя червя. Conficker осущесталял свои гадкие планы с помощью все того же пресловутого переполнения буфера. В первую очередь он отключал службы обновления и защиты Windows и блокировал сайты производителей антивирусов, а потом зомбировал компьютер и подключал его к ботнет-сети. Специалисты пришли к выводу, что главной целью вредителя была проверка его способностей к размножению.


Но все вышеупомянутые вирусы — просто игрушки в сравнении со Stuxnet. Эта компьютерная чума могла поражать не только устройства обычных пользователей, но и системы важных промышленных предприятий, в том числе атомных электростанций. В Иране Stuxnet устроил из центрифуг для обогащения урана настоящий аттракцион. Вопрос «Зачем?» оставим любителям теорий заговора.


В 2012 году эволюция вирусов дала новый виток. Теперь они стали реальным кибероружием и средством шпионажа. Аналитикам Лаборатории Касперского пришлось изрядно попотеть с обнаружением ряда вредоносных программ. Таких как – Flame, Gauss, Red October, NetTraveler и Icefog. Все они заслуженно могут носить звание кибер-агентов 007, поскольку каждый вирус детально изучал и похищал важную правительственную, дипломатическую и финансовую информацию. Жертвами хакерских атак стали более 40 стран.


В марте 2016 года взошла звезда ужасного, но великого Пети (Petya), положив начало новой вирусной эпохе. Программа-вымогатель превращала файлы пользователей в тыкву, шифруя MBR-данные, которые нужны компьютеру для загрузки операционной системы. Для расшифровки она требовала от пользователей выкуп в биткоинах.


В 2017 году явил себя свету еще один червь-шантажист — WannaCry. Программа угрожала уничтожить все зашифрованные файлы через неделю после заражения, если владелец не заплатит выкуп в размере примерно 300 долларов США, но в криптовалюте. Необходимую сумму следовало перечислить в течение 3-ех дней, в противном случае — сумма удваивалась.


Всего через месяц после атаки WannaCry вернулся Petya. Новой модификации дали название NotPetya (интересно, кто-то уже пробовал называть так детей?). Петя новый — трюки старые. Для получения доступа к компьютеру программа использовала те же уязвимости системы, что и WannaCry при помощи эксплойта EternalBlue (предположительно разработан АНБ) и бэкдора DoublePulsar. Отдавать дань за возвращение своих информационных богатств было абсолютно бессмысленно — вирус уничтожал данные, а электронный адрес хакерских дел мастеров уже заблокировали провайдеры.

Чем болеют братья наши железные — история компьютерных вирусов Компьютер, Вирус, История, Программа, Длиннопост

НеПетя нападал на правительственные сайты, национальные банки и энергетические компании Украины, устроил коллапс в аэропорту Харькова и Киева, атаковал российские банки и крупные предприятия, а потом приступил к «заражению» Индии и стран Европы. Специалисты компании ESET и Microsoft выяснили, что нулевыми пациентами стали владельцы украинского программного обеспечения M.E.doc. Также аналитики полагают, что НеПетя отвлекал внимание вымогательством денег, в то время как его настоящей целью был массовый ущерб, поскольку зашифрованные данные не возвращались.


2018 год не стал годом отдыха от хакеров. Эксперты компании Dr.Web нашли новую головную боль — троянскую программу, похищающая данные к учетным записям пользователей в онлайн-сервисах и социальных сетях, изображения и текстовые файлы. На этот раз кибер-злодей не присылал писем счастья, а публиковал ссылки в комментариях к видео на YouTube. Часто в описании зловредной ссылки он сулил доступный для бесплатного скачивания путеводитель по чит-кодам для популярных онлайн-игр. Но после перехода любопытный читер получал не волшебную таблетку, а троянский архив со всеми вытекающими… Хорошая новость (не для сторонников честной игры и естественного отбора конечно же) в том, что автор трояна был найден. Им оказался печаль-разработчик под ником «Енот Погромист».


И вот, совсем уже недавно, в январе 2019 появился очередной вирус-шифровальщик Djvu. Попадая в компьютер вместе с пиратским контентом, Djvu загружает 4 файла, один из которых призван отвлекать внимание жертвы, показывая окно обновления системы Windows. После завершения шифрования в игру вступает «заманчивое предложение» от вымогателей. Цену за возвращение информации авторы шифровальщика не указывают, но сообщают о скидке за быстрое реагирование (однако, вирулентности маркетинга позавидовал бы любой вирус). К сожалению, способ дешифровать файлы до сих пор не найден.


Источник

Показать полностью 2
189

Новый вирус распространяется на Windows-ПК через 0Day-уязвимость 

Новый вирус распространяется на Windows-ПК через 0Day-уязвимость  Уязвимость, Microsoft, Вирус, Безопасность, Компьютер

Эксперты по кибербезопасности из Qihoo 360 обнаружили новый вид компьютерного вируса, который успешно передаётся через 0Day-уязвимость в браузере Internet Explorer и приложениях на ядре IE.


Уязвимость нулевого дня в последних сборках Internet Explorer открывает злоумышленникам возможность установить бэкдор для вируса на компьютерах пользователей с ОС Windows через документы Microsoft Office. Для этого не обязательно постоянно пользоваться названным браузером, достаточно даже один раз, например, чтобы скачать более популярный Chrome. Нужно быть внимательным и не открывать документ MS Office, в котором "вшита" web-ссылка на установку вредоносного кода. Как только жертва открывает файл, на ПК с удалённого сервера загружаются компоненты для запуска трояна. В ходе атаки вирус использует способ обхода UAC (User Account Control, Контроль учетных записей), технику отражающей DLL-загрузки (Reflective DLL Loading), «безфайловую» загрузку и стеганографию файлов для засекречивания своей деятельности.


Корпорация Microsoft уже предупреждена об уязвимости, но пока соответствующая "заплатка" не выпущена. До этого момента эксперты по кибербезопасности рекомендуют не открывать незнакомые MS Office-документы из сомнительных источников.

24gadget

Новый вирус распространяется на Windows-ПК через 0Day-уязвимость  Уязвимость, Microsoft, Вирус, Безопасность, Компьютер
2451

Get Contact - ставим трояны на свои смартфоны добровольно...

Сейчас в России огромной взрывной популярностью пользуется приложение GET CONTACT, которое, при установке, покажет, как вы записаны у других людей в записной книжке смартфона. Огромное количество рекламы сервиса в соцсетях, фейсбук уже второй день завален огромным количеством скриншотов из приложения. И вот, что можно сказать...

Get Contact - ставим трояны на свои смартфоны добровольно... Спам, Троян, Вирус, Смартфон, Длиннопост, Getcontact

Можно сейчас искать людей, выкладывающих скриншоты из приложения и предлагать им любой развод. Поведутся. Только не забудьте в конце приложить какой-нибудь бонус смешной или интересный за действие.


Приложение Get Contact уже успели запретить в Казахстане и Азербайджане, из-за нарушения закона «О персональных данных и их защите». Проблема в том, что это настоящий добровольно устанавливаемый троян, Который собирает с вашего смартфона, с вашего же разрешения, всю информацию, и передает ее третьим лицам. Для самых догадливых: не только то, как смешно или оскорбительно вы записываете в телефонной книге разных людей.


Смотрели серию южного парка про человеческую многоножку от Apple?

Get Contact - ставим трояны на свои смартфоны добровольно... Спам, Троян, Вирус, Смартфон, Длиннопост, Getcontact

Вот и здесь, стоило хотя бы обратить внимание (пользователям андроид), какие разрешения вы даете приложению. Или почитать условия использования:


"GET CONTACT may share any personal and/or corporate information and date submitted electronically to GET CONTACT by the users with any third party. GET CONTACT may send newsletters through email messages, SMS or contact over the phone or perform marketing activities as allowed by the law and collect data from such communication activities through various tools and methods for statistical purposes. GET CONTACT may share the personal/corporate data and information submitted to it and also cooperate with third parties for the collection of such data/information; perform sales and allow them to be used. GET CONTACT may share the data collected from the users over 3rd party applications and obtain data from 3rd party applications in order to sustain and expand its services. Such data may contain phone books, contacts, social media accounts, photos, email addresses, İP addresses as well as call records."


Это лишь выдержка, с полной версией ,где всё еще веселее, можно ознакомиться по ссылке: https://www.getcontact.com/help/privacy


Кто не спик инглиш вэлл, поясню, что приложение собирает информацию с устройства пользователя, и далее может рассылать email, SMS пользователям с использованием любого стороннего приложения (т.е, условно, запустить со смартфона вашу почту и начать активно спамить и рассылать трояны от вашего имени вашим друзьям). Также приложение может делиться с любыми третьими сторонами собранной информацией. Включая имена и номера телефонов, аккаунты соцсетей, фотографии, почты, IP адреса и записи телефонных разговоров.


Ну что, у вас всё еще есть желание узнать, как вы записаны в телефонных книжках ваших друзей и коллег? Самое обидное, что, устанавливая это приложение, вы ставите под угрозу и передаете все свои личные данные третьим лицам, это одно, но еще и ставите под угрозу всех, с кем контактируете через смартфон, включая друзей в соцсетях и, конечно, ваших контактов из телефонной книги. Т.к они также попадают в спам-базы, которые в дальнейшем будут использоваться по назначению.

Показать полностью 2
876

Тыжпрограммист-фрилансер в медицинском центре

Эта история навеяна мемуарами тыжпрограммиста с компьютером в странной комнате с кафельными стенами.
Был я в одном таком "кабинете". Попросили прийти вирусы почистить, да устранить жуткие тормоза, а то работать невозможно. Говорят, ходят тут всякие, пользуются тем что это единственный кабинет, в котором нет камер, заходят в браузер, гуглят всякую похабщину и без разбора по всяким ссылкам тыкают ... Сразу подумал на ночных охранников. Не будут же сотрудники в рабочее время так палиться. Я посмотрел: ну да, действительно, в истории браузера одни ***хабы да ***тюбы. Еще и кабинет такой странный: кафельный, с раковиной и маленьким столиком на длинной ножке и провод к компу идет... Как они сказали, это какие-то лабораторные спец весы, работу которых ни в коем случае нельзя нарушить. Почистил, поудалял зловредов. Иду и сообщаю что все готово, можно работу принимать. А там как раз мужика какого-то инструктируют... И тут я краем уха слышу как ему говорят куда проходить для сдачи анализов семенной жидкости... И тут я пожалел что работал без перчаток...

1395

Как мегафон вместо детализации вирусы от mail.ru присылал

Одним чудесным вечером я решил разобраться в своих расходах и куда уходят деньги, в том числе и заказать детализацию счета. Зашел в ЛК мегафона, заказал на свою почту и приходит мне письмо с html вложением

Как мегафон вместо детализации вирусы от mail.ru присылал Мегафон, Mail ru, Реклама, Вирус, Вирусная реклама, Длиннопост

Нажимаю я на него, и знаете что мне предлагают сделать при переходе по ссылке? Скачать archive-55-965.zip в котором лежит exe файл с таким же именем. Мое кольцо среагировало.

Как мегафон вместо детализации вирусы от mail.ru присылал Мегафон, Mail ru, Реклама, Вирус, Вирусная реклама, Длиннопост

Но потом я подумал, не может же оператор мне вирусню присылать, наверняка это какое-нибудь их приложение....

Как мегафон вместо детализации вирусы от mail.ru присылал Мегафон, Mail ru, Реклама, Вирус, Вирусная реклама, Длиннопост

Эта тварь начала после запуска без каких либо уведомлений распихивать приложения и расширения mail.ru по всем углам компа, благо я уже наученный горьким опытом быстро все почистил и локализовал.

Я подумал, что это ошибка, но повторный заказ детализации во вложении имел такую же ссылку, качать не стал.


Сразу же написал в поддержку мегафона и приложил файл, ответили почти мгновенно, но конкретики не дали, "будут разбираться".

Как мегафон вместо детализации вирусы от mail.ru присылал Мегафон, Mail ru, Реклама, Вирус, Вирусная реклама, Длиннопост

Варианта два, либо кто-то поимел сайт мегафона, что вполне вероятно, либо Алишер и тут без вазелина влез.
Будьте осторожней! Всем добра. БМ ругался на картинки.

Показать полностью 3
329

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :)))

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) Троян, Майнинг, Вирус, Информационная безопасность, Длиннопост

Я не специалист по кибербезопасности, и не приверженец майнинга криптовалю, хотя лет 5 назад интересовался принципами его работы, и даже накопал за месяц кое-чего :)))... но речь пойдёт именно о них майнинге и кибербезопасности. Что ж, приступим господа присяжные.

Всё началось со вчерашнего вечернего звонка от моего приятеля, живущего рядом:


— Привет! Ты сейчас дома? ... Есть свободная минутка? У меня проблема с компьютером, а сейчас вечер, обратиться некуда и больше не к кому... такое дело, стал сильно гудеть кулер процессора, хотя я ничего не делал, просто сидел и просматривал сайт в интернете...


— Да не вопрос, приходи, проверю что и как...


И так его системный блок у меня, подключаем кабели, монитор, клавиатуру, жмём кнопку питания, ждём... Проходит минута, пять минут, десять... Прислушиваясь, сидим болтаем, вроде всё нормально. Подключаю сетевой кабель, и иду на всякий случай за рюмками к чаю, по случаю неподтверждённого факта включения форсажа. Возвращаюсь, и к своему удивлению, слышу гул идущего на взлёт системного блока... Похоже, что процессор загружен по полной программе на все 100%, антивирус на удивление молчит...


Маленькое отступление:


Я не буду в этом посте рассматривать действия или бездеятельность антивирусных программ, равно как и вести рекламу или антирекламу оных! Будем просто решать заявленную проблему.


Также не будет, от меня лично, обращения в правоохранительные органы, так как я не являюсь потерпевшим или его доверенным лицом. Но, оставляю за собой право открытого обращения по совершенному факту распространения вирусных программ. Все дальнейшие действия — на усмотрение отделов регистрации и расследования киберпреступлений:


— принять к сведению, провести проверку, и ничего не обнаружить;


— провести проверку, попытаться найти, и потрогать за вымя гражданина Корейко привлечь к ответственности преступника или группу лиц;


— просто сидеть уткнувшись в экран, дабы не получать очередной "висяк" в отчётности по раскрываемости преступлений.


Но вернёмся к нашей основной теме исследований. Буду разжевывать детально, так что извините если будет долго и нудно. Запустив диспетчер задач ищем процесс или исполняемый файл нагружающий работу процессора. По шкале ЦП самое большое значение нагрузки 98% имеет файл NsCpuCNMiner.exe... Название сразу настораживает. Спрашиваю владельца:


— Ты майнингом увлёкся?


— Чего? О_О


Всё ясно, останавливаю работу программы, перехожу к месту её расположения и радикально удаляю. Системный блок облегчённо вздыхает, глотнув ложку валерьянки и успокаивается. Похоже проблема найдена, копаем дальше и переходим на уровень вверх в каталоге:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) Троян, Майнинг, Вирус, Информационная безопасность, Длиннопост
система Windows 64-х битная, но в этой папке настораживает название файла system.exe, такое же название и расширение имеет системный файл ядра операционки. То что это вирусная программа понимаю без лишних слов, но нужно выяснить что она делает, и как попала в систему.

По дате установки выясняется что в этот день устанавливался (или обновлялся) только Adobe Flash Player 26.00.137 PPAPI, и первая шальная мысль: "Ну ни фига себе Adobe подарки подсовывает...". Начинаю по очереди проверять все файлы в папке с предполагаемым вирусом:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) Троян, Майнинг, Вирус, Информационная безопасность, Длиннопост
первый файл установки как бы намекает на причастность AdobeFlashPlayerHash, возникает первое желание исхлестать по морде лица этого самого Адоба лотком кошачьего туалета! смотрим следующий файл:
Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) Троян, Майнинг, Вирус, Информационная безопасность, Длиннопост
опять этот злосчастный майнер криптовалют...
Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) Троян, Майнинг, Вирус, Информационная безопасность, Длиннопост

ну всё Адоб, дни твои сочтены,

скоро на тебя наденут деревянный макинтош, и в твоём доме будет играть музыка, но ты её не услышишь! (с)


смотрим дальше с чего всё начиналось:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) Троян, Майнинг, Вирус, Информационная безопасность, Длиннопост
Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) Троян, Майнинг, Вирус, Информационная безопасность, Длиннопост

ага, выходит троян сидел в системе целую неделю, безуспешно пытаясь скачать список листа с программой дистанционного майнига на чужом компьютере, что 20 числа ему и удалось (в аккурат после чего и начались проблемы с системным блоком приятеля), в начале файла отчёта виден ICU похоже это банковский идентификатор добытчика криптовалюты (хотя я могу и ошибаться) на которого и работает этот вирусный софт, а также IP 62.76.75.170 с которым пытается связаться программа и доложить об успешном внедрении :)))

Ну всё, сцуко, теперь я тебя по IP вычислю! И выясню таким образом кто рассылает троян, использующий вычислительные мощности ПК для добычи (майнинга) криптовалют!

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) Троян, Майнинг, Вирус, Информационная безопасность, Длиннопост
След ведёт к провайдеру интернета — OOO Sirius-Project в городе Москва. Уже проще, есть у кого выяснить кому принадлежит данный IP, после предъявления постановления (записываем данные в блокнотик). Проверяем ещё раз и проводим трассировку маршрута к искомому лицу:
Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) Троян, Майнинг, Вирус, Информационная безопасность, Длиннопост

по этическим, и конспирационным соображениям некоторые адреса скрыты от посторонних глаз :))),

приходим к выводу что все пути ведут в Москву через интернет пул в Жуковском

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) Троян, Майнинг, Вирус, Информационная безопасность, Длиннопост

к тому же наш клиент похоже использует анонимайзер для затруднения его отслеживания.

С истошном криком: "This is SPARTA!!!", начинаем рыть носом землю древо каталогов, в поисках злосчастного инсталлятора Adobe, и предвкушении многомиллиардных судебных исков к этому гиганту! К своему разочарованию в папке загрузки вместе с инсталлятором adobe flash player находим подозрительный файл Destroy Adobe Spying.exe, само название как бы намекает на удаление шпионского слежения, но профессиональное чутьё подсказывает, что миллиардов от Адоба нам уже не получить... :(((


Заглядываем во внутренности этого файла:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) Троян, Майнинг, Вирус, Информационная безопасность, Длиннопост
и видим тот же самый банковский идентификатор E41E692C1F967F4105DF7EEAC5BDBA09 программы скрытого майнинга. Отправляем файл на сайт проверки Virustotal:
Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) Троян, Майнинг, Вирус, Информационная безопасность, Длиннопост
оказывается его уже предъявляли к проверке 5 дней назад и признали вирусным, детальный просмотр анализа показал что многие антивирусные программы уже внесли его в свою базу
Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) Троян, Майнинг, Вирус, Информационная безопасность, Длиннопост

но в полном списке всё таки присутствуют зелёные птички, указывающие на дыры в системе безопасности многих антивирусных программ, включая довольно известные.

Информация обобщена, выводы сделаны, осталось принять окончательные меры. В первую очередь удаляем полностью папку с вирусными приложениями, а также проводим поиск в реестре и на жёстком диске следов действия вирусного инсталлятора, заодно вычищаем все временные папки с местами хранения неиспользуемых старых файлов. При удалении файлов из папки HS проблем не возникло, единственное что пришлось сделать — остановить в диспетчере задач процесс system.exe, но именно тот который принадлежал исполняемому файлу в папке с вирусом, а не систему файлу ядра. В общем особых проблем, кроме временного испуга приятеля, скорее всего не возникло.


Все работы были проведены без всякой установки дополнительного софта на родном системном блоке штатными средствами. И, да, антивирус всё таки был установлен другой, но это конфиденциальная информация, и разглашению в этом посте не подлежит...


Как вы теперь поняли, с халявным майнингом у нас, да и у них, не прокатило, посему разрешите откланяться.


Денег нет, но Вы держитесь здесь, вам всего доброго, хорошего настроения и здоровья. (с)


Источник:http://nnm.me/blogs/bat_boy/zhazhda-mayninga-kriptovalyut-ki...

Показать полностью 12
266

Защита от шифровальщиков. Делаем псевдопесочницу.

Сегодня я не буду про VPN, прокси и пр. Сегодня про личную информационную безопасность на своём компьютере.

Сейчас, как никогда, актуальна тема эпидемий вирусов, троянов и пр. И в большинстве своём их цель одна — заработать денег для своих создателей. Малварь может украсть ваши платежные данные и с ваших счетов будут списаны деньги. Но, в последнее время, основной тренд — это шифрование файлов жертвы. Шифруются или все подряд файлы, или наиболее ценные, по маске. Итог один: у вас появляется окно с требованием заплатить выкуп за расшифровку.


Различные антивирусные программы, в том числе именитых брендов, далеко не панацея. Малварь почти всегда будет использовать встроенные в операционную систему механизмы (в том числе и шифрования). Антивирусы крайне редко распознают свежих вредоносов с таким функционалом.


Стоит помнить, что основной канал распространения вредоносов — это электронная почта. Ничто не защитит вас так, как ваша осмотрительность и паранойя. Но надеяться на это полностью не стоит. Кроме того, наверняка, за вашим компьютером работает кто-то кроме вас, кто не столь осмотрителен и параноидален. Так что же делать?


Есть интересный подход к этой проблеме. Его реализацию можно найти в ряде источников в сети. И сейчас мы его рассмотрим.

Защита от шифровальщиков. Делаем псевдопесочницу. Малварь, Вирус, Шифровальщик, Троян, Информационная безопасность, Антивирус, Длиннопост

Итак, давайте рассуждать логически. Вредонос создан с целью заработка. Его преимущество во внезапности. Ведь как только о нём все узнают, как только специалисты разберут его по ноликам и единичкам, внесут в антивирусные базы, вредонос уже не сможет зарабатывать. И создатель вредоноса, как правило, принимает меры, чтобы защитить своё творение от изучения. Вредоносы, для анализа, запускают в специальной среде, где он не сможет натворить дел. Т.е. это некая искусственная среда (виртуальная машина, изолированная сеть) где за действиями вредоноса можно наблюдать, понять, как он работает. Такую искусственную среду называю "песочницей". В большинство вредоносов встраивают инструменты обнаружения работы в песочнице. И тогда он прекращает свою работу и удаляет себя. Ниже я расскажу вам, как сделать свой компьютер с ОС Windows похожим на такую песочницу. Таким образом мы введем вредонос в заблуждение и остановим его работу. Конечно это не панацея. Конечно нельзя ограничится только этими мерами. Но лишними они точно не будут.


Для начала сделаем свою сетевую карту похожей на сетевую карту виртуальной машины.


Узнаем название своей видеокарты. Открываем Пуск->Панель управления.


В Windows XP : Открываем "Сетевые подключения". Ищем свое "Подключение по локальной сети" или "Подключение беспроводной сети". Правой кнопкой мыши (далее - ПКМ) и "Свойства". В окошке "Подключение через" смотрим название нашего сетевого адаптера и запоминаем.


В Windows 7,8,10: Открываем "Сеть и интернет"->"Центр управления сетями и общим доступом". Слева ищем "Изменение параметров адаптера". Ищем свое "Подключение по локальной сети" или "Подключение беспроводной сети". ПКМ и "Свойства". В окошке "Подключение через" смотрим название нашего сетевого адаптера и запоминаем.


Нажмите сочетание клавишь Win+R (или Пуск->Выполнить) и введите

regedit

В Windows 8 и 10 права пользователя сильно обрезаны. Тут стоит сначала создать ярлык на рабочем столе с названием regedit. В строчке, где нужно указать расположение объекта, вписать просто "regedit" без кавычек. Потом щелкнуть правой кнопкой мыши на ярлыке и выбрать "Запуск от имени администратора".


Итак мы запустили RegEdit или редактор реестра Windows. Слева, в дереве реестра последовательно идём по "веткам"

HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Control -> Class

И ищем ветку, которая начинается с {4D36E972

Защита от шифровальщиков. Делаем псевдопесочницу. Малварь, Вирус, Шифровальщик, Троян, Информационная безопасность, Антивирус, Длиннопост

Здесь мы видим ветки с четырехзначными номерами (0000, 0001, 0002 и т.д.). Становимся на каждую из них последовательно, в правом окне ищем параметр с именем DriverDesc и значением, соответствующим названию вашего сетевого адаптера. Как только нашли, в правом окне на свободном месте ПКМ и Создать -> Строковый параметр. Имя ему вписываем

NetworkAddress

и жмём Enter для сохранения имени. Затем открываем наш новый ключ двойным кликом и вписываем значение

005056xxxxxx

где вместо xxxxxx любые случайные 6 цифр. И жмём ОК. Теперь, после перезагрузки, у нашего сетевого адаптера будет MAC адрес из диапазона системы виртуализации VMware.


Внимание: если вы находитесь в корпоративной среде или сетевая карта компьютера подключена напрямую (без маршрутизатора) к сетям провайдера, то вы можете остаться без связи. Если что-то пошло не так, удалите параметр NetworkAddress и перезагрузите компьютер.


А теперь сделаем самое интересное. Воспользуемся скриптом FSP (fake sandbox process). Скачать его можно здесь.

Защита от шифровальщиков. Делаем псевдопесочницу. Малварь, Вирус, Шифровальщик, Троян, Информационная безопасность, Антивирус, Длиннопост

Распаковываем архив. Внутри папка installer, а в ней файл fake-sandbox-installer.bat. Запустим его, на все вопросы ответим утвердительно путем ввода буквы y и нажатия Enter.


В автозагрузке (Пуск -> Программы (Все программы) -> Автозагрузка) должен появится fake_sandbox


После перезагрузки компютера в Диспетчере задач (для вызова Win+R, набрать taskmgr и нажать ОК. Выбрать вкладку "Процессы".) появятся фейковые процессы "WinDbg.exe","idaq.exe","wireshark.exe", "vmacthlp.exe", "VBoxService.exe", "VBoxTray.exe", "procmon.exe", "ollydbg.exe", "vmware-tray.exe", "idag.exe", "ImmunityDebugger.exe" и пр. На самом деле это запущен безобидный ping.exe, но под разными именами. А вот малварь, видя такой набор специализированных процессов, подумает, что её изучают в песочнице и самоубъётся.


Ну и вишенкой на торте: найдите файл vssadmin.exe в папке C:\Windows\System32 и переименуйте его как-нибудь. Естественно для этого нужны права администратора. Vssadmin - это инструмент управления теневыми копиями. Вредоносы с помощью него удаляют ваши бэкапы.

Всем безопасности и анонимности, много и бесплатно.


З.Ы. По моим статьям я получаю много вопросов. А еще многие хотят просто поговорит на околоИБэшные темы. В общем расчехлил я старый говорильный инструмент. Подробности здесь.

Показать полностью 3
394

Как защититься от вируса Petya, парализовавшего целые города?

Одним из главных событий этой недели уже стала новая вирусная атака на Россию и Украину. Совершенно неожиданно начали появляться сообщения о заражении компьютеров самых разных предприятий. Сейчас количество пострадавших компаний исчисляется десятками, сотнями или даже тысячами. В данной статье мы написали инструкцию, как защитить себя от этого вируса и что нужно делать в случае заражения.

В России о заражении сообщили «Башнефть», «Роснефть» и «Рязанская нефтеперерабатывающая компания». В Украине атаке были подвержены крупные энергокомпании, банки, мобильные операторы, почтовые компании, большие магазины, такие как «Ашан», «Эпицентр» и METRO, и даже аэропорт «Борисполь». Многие магазины были вынуждены остановить свою работу, люди не могут снять деньги в банкоматах, а в киевском метро нельзя оплатить проезд банковской картой или смартфоном.

Как защититься от вируса Petya, парализовавшего целые города? Вирус, 4pda, Компьютер, Длиннопост

Вирус Petya опасен исключительно для компьютеров под управлением Windows. При этом есть информация, что даже установка самых последних обновлений системы и безопасности не спасает от него. Кроме того, наличие антивируса также не гарантирует вам безопасность. Но защититься от этого вируса всё же можно, и это не составит особого труда: достаточно закрыть на компьютере определённые TCP-порты. Мы подготовили подробные инструкции для пользователей Windows 7 и Windows 10.

Как защититься от вируса Petya на Windows 7:

зайдите в «Пуск» → «Панель управления» → «Сеть и Интернет» → «Центр управления сетями и общим доступом» → «Брандмауэр Windows»;

Как защититься от вируса Petya, парализовавшего целые города? Вирус, 4pda, Компьютер, Длиннопост
в открывшемся окне выберите пункт «Дополнительные параметры»;
Как защититься от вируса Petya, парализовавшего целые города? Вирус, 4pda, Компьютер, Длиннопост
в левой панели выберите «Правила для входящих подключений», а затем в правой нажмите «Создать правило»;
Как защититься от вируса Petya, парализовавшего целые города? Вирус, 4pda, Компьютер, Длиннопост

выберите «Для порта» и нажмите «Далее»;

в следующем окне выберите «Протокол TCP» и «Определённые локальные порты», а затем укажите в поле следующие порты: 1024-1035, 135 и 445;

нажмите «Далее»;

Как защититься от вируса Petya, парализовавшего целые города? Вирус, 4pda, Компьютер, Длиннопост
в следующем окне выберите «Блокировать подключение» и снова нажмите кнопку «Далее»;
Как защититься от вируса Petya, парализовавшего целые города? Вирус, 4pda, Компьютер, Длиннопост

примените правило для всех профилей и закончите процедуру;

аналогичную процедуру необходимо выполнить для «Правила для исходящих подключений».


Как защититься от вируса Petya на Windows 10:

через встроенный поиск Windows введите «брандмауэр» и запустите соответствующую службу;

Как защититься от вируса Petya, парализовавшего целые города? Вирус, 4pda, Компьютер, Длиннопост
в левой панели выберите «Правила для входящих подключений»;
Как защититься от вируса Petya, парализовавшего целые города? Вирус, 4pda, Компьютер, Длиннопост
затем в правой панели нажмите «Создать правило»;
Как защититься от вируса Petya, парализовавшего целые города? Вирус, 4pda, Компьютер, Длиннопост
в открывшемся окне выберите «Для порта» и нажмите «Далее»;
Как защититься от вируса Petya, парализовавшего целые города? Вирус, 4pda, Компьютер, Длиннопост
в следующем окне выберите «Протокол TCP» и «Определённые локальные порты», а затем укажите в поле следующие порты: 1024-1035, 135 и 445;
Как защититься от вируса Petya, парализовавшего целые города? Вирус, 4pda, Компьютер, Длиннопост
в новом окне выберите «Блокировать подключение» и снова нажмите кнопку «Далее»;
Как защититься от вируса Petya, парализовавшего целые города? Вирус, 4pda, Компьютер, Длиннопост

примените правило для всех профилей и нажмите «Далее»;

в последнем окне вам нужно указать любое имя для правила и нажать «Готово»;

повторите всю процедуру для «Правила для исходящих подключений».

Если вы всё же «поймали» вирус Petya, то необходимо сразу же отключить все остальные компьютеры от сети, а заражённую машину выключить любым способом. Затем необходимо загрузиться с помощью LiveCD любого Linux-дистрибутива или извлечь жёсткий диск/SSD-накопитель и подключить его к другому компьютеру для переноса всех важных данных.

Источник: http://4pda.ru/2017/06/27/344351/

Показать полностью 11
189

Банковский троян Svpeng атакует российских пользователей Android Chrome

Банковский троян Svpeng атакует российских пользователей Android Chrome Вирус, Троян, Кража, Android, Google Chrome, Apk

Специалисты «Лаборатории Касперского» обнаружили вредоносную кампанию по распространению опасного банковского Android-трояна Svpeng. Для данной цели злоумышленники используют рекламный сервис Google AdSense.

Первые случаи инфицирования были зафиксированы в августе нынешнего года. Как тогда обнаружили эксперты, при просмотре некоторых новостных сайтов, использующих AdSense для показа рекламы, на Android-устройство пользователя автоматически загружался банковский троян. Подобное поведение вызвало интерес у исследователей, поскольку обычно при загрузке приложений браузер уведомляет пользователя о потенциально опасных программах и позволяет выбирать, сохранить файл или нет.


По данным ЛК, за два месяца жертвами вредоноса стали примерно 318 тысяч пользователей из России и СНГ. При показе вредоносной рекламы на SD-карту устройства загружался APK-файл, содержащий новую версию Svpeng - Svpeng.q.


Перехватив трафик с атакуемого устройства, эксперты выяснили, что в ответ на HTTP-запрос с C&C-сервера злоумышленников загружается скрипт JavaScript, используемый для показа вредоносного рекламного сообщения. Данный скрипт содержит обфусцированный код, включающий APK-файл под видом зашифрованного массива байт. Помимо различных проверок, код проверяет язык, который использует устройство. Злоумышленники атакуют только гаджеты, использующие интерфейс на русском языке.


Вышеописанный метод работает только в версии Google Chrome для Android. Как пояснили исследователи, при скачивании .apk с использованием ссылки на внешний ресурс, браузер выдает предупреждение о загрузке потенциально опасного объекта и предлагает пользователю решить, сохранить или нет загружаемый файл. В Google Chrome для Android при разбиении .apk на фрагменты не осуществляется проверка типа сохраняемого объекта и браузер сохраняет файл, не предупреждая пользователя.


Эксперты ЛК проинформировали Google о проблеме. Компания уже подготовила устраняющий данную уязвимость патч, который будет включен в состав следующего обновления браузера.


http://www.securitylab.ru/news/484387.php

Показать полностью
1389

Лечение от нежелательного ПО от Yandex, Mail.ru, Amigo, Kometa и т.д.

Лечение от нежелательного ПО от Yandex, Mail.ru, Amigo, Kometa и т.д. Windows, Adware, Mail ru, Амиго, Яндекс, Настройка, Вирус, Длиннопост

Итак, доброго времени суток подписчики.

Много копий было сломано и текста писано-переписано по поводу и на тему лечения от нежелательного/рекламного/вирусного ПО/adware вышеуказанных компаний.

Я не буду, да и не скажу что здесь будет что-то новое на рынке решений этой проблемы. Здесь будет моя инструкция и подборка софта которая помогает мне в борьбе с этой дрянью.


Краткая версия инструкции - выделена жирным. Остальное для любителей деталей :)

ЛЛ должна одобрить :)


Инструкция:


0. Делаем все на свой страх и риск, делаем резервные копии всего ценного и никто кроме вас не несёт ответственности за выполнение действий указанных в посту. Не забудьте создать точку восстановления системы. Удачи :)


1.Удаляем всё подозрительное через панель управления или любимым uninstall-софтом.


2.Запускаем CCleaner. Чистим. Повторяем это действо после каждого последующего пункта и после каждой перезагрузки которую предложит та или иная программа.

Лечение от нежелательного ПО от Yandex, Mail.ru, Amigo, Kometa и т.д. Windows, Adware, Mail ru, Амиго, Яндекс, Настройка, Вирус, Длиннопост

3.Запускаем AdwCleaner. Чистим.

Лечение от нежелательного ПО от Yandex, Mail.ru, Amigo, Kometa и т.д. Windows, Adware, Mail ru, Амиго, Яндекс, Настройка, Вирус, Длиннопост

4.Запускаем JRT. Чистим.

Лечение от нежелательного ПО от Yandex, Mail.ru, Amigo, Kometa и т.д. Windows, Adware, Mail ru, Амиго, Яндекс, Настройка, Вирус, Длиннопост

5.Запускаем MBAR Чистим.

Лечение от нежелательного ПО от Yandex, Mail.ru, Amigo, Kometa и т.д. Windows, Adware, Mail ru, Амиго, Яндекс, Настройка, Вирус, Длиннопост

6. НЕОБЯЗАТЕЛЬНО Проверьте файл hosts (https://ru.wikipedia.org/wiki/Hosts) на наличие посторонних строк. В стандарте должна быть только одна запись 127.0.0.1 localhost

Однако если вы когда-либо использовали DWS (Destroy Windows Spying) для отключения шпионства то файл hosts будет заполнен адресами телеметрии Microsoft.


7.НЕОБЯЗАТЕЛЬНО Удалить все расширения в браузерах и установить AdBlock или AdBlock Plus.


8.НЕОБЯЗАТЕЛЬНО Также желательно пройтись KVRT, Dr.Web CureIt и Malwarebytes Antimalware (бесплатная практически не имеет отличий от pro версии).

Лечение от нежелательного ПО от Yandex, Mail.ru, Amigo, Kometa и т.д. Windows, Adware, Mail ru, Амиго, Яндекс, Настройка, Вирус, Длиннопост
Лечение от нежелательного ПО от Yandex, Mail.ru, Amigo, Kometa и т.д. Windows, Adware, Mail ru, Амиго, Яндекс, Настройка, Вирус, Длиннопост
Лечение от нежелательного ПО от Yandex, Mail.ru, Amigo, Kometa и т.д. Windows, Adware, Mail ru, Амиго, Яндекс, Настройка, Вирус, Длиннопост

9.НЕОБЯЗАТЕЛЬНО Для глубокой очистки воспользуйтесь утилитами AVZ и Universal Virus Sniffer. ВНИМАНИЕ, эти программы при неправильном использовании могут нанести не пользу, а вред вашей системе.

Лечение от нежелательного ПО от Yandex, Mail.ru, Amigo, Kometa и т.д. Windows, Adware, Mail ru, Амиго, Яндекс, Настройка, Вирус, Длиннопост
Лечение от нежелательного ПО от Yandex, Mail.ru, Amigo, Kometa и т.д. Windows, Adware, Mail ru, Амиго, Яндекс, Настройка, Вирус, Длиннопост

10.НЕОБЯЗАТЕЛЬНО Проверить и почистить автозапуск. Можно через тот же CCleaner.


11.НЕОБЯЗАТЕЛЬНО После всего и вся перезагружаемся.


Ссылки на упомянутый выше софт:


К основной инструкции:

http://www.piriform.com/CCleaner/download/portable

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

https://ru.malwarebytes.com/junkwareremovaltool/

https://ru.malwarebytes.com/antirootkit/


Дополнительно:

https://github.com/Nummer/Destroy-Windows-10-Spying/releases

https://getadblock.com/

https://adblockplus.org/

http://free.drweb.ru/cureit/

http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/fu...

https://ru.malwarebytes.com/antimalware/

http://z-oleg.com/secur/avz/download.php

http://dsrt.dyndns.org/uvs.htm


Готовые файлы, для личного использования, прилагаю на Яндекс.Диске. Кроме плагинов. Вирусов нет.

https://yadi.sk/d/jr2QT0BOxDE8v


Спасибо за просмотр. Предлагайте темы для следующих постов. Оставляйте комментарии. Ваше мнение очень важно для нас. Пожалуйста оставайтесь на линии, вам ответит первый освободившийся консультант :D


Также смотрите мой предыдущий пост по теме:

Работа с разделами диска и загрузчиками Windows

http://pikabu.ru/story/rabota_s_razdelami_diska_i_zagruzchik...


Все товарные знаки и торговые марки являются собственностью их владельцев.

Показать полностью 9
112

В Австралии хакеры подбрасывают USB-флешки с трояном в почтовые ящики

21 сентября 2016 года на официальном сайте полицейского управления штата Виктория появилось необычное предупреждение. По данным правоохранительных органов, неизвестные лица подбрасывают в почтовые ящики жителей небольшого городка Пакенхэм (Pakenham), расположенного в 56 километрах от Мельбурна, USB-флешки без какой-либо маркировки. Когда любопытные пользователи подключают такие флешки к компьютерам, ничего хорошего, вполне предсказуемо, не происходит. Полицейские сообщили, что жертвы атаки наблюдали «мошеннические предложения от стриминговых сервисов» и столкнулись «с другими серьёзными проблемами».
В Австралии хакеры подбрасывают USB-флешки с трояном в почтовые ящики Вирус, Троян, Почтовый ящик, Новости, Австралия, Полиция

Кому понадобилось распространять вирус столь странным образом, атакуя город, чье население составляет порядка 30 000 человек, пока неясно.


Тем не менее, нет ничего удивительного в том, что многие жители Пакенхэма решили проверить содержимое флешек и подключили их к своим ПК. К примеру, в октябре 2015 года специалисты CompTIA провели исследование, согласно результатам которого 17% пользователей в пяти городах США не задумываясь подключат найденную на улице флешку к компьютеру.


Еще одно похожее исследование (PDF) было представлено в апреле 2016 года. Тогда исследователи из Иллинойсского университета в Урбане-Шампейне, университета Мичигана и Google разбросали в кампусе университета 297 флеш-накопителей. В итоге пользователи нашли 98% из них, и в 135 случаях (45%) попытались подключить накопители к своим компьютерам и выяснить, с чем имеют дело.


Полиция штата Виктория напоминает: не стоит подключать к ПК подозрительные девайсы, найденные на улице или подброшенные в почтовый ящик.

https://xakep.ru/2016/09/22/malware-in-letterboxes/


ПыСы: А Вы подключаете найденную на улице флеху к компьютеру чтобы посмотреть содержимое?

Показать полностью
176

Автор вируса BILAL BOT написал в IBM о том, что они не верно описали его троян

В апреле текущего года специалисты команды IBM X-Force описывали в своем блоге интересную ситуацию: автор популярного мобильного банкера GM Bot оказался заблокирован на крупных торговых площадках даркнета, и за освободившееся место на данном «рынке» немедленно развернулась активная борьба. Среди претендентов на роль нового лидера в этой области был и мобильный троян Bilal Bot. Но, как оказалось, весной исследователи IBM X-Force описали данный троян не совсем верно, о чем им недавно сообщил сам автор этого вируса.


Сначала создатель Bilal Bot связался с журналистами издания Softpedia, сообщив им, что они распространяют ложную информацию о его вредоносе. Журналисты не восприняли письмо всерьез и, по сути, отмахнулись от его автора, посоветовав тому поговорить с представителями IBM X-Force, которые являлись первоисточником опубликованных данных. Разумеется, никто не ожидал, что автор трояна в самом деле станет предъявлять претензии исследователям, но именно так и произошло.

Автор вируса BILAL BOT написал в IBM  о том, что они не верно описали его троян Вирус, Троян, Автор, Почта, Ibm, Длиннопост
Автор вируса BILAL BOT написал в IBM  о том, что они не верно описали его троян Вирус, Троян, Автор, Почта, Ibm, Длиннопост

Исследователь IBM X-Force Лаймор Кессем (Limor Kessem) рассказал в официальном блоге компании, что автор Bilal Bot действительно прислал аналитикам письмо. Вот что пишет автор малвари:

«Здравствуйте! Я разработчик и владелец малвари Bilal Bot. На вашем сайте опубликована неверная информация. Во-первых, KLN bot более не продается, так как его хозяин, rashe, забанен на андеграундных площадках за скам, так же как Ganjaman с его GM Bot и Mazar. Это во-первых. Во-вторых, вы рассматривали бета-версию моего Bilal Bot. С тех пор было много изменений и улучшений, так что ваш текст в целом и перечисленные в нем цены в частности абсолютно устарели. Если хотите, я дам вам интервью относительно моей малвари Bilal Bot, или я хотел бы попросить вас изменить или обновить вашу публикацию».
«Вероятно, цена возросла с тех пор, как малварь вышла из бета-версии, и разработчик не захотел, чтобы потенциальные покупатели требовали снизить цену, прочитав о тарифах где-то в сети, — объясняет Кессем. — Я все еще сижу и просто качаю головой после получения этого сообщения, ведь потенциальный автор предложил нам интервью, в котором обещал рассказать последнюю информацию о Bilal Bot. Да, конечно, автор Bilal Bot, мы с радостью возьмем у тебя интервью. Только имей в виду, что мы можем попросить у тебя подтверждение твоей реальной личности и местоположения».

Тем не менее, исследователи IBM X-Force не могли оставить послание без внимания и изучили Bilal Bot повторно. Малварь действительно обновилась, причем сроки ее обновления совпадают со сроками отправки письма, из чего эксперты делают вывод, что автором послания, скорее всего, действительно выступал разработчик трояна.


Среди функций Bilal Bot, которых не было замечено в апреле 2016 года, исследователи перечисли следующие:

-троян научился перехватывать входящие SMS-сообщения, а также получать доступ к уже существующим SMS; 

-появилось перенаправление голосовых звонков; 

-появилась функция перекрытия экрана устройства и так далее.

Кроме того, исследователи пишут, что возросла стоимость трояна. Напомню, что ранее Bilal Bot стоил $3000.

Источник...

Показать полностью
644

ВНИМАНИЕ! Опасный вирус-шифровальщик для 1С

Антивирусная компания "Доктор Веб" сообщила 22 июня 2016 г. о том, что выявлен опасный вирус для 1С:Предприятия – троянец, запускающий шифровальщика-вымогателя.


Троянец распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка» и следующим текстом:


Здравствуйте!
У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл - Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты.

К письму прикреплен файл внешней обработки для программы «1С:Предприятие» с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно.

Какую бы кнопку ни нажал пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы «1С:Предприятие» появится форма с изображением забавных котиков.


В это же самое время троянец начинает свою вредоносную деятельность на компьютере. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения идентичен приведенному выше. Вместо адреса отправителя троянец использует e-mail, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть. 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:


"Управление торговлей, редакция 11.1"

"Управление торговлей (базовая), редакция 11.1"

"Управление торговлей, редакция 11.2"

"Управление торговлей (базовая), редакция 11.2"

"Бухгалтерия предприятия, редакция 3.0"

"Бухгалтерия предприятия (базовая), редакция 3.0"

"1С:Комплексная автоматизация 2.0"


После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку. К сожалению, в настоящее время специалисты компании «Доктор Веб» не располагают инструментарием для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие», даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов.


http://1c.ru/news/info.jsp?id=21537

https://news.drweb.ru/show/?i=10034&c=5&lng=ru&p=0

Показать полностью
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: