С тегами:

вирус

Любые посты за всё время, сначала свежие, с любым рейтингом
Найти посты
сбросить
загрузка...
44
От оно чё
12 Комментариев  
От оно чё Украина, вирус, Евреи, Рептилоиды, запрос в гугле

p.s. гуглил тот видос с колобком

269
Письма счастья. Шифровальщик
55 Комментариев в Антимошенник  
Письма счастья. Шифровальщик мошенники, шифровальщик, шифрование, вирус, интернет, безопасность

Вот такие письма нам иногда падают на корпоративную почту. Во вложении скорее всего скрип шифровальщик.

Забавляет глупость мошенников - провели проверку, выявили задолженность и просят реквизиты :)  

Будьте внимательны при работе с электронной почтой!

1136
Как я написал свою первую программу в 2 строки и получил по информатике 5 автоматом!!!
221 Комментарий в IT-юмор  

Попался случайно на глаза компилятор basic под DOS, тот самый из детства, вспомнил историю и скомпилировал самый простой авторский "вирус" в мире... Прям как over 20 лет назад на информатике. Для кого-то первой программой служит "hello world", а я впервые сразу написал программу аж из 2х строк!

Суть проста, код программы:

10 PRINT "любой текст"

20 GOTO 10

получаем бесконечный цикл построчного вывода символов, что между кавычек в 10й строке. Тогда в школе там было написано "Этот неуч хотел играть на уроке!!! Позор!!!" (На 100% не помню, но текст был такой или схожий). Скомпиленый файл был назван "game.exe"

Как я написал свою первую программу в 2 строки и получил по информатике 5 автоматом!!! Детство, школа, вирус, розыгрыш, Информатика, программирование

и по локалке помещен на все компьютеры в классе в созданные папки "Mario". Учитель вышел и естественно большинство класса вышли из бейсика в нортон коммандер в поисках развлечений, а тут такая халява! Прямо на диске С:\ папка "MARIO", в которой красовался мой "GAME.EXE". В общем, когда учитель через минут 10 вернулся проверить задание, у трети класса на экранах мониторов красовался мой текст

Показать полностью 1
63
КИБЕРПОЛИЦИЯ РАЗОБЛАЧИЛА МУЖЧИНУ, КОТОРЫЙ РАСПРОСТРАНЯЛ ВИРУС PETYA
9 Комментариев в Информационная безопасность  

Полиция в Черниговской области разоблачили мужчину, который занимался распространением вируса Petya.

Злоумышленником оказался житель города Никополь, который путем размещения видеороликов распространял среди пользователей вредоносное программное обеспечение.

51-летний житель Днепропетровской области на файловых обменниках и на социальных каналах сети Интернет выложил видео с подробным описанием того, каким образом можно запустить вирус "Petya.A" на компьютерах. В комментариях к видео мужчина разместил ссылку на свою страницу в социальной сети, на которую он загрузил сам вирус и распространил его пользователям сети Интернет. После хакерской атаки, которая состоялась в июне 2017 года, он загрузил вирус в свой аккаунт на файлообменном сервере, а ссылку на файл загрузил в свой блог (оставляя комментарии под видео). Оперативники киберполиции установили, что этот вирус пользователи сети скачали на свои компьютеры около 400 раз.

Был установлен перечень компаний, которые решили воспользоваться общегосударственной кибератакой и намеренно загружали себе данный вирус для сокрытия своей преступной деятельности и уклонения от уплаты штрафных санкций государству.

https://cn.npu.gov.ua/uk/publish/article/133587

https://bykvu.com/bukvy/72206-kiberpolitsiya-razoblachila-mu...

241
Продолжаются фишинг-атаки на разработчиков браузерных дополнений
18 Комментариев в Информационная безопасность  
Продолжаются фишинг-атаки на разработчиков браузерных дополнений вирус, дополнение, браузер, фишинг, атака, текст

Продолжаются фишинг-атаки на разработчиков браузерных дополнений, проводимые с целью захвата контроля над дополнением и подстановки в него вредоносного кода, отображающего навязчивые рекламные блоки. Если первой жертвой атаки стало дополнение Copyfish с аудиторией 40 тысяч установок, то новая жертва оказалась значительно крупнее - злоумышленникам удалось получить контроль за дополнением Web Developer у которого более миллиона активных пользователей.


По сообщению автора Web Developer, он по недосмотру ввёл данные в подставную форму аутентификации Google, подготовленную организаторами фишинг-атаки. Метод проведения атаки был идентичен недавно описанной атаке на дополнение Copyfish. Разработчику также пришло письмо с уведомлением о наличии проблем с соблюдением правил каталога Chrome App Store и ссылкой на тикет с информацией по их устранению, при переходе на которую выдавалась подставная форма входа Google.


Захватив аккаунт злоумышленники сразу опубликовали новую версию Web Developer 0.4.9, в которую встроили код для подстановки своей рекламы на просматриваемые пользователем сайты. Не исключается, что дополнение могло выполнять и другие вредоносные действия, например, перехват паролей к web-сайтам (в частности, имеются подозрения на перехват параметров доступа к API Cloudflare).


Версия с вредоносным кодом распространялась в течение нескольких часов, после чего разработчик уведомил о проблеме инженеров Google, поменял параметры входа и оперативно выпустил обновление 0.5 с устранением вредоносной вставки. Для защиты от подобных фишинг-атак разработчикам дополнений рекомендуется включить в настройках двухфакторную аутентификацию (автор Web Developer её не использовал, что наряду с невнимательностью при заполнении форм оказало решающее влияние на успех проведения атаки).

http://opennet.ru/opennews/art.shtml?num=46970

467
Вирус Эбола сохранился в сперме мужчин через два года после выздоровления
60 Комментариев в Наука | Science  

Вирус Эболы — крайне тяжелое заболевание, от которого, в среднем, умирает половина инфицированных. Возбудитель болезни передается, в том числе, во время незащищенного секса. Исследователи показали, что вирус сохраняется в сперме переболевших Эболой мужчин свыше двух лет и призвали всех выздоровевших пользоваться презервативами.


http://short.nplus1.ru/3BwatKHvWgk

Вирус Эбола сохранился в сперме мужчин через два года после выздоровления наука, новости, Медицина, вирус, эбола
111
Исходные коды вируса-шифровальщика SLocker для Android .
29 Комментариев в Информационная безопасность  

Вымогатель SLocker, также известный как Simple Locker, является одним из наиболее известных и старейших шифровальщиков для Android. Именно он устроил настоящую эпидемию летом 2016 года, а в мае 2017 года исследователи обнаружили более 400 новых образцов вируса. Спустя еще месяц, в июне 2017 года, специалисты Trend Micro заметили, что вымогатель начал копировать GUI нашумевшего шифровальщика WannaCry.

Исходные коды вируса-шифровальщика SLocker для Android . вирус, шифровальщик, исходный код, Android, SLocker, безопасность

SLocker – один из немногих мобильных вымогателей, который действительно шифрует данные жертв, а не просто запугивает пострадавших, блокируя экран устройства. SLocker использует алгоритм AES, шифрует все данные на устройстве, а потом блокирует жертве доступ к каким-либо функциям девайса и требует выкуп. Для связи с командными серверами вирус использует Tor, в результате чего отследить «источник» практически невозможно.

Показать полностью 1
206
Обращение к кошатникам
43 Комментария в Котомафия  
Обращение к кошатникам кот, вирус, Болезнь, кошатники

Дорогие друзья, недавно писала пост с просьбой найти ветеринара в Казани. Огромное спасибо тем, кто откликнулся, были в 3-х клиниках и нам поставили один неутешительный диагноз-короноввироз, он же коронный вирус. Врачи ставят разные сроки, от нескольких месяцев до 5 лет. Но в моей душе теплится надежда, что Микки мы сможем спасти. Лечение мы уже начали, но хочется найти тех, кто прошёл этот путь. Пожалуйста, откликнитесь, хочу узнать, были ли случаи, что вы могли контролировать вирус и котик жил долго? Комменты для минусов внутри.

Обращение к кошатникам кот, вирус, Болезнь, кошатники
319
Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :)))
30 Комментариев  
Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

Я не специалист по кибербезопасности, и не приверженец майнинга криптовалю, хотя лет 5 назад интересовался принципами его работы, и даже накопал за месяц кое-чего :)))... но речь пойдёт именно о них майнинге и кибербезопасности. Что ж, приступим господа присяжные.

Всё началось со вчерашнего вечернего звонка от моего приятеля, живущего рядом:


— Привет! Ты сейчас дома? ... Есть свободная минутка? У меня проблема с компьютером, а сейчас вечер, обратиться некуда и больше не к кому... такое дело, стал сильно гудеть кулер процессора, хотя я ничего не делал, просто сидел и просматривал сайт в интернете...


— Да не вопрос, приходи, проверю что и как...


И так его системный блок у меня, подключаем кабели, монитор, клавиатуру, жмём кнопку питания, ждём... Проходит минута, пять минут, десять... Прислушиваясь, сидим болтаем, вроде всё нормально. Подключаю сетевой кабель, и иду на всякий случай за рюмками к чаю, по случаю неподтверждённого факта включения форсажа. Возвращаюсь, и к своему удивлению, слышу гул идущего на взлёт системного блока... Похоже, что процессор загружен по полной программе на все 100%, антивирус на удивление молчит...


Маленькое отступление:


Я не буду в этом посте рассматривать действия или бездеятельность антивирусных программ, равно как и вести рекламу или антирекламу оных! Будем просто решать заявленную проблему.


Также не будет, от меня лично, обращения в правоохранительные органы, так как я не являюсь потерпевшим или его доверенным лицом. Но, оставляю за собой право открытого обращения по совершенному факту распространения вирусных программ. Все дальнейшие действия — на усмотрение отделов регистрации и расследования киберпреступлений:


— принять к сведению, провести проверку, и ничего не обнаружить;


— провести проверку, попытаться найти, и потрогать за вымя гражданина Корейко привлечь к ответственности преступника или группу лиц;


— просто сидеть уткнувшись в экран, дабы не получать очередной "висяк" в отчётности по раскрываемости преступлений.


Но вернёмся к нашей основной теме исследований. Буду разжевывать детально, так что извините если будет долго и нудно. Запустив диспетчер задач ищем процесс или исполняемый файл нагружающий работу процессора. По шкале ЦП самое большое значение нагрузки 98% имеет файл NsCpuCNMiner.exe... Название сразу настораживает. Спрашиваю владельца:


— Ты майнингом увлёкся?


— Чего? О_О


Всё ясно, останавливаю работу программы, перехожу к месту её расположения и радикально удаляю. Системный блок облегчённо вздыхает, глотнув ложку валерьянки и успокаивается. Похоже проблема найдена, копаем дальше и переходим на уровень вверх в каталоге:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

система Windows 64-х битная, но в этой папке настораживает название файла system.exe, такое же название и расширение имеет системный файл ядра операционки. То что это вирусная программа понимаю без лишних слов, но нужно выяснить что она делает, и как попала в систему.

По дате установки выясняется что в этот день устанавливался (или обновлялся) только Adobe Flash Player 26.00.137 PPAPI, и первая шальная мысль: "Ну ни фига себе Adobe подарки подсовывает...". Начинаю по очереди проверять все файлы в папке с предполагаемым вирусом:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

первый файл установки как бы намекает на причастность AdobeFlashPlayerHash, возникает первое желание исхлестать по морде лица этого самого Адоба лотком кошачьего туалета! смотрим следующий файл:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

опять этот злосчастный майнер криптовалют...

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

ну всё Адоб, дни твои сочтены,

скоро на тебя наденут деревянный макинтош, и в твоём доме будет играть музыка, но ты её не услышишь! (с)


смотрим дальше с чего всё начиналось:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост
Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

ага, выходит троян сидел в системе целую неделю, безуспешно пытаясь скачать список листа с программой дистанционного майнига на чужом компьютере, что 20 числа ему и удалось (в аккурат после чего и начались проблемы с системным блоком приятеля), в начале файла отчёта виден ICU похоже это банковский идентификатор добытчика криптовалюты (хотя я могу и ошибаться) на которого и работает этот вирусный софт, а также IP 62.76.75.170 с которым пытается связаться программа и доложить об успешном внедрении :)))

Ну всё, сцуко, теперь я тебя по IP вычислю! И выясню таким образом кто рассылает троян, использующий вычислительные мощности ПК для добычи (майнинга) криптовалют!

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

След ведёт к провайдеру интернета — OOO Sirius-Project в городе Москва. Уже проще, есть у кого выяснить кому принадлежит данный IP, после предъявления постановления (записываем данные в блокнотик). Проверяем ещё раз и проводим трассировку маршрута к искомому лицу:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

по этическим, и конспирационным соображениям некоторые адреса скрыты от посторонних глаз :))),

приходим к выводу что все пути ведут в Москву через интернет пул в Жуковском

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

к тому же наш клиент похоже использует анонимайзер для затруднения его отслеживания.

С истошном криком: "This is SPARTA!!!", начинаем рыть носом землю древо каталогов, в поисках злосчастного инсталлятора Adobe, и предвкушении многомиллиардных судебных исков к этому гиганту! К своему разочарованию в папке загрузки вместе с инсталлятором adobe flash player находим подозрительный файл Destroy Adobe Spying.exe, само название как бы намекает на удаление шпионского слежения, но профессиональное чутьё подсказывает, что миллиардов от Адоба нам уже не получить... :(((


Заглядываем во внутренности этого файла:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

и видим тот же самый банковский идентификатор E41E692C1F967F4105DF7EEAC5BDBA09 программы скрытого майнинга. Отправляем файл на сайт проверки Virustotal:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

оказывается его уже предъявляли к проверке 5 дней назад и признали вирусным, детальный просмотр анализа показал что многие антивирусные программы уже внесли его в свою базу

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

но в полном списке всё таки присутствуют зелёные птички, указывающие на дыры в системе безопасности многих антивирусных программ, включая довольно известные.

Информация обобщена, выводы сделаны, осталось принять окончательные меры. В первую очередь удаляем полностью папку с вирусными приложениями, а также проводим поиск в реестре и на жёстком диске следов действия вирусного инсталлятора, заодно вычищаем все временные папки с местами хранения неиспользуемых старых файлов. При удалении файлов из папки HS проблем не возникло, единственное что пришлось сделать — остановить в диспетчере задач процесс system.exe, но именно тот который принадлежал исполняемому файлу в папке с вирусом, а не систему файлу ядра. В общем особых проблем, кроме временного испуга приятеля, скорее всего не возникло.


Все работы были проведены без всякой установки дополнительного софта на родном системном блоке штатными средствами. И, да, антивирус всё таки был установлен другой, но это конфиденциальная информация, и разглашению в этом посте не подлежит...


Как вы теперь поняли, с халявным майнингом у нас, да и у них, не прокатило, посему разрешите откланяться.


Денег нет, но Вы держитесь здесь, вам всего доброго, хорошего настроения и здоровья. (с)


Источник:http://nnm.me/blogs/bat_boy/zhazhda-mayninga-kriptovalyut-ki...

Показать полностью 12
46
Хакером можно стать за 450 рублей. Ovidiy Stealer — хакерство идёт в народ
7 Комментариев  

Порог вхождения в «профессию» хакера всё ниже. Вредоносное ПО как услуга давно не новость, но вот цены продолжают падать. Специалисты Proofpoint проанализировали новый вредонос Ovidiy Stealer. Приобрести его можно на сайте русскоязычного хакера TheBottle всего за 450-570 рублей, а оплатить в РобоКассе. Цена зависит от запрашиваемого функционала. И хотя технически Ovidiy Stealer далёк от совершенства, его низкая цена и удобство использования стали стимулом к распространению и применению в атаках.


Впервые вредонос был выявлен в июне 2017 года и с тех пор постоянно развивается и обновляется. Постоянно увеличивающееся количество его разновидностей говорит об активном применении. Ovidiy Stealer продается по цене 450-750 рублей (~ 7-13 долларов США) за один собранный по заказу, скомпилированный исполняемый файл. При этом файл обфусцирован для предотвращения анализа и обнаружения.


Большинство антивирусов обнаруживают Ovidiy Stealer только эвристическим анализом, что логично. Скорость появления новых сборок опережает работу вирусных аналитиков. При этом, обнаруженные эвристикой экземпляры вредоноса антивирусы, как правило, обозначают общими названиями. Из журналов антивируса обычно можно узнать, что какое-то вредоносное ПО найдено, но о том, что это именно Ovidiy Stealer антивирусы обычно не сообщают. Поэтому значимость события обнаружения вредоноса может быть недооценена специалистами по информационной безопасности.


По мнению аналитиков Proofpoint, Ovidiy Stealer в настоящее время распространяется по электронной почте в виде исполняемых вложений, сжатых исполняемых вложений и ссылок на исполняемый файл. Также, вероятно, зловред распространяется через хостинг файлов маскируясь под приложения типа cracking/keygen. В нескольких случаях Ovidiy Stealer выявлен в сборках криптомайнера LiteBitcoin.

Хакером можно стать за 450 рублей. Ovidiy Stealer — хакерство идёт в народ Ovidiy Stealer, вирус как услуга, вирус, информационная безопасность, робокасса, длиннопост
Показать полностью 6
229
"Лаборатория Касперского" раскрыла секрет вируса на сайте госуслуг
22 Комментария  

Вирус, обнаруженный на сайте госуслуг, является рекламным и предназначен для "накручивания" (искусственного повышения) посещаемости различных интернет-ресурсов. Об этом РИА Новости сообщили в "Лаборатории Касперского".


По словам экспертов, в настоящее время на сайте Gosuslugi.ru присутствует код, который осуществляет переход по внешней ссылке. Этот код "накручивает" клики, однако сам пользователь, открывший сайт госуслуг, об этом не знает.


В "Лаборатории Касперского" также подчеркнули, что этот вирус известен с 2015 года и присутствует на нескольких десятках сайтов в Рунете.


В свою очередь, представители оператора "Ростелеком" рассказали RNS, что интересы пользователей портала госуслуг, на котором ранее был обнаружен вирус, не были нарушены в результате этой атаки.


"Оперативно проведен комплекс мероприятий по устранению уязвимости. Интересы пользователей портала не нарушены, то есть потенциальная уязвимость не была реализована", - заявили в компании.


Сотрудники "Ростелекома" также подчеркнули, что в настоящее время осуществляется аудит сайта для упреждения подобных случаев в дальнейшем


https://rg.ru/2017/07/13/laboratoriia-kasperskogo-raskryla-s...


Ага, накручивают посещаемость сайта "m3oxem1nip48"

107
За что платят пользователи антивирусов?
74 Комментария в Информационная безопасность  

Выбирал себе антивирус на комп, и решил протестировать примитивные троянцы на вирустотале

За что платят пользователи антивирусов? антивирус, вирус, касперский, DrWeb, NOD32
За что платят пользователи антивирусов? антивирус, вирус, касперский, DrWeb, NOD32
За что платят пользователи антивирусов? антивирус, вирус, касперский, DrWeb, NOD32

Определили угрозу только 21 из 61 антивируса — полный список. Такие известные продукты, как Касперский, Аваст, Комодо, Dr.Web, McAfee — не видят угрозы в "совершенно безобидном" файле golaya_maryana_ro_bez_cenzury______olorado.exe

Заметьте, это не 0-day, не целевая атака от ФБР или АНБ, а обычный троянец, сделанный, возможно, школьником на перемене в кабинете информатики, и скачан по самой тупой фишинговой ссылке. (EXE-шник открывать не стал, ибо влом запускать виртуалку)

Что уж говорить про WannaCry, который, насколько мне известно, не определялся ни одним антивирусным продуктом. За что мы платим компаниям?

75
Поступления Vault 7
11 Комментариев в Информационная безопасность  

В очередной порции документов, полученных в результате утечки данных из закрытой сети ЦРУ и размещённых на WikiLeaks, приводятся сведения о двух проектах по установке вредоносного ПО (имплантов в терминологии ЦРУ) на системы пользователей - BothanSpy и Gyrfalcon. Оба проекта обеспечивают перехват данных аутентификации, фигурирующих при установке защищённых сеансов по протоколу SSH.

Поступления Vault 7 WikiLeaks, документы, цру, вирус, BothanSpy, Gyrfalcon, слежка, vault 7, длиннопост
Показать полностью 1
31
Как прокачать духовку за две минуты
12 Комментариев  
Как прокачать духовку за две минуты переписка, ВКонтакте, вирус
Показать полностью 1
1662
Апокалиптичное
126 Комментариев в Cynic Mansion  

И бонусная в комментах, выживальщики.

Апокалиптичное cynicmansion, Комиксы, зомби-апокалипсис, вирус, длиннопост

https://vk.com/cynicmansion

Показать полностью 1
61
Израиль и вирус
4 Комментария  
Вирус вымогатель Petya атаковал Израиль и остался должен.
255
Защита от шифровальщиков. Делаем псевдопесочницу.
31 Комментарий  

Сегодня я не буду про VPN, прокси и пр. Сегодня про личную информационную безопасность на своём компьютере.

Сейчас, как никогда, актуальна тема эпидемий вирусов, троянов и пр. И в большинстве своём их цель одна — заработать денег для своих создателей. Малварь может украсть ваши платежные данные и с ваших счетов будут списаны деньги. Но, в последнее время, основной тренд — это шифрование файлов жертвы. Шифруются или все подряд файлы, или наиболее ценные, по маске. Итог один: у вас появляется окно с требованием заплатить выкуп за расшифровку.


Различные антивирусные программы, в том числе именитых брендов, далеко не панацея. Малварь почти всегда будет использовать встроенные в операционную систему механизмы (в том числе и шифрования). Антивирусы крайне редко распознают свежих вредоносов с таким функционалом.


Стоит помнить, что основной канал распространения вредоносов — это электронная почта. Ничто не защитит вас так, как ваша осмотрительность и паранойя. Но надеяться на это полностью не стоит. Кроме того, наверняка, за вашим компьютером работает кто-то кроме вас, кто не столь осмотрителен и параноидален. Так что же делать?


Есть интересный подход к этой проблеме. Его реализацию можно найти в ряде источников в сети. И сейчас мы его рассмотрим.

Защита от шифровальщиков. Делаем псевдопесочницу. малварь, вирус, шифровальщик, троян, информационная безопасность, антивирусная защита, длиннопост

Итак, давайте рассуждать логически. Вредонос создан с целью заработка. Его преимущество во внезапности. Ведь как только о нём все узнают, как только специалисты разберут его по ноликам и единичкам, внесут в антивирусные базы, вредонос уже не сможет зарабатывать. И создатель вредоноса, как правило, принимает меры, чтобы защитить своё творение от изучения. Вредоносы, для анализа, запускают в специальной среде, где он не сможет натворить дел. Т.е. это некая искусственная среда (виртуальная машина, изолированная сеть) где за действиями вредоноса можно наблюдать, понять, как он работает. Такую искусственную среду называю "песочницей". В большинство вредоносов встраивают инструменты обнаружения работы в песочнице. И тогда он прекращает свою работу и удаляет себя. Ниже я расскажу вам, как сделать свой компьютер с ОС Windows похожим на такую песочницу. Таким образом мы введем вредонос в заблуждение и остановим его работу. Конечно это не панацея. Конечно нельзя ограничится только этими мерами. Но лишними они точно не будут.


Для начала сделаем свою сетевую карту похожей на сетевую карту виртуальной машины.


Узнаем название своей видеокарты. Открываем Пуск->Панель управления.


В Windows XP : Открываем "Сетевые подключения". Ищем свое "Подключение по локальной сети" или "Подключение беспроводной сети". Правой кнопкой мыши (далее - ПКМ) и "Свойства". В окошке "Подключение через" смотрим название нашего сетевого адаптера и запоминаем.


В Windows 7,8,10: Открываем "Сеть и интернет"->"Центр управления сетями и общим доступом". Слева ищем "Изменение параметров адаптера". Ищем свое "Подключение по локальной сети" или "Подключение беспроводной сети". ПКМ и "Свойства". В окошке "Подключение через" смотрим название нашего сетевого адаптера и запоминаем.


Нажмите сочетание клавишь Win+R (или Пуск->Выполнить) и введите

regedit

В Windows 8 и 10 права пользователя сильно обрезаны. Тут стоит сначала создать ярлык на рабочем столе с названием regedit. В строчке, где нужно указать расположение объекта, вписать просто "regedit" без кавычек. Потом щелкнуть правой кнопкой мыши на ярлыке и выбрать "Запуск от имени администратора".


Итак мы запустили RegEdit или редактор реестра Windows. Слева, в дереве реестра последовательно идём по "веткам"

HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Control -> Class

И ищем ветку, которая начинается с {4D36E972

Защита от шифровальщиков. Делаем псевдопесочницу. малварь, вирус, шифровальщик, троян, информационная безопасность, антивирусная защита, длиннопост

Здесь мы видим ветки с четырехзначными номерами (0000, 0001, 0002 и т.д.). Становимся на каждую из них последовательно, в правом окне ищем параметр с именем DriverDesc и значением, соответствующим названию вашего сетевого адаптера. Как только нашли, в правом окне на свободном месте ПКМ и Создать -> Строковый параметр. Имя ему вписываем

NetworkAddress

и жмём Enter для сохранения имени. Затем открываем наш новый ключ двойным кликом и вписываем значение

005056xxxxxx

где вместо xxxxxx любые случайные 6 цифр. И жмём ОК. Теперь, после перезагрузки, у нашего сетевого адаптера будет MAC адрес из диапазона системы виртуализации VMware.


Внимание: если вы находитесь в корпоративной среде или сетевая карта компьютера подключена напрямую (без маршрутизатора) к сетям провайдера, то вы можете остаться без связи. Если что-то пошло не так, удалите параметр NetworkAddress и перезагрузите компьютер.


А теперь сделаем самое интересное. Воспользуемся скриптом FSP (fake sandbox process). Скачать его можно здесь.

Защита от шифровальщиков. Делаем псевдопесочницу. малварь, вирус, шифровальщик, троян, информационная безопасность, антивирусная защита, длиннопост

Распаковываем архив. Внутри папка installer, а в ней файл fake-sandbox-installer.bat. Запустим его, на все вопросы ответим утвердительно путем ввода буквы y и нажатия Enter.


В автозагрузке (Пуск -> Программы (Все программы) -> Автозагрузка) должен появится fake_sandbox


После перезагрузки компютера в Диспетчере задач (для вызова Win+R, набрать taskmgr и нажать ОК. Выбрать вкладку "Процессы".) появятся фейковые процессы "WinDbg.exe","idaq.exe","wireshark.exe", "vmacthlp.exe", "VBoxService.exe", "VBoxTray.exe", "procmon.exe", "ollydbg.exe", "vmware-tray.exe", "idag.exe", "ImmunityDebugger.exe" и пр. На самом деле это запущен безобидный ping.exe, но под разными именами. А вот малварь, видя такой набор специализированных процессов, подумает, что её изучают в песочнице и самоубъётся.


Ну и вишенкой на торте: найдите файл vssadmin.exe в папке C:\Windows\System32 и переименуйте его как-нибудь. Естественно для этого нужны права администратора. Vssadmin - это инструмент управления теневыми копиями. Вредоносы с помощью него удаляют ваши бэкапы.

Всем безопасности и анонимности, много и бесплатно.


З.Ы. По моим статьям я получаю много вопросов. А еще многие хотят просто поговорит на околоИБэшные темы. В общем расчехлил я старый говорильный инструмент. Подробности здесь.

Показать полностью 3
382
Банкоматик, не болей
50 Комментариев в Информационная безопасность  

Когда банкомат устал и вместо того, чтобы дать деньги, просит их у тебя ... биткоинами

Банкоматик, не болей вирус, шифровальщик, биткоины, банкомат, хакеры, деньги, Petya
64
Тру шахтеры одобряют (нет)
13 Комментариев  
Тру шахтеры одобряют (нет)
390
Как защититься от вируса Petya, парализовавшего целые города?
96 Комментариев  

Одним из главных событий этой недели уже стала новая вирусная атака на Россию и Украину. Совершенно неожиданно начали появляться сообщения о заражении компьютеров самых разных предприятий. Сейчас количество пострадавших компаний исчисляется десятками, сотнями или даже тысячами. В данной статье мы написали инструкцию, как защитить себя от этого вируса и что нужно делать в случае заражения.

В России о заражении сообщили «Башнефть», «Роснефть» и «Рязанская нефтеперерабатывающая компания». В Украине атаке были подвержены крупные энергокомпании, банки, мобильные операторы, почтовые компании, большие магазины, такие как «Ашан», «Эпицентр» и METRO, и даже аэропорт «Борисполь». Многие магазины были вынуждены остановить свою работу, люди не могут снять деньги в банкоматах, а в киевском метро нельзя оплатить проезд банковской картой или смартфоном.

Как защититься от вируса Petya, парализовавшего целые города? вирус, 4pda, компьютер, длиннопост

Вирус Petya опасен исключительно для компьютеров под управлением Windows. При этом есть информация, что даже установка самых последних обновлений системы и безопасности не спасает от него. Кроме того, наличие антивируса также не гарантирует вам безопасность. Но защититься от этого вируса всё же можно, и это не составит особого труда: достаточно закрыть на компьютере определённые TCP-порты. Мы подготовили подробные инструкции для пользователей Windows 7 и Windows 10.

Как защититься от вируса Petya на Windows 7:

зайдите в «Пуск» → «Панель управления» → «Сеть и Интернет» → «Центр управления сетями и общим доступом» → «Брандмауэр Windows»;

Показать полностью 11


Пожалуйста, войдите в аккаунт или зарегистрируйтесь