С тегами:

троян

Любые посты за всё время, сначала свежие, с любым рейтингом
Найти посты
сбросить
загрузка...
319
Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :)))
30 Комментариев  
Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

Я не специалист по кибербезопасности, и не приверженец майнинга криптовалю, хотя лет 5 назад интересовался принципами его работы, и даже накопал за месяц кое-чего :)))... но речь пойдёт именно о них майнинге и кибербезопасности. Что ж, приступим господа присяжные.

Всё началось со вчерашнего вечернего звонка от моего приятеля, живущего рядом:


— Привет! Ты сейчас дома? ... Есть свободная минутка? У меня проблема с компьютером, а сейчас вечер, обратиться некуда и больше не к кому... такое дело, стал сильно гудеть кулер процессора, хотя я ничего не делал, просто сидел и просматривал сайт в интернете...


— Да не вопрос, приходи, проверю что и как...


И так его системный блок у меня, подключаем кабели, монитор, клавиатуру, жмём кнопку питания, ждём... Проходит минута, пять минут, десять... Прислушиваясь, сидим болтаем, вроде всё нормально. Подключаю сетевой кабель, и иду на всякий случай за рюмками к чаю, по случаю неподтверждённого факта включения форсажа. Возвращаюсь, и к своему удивлению, слышу гул идущего на взлёт системного блока... Похоже, что процессор загружен по полной программе на все 100%, антивирус на удивление молчит...


Маленькое отступление:


Я не буду в этом посте рассматривать действия или бездеятельность антивирусных программ, равно как и вести рекламу или антирекламу оных! Будем просто решать заявленную проблему.


Также не будет, от меня лично, обращения в правоохранительные органы, так как я не являюсь потерпевшим или его доверенным лицом. Но, оставляю за собой право открытого обращения по совершенному факту распространения вирусных программ. Все дальнейшие действия — на усмотрение отделов регистрации и расследования киберпреступлений:


— принять к сведению, провести проверку, и ничего не обнаружить;


— провести проверку, попытаться найти, и потрогать за вымя гражданина Корейко привлечь к ответственности преступника или группу лиц;


— просто сидеть уткнувшись в экран, дабы не получать очередной "висяк" в отчётности по раскрываемости преступлений.


Но вернёмся к нашей основной теме исследований. Буду разжевывать детально, так что извините если будет долго и нудно. Запустив диспетчер задач ищем процесс или исполняемый файл нагружающий работу процессора. По шкале ЦП самое большое значение нагрузки 98% имеет файл NsCpuCNMiner.exe... Название сразу настораживает. Спрашиваю владельца:


— Ты майнингом увлёкся?


— Чего? О_О


Всё ясно, останавливаю работу программы, перехожу к месту её расположения и радикально удаляю. Системный блок облегчённо вздыхает, глотнув ложку валерьянки и успокаивается. Похоже проблема найдена, копаем дальше и переходим на уровень вверх в каталоге:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

система Windows 64-х битная, но в этой папке настораживает название файла system.exe, такое же название и расширение имеет системный файл ядра операционки. То что это вирусная программа понимаю без лишних слов, но нужно выяснить что она делает, и как попала в систему.

По дате установки выясняется что в этот день устанавливался (или обновлялся) только Adobe Flash Player 26.00.137 PPAPI, и первая шальная мысль: "Ну ни фига себе Adobe подарки подсовывает...". Начинаю по очереди проверять все файлы в папке с предполагаемым вирусом:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

первый файл установки как бы намекает на причастность AdobeFlashPlayerHash, возникает первое желание исхлестать по морде лица этого самого Адоба лотком кошачьего туалета! смотрим следующий файл:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

опять этот злосчастный майнер криптовалют...

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

ну всё Адоб, дни твои сочтены,

скоро на тебя наденут деревянный макинтош, и в твоём доме будет играть музыка, но ты её не услышишь! (с)


смотрим дальше с чего всё начиналось:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост
Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

ага, выходит троян сидел в системе целую неделю, безуспешно пытаясь скачать список листа с программой дистанционного майнига на чужом компьютере, что 20 числа ему и удалось (в аккурат после чего и начались проблемы с системным блоком приятеля), в начале файла отчёта виден ICU похоже это банковский идентификатор добытчика криптовалюты (хотя я могу и ошибаться) на которого и работает этот вирусный софт, а также IP 62.76.75.170 с которым пытается связаться программа и доложить об успешном внедрении :)))

Ну всё, сцуко, теперь я тебя по IP вычислю! И выясню таким образом кто рассылает троян, использующий вычислительные мощности ПК для добычи (майнинга) криптовалют!

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

След ведёт к провайдеру интернета — OOO Sirius-Project в городе Москва. Уже проще, есть у кого выяснить кому принадлежит данный IP, после предъявления постановления (записываем данные в блокнотик). Проверяем ещё раз и проводим трассировку маршрута к искомому лицу:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

по этическим, и конспирационным соображениям некоторые адреса скрыты от посторонних глаз :))),

приходим к выводу что все пути ведут в Москву через интернет пул в Жуковском

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

к тому же наш клиент похоже использует анонимайзер для затруднения его отслеживания.

С истошном криком: "This is SPARTA!!!", начинаем рыть носом землю древо каталогов, в поисках злосчастного инсталлятора Adobe, и предвкушении многомиллиардных судебных исков к этому гиганту! К своему разочарованию в папке загрузки вместе с инсталлятором adobe flash player находим подозрительный файл Destroy Adobe Spying.exe, само название как бы намекает на удаление шпионского слежения, но профессиональное чутьё подсказывает, что миллиардов от Адоба нам уже не получить... :(((


Заглядываем во внутренности этого файла:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

и видим тот же самый банковский идентификатор E41E692C1F967F4105DF7EEAC5BDBA09 программы скрытого майнинга. Отправляем файл на сайт проверки Virustotal:

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

оказывается его уже предъявляли к проверке 5 дней назад и признали вирусным, детальный просмотр анализа показал что многие антивирусные программы уже внесли его в свою базу

Жажда майнинга криптовалют, кибербезопасность, а также что за ними кроется... :))) троян, майнинг, вирус, информационная безопасность, длиннопост

но в полном списке всё таки присутствуют зелёные птички, указывающие на дыры в системе безопасности многих антивирусных программ, включая довольно известные.

Информация обобщена, выводы сделаны, осталось принять окончательные меры. В первую очередь удаляем полностью папку с вирусными приложениями, а также проводим поиск в реестре и на жёстком диске следов действия вирусного инсталлятора, заодно вычищаем все временные папки с местами хранения неиспользуемых старых файлов. При удалении файлов из папки HS проблем не возникло, единственное что пришлось сделать — остановить в диспетчере задач процесс system.exe, но именно тот который принадлежал исполняемому файлу в папке с вирусом, а не систему файлу ядра. В общем особых проблем, кроме временного испуга приятеля, скорее всего не возникло.


Все работы были проведены без всякой установки дополнительного софта на родном системном блоке штатными средствами. И, да, антивирус всё таки был установлен другой, но это конфиденциальная информация, и разглашению в этом посте не подлежит...


Как вы теперь поняли, с халявным майнингом у нас, да и у них, не прокатило, посему разрешите откланяться.


Денег нет, но Вы держитесь здесь, вам всего доброго, хорошего настроения и здоровья. (с)


Источник:http://nnm.me/blogs/bat_boy/zhazhda-mayninga-kriptovalyut-ki...

Показать полностью 12
255
Защита от шифровальщиков. Делаем псевдопесочницу.
31 Комментарий  

Сегодня я не буду про VPN, прокси и пр. Сегодня про личную информационную безопасность на своём компьютере.

Сейчас, как никогда, актуальна тема эпидемий вирусов, троянов и пр. И в большинстве своём их цель одна — заработать денег для своих создателей. Малварь может украсть ваши платежные данные и с ваших счетов будут списаны деньги. Но, в последнее время, основной тренд — это шифрование файлов жертвы. Шифруются или все подряд файлы, или наиболее ценные, по маске. Итог один: у вас появляется окно с требованием заплатить выкуп за расшифровку.


Различные антивирусные программы, в том числе именитых брендов, далеко не панацея. Малварь почти всегда будет использовать встроенные в операционную систему механизмы (в том числе и шифрования). Антивирусы крайне редко распознают свежих вредоносов с таким функционалом.


Стоит помнить, что основной канал распространения вредоносов — это электронная почта. Ничто не защитит вас так, как ваша осмотрительность и паранойя. Но надеяться на это полностью не стоит. Кроме того, наверняка, за вашим компьютером работает кто-то кроме вас, кто не столь осмотрителен и параноидален. Так что же делать?


Есть интересный подход к этой проблеме. Его реализацию можно найти в ряде источников в сети. И сейчас мы его рассмотрим.

Защита от шифровальщиков. Делаем псевдопесочницу. малварь, вирус, шифровальщик, троян, информационная безопасность, антивирусная защита, длиннопост

Итак, давайте рассуждать логически. Вредонос создан с целью заработка. Его преимущество во внезапности. Ведь как только о нём все узнают, как только специалисты разберут его по ноликам и единичкам, внесут в антивирусные базы, вредонос уже не сможет зарабатывать. И создатель вредоноса, как правило, принимает меры, чтобы защитить своё творение от изучения. Вредоносы, для анализа, запускают в специальной среде, где он не сможет натворить дел. Т.е. это некая искусственная среда (виртуальная машина, изолированная сеть) где за действиями вредоноса можно наблюдать, понять, как он работает. Такую искусственную среду называю "песочницей". В большинство вредоносов встраивают инструменты обнаружения работы в песочнице. И тогда он прекращает свою работу и удаляет себя. Ниже я расскажу вам, как сделать свой компьютер с ОС Windows похожим на такую песочницу. Таким образом мы введем вредонос в заблуждение и остановим его работу. Конечно это не панацея. Конечно нельзя ограничится только этими мерами. Но лишними они точно не будут.


Для начала сделаем свою сетевую карту похожей на сетевую карту виртуальной машины.


Узнаем название своей видеокарты. Открываем Пуск->Панель управления.


В Windows XP : Открываем "Сетевые подключения". Ищем свое "Подключение по локальной сети" или "Подключение беспроводной сети". Правой кнопкой мыши (далее - ПКМ) и "Свойства". В окошке "Подключение через" смотрим название нашего сетевого адаптера и запоминаем.


В Windows 7,8,10: Открываем "Сеть и интернет"->"Центр управления сетями и общим доступом". Слева ищем "Изменение параметров адаптера". Ищем свое "Подключение по локальной сети" или "Подключение беспроводной сети". ПКМ и "Свойства". В окошке "Подключение через" смотрим название нашего сетевого адаптера и запоминаем.


Нажмите сочетание клавишь Win+R (или Пуск->Выполнить) и введите

regedit

В Windows 8 и 10 права пользователя сильно обрезаны. Тут стоит сначала создать ярлык на рабочем столе с названием regedit. В строчке, где нужно указать расположение объекта, вписать просто "regedit" без кавычек. Потом щелкнуть правой кнопкой мыши на ярлыке и выбрать "Запуск от имени администратора".


Итак мы запустили RegEdit или редактор реестра Windows. Слева, в дереве реестра последовательно идём по "веткам"

HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Control -> Class

И ищем ветку, которая начинается с {4D36E972

Защита от шифровальщиков. Делаем псевдопесочницу. малварь, вирус, шифровальщик, троян, информационная безопасность, антивирусная защита, длиннопост

Здесь мы видим ветки с четырехзначными номерами (0000, 0001, 0002 и т.д.). Становимся на каждую из них последовательно, в правом окне ищем параметр с именем DriverDesc и значением, соответствующим названию вашего сетевого адаптера. Как только нашли, в правом окне на свободном месте ПКМ и Создать -> Строковый параметр. Имя ему вписываем

NetworkAddress

и жмём Enter для сохранения имени. Затем открываем наш новый ключ двойным кликом и вписываем значение

005056xxxxxx

где вместо xxxxxx любые случайные 6 цифр. И жмём ОК. Теперь, после перезагрузки, у нашего сетевого адаптера будет MAC адрес из диапазона системы виртуализации VMware.


Внимание: если вы находитесь в корпоративной среде или сетевая карта компьютера подключена напрямую (без маршрутизатора) к сетям провайдера, то вы можете остаться без связи. Если что-то пошло не так, удалите параметр NetworkAddress и перезагрузите компьютер.


А теперь сделаем самое интересное. Воспользуемся скриптом FSP (fake sandbox process). Скачать его можно здесь.

Защита от шифровальщиков. Делаем псевдопесочницу. малварь, вирус, шифровальщик, троян, информационная безопасность, антивирусная защита, длиннопост

Распаковываем архив. Внутри папка installer, а в ней файл fake-sandbox-installer.bat. Запустим его, на все вопросы ответим утвердительно путем ввода буквы y и нажатия Enter.


В автозагрузке (Пуск -> Программы (Все программы) -> Автозагрузка) должен появится fake_sandbox


После перезагрузки компютера в Диспетчере задач (для вызова Win+R, набрать taskmgr и нажать ОК. Выбрать вкладку "Процессы".) появятся фейковые процессы "WinDbg.exe","idaq.exe","wireshark.exe", "vmacthlp.exe", "VBoxService.exe", "VBoxTray.exe", "procmon.exe", "ollydbg.exe", "vmware-tray.exe", "idag.exe", "ImmunityDebugger.exe" и пр. На самом деле это запущен безобидный ping.exe, но под разными именами. А вот малварь, видя такой набор специализированных процессов, подумает, что её изучают в песочнице и самоубъётся.


Ну и вишенкой на торте: найдите файл vssadmin.exe в папке C:\Windows\System32 и переименуйте его как-нибудь. Естественно для этого нужны права администратора. Vssadmin - это инструмент управления теневыми копиями. Вредоносы с помощью него удаляют ваши бэкапы.

Всем безопасности и анонимности, много и бесплатно.


З.Ы. По моим статьям я получаю много вопросов. А еще многие хотят просто поговорит на околоИБэшные темы. В общем расчехлил я старый говорильный инструмент. Подробности здесь.

Показать полностью 3
386
Специалисты «Доктор Веб» рассказали, как мошенники зарабатывают на «договорных матчах»
61 Комментарий в Информационная безопасность  

Исследователи компании «Доктор Веб» рассказали, что злоумышленники нашли новый подход к старой мошеннической схеме «договорных матчей». Этот популярный и совсем не новый способ обмана населения процветает в сети давно. Как правило, злоумышленники действуют совсем просто: создают специальный сайт, на котором предлагают приобрести «достоверные и проверенные сведения об исходе спортивных состязаний». Впоследствии с помощью этой информации можно делать якобы гарантированно выигрышные ставки в букмекерских конторах.

Специалисты «Доктор Веб» рассказали, как мошенники зарабатывают на «договорных матчах» Договорные матчи, правда, троян, Спорт, Социальная инженерия, Мошенники, Новости, длиннопост

Обычно создатели таких ресурсов выдают себя за отставных тренеров или спортивных аналитиков. Но на самом деле никакой инсайдерской информации у мошенников, конечно, нет. Просто часть пользователей получает один спортивный прогноз, а другая часть — прямо противоположный. Если кто-то из пострадавших заподозрит обман и возмутится, ему предложат получить следующий прогноз бесплатно в качестве компенсации за проигрыш.



Казалось бы, причем здесь хакерство и современные технологии? Однако им действительно нашлось применение и здесь. Мошенники по-прежнему создают сайты «договорных матчей» (или действуют в социальных сетях), но теперь в качестве подтверждения качества своих услуг они предлагают пользователям заранее скачать защищенный паролем самораспаковывающийся RAR-архив. Якобы он содержит текстовый файл с результатами грядущего матча. Пароль от архива злоумышленники высылают лишь после завершения состязания. Предполагается, что таким образом пользователь сможет сравнить предсказанный результат с реальным и убедиться, что все было честно.



Специалисты «Доктор Веб» выяснили, что вместо настоящих архивов мошенники отправляют своим жертвам ПО собственного производства. Их программа полностью имитирует интерфейс и поведение реального SFX-архива, созданного при помощи WinRAR; она получила идентификатор Trojan.Fraudster.2986. Исследователи пишут, что подделка не только внешне практически неотличима от обычного RAR SFX-архива, но схожим образом реагирует даже на попытку ввести неправильный пароль и на другие действия пользователя.

Внутри фейкового архива содержится шаблон текстового файла, в который с помощью специального алгоритма подставляются произвольные результаты, в зависимости от того, какой пароль введет пользователь. То есть после окончания матча мошенники отправляют пользователям соответствующие пароли, в результате чего из «архива» якобы «извлекается» текстовый файл с правильным результатом (на самом деле он просто генерируется трояном на основе шаблона).

Специалисты «Доктор Веб» рассказали, как мошенники зарабатывают на «договорных матчах» Договорные матчи, правда, троян, Спорт, Социальная инженерия, Мошенники, Новости, длиннопост
Специалисты «Доктор Веб» рассказали, как мошенники зарабатывают на «договорных матчах» Договорные матчи, правда, троян, Спорт, Социальная инженерия, Мошенники, Новости, длиннопост

Специалисты отмечают, что существует и альтернативный вариант данной схемы: злоумышленники отправляют жертве защищенный паролем файл Microsoft Excel, содержащий специальный макрос. Этот макрос аналогичным образом подставляет в таблицу требуемый результат в зависимости от введенного пароля.



Исследователи напоминают, что не стоит доверять сайтам, предлагающим разбогатеть благодаря ставкам на тотализаторе с использованием инсайдерской информации, даже если обещания мошенников выглядят правдоподобно и убедительно.

Показать полностью 2
188
Банковский троян Svpeng атакует российских пользователей Android Chrome
24 Комментария в Информационная безопасность  
Банковский троян Svpeng атакует российских пользователей Android Chrome вирус, троян, кража, android, Google Chrome, apk

Специалисты «Лаборатории Касперского» обнаружили вредоносную кампанию по распространению опасного банковского Android-трояна Svpeng. Для данной цели злоумышленники используют рекламный сервис Google AdSense.

Первые случаи инфицирования были зафиксированы в августе нынешнего года. Как тогда обнаружили эксперты, при просмотре некоторых новостных сайтов, использующих AdSense для показа рекламы, на Android-устройство пользователя автоматически загружался банковский троян. Подобное поведение вызвало интерес у исследователей, поскольку обычно при загрузке приложений браузер уведомляет пользователя о потенциально опасных программах и позволяет выбирать, сохранить файл или нет.


По данным ЛК, за два месяца жертвами вредоноса стали примерно 318 тысяч пользователей из России и СНГ. При показе вредоносной рекламы на SD-карту устройства загружался APK-файл, содержащий новую версию Svpeng - Svpeng.q.


Перехватив трафик с атакуемого устройства, эксперты выяснили, что в ответ на HTTP-запрос с C&C-сервера злоумышленников загружается скрипт JavaScript, используемый для показа вредоносного рекламного сообщения. Данный скрипт содержит обфусцированный код, включающий APK-файл под видом зашифрованного массива байт. Помимо различных проверок, код проверяет язык, который использует устройство. Злоумышленники атакуют только гаджеты, использующие интерфейс на русском языке.


Вышеописанный метод работает только в версии Google Chrome для Android. Как пояснили исследователи, при скачивании .apk с использованием ссылки на внешний ресурс, браузер выдает предупреждение о загрузке потенциально опасного объекта и предлагает пользователю решить, сохранить или нет загружаемый файл. В Google Chrome для Android при разбиении .apk на фрагменты не осуществляется проверка типа сохраняемого объекта и браузер сохраняет файл, не предупреждая пользователя.


Эксперты ЛК проинформировали Google о проблеме. Компания уже подготовила устраняющий данную уязвимость патч, который будет включен в состав следующего обновления браузера.


http://www.securitylab.ru/news/484387.php

Показать полностью
173
Троян-шифровальщик лишил зарплаты казанских полицейских
62 Комментария в Информационная безопасность  
Троян-шифровальщик лишил зарплаты казанских полицейских мвд, троян, криптор, полиция, казань

Казанское линейное управление МВД России по Республике Татарстан стало жертвой хакерской атаки. В результате заражения компьютера главного бухгалтера вредоносным ПО была повреждена программа для бухучета «Парус», используемая при расчете зарплаты полицейских.

Как сообщает портал life.ru, главный бухгалтер управления получила от злоумышленников фишинговое электронное письмо, замаскированное под счет от компании «Ростелеком». К сообщению прилагалось два заархивированных документа. В первом файле содержалось вымогательское ПО, а во втором - сообщение от хакеров. Как пояснили злоумышленники, вредоносная программа зашифровала все хранящиеся на компьютере данные и для их восстановления нужно связаться с хакерами по указанному адресу.


Несмотря на наличие антивируса, после открытия вредоносного вложения шифровальщик повредил все хранящиеся на рабочем компьютере бухгалтера документы и программу для бухучета. Восстановить «Парус» не удалось.


http://www.securitylab.ru/news/484185.php

39
Троян PSW.OnLineGames угрожает пользователям Steam
66 Комментариев в Информационная безопасность  

Компания ESET рассказала о новой зловредной программе, которая поражает компьютеры с Windows. Называется троян PSW.OnLineGames и в его задачи входит получение информации об аккаунтах пользователей Steam с их регистрационными данными.

Троян PSW.OnLineGames угрожает пользователям Steam вирус, троян, Steam, Геймеры, аккаунт, кража

Вирусная лаборатория ESET предупреждает об угрозе, ориентированной на геймеров – трояне PSW.OnLineGames. Вирус предназначена для «угона» игровых аккаунтов. В 2016 году число обнаружений вредоносной программы превысило 250 тысяч.


Мошенники распространяют троян при помощи социальной инженерии. Для этого они регистрируются в многопользовательских онлайн-играх и вступают в контакт с обычными игроками, приглашая их в рейды и гильдии. В какой-то момент потенциальную жертву просят установить приложение, например, программу для голосовой связи с партнерами по команде.


Под видом безобидного приложения пользователь получает троян PSW.OnLineGames. Вредоносная программа перехватывает нажатия клавиш и передает на удаленный сервер злоумышленников логин и пароль от учетной записи на игровом сервисе.


Особый интерес для мошенников представляют Steam-аккаунты и данные популярных многопользовательских игр, в частности, World of Warcraft.


Пользователи крупнейших игровых платформ остаются приоритетной целью мошенников. ESET рекомендует игнорировать письма и ссылки, присланные незнакомцами, не вводить логин и пароль от игрового аккаунта на сторонних сайтах, а также своевременно обновлять антивирусное ПО и браузер.

http://www.infocity.az/2016/10/троян-psw-onlinegames-охотитс...

111
В Австралии хакеры подбрасывают USB-флешки с трояном в почтовые ящики
112 Комментариев в Информационная безопасность  

21 сентября 2016 года на официальном сайте полицейского управления штата Виктория появилось необычное предупреждение. По данным правоохранительных органов, неизвестные лица подбрасывают в почтовые ящики жителей небольшого городка Пакенхэм (Pakenham), расположенного в 56 километрах от Мельбурна, USB-флешки без какой-либо маркировки. Когда любопытные пользователи подключают такие флешки к компьютерам, ничего хорошего, вполне предсказуемо, не происходит. Полицейские сообщили, что жертвы атаки наблюдали «мошеннические предложения от стриминговых сервисов» и столкнулись «с другими серьёзными проблемами».

В Австралии хакеры подбрасывают USB-флешки с трояном в почтовые ящики вирус, троян, почтовый ящик, новость, Австралия, полиция

Кому понадобилось распространять вирус столь странным образом, атакуя город, чье население составляет порядка 30 000 человек, пока неясно.


Тем не менее, нет ничего удивительного в том, что многие жители Пакенхэма решили проверить содержимое флешек и подключили их к своим ПК. К примеру, в октябре 2015 года специалисты CompTIA провели исследование, согласно результатам которого 17% пользователей в пяти городах США не задумываясь подключат найденную на улице флешку к компьютеру.


Еще одно похожее исследование (PDF) было представлено в апреле 2016 года. Тогда исследователи из Иллинойсского университета в Урбане-Шампейне, университета Мичигана и Google разбросали в кампусе университета 297 флеш-накопителей. В итоге пользователи нашли 98% из них, и в 135 случаях (45%) попытались подключить накопители к своим компьютерам и выяснить, с чем имеют дело.


Полиция штата Виктория напоминает: не стоит подключать к ПК подозрительные девайсы, найденные на улице или подброшенные в почтовый ящик.

https://xakep.ru/2016/09/22/malware-in-letterboxes/


ПыСы: А Вы подключаете найденную на улице флеху к компьютеру чтобы посмотреть содержимое?

Показать полностью
39
Троян Gugi с легкостью обходит механизмы безопасности в Android 6 Marshmallow
13 Комментариев в Информационная безопасность  

В выпущенной в прошлом году Android 6 Marshmallow компания Google реализовала ряд нововведений, призванных улучшить безопасность мобильной операционной системы. Тем не менее, принятые меры становятся совершенно бесполезными, когда дело доходит до социальной инженерии.

Как сообщает эксперт «Лаборатории Касперского» Роман Унучек, операторы банковского трояна Trojan-Banker.AndroidOS.Gugi.c или просто Gugi обманным путем заставляют пользователей установить вредонос на свои устройства в обход механизмов безопасности в Android 6 Marshmallow.

Троян Gugi с легкостью обходит механизмы безопасности в Android 6 Marshmallow вирус, троян, Android, безопасность, данные, социальная инженерия

Злоумышленники распространяют Gugi посредством фишинговых SMS-сообщений. Кликнув на содержащуюся в сообщении ссылку, жертва инициирует загрузку трояна на свое устройство. Здесь вредоносу нужно пройти первый тест.

Троян Gugi с легкостью обходит механизмы безопасности в Android 6 Marshmallow вирус, троян, Android, безопасность, данные, социальная инженерия
Показать полностью
176
Автор вируса BILAL BOT написал в IBM о том, что они не верно описали его троян
14 Комментариев в Информационная безопасность  

В апреле текущего года специалисты команды IBM X-Force описывали в своем блоге интересную ситуацию: автор популярного мобильного банкера GM Bot оказался заблокирован на крупных торговых площадках даркнета, и за освободившееся место на данном «рынке» немедленно развернулась активная борьба. Среди претендентов на роль нового лидера в этой области был и мобильный троян Bilal Bot. Но, как оказалось, весной исследователи IBM X-Force описали данный троян не совсем верно, о чем им недавно сообщил сам автор этого вируса.


Сначала создатель Bilal Bot связался с журналистами издания Softpedia, сообщив им, что они распространяют ложную информацию о его вредоносе. Журналисты не восприняли письмо всерьез и, по сути, отмахнулись от его автора, посоветовав тому поговорить с представителями IBM X-Force, которые являлись первоисточником опубликованных данных. Разумеется, никто не ожидал, что автор трояна в самом деле станет предъявлять претензии исследователям, но именно так и произошло.

Автор вируса BILAL BOT написал в IBM  о том, что они не верно описали его троян вирус, троян, автор, почта, IBM, длиннопост
Автор вируса BILAL BOT написал в IBM  о том, что они не верно описали его троян вирус, троян, автор, почта, IBM, длиннопост
Показать полностью
35
Новый троян способен обходить защиту UAC и устанавливать фальшивую версию Google Chrome
27 Комментариев в Информационная безопасность  

Метод обхода UAC заключается в использовании одной из ветвей системного реестра для запуска с повышенными правами.

Новый троян способен обходить защиту UAC и устанавливать фальшивую версию Google Chrome вирус, троян, подмена браузера, Mutabaha, UAC, Outfire, DrWEB, длиннопост

Вирусные аналитики компании «Доктор Веб» исследовали нового троянца – Trojan.Mutabaha.1. Он устанавливает на компьютер жертвы поддельную версию браузера Google Chrome, которая подменяет рекламу в просматриваемых веб-страницах.


Ключевая особенность троянца Trojan.Mutabaha.1 — оригинальная технология обхода встроенного в Windows защитного механизма User Accounts Control (UAC). Информация об этой технологии обхода UAC была впервые опубликована в одном из интернет-блогов 15 августа, и спустя всего лишь три дня в вирусную лабораторию «Доктор Веб» поступил первый образец эксплуатирующего именно этот способ троянца, который и получил название Trojan.Mutabaha.1. Указанная технология заключается в использовании одной из ветвей системного реестра Windows для запуска вредоносной программы с повышенными привилегиями. Троянец содержит характерную строку, включающую имя проекта:

F:\project\C++Project\installer_chrome\out\Release\setup_online_without_uac.pdb

В первую очередь на атакуемом компьютере запускается дроппер, который сохраняет на диск и запускает программу-установщик. Одновременно с этим на зараженной машине запускается .bat-файл, предназначенный для удаления дроппера. В свою очередь, программа-установщик связывается с принадлежащим злоумышленникам управляющим сервером и получает оттуда конфигурационный файл, в котором указан адрес для скачивания браузера.

Показать полностью 2
183
ФСБ обнаружила вирус в сетях 20-ти правительственных организаций
137 Комментариев в Информационная безопасность  

Федеральная Служба Безопасности РФ сообщила, что в инфраструктуре различных правительственных, научных и военных учреждений была выявлена малварь. По описанию вредоносы напоминают RAT (Remote Access Trojan), и ФСБ сообщает, что обнаруженные вредоносы ранее уже применялись в нашумевших операциях по кибершпионажу как в России, так и других странах мира.

ФСБ обнаружила вирус в сетях 20-ти правительственных организаций вирус, новость, ФСБ, правительственные организации, политика, троян

Официальный пресс-релиз гласит, что заражению подверглись «информационные ресурсы органов государственной власти и управления, научных и военных учреждений, предприятий оборонно-промышленного комплекса и иные объекты критически важной инфраструктуры страны». Из этого сотрудники ФСБ сделали вывод, что атака являлась результатом направленной и спланированной операции.


Какая именно малварь была обнаружена в сетях госорганов, не сообщается. Основываясь на проведенном анализе стилистики кода, наименованиях файлов, параметрах использования и методах инфицирования, ФСБ заявляет, что аналогичная малварь ранее уже попадала в поле зрения экспертов как в России, так и в других странах.

«Новейшие комплекты данного программного обеспечения изготавливаются для каждой жертвы индивидуально, на основе уникальных характеристик атакуемой ПЭВМ», — пишет ФСБ, еще раз подчеркивая, что атаки были таргетированными.

Также сообщается, что вредоносы распространялись классическим способом: посредством писем, содержащих вредоносные вложения. Если пользователь «проглотил наживку», и малвари удалось проникнуть в систему, далее она принималась за шпионскую работу. Вредоносы загружали извне необходимые модули (учитывая особенности каждой отдельной жертвы) и переходили к перехвату сетевого трафика, его прослушиванию, снятию скриншотов экрана. Также малварь следила за пострадавшими через веб-камеры, подслушивала посредством микрофонов, записывала аудио и видео, без ведома жертвы, перехватывала данные о нажатии клавиш клавиатуры и так далее.

«ФСБ России во взаимодействии с Министерствами и ведомствами проведен комплекс мероприятий по выявлению всех жертв данной вредоносной программы на территории Российской Федерации, а также локализации угроз и минимизации последствий, нанесенных ее распространением», — в заключение сообщает пресс-релиз.

https://xakep.ru/2016/08/01/fsb-found-rats/

641
ВНИМАНИЕ! Опасный вирус-шифровальщик для 1С
132 Комментария  

Антивирусная компания "Доктор Веб" сообщила 22 июня 2016 г. о том, что выявлен опасный вирус для 1С:Предприятия – троянец, запускающий шифровальщика-вымогателя.


Троянец распространяется в виде вложения в сообщения электронной почты с темой «У нас сменился БИК банка» и следующим текстом:


Здравствуйте!
У нас сменился БИК банка.
Просим обновить свой классификатор банков.
Это можно сделать в автоматическом режиме, если Вы используете 1С Предприятие 8.
Файл - Открыть обработку обновления классификаторов из вложения.
Нажать ДА. Классификатор обновится в автоматическом режиме.
При включенном интернете за 1-2 минуты.

К письму прикреплен файл внешней обработки для программы «1С:Предприятие» с именем ПроверкаАктуальностиКлассификатораБанков.epf. Тело этого модуля защищено паролем, поэтому просмотреть его исходный код стандартными средствами невозможно. Если получатель такого письма последует предложенным инструкциям и откроет этот файл в программе «1С:Предприятие», на экране отобразится диалоговое окно.

Какую бы кнопку ни нажал пользователь, 1C.Drop.1 будет запущен на выполнение, и в окне программы «1С:Предприятие» появится форма с изображением забавных котиков.


В это же самое время троянец начинает свою вредоносную деятельность на компьютере. В первую очередь он ищет в базе 1С контрагентов, для которых заполнены поля с адресом электронной почты, и отправляет по этим адресам письмо с собственной копией. Текст сообщения идентичен приведенному выше. Вместо адреса отправителя троянец использует e-mail, указанный в учетной записи пользователя 1С, а если таковой отсутствует, вместо него подставляется адрес 1cport@mail.ru. В качестве вложения троянец прикрепляет к письму файл внешней обработки с именем ОбновитьБИКБанка.epf, содержащий его копию. Пользователи, попытавшиеся открыть такой файл в приложении 1С, также пострадают от запустившегося на их компьютере шифровальщика, однако эта копия 1C.Drop.1 разошлет по адресам контрагентов поврежденный EPF-файл, который программа «1С:Предприятие» уже не сможет открыть. 1C.Drop.1 поддерживает работу с базами следующих конфигураций 1С:


"Управление торговлей, редакция 11.1"

"Управление торговлей (базовая), редакция 11.1"

"Управление торговлей, редакция 11.2"

"Управление торговлей (базовая), редакция 11.2"

"Бухгалтерия предприятия, редакция 3.0"

"Бухгалтерия предприятия (базовая), редакция 3.0"

"1С:Комплексная автоматизация 2.0"


После завершения рассылки 1C.Drop.1 извлекает из своих ресурсов, сохраняет на диск и запускает троянца-шифровальщика Trojan.Encoder.567. Этот опасный энкодер, имеющий несколько модификаций, шифрует хранящиеся на дисках зараженного компьютера файлы и требует выкуп за их расшифровку. К сожалению, в настоящее время специалисты компании «Доктор Веб» не располагают инструментарием для расшифровки файлов, поврежденных этой версией Trojan.Encoder.567, поэтому пользователям следует проявлять особую бдительность и не открывать полученные по электронной почте файлы в приложении «1С:Предприятие», даже если в качестве адреса отправителя значится адрес одного из известных получателю контрагентов.


http://1c.ru/news/info.jsp?id=21537

https://news.drweb.ru/show/?i=10034&c=5&lng=ru&p=0

Показать полностью
56
Троянчик от GameNet (Black Desert) и как его удалить. Решение.
72 Комментария  

Может кто и выкладывал как победить этого трояна - не видела.

Появляется ли он после дальнейшей игры в БДДДО - не знаю, но скорее всего да, обновы жеж. Но если  вы решили вычистить все остатки то...


Взялась я за это смело, начну со своих неудач.


1) Открываем диспетчер задач, завершаем процессы Thorn.exe и ThornHelper.exe.

Как мы видим - они появляются снова.

Открываем пуск - в поиск пишем cmd. И в терминале прописываем следующее

Троянчик от GameNet (Black Desert) и как его удалить. Решение. Троян, GameNet, Black Desert, Чистка, Вопрос и ответ, длиннопост

2) Как мы видим - мыло мочало начинаем сначала.

Открываем путь файла, заходим в папку, пробуем удалить - естественно нас оправляют лесом.

Показать полностью 2
65
Троян TRIADA является одним из самых технически сложных образцов малвари.
66 Комментариев в Информационная безопасность  

ТРОЯН TRIADA НАУЧИЛСЯ ПЕРЕХВАТЫВАТЬ И ПОДМЕНЯТЬ URL В БРАУЗЕРАХ.

Троян TRIADA является одним из самых технически сложных образцов малвари. троян, triada, android, информационная безопасность, длиннопост, совет

В марте 2016 года специалисты «Лаборатории Касперского» рассказали о мобильном трояне Triada, который атакует Android-устройства. Тогда эксперты писали, что этот вредонос является одним из самых технически сложных образцов малвари, что им доводилось видеть. Теперь исследователи «Лаборатории Касперского» сообщают, что Triada обзавелся опасным модулем и демонстрирует новую технику атак, перехватывая и подменяя ссылки в мобильных браузерах.



Напомню, что Triada — это первый троян, который на практике научился осуществлять успешные атаки на процесс Zygote; ранее подобные техники рассматривались исключительно с теоретической точки зрения и в виде proof-of-concept. Родительский процесс Zygote содержит системные библиотеки и фреймворки, используемые практически всеми приложениями, и является своего рода шаблоном. После удачного осуществления атаки, троян становится частью этого шаблона, что дает ему возможность проникнуть во все приложения, установленные на зараженном устройстве, а затем изменить логику их работы.



Также Triada использует модульную структуру. То есть основной загрузчик устанавливает на устройство жертвы различные модули малвари, обладающие теми функциями, которые на данный момент нужны злоумышленникам.



6 июня 2016 года исследователи «Лаборатории Касперского» представили подробный разбор одного из модулей Triada, который был обнаружен еще в марте текущего года, вскоре после обнаружения самого трояна. Модуль Backdoor.AndroidOS.Triada.p/o/q атакует процессы четырех популярных браузеров для Android:


android.browser (стандартный Android-браузер);


com.qihoo.browser (защищенный 360 Browser);


ijinshan.browser_fast (браузер Cheetah);


oupeng.browser (браузер Oupeng).

Модуль осуществляет внедрение вредоносных DLL (Triada.q, который затем скачивает Triada.o) в перечисленные процессы. Эти DLL среагируют сразу, как только браузер получит и соберется обработать новую ссылку. Вредоносный компонент трояна передаст данные о ссылке на управляющий сервер злоумышленников, где ссылка пройдет проверку. В случае необходимости, URL может быть подменен на другой, то есть жертву перенаправят на сайт злоумышленников.

Троян TRIADA является одним из самых технически сложных образцов малвари. троян, triada, android, информационная безопасность, длиннопост, совет

Исследователи пишут, что в основном злоумышленники использовали данную схему атак для доставки рекламы, в большинстве случаев просто изменяя домашнюю страницу браузера жертвы или поиск по умолчанию. По сути, модуль применялся как обычное adware-решение, несмотря на весь его вредоносный потенциал. Более того, авторы Triada, похоже, вообще забросили данную разработку и не используют этот компонент малвари уже некоторое время.



В заключение аналитики «Лаборатории Касперского» отмечают, что создатели малвари для Android весьма ленивы. Хотя в последнее время злоумышленники стали уделять больше внимания структуре ОС и пополнили свой арсенал новыми, более сложными векторами атак, чаще атакующие все же идут по пути наименьшего сопротивления. К примеру, им проще похищать деньги у жертв напрямую, посредством отправки сообщений на платные номера или подделывая окна банковских приложений.

Как прогнать преступников из своего телефона?

Самое неприятное в истории с «Триадой» то, что от нее с большой вероятностью могут пострадать очень много людей. Согласно нашим данным, во второй половине 2015 года каждый десятый пользователь Android был атакован теми самыми мелкими троянцами, получающими права суперпользователя, которые среди прочего могут устанавливать на устройство «Триаду». Таким образом, жертвами этого троянца уже могут быть миллионы пользователей.


Так как защитить себя от мерзкого проныры? Не так уж сложно.


1. Во-первых, всегда устанавливать последние системные обновления. Мелким зловредам сложно перехватить root-привилегии в устройствах с Android 4.4.4 и выше, так как большое количество уязвимостей в этих версиях ОС было закрыто. Если на вашем телефоне установлена более-менее современная операционная система, вы находитесь в относительной безопасности. Однако наша статистика показывает, что около 60% пользователей Android сидят на Android 4.4.2 и более древних версиях этой ОС. И вот для них шанс заразиться весьма высок.


2. Во-вторых, лучше вообще не испытывать судьбу и не подсчитывать вероятность тех или иных шансов. Надежную защиту вашего устройства обеспечит только хороший антивирус. Известно немало случаев, когда даже в официальных магазинах Google находили троянцев (собственно, мелкие зловреды, скачивающие «Триаду, как раз из таких). Так что рекомендуем вам установить надежное защитное решение.

Подведем итоги: «Триада» — это еще один весьма наглядный пример неприятной тенденции. Разработчики вредоносного ПО начали воспринимать Android всерьез. Более того, они научились эффективно использовать его уязвимости.



Образцы мобильных троянцев, обнаруженные нами в последнее время, почти такие же сложные и скрытные, как и их Windows-собратья. Единственный способ эффективной борьбы с ними — это не дать им попасть в устройство, поэтому так важно установить хорошее защитное решение.


Источники:

https://xakep.ru/2016/06/08/triada-browser-module/

https://blog.kaspersky.ru/triada-trojan/11102/

Показать полностью 1
3260
Всем кто пострадал от трояна-шифровальщика TeslaCrypt .
122 Комментария  
Всем кто пострадал от трояна-шифровальщика TeslaCrypt . хакеры, шифрование, троян, TeslaCrypt

Издание Bleeping Computer сообщает о том, что создатели знаменитого трояна TeslaCrypt, который зашифровывал файлы на атакованных машинах, опубликовали мастер-ключ для разблокировки и закрыли проект. 

Источник: https://habrahabr.ru/company/pt/blog/301226/

БМ выдавал какие то чаты.

467
Новый вирус криптовымогатель "Locky"
161 Комментарий  

Исследователями в области информационной безопасности был обнаружен новый тип ransomwave — вредоносной программы, шифрующей пользовательские файлы и требующей выкуп в bitcoin. Новый криптовымогатель, который сами создатели назвали «locky», распространяется не совсем стандартным для подобного ПО способом — при помощи макроса в Word-документах.


По словам специалиста по информационной безопасности Лоуренса Абрамса, криптовымогатель маскируется под выставленный пользователю счет и приходит жертве по почте.


Прикрепленный файл имеет имя вида invoice_J-17105013.doc, а при его открытии пользователь увидит только фарш из символов и сообщение о том, что «если текст не читабелен, включите макросы».

Новый вирус криптовымогатель "Locky" вирус, троян, ransomwave, внимание, длиннопост, locky, habrahabr
Показать полностью 2
5423
Наш препод по информационной безопасности
181 Комментарий  
Наш препод по информационной безопасности
1209
Троян с доставкой
151 Комментарий  
Показать полностью Производственное предприятие, утро понедельника, звонок секретарю:

М: Здравствуйте, я из ООО Ромашка, у меня вопрос по акту сверки,
М: подскажите телефон вашей бухгалтерии или переключите.
С: Переключаю.

Бухгалтерия

М: Здравствуйте, я Иванов Сергей Юрьевич, из налоговой инспекции,
М: мы решили провести у вас выездную проверку 20 августа.
Бух: Но у нас уже была проверка 3 месяца назад.
М: Это внеочередная. Продиктуйте адрес электронной почты,
М: отправлю вам информацию, какие документы нужно
М: подготовить и предоставить.
Бух: Может переключить вас на главбуха?
М: Давайте не будем тратить ваше и мое время,
М: продиктуйте адрес, я отправлю информацию,
М: а если что не понятно вы потом нам перезвоните.
М: Телефон вы знаете, он есть на нашем сайте.
Бух: Хорошо, xxxxx@xxxx.ru
М: Не вешайте трубку, сейчас отправлю вам письмо.
Бух: Ок
М: Пришло письмо?
Бух: Да
М: Там ссылка в конце, жмите.
Бух: Нажала, ничего не происходит.
Бух: А вот вижу архив и в нем файл. Что-то файл не открывается,
Бух: нажала и ничего.
М: Наверно у вас не установлена какая-то программа,
М: перешлите письмо коллегам пусть они попробуют открыть.
М: Если будут какие вопросы, звоните, телефон на нашем сайте.
М: Всего доброго.

Бухгалтерия, 5-ю минутами позже.

Бух: Оль, мне сейчас из налоговой звонили, сказали будет проверка,
Бух: прислали письмо со списком необходимых документов,
Бух: но что-то не открывается.
Бух: Попробуй у себя открыть, я тебе отправила.
Оля: Нажала, ничего не происходит. Может отправить Наташе?

Секретарь, через 10 минут, звонок.

М: Здравствуйте, а у вас есть отдел снабжения?
С: Да, что вы хотели?
М: Я генеральный директор ООО Ромашка, мы новая молодая фирма,
М: хотим с вами сотрудничать. Переключите пожалуйста.
С: Переключаю

Снабжение:

М: Здравствуйте, я Иванов Сергей Юрьевич из ООО Ромашка,
М: мы новая молодая фирма, очень хотим с вами сотрудничать.
М: У нас широкий выбор комплектующих и материалов
М: по очень низким ценам. Давайте адрес вашей электронки,
М: пришлю каталог.
Сотр: yyyy@xxxx.ru
М: Подождите, не вешайте трубку, сейчас отправлю вам письмо.
М: Отправил, пришло?
Сотр: Да, вижу.
М: Там есть ссылка, откройте, там архив, а в нем каталог.
Сотр: Скачал, открыл, но ничего не вижу.
М: Поробуйте еще раз
Сотр: Щелкнул еще раз, ничего не происходит
М: Наверно у вас не установлена какая-то программа,
М: попробуйте переслать коллегам и открыть у них.
М: Надеюсь на взаимовыгодное сотрудничество, всего доброго.

Сисадмин, через 30 минут.

Звонок из бухгалтерии:
Бух: У меня перестали открываться документы, у Оли и Наташи тоже.
Бух: Опять вы там что-то делаете, а нам срочно работать надо.
Админ: Расскажите подробнее что случилось и что вы делали перед этим.
Бух: Ничего не делала, работала как обычно.
Бух: Вот сейчас нужен документ, а он не открывается.
Бух: Перезагрузила компьютер, думала поможет, но нет.
Бух: И почта не работает, нам из налоговой важный
Бух: документ прислали, не можем открыть.
Бух: Если через 5 минут не заработает, я буду жаловаться,
Бух: за что вам только деньги платят (бросает трубку).

Звонок из снабжения:
Сотр: Договор не открывается, а 10 минут назад все работало.
Админ: Расскажите что вы делали перед этим.
Сотр: Пытался открыть каталог, присланный по почте.

Как вы уже наверное догадались, это троян. Троян-шифровщик, представляющий собой скрипт с двойным расширением в архиве:
Документы для налоговой проверки(и еще куча букв и пробелов).doc.js
Каталог (куча пробелов).doc.js

Скрипт скачивает из интернета утилиту для шифрования, находит и шифрует все доступные файлы по маске doc, xls, ppt, docx, xlsx, jpg и т.д.
Далее на рабочем столе оставляет файл с инструкциями. И e-mail вымогателей (на gmail.com) для переговоров о выкупе ключа дешифровки.

В итоге шифрованные документы были удалены и восстановлены из резервной копии, ущерба нет.
Троян вобщем-то не нов, его вариации гуляют в сети не один год, а вот способ распространения удивил.
242
Когда обнаружен троян
И антивирус не в силах тебе помочь...
16 Комментариев  
Когда обнаружен троян И антивирус не в силах тебе помочь...
342
План «Троян»: 300 атомных бомб на СССР
102 Комментария  
Показать полностью 1 План «Троян»: 300 атомных бомб на СССР


Пожалуйста, войдите в аккаунт или зарегистрируйтесь