Новости о компьютерных угрозах

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
Хакерская атака на «Лабораторию Касперского» обошлась в $50 млн​
О том, что «Лаборатория Касперского» подверглась хакерской атаке, компания рассказала в официальном сообщении 10 июня. Вечером того же дня глава и основатель компании Евгений Касперский провел пресс-конференцию в Лондоне, во время которой ответил на вопросы журналистов. По его словам, как правило, крупные организации скрывают информацию о том, что стали жертвой таких инцидентов из-за репутационных рисков. Но публичность такой информации может помочь расследовать киберпреступление, подчеркнул Касперский.

Шпионская киберпрограмма, жертвой которой стала «Лаборатория Касперского», является усовершенствованной версией вируса Duqu, который впервые был обнаружен в 2011 году венгерской компанией CrisysLab. Duqu помогает красть конфиденциальную информацию, четыре года назад вирус был найден в Венгрии, Австрии, Индонезии, Великобритании, Судане и Иране.

По данным Kaspersky Lab, атакующие хотели получить информацию о технологиях, исследованиях и внутренних операциях компании. Хакеры интересовались разработками компании для обнаружения и анализа таргетированных атак и кибершпионажа, а также информацией о текущих расследованиях. Первое заражение в корпоративной сети «Лаборатории Касперского» произошло в конце 2014 года, а обнаружить атаку удалось только весной 2015 года. «Информация, доступ к которой могли получить организаторы атаки, не является критической для работы наших продуктов», — говорится в сообщении компании.

Специалисты «Лаборатории Касперского» подсчитали, что стоимость разработки и поддержки вредоносной платформы Duqu достигает $50 млн. «Есть основания считать, что эта кампания спонсируется на государственном уровне», — сказано в сообщении компании.

Кроме «Лаборатории Касперского» в 2014–2015 годах хакеры атаковали площадки для переговоров по иранской ядерной программе группы «5+1» и мероприятий, посвященных 70-й годовщине освобождения узников Освенцима, сообщила компания. По данным Wall Street Journal программа была обнаружена в трех европейских отелях, в которых шли переговоры по иранской ядерной программе. Действующие и бывшие американские чиновники, а также эксперты в сфере кибербезопасности считают, что Duqu была разработана для проведения секретных операций Израиля по сбору разведывательной информации, отмечает издание. Евгений Касперский отказался назвать государство, которое могло стоять за атаками в ходе пресс-конференции в Лондоне. Но отчет «Лаборатории Касперского» о новой угрозе называется The Duqu Bet, а Bet — вторая буква израильского алфавита, указывает издание. По словам представителя Kaspersky Lab Юлии Кривошеиной, The Duqu Bet — рабочее название отчета, а наличие в нем буквы из еврейского алфавита является совпадением.

Специалисты Kaspersky Lab признают, что пока неизвестно, как вирус использовался во время переговоров в отелях и какую информацию он мог похитить. Возможно, злоумышленники смогли подслушивать разговоры и украсть электронные файлы из системы отеля, которая подсоединяется к компьютерам, телефонам, лифтам и системе оповещения: это позволило бы «включать» и «выключать» эти устройства для сбора информации, отметило WSJ.

Подробнее на РБК:
 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
Исследователи описали новый способ взлома Android-смартфона​
Исследователи из Техасского университета в Остине нашли уязвимость в операционной системе Android, которая позволяет взломать экран блокировки смартфона и получить доступ к хранящимся на нем данным. Хакерский механизм был описан на сайте института.

Брешь была обнаружена только в версии Android 5 Lollipop. Таким образом, риску подвержен 21 процент всех Android-устройств. Взлом возможен в том случае, если в качестве способа защиты выбран пароль, а не, например, PIN-код или графический ключ.

Суть процесса сводится к тому, чтобы максимально заполнить поле разблокировки разными числами, пока там не останется места для новых значений. После нескольких манипуляций со смартфоном становится доступен главный экран. Так потенциальный злоумышленник может завладеть пользовательскими данными.

Эксперты, обнаружившие проблему, еще в июне сообщили о ней в Google. За найденную уязвимость они получили 500 долларов по программе вознаграждений Android Security Rewards.

Google уже исправил уязвимость, выпустив соответствующее обновление для своих устройств Nexus 16 сентября. Ответственность за выпуск патчей для других моделей лежит на остальных производителях.

После обнаружения бреши в мультимедийном движке Stagefright, которая позволяет удаленно взломать до 95 процентов телефонов на Android, в конце июля Google объявил о регулярных обновлениях безопасности для своих устройств.
 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
Google заплатит 50 тысяч рублей за чтение чужих писем​
Мосгорсуд удовлетворил апелляцию завкафедрой Гуманитарного университета в Екатеринбурге Антона Буркова, который утверждал, что роботы Google читали его переписку. Об этом сообщает ТАСС со ссылкой пресс-службу суда.

По решению суда компания должна выплатить пострадавшему 50 тысяч рублей в качестве компенсации морального вреда. По словам Буркова, возглавляющего кафедру европейского права и сравнительного правоведения, он понял, что Google читает его корреспонденцию, когда увидел, что отображающиеся в его аккаунте почтового сервиса Gmail рекламные сообщения предлагают продукты и услуги, непосредственно связанные с тем, о чем он писал в своих письмах.
Предыдущее обращение Буркова в суд не принесло результата, которого он ожидал: 21 апреля 2015 года Замоскворецкий суд Москвы отклонил его иск к Google. Тогда представители российского подразделения Google заявили, что не могут представлять сервис Gmail, и надлежащим ответчиком по делу может быть компания Google Inc. в США.

В посвященном политике конфиденциальности разделе пользовательского соглашения, которое принимает каждый, кто регистрирует аккаунт на почтовом сервисе Google, Gmail говорится, что «системы автоматически анализируют ваш контент (в том числе электронные письма), чтобы предоставлять функции, полезные вам».
 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
Обнаружена уязвимость в iOS 9​
В операционной системе Apple iOS 9 обнаружена уязвимость, позволяющая обойти экран блокировки и получить доступ к данным смартфона. Об этом сообщает портал iDownloadBlog.

В частности, потенциальный злоумышленник может получить доступ к фотографиям и списку контактов, даже если устройство защищено паролем или Touch ID (технология сканирования отпечатка пальца). Остальные файлы, например видео, сообщения, брешь не затронула, отмечает ресурс.

Процесс разблокировки смартфона состоит из нескольких несложных шагов. После манипуляций с вводом неправильного пароля, взаимодействия с голосовым помощником Siri и другими действиями взломщику откроется приложение «Сообщения», откуда можно получить данные о контактах. Раздел «Контакты», в свою очередь, отсылает к фотогалерее для выбора юзерпика к адресату, таким образом становится возможным получить доступ к хранящимся на устройстве фотографиям.

Пользователь может обезопасить себя от бреши путем отключения доступа с заблокированного экрана к Siri в настройках, пишет портал. Как отметили авторы публикации, сообщением об уязвимости они хотят проинформировать Apple об имеющейся проблеме, чтобы компания начала разработку соответствующего патча.

В середине сентября несанкционированный механизм обхода экрана блокировки также был найден в системе Android. Исследователи из Техасского университета в Остине обнаружили уязвимость в ОС от Google, которая позволяет взломать установленный пользователем пароль на смартфоне и получить доступ к данным на нем. Брешь затронула только версию Android 5 Lollipop.

Новая версия операционной системы iOS 9 стала доступна для пользователей iPhone, iPad и iPod touch 16 сентября. Среди нововведений появилась опция многооконности, позволяющая копировать информацию из одного приложения в другое, также добавилось расширение Proactive для Siri, которое предлагает подходящие приложения и контент к текущим действиям пользователя.
 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
«Билайн» выявил перевыпускавших чужие сим-карты мошенников​
Сотовый оператор «Билайн» выявил группу мошенников, неоднократно получивших дубликаты чужой сим-карты, что позволяло им взламывать счета и аккаунты, к которым был привязан телефонный номер. Об этом рассказал в своем Facebook руководитель службы социальных медиа «Билайна» Олег Бармин.

Поводом к разбирательству послужила жалоба клиента «Билайна» Анны Знаменской. По ее словам, в течение суток ее сим-карты были неоднократно перевыпущены неизвестными лицами, после чего преступники похитили деньги в системе «Яндекс.кошелек» и взломали почтовые аккаунты. Кроме того, месяц назад, после аналогичного инцидента, она была вынуждена поменять все банковские карты.

Как выяснилось в ходе внутреннего расследования, мошенники использовали поддельные доверенности в Екатеринбурге и получили дубликат сим-карты с номером Знаменской. Ситуацию, по словам Бармина, удалось разрешить оперативно, однако на следующий день в Омске другая группа преступников во главе с бывшим сотрудником «Билайна», воспользовавшись доверием экс-коллег, которые нарушили должностные инструкции, получила очередной дубликат сим-карты.

Бармин уточнил, что эти сотрудники уже уволены, «Билайн» подаст заявление в правоохранительные органы с требованием возбудить в отношении них уголовное дело.

По словам представителя компании, этот случай выявил серьезные проблемы в системе замены сим-карты. «Прямо сейчас мы делаем все, чтобы в будущем такие ситуации были просто невозможны», — отметил он.

«В течение месяца мы подготовим и уже начнем реализацию полномасштабного плана по критической минимизации рисков, связанных с мобильными финансами, при этом сохраняя уровень удобства для тех людей, которым нужно по разным причинам менять сим-карту», — написал в Facebook гендиректор «Билайна» Михаил Слободин.
 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
Приложение из Google Play похищало учетные данные пользователей «ВКонтакте» — Лаборатория Касперского​
По информации «Лаборатории Касперского», страдать могли сотни тыс. пользователей Android-устройств из РФ. По предварительным оценкам профессионалов, от действий правонарушителей пострадало до 500 тыс. пользователей. С учетом того, что свою прямую задачу — проигрывание музыки — программа выполняла исправно, юзеры даже не догадывались о том, что она наносит вред. Ежели операция проходила удачно, пользователь слушал музыку, выложенную в соц. сети, а программа Trojan-PSW.AndroidOS.MyVk.a. засылала данные на сервер правонарушителей. Не менее детальную информацию о киберкампании по краже учётных данных «ВКонтакте» можно найти тут. Существенная часть украденных данных, как установила «Лаборатория Касперского», использовалась потом для продвижения групп соцсети без ведома владельца аккаунта. Зафиксированы случаи, когда меняли пароль к странице, и хозяин не мог ее открыть. Но злоумышленники просто заменяют старую заблокированную версию приложения новоиспеченной. По предварительным сведениям «Лаборатории Касперского», в настоящее время работает уже седьмая такая версия. Приложение для прослушивания музыки похищало учетные данные пользователей сети «ВКонтакте», заявляет русский разработчик антивирусов «Лаборатория Касперского». Данные крали после того, как пользователь авторизировался в дополнении: самостоятельно вводил логин и пароль для доступа к своему аккаунту в «Вконтакте».


 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
Новый троянский вирус маскируется под утилиту от «Лаборатории Касперского»​
Появились данные об обнаружении нового троянского вируса. Согласно данным специалистов Doctor Web, вредоносный код маскируется под популярный антивирус «Лаборатории Касперского».
Согласно последним данным, специалистам из компании Doctor Web, специализирующиеся на безопасности ПК, удалось обнаружить новый вредоносный код. Опасность троянского вируса вызвана тем, что он скрывается под видом антивирусной утилиты, созданной в «Лаборатории Касперского». Целью кода является блокирование всей сторонней рекламы кроме содержащейся в его списке исключений, также содержащего адреса государственных порталов gosuslugi.ru, fsb.ru, gov.ru, mos.ru и прочие. Странность заключается в том, что они не являются источником демонстрации рекламы. По словам специалистов Doctor Web, вредоносный код попадает в компьютер через ряд сайтов, среди которых один относится к российскому сериалу, а другие к нескольким телешоу. При их посещении пользователь получает предложение установить дополнение для браузера – «Щит безопасности KIS», под видом которого и остается в списке утилит Google Chrome.
Источник: ©
 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
В AppStore нашли 250 вредоносных приложений​
Эксперты по кибербезопасности из компании SourceDNA обнаружили в официальном онлайн-магазине Apple около 256 вредоносных приложений, способных похищать личные данные пользователей, передает портал Ars Technica.

Согласно заявлению Source DNA, которое позднее официально подтвердила Apple, за тайный сбор сведений отвечал софт, созданный компанией Youmi. Его предлагали разработчикам под видом пакета инструментов, необходимого для интеграции в продукты рекламных объявлений. Как отметили в Source DNA, авторы зараженных приложений могли не догадываться об истинном предназначении этого ПО, поскольку оно отсылало данные только своему создателю.

В Apple со своей стороны заверили, что удалили зараженные приложения из AppStore и связались с их авторами, чтобы поспособствовать выпуску обновленных безопасных версий программ.

Согласно подсчетам «Лаборатории Касперского», число экземпляров вредоносного программного обеспечения (ПО) для устройств под управлением операционной системы Mac OS всех вариантов с 2010 года по 2014 год выросло в 36 раз. Комментируя результаты, в компании отметили, что долгое время вирусы для «яблочных» устройств были довольно редким явлением, и их насчитывалось буквально несколько штук, пока в 2011 году не разразилась настоящая «глобальная эпидемия», спровоцированная червем Flashback и затронувшая 700 тысяч устройств.
 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
Появился вирус-шифровальщик для Linux​
Системы на Linux атакует вредоносное приложение Linux.Encoder.1, который шифрует файлы пользователей, требуя за расшифровку заплатить криптовалютой. Об этом сообщает антивирусная компания «Доктор Веб».

Linux.Encoder.1 — относится к классу троянцев-шифровальщиков. После запуска с правами администратора на системах под управлением операционных систем семейства Linux он шифрует файлы на компьютере пользователя, после чего требует 1 биткоин за расшифровку (примерно 25 тысяч рублей на данный момент). Предполагается, что в настоящее время атакованы десятки пользователей.

Эксперты по безопасности считают, что атака нацелена на администраторов сайтов, на машине которых развернут собственный веб-сервер, потому что первыми шифруются корневые папки, личные директории пользователя, а также папки с базами данных MySQL и веб-сервером Apache.

После шифрования выбранных файлов исходные данные стираются и пользователь получает предложение заплатить за их расшифровку. Компания утверждает, что в случае согласия владельца компьютера и оплаты выкупа вирус получает ключ для расшифровки. При этом не говорится о том, что вирус стирается с компьютера и не может вторично зашифровать файлы.

Зашифрованные файлы помечаются расширением .encrypted. При их обнаружении компания рекомендует переслать ей файлы — планируется провести их расшифровку при возможности.

Большинство вредоносных программ рассчитаны на заражение Windows-систем. Однако эксперты по безопасности регулярно фиксируют некоторое количество вредоносных программ для Linux и Mac OS.
 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
Apple и Google удалили приложение, которое воровало пароли​
Компании Apple и Google внимательно следят за тем, какие программы распространяются в их фирменных магазинах App Store и Google Play. И если в Apple попросту не пропускают сомнительное ПО, то в Google оперативно реагируют на потенциально опасные продукты. Но даже Акела может промахнуться, чего уж говорить о технологических компаниях — оба гиганта пропустили в магазин программу, которая успела украсть сотни тысяч паролей от Instagram-аккаунтов.
Один из самых популярных сторонних клиентов для социальной сети Instagram под названием InstaAgent удален из App Store и Google Play после того, как стало понятно, что она ворует пароли своих пользователей и размещает от их имени фотографии без каких-либо на то разрешений.
Сторонний iOS-разработчик поделился в Twitter информацией о том, что программа собирала имена и пароли пользователей Instagram в незашифрованном виде и отправляла их на неизвестные серверы. Google отреагировала практически моментально, а вот Apple понадобилось несколько часов для того, чтобы убрать любое упоминание InstaAgent из App Store.
Сами создатели сервиса именно по причине того, что стороннее ПО может красть личные данные, настоятельно рекомендует использовать только официальный клиент. Однако сторонние разработки представляют большую функциональность, например, в InstaAgent отображалась информация о пользователях, которые просматривают профиль.
Всем пользователям, кто устанавливал InstaAgent (только в Google Play ее скачали от 100 до 500 тысяч человек), рекомендуется удалить программу и как можно скорее сменить пароль. Если же человек использует одинаковый пароль в разных сервисах, то и там его необходимо сменить, причем лучше использовать сколько-нибудь отличающиеся друг от друга комбинации цифр и букв.
 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
Исследование: 17% россиян заклеивают веб-камеру изолентой​
Компания ESET провела опрос среди примерно 600 россиян в период с октября по ноябрь, в ходе которого выяснила, что почти две трети пользователей опасаются взлома своих веб-камер.
Большинство осторожных пользователей (это 52% от общего числа респондентов) уверены, что хакеры могут получить доступ к веб-камере ноутбука. Наиболее встревоженные россияне идут на решительные меры — 17% опрошенных признались, что заклеили веб-камеру пластырем или изолентой.
Для защиты камеры от взлома необязательно заклеивать ее пластырем. Достаточно вовремя обновлять программное обеспечение, включая антивирусы и драйверы веб-камер, игнорировать подозрительные письма и ссылки.

Взлом не страшен 31% респондентов: 8% уверены, что это невозможно в принципе, 12% не понимают, кому это может быть интересно, а оставшиеся доверяют решение проблемы своему антивирусу.
Эксперты по безопасности порекомендовали обращать внимание на работу камеры — если она включается не только во время видеозвонков, стоит проверить ее настройки.
Ранее видео с сотен веб-камер британцев оказалось в Сети, а бывший сотрудник Агентства Национальной Безопасности США Эдвард Сноуден предупреждал, что ведомство, в котором он работал, имеет доступ к веб-камерам обычных пользователей.
 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
Осторожно: мошенники «научили» банкоматы незаметно воровать деньги с карт​
Вредоносное программное обеспечение позволяет мошенникам использовать банкоматы для получения данных с банковских карт пользователей и даже снимать наличные. «Лаборатория Касперского» рассказала, что для этого не нужно устанавливать дополнительные устройства, а распознавать взлом клиенту крайне сложно.
Бэкдор Skimer вместо скиммера
Ранее мошенники нередко использовали скиммеры – считывающие устройства, которые маскировались под картоприемники и получали данные о вставленных картах. Сейчас аналогичные действия позволяет выполнять программное обеспечение: зловреды передают злоумышленникам всю информацию о карте клиента, включая номер счета и PIN-код, и позволяют снимать деньги.
Данные собираются незаметно, без активных действий со стороны бэкдора
Прикрепленный скимер обнаружить значительно проще, чем программное обеспечение. Банкомат не повреждается, и факта атаки длительное время могут не замечать даже специалисты.
Как это работает
Бэкдор появился ещё в 2009 году, сегодня существует около полусотни её модификаций. Из них 37 вариантов нацелены на устройства одного определенного производителя.
Заражение банкомата выполняется с помощью специальной карты, в магнитную полосу которой «зашит» вредоносный код – определенный набор цифр. Карта вставляется в картоприемник банкомата, после чего устройство выдает особое меню – оно позволяет злоумышленникам вводить команды.
Вредоносное ПО совершенствуется, случаи заражения фиксируются в разных странах мира
Чаще всего вредоносное ПО, установленное на банкомат, накапливает в памяти устройства большой объем данных. Затем на её основе мошенники создают копии карт и снимают с них наличные в незараженных банкоматах.
Банки предупреждены
Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского», заявил, что последовательность цифр, которую используют злоумышленники, уже передана банкам. Теперь специалисты по безопасности и IT должны проверить процессинговые системы финансовых учреждений и определить, не заражены ли их банкоматы.
 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
900 миллионов Android-устройств оказались под угрозой из-за новой уязвимости​
Специалисты компании Check Point, работающей в сфере кибербезопасности, обнаружили уязвимость в устройствах на платформе Android. Предполагается, что под угрозой взлома находится около 900 миллионов смартфонов и планшетов. Об этом в понедельник, 8 августа, пишет издание The Independent.

С помощью уязвимости, получившей название Quadrooter, злоумышленники смогут получить полный доступ к Android-устройствам. При этом отмечается, что взломщикам станет доступно не только считывание данных со смартфонов и планшетов, но и управление камерой и микрофоном.

Чтобы воспользоваться уязвимостью, злоумышленникам необходимо установить на гаджете жертвы специальное приложение. Для этих целей они рассылают владельцам устройств вредоносные ссылки.

Представитель Check Point добавил, что такие проблемы с безопасностью были обнаружены на смартфонах и планшетах, в которых используется чип компании Qualcomm.

В Qualcomm заявили, что уже выпустили патч, который устранит уязвимость. Ожидается, что он появится в следующем обновлении от Google.
 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
Британцы создали вирус-вымогатель для термостатов​
Специалисты по безопасности из британской компании Pen Test Partners Эндрю Тирни (Andrew Tierney) и Кен Манро (Ken Munro) создали вирус-вымогатель, способный взламывать умные термостаты. Об этом сообщает Motherboard.

По словам Тирни и Манро, они планировали показать, что такие устройства также поддаются взлому. Результаты своего исследования они продемонстрировали на конференции хакеров Def Con, которая прошла в начале августа.

Для эксперимента они использовали одну из популярных моделей термостата. Тирни и Манро обнаружили уязвимости в защите устройства, с помощью которой установили на него вредоносное программное обеспечение.

Взломанный термостат начинал менять температуру в помещении от минимальной до максимальной, а затем выводил на дисплее требование перечислить деньги на счет взломщиков.

Тирни и Манро добавили, что планируют передать всю полученную ими информацию об уязвимостях компании-производителю.

Motherboard отмечает, что возможность взлома «умного дома» в сети начали обсуждать несколько лет назад. Кроме того, похожий сюжет был показан в одной из серий второго сезона сериала «Мистер Робот».
 

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
Антивирус по ошибке начал блокировать Facebook и уничтожать Windows
По неизвестным причинам приложение Webroot после обновления начало отмечать системные фалы Windows как вредоносные и массово отправлять их в карантин. Это парализовало работу компьютеров пользователей, пользующихся антивирусом. Кроме того, сайт социальной сети Facebook также оказался недоступен, поскольку защита начала опознавать его как фишинговый ресурс.

В сети юзеры активно атакуют социальные сети Webroot: в антивируса пришли сотни сообщений о неполадке. В ответ компания зачем-то опубликовала памятку о вредоносном программном обеспечении.

Через некоторое время в Webroot сообщили, что сбой устранен, но тысячи пользователей остались с неработающей операционной системой. В частности, исправления ошибки до сих пор ожидают корпоративные клиенты.

Webroot — американская антивирусная программа, которой пользуются около 30 миллионов человек по всему миру. Согласно указанной на сайте информации, ее используют такие крупные компании как Cisco, Cellebrite и Virgin Media.
 
Последнее редактирование модератором:

iFF65

Moderator
Команда форума
Moderator
Сообщения
8,520
Реакции
26,510
Найден новый способ вывести из строя iPhone
Пользователи iOS 10 столкнулись с новым багом системы, который приводит к зависанию и перезагрузке iPhone. О том, как можно вызвать эту ошибку, рассказал портал AmiciApple.

Чтобы остановить работу системы, необходимо зайти в «Центр управления» и одновременно нажать одну из клавиш нижнего ряда (Камера, Будильник или Калькулятор), кнопку включения режима Night Shift и AirDrop. После этого смартфон перестает реагировать на команды и зависает. Единственным способом восстановить работу устройства является его перезагрузка.

Авторы сайта утверждают, что ошибка присутствует во всех версиях iOS 10. Специалисты проверили это на iPhone 5s, 6 и 6s под управлением iOS 10.2 и 10.3.1.

В начале 2017 года эксперт по кибербезопасности новую уязвимость в iOS, которая позволяет вызвать зависание iPhone и iPad. Для этого достаточно отправить специальное сообщение с эмодзи.
 
Последнее редактирование модератором:

leh-stav

Релизёр
Команда форума
Релизёр
Сообщения
491
Реакции
1,199
WannaCry атакует
Эпидемией мы это называем потому, что очень уж велики масштабы. За один только день мы насчитали более 45 000 тысяч случаев атаки, но на самом деле их наверняка намного больше.

Что произошло?
О заражениях сообщили сразу несколько крупных организаций, в том числе несколько британских клиник, которым пришлось приостановить работу. По сторонним данным, WannaCry заразил уже более 200 000 компьютеров. Собственно, именно поэтому к нему и приковано столько внимания.

Больше всего атак пришлось на Россию, но также от WannaCry серьезно пострадали Украина, Индия, Тайвань, всего же мы обнаружили WannaCry в 74 странах. И это за один только первый день атаки.


Что такое WannaCry?

В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.

В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.

WannaCry: эксплойт и способ распространения

Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.

Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.

После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.

Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.

WannaCry: шифровальщик

WannaCry как шифровальщик (его еще иногда называет WCrypt, а еще, почему-то, порой зовут WannaCry Decryptor, хотя он, по логике вещей, вовсе даже криптор, а не декриптор) делает все то же самое, что и другие шифровальщики — шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на еще одну разновидность печально известного троянца CryptXXX.

Он шифрует файлы различных типов (полный список можно посмотреть тут), среди которых, конечно же, есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.

После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. Как всегда, все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они якобы расшифруют файлы. Поначалу киберпреступники требовали 300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в 600 долл.

Также злоумышленники запугивают пользователя, заявляя, что через 3 дня сумма выкупа увеличится, а через 7 дней файлы невозможно будет расшифровать. Мы не рекомендуем платить злоумышленникам выкуп — никаких гарантий того, что они расшифруют ваши данные, получив выкуп, нет. Более того, в случае других вымогателей исследователи уже показывали, что иногда данные просто удаляют, то есть и возможности расшифровать не остается физически, хотя злоумышленники требуют выкуп как ни в чем не бывало.

Как регистрация домена приостановила заражение и почему это еще не все

Интересно, что исследователю под ником Malwaretech удалось приостановить заражение, зарегистрировав в Интернете домен с длинным и абсолютно бессмысленным названием.

Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность.

Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения.

Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего.

К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.

Способы защиты от WannaCry

К сожалению, на данный момент способов расшифровать файлы, зашифрованные WannaCry, нет. То есть с заражением можно бороться единственным способом — не допускать его.

Вот несколько советов, как избежать заражения или хотя бы уменьшить нанесенный урон:

  • Регулярно делайте резервные копии файлов и храните их на носителях, которые не постоянно подключены к компьютеру. Если есть свежая резервная копия, то заражение шифровальщиком — не трагедия, а всего лишь потеря нескольких часов на переустановку или чистку системы. Лень делать бэкапы самостоятельно — воспользуйтесь встроенным модулем в , он умеет автоматизировать этот процесс.
  • Устанавливайте обновления ПО. В данном случае всем пользователям Windows настоятельно рекомендуется установить системное обновление безопасности MS17-010, тем более что Microsoft выпустила его даже для официально более неподдерживаемых систем вроде Windows XP или Windows 2003. Серьезно, установите его вот прямо сейчас — сейчас как раз тот самый случай, когда это действительно важно.
  • Используйте надежный антивирус. Kaspersky Internet Security умеет обнаруживать WannaCry как локально, так и при попытках распространения по сети. Более того, встроенный модуль «Мониторинг активности» (System Watcher) умеет откатывать нежелательные изменения, то есть не позволит зашифровать файлы даже тем версиям зловредов, которые еще не попали в антивирусные базы.
  • Если у вас уже установлено наше защитное решение, рекомендуем сделать следующее: вручную запустить задачу сканирования критических областей и в случае обнаружения зловреда с вердиктом MEM:Trojan.Win64.EquationDrug.gen (так наши антивирусные решения определяют WannaCry) перезагрузить систему.

 

leh-stav

Релизёр
Команда форума
Релизёр
Сообщения
491
Реакции
1,199
WannaCryptor: рекомендации ESET

12 мая организации в десятках стран мира стали жертвой атаки с применением шифратора WannaCryptor (WannaCry, Wcry).

Вредоносная программа шифрует файлы распространенных форматов и требует выкуп в размере 300 долларов США в биткоинах. WannaCryptor использует гибридный алгоритм шифрования RSA+AES, что делает восстановление зашифрованных файлов практически невозможным.

WannaCryptor распространяется при помощи сетевой уязвимости в операционных системах Microsoft Windows MS17-010. Данная уязвимость закрыта Microsoft в марте, обновление доступно по прямой ссылке.

Решения ESET NOD32 детектируют угрозу как Filecoder.WannaCryptor и блокируют данную версию шифратора и его модификации. В продуктах реализована функция проверки доступности обновлений Microsoft Windows.

Для предотвращения заражения ESET рекомендует следующие меры:

Установите все обновления Microsoft Windows.

В продуктах ESET реализована функция проверки доступности обновлений операционной системы. Если данная функция включена и все обновления Microsoft Windows установлены, система защищена от WannaCryptor и других подобных атак.

Убедитесь, что все узлы сети защищены комплексным антивирусным ПО.

Защитные решения могут предотвратить заражение даже в том случае, если обновления Windows пока не установлены. Антивирусные продукты ESET NOD32 детектируют модификации WannaCryptor, при этом облачная система ESET LiveGrid отражала атаку 12 мая до обновления сигнатурных баз.

Настройте эвристические инструменты для защиты от новых, ранее неизвестных угроз.

Технологии на базе эвристики позволяют детектировать новые угрозы и обеспечить защиту от так называемых атак нулевого дня. Это повышает безопасность в случае, если в систему проникает ранее неизвестная вредоносная программа. Более подробная информация о настройке эвристических инструментов в продуктах ESET доступна на сайте .

Откажитесь от использования ОС Microsoft Windows, которые не поддерживаются производителем.

До замены устаревших операционных систем используйте обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.

Используйте сервисы для доступа к информации о новейших угрозах.

Успеху кибератак зачастую способствует низкая осведомленность организаций об опасности и векторах заражения. Снижает риски доступ ИТ и ИБ-специалистов к информации о новейших угрозах. Для этого, в частности, предназначен корпоративный сервис ESET Threat Intelligence – он предоставляет статистику о новых угрозах, позволяет прогнозировать целевые атаки и адаптироваться к изменениям киберландшафта.

При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу технической поддержки вашего поставщика антивирусных решений за дальнейшими рекомендациями.
 

leh-stav

Релизёр
Команда форума
Релизёр
Сообщения
491
Реакции
1,199
Вирус-шифровальщик Petya распространился по миру
Не успел мир прийти в себя после масштабной атаки вируса-вымогателя WannaCry, как появилась новая угроза. Сегодня, начиная с 14:00, по миру стремительно начал распространяться вирус-шифровальщик Petya. Эксперты отмечают, что способ распространения по локальным сетям схож с тем, что использовался в вирусе WannaCry. Но, в отличии от WannaCry, вероятность расшифровки данных практически 100%, о чём сообщают в антивирусных компаниях.

Вирус Petya давно известен антивирусным компаниям, однако до этого таких масштабных атак не наблюдалось. К сожалению, для новой модификации вируса (Petya.A) пока не существует средств расшифровки, однако работать над этим ведётся. Вирус проникает в систему, используя уязвимости в операционной системе Windows. Вероятнее всего, установка всех последних обновлений системы не позволит проникнуть вирусу на ваше устройство, так что обязательно посетите Центр обновления. Также, чтобы предотвратить дальнейшее распространение вируса, рекомендуется закрыть TCP-порты 1024–1035, 135 и 445.

Темного о самом вирусе. Petya шифрует загрузочный MBR раздел диска, подменяя его своим собственным, что ранее не наблюдалось в других вирусах. Для осуществления перезаписи загрузочного раздела вирусу необходимо осуществить перезагрузку устройства. После перезагрузки на экране запустится программа, маскирующаяся под CHKDSK. Только вот на ошибки она не проверяет, как вы уже догадались, а осуществляет шифрование файлов на вашем компьютере, правда лишь частично.

После завершения шифрования на экране отобразится сообщение о том, что вы стали жертвой вируса-вымогателя. Для расшифровки вам предложат заплатить 300 долларов в валюте Bitcoin. Чтобы подтвердить оплату, вирус предлагает отправить доказательство на специальный электронный адрес, куда и придёт ключ для дешифровки файлов. Конечно же, нет никаких гарантий, что вы получите этот заветный код расшифровки, так что рекомендуем обратиться в антивирусную компанию, если вы столкнётесь с данной проблемой.

На данный момент известно, что жертвой атаки стало более 80 компаний в России и Украине, в том числе Роснефть, Башнефть, Mars, Nivea, а также компьютеры правительства Украины, Приватбанка, операторов Киевстар, LifeCell и ещё ряда организацией. Число заражений продолжает расти, но точных цифр пока не называется.
 

illayj

Well-known member
Команда форума
Модератор
Сообщения
4,409
Реакции
8,321
"Вакцинация" от NotPetya / SortaPetya / Petya - создать файл perfc.exe в папке С://Windows , с атрибутом -только чтение
 
Сверху