20206
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
Хорошие новости для пользователей Linux. если вам было скучно, глядя на все эти истории с вирусами для Windows, и вы чувствовали, что самое веселье проходит мимо вас — не расстраивайтесь! Если верить отчету WatchGuard, сейчас наблюдается активный рост количества атак вредоносным ПО под Linux. Говорят, малварь даже самому собирать не надо! https://media.scmagazine.com/documents/306/wg-threat-reportq1-2017_76417.pdf
Читать полностью…
за всеми этими новостями про вирусы-вымогатели как-то даже руки не доходят писать об утечках информации (в общем-то, то, с чего этот канал начинался). есть такой сервис 8Track — популярная соцсеть вокруг музыки, плейлисты там, вот это все. У них взломали базу пользователей, 18 миллионов аккаунтов тютю, включая имена, имейлы, и замешанные с помощью SHA1 пароли. Теоретически эти пароли могут быть расшифрованы злоумышленниками, так что если вдруг вы там были зарегистрированы и этот логин-пароль используется еще где-то — самое время поменять пароли. https://blog.8tracks.com/2017/06/27/password-security-alert/
Читать полностью…
и еще немного о вирусной атаке. один из лучших отчетов о Petya/NotPetya/ExPetya/Nyetya https://www.theregister.co.uk/2017/06/28/petya_notpetya_ransomware/
Статья у Microsoft с деталями https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
И отчет у Касперского, из которого можно узнать, что у вируса просто НЕТ возможности расшифровать зашифрованные файлы. Выкуп платить еще более бессмысленно (после того, как заблокировали имейл-адрес вымогателей) https://blog.kaspersky.com/new-ransomware-epidemics/17314/
а Wikileaks все не успокаивается и продолжает публиковать утекшие из ЦРУ инструменты. Теперь опубликовали документацию о проекте под названием ELSA. Это софтинка, которая устанавливается на компьютеры с Windows (используя какую-нибудь уязвимость, позволяющую поставить софт удаленно, например), и сообщает о местоположении пользователя. Фишка в том, что тулза сканирует доступные вокруг WiFi-сети, и, используя информацию о геолокациях, вычисляет, исходя из данных о WiFi-сетях, местоположение пользователя. Данные сохраняются на компьютере, а затем, по необходимости, оператор ЦРУ сливает данные с компьютера, используя другие известные уязвимости и бэкдоры. https://wikileaks.org/vault7/document/Elsa_User_Manual/
Читать полностью…
Petya killswitch from @0xAmit must match name of the spreading DLL - perfc.dll, providing it matches it'll prevent infections.
Читать полностью…
Так, поправка: из других источников пишут, что создание файла не помогает предотвратить заражение. НО! Есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса "проверки диска", в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам
Читать полностью…
В любом случае, тут ещё одна лажа: почтовый провайдер, где находился ящик вымогателя, по которому надо было связываться для получения ключей дешифровки, заблокировал доступ к этому ящику. Теперь пострадавшие от вируса не могут даже толком и попробовать выкупить доступ к своим файлам
Читать полностью…
Petya.A в банкомате. Мне кажется, нужна интеграция между банкоматами и вирусами. Типа заразился — сразу нажимаешь кнопку "оплатить" и банкомат работает дальше
Читать полностью…
Пояснение "человеческим" языком к предыдущему сообщению: в локальную сеть Petya.A попадает, используя уязвимость в офисных приложениях — как обычно, имейл-клик на документе, и аля-улю. а дальше по сети распространяется, используя уязвимость в SMB1, которую Microsoft исправила в мартовском апдейте. Кто не поставил после эпидемии Wcry мартовский апдейт — сам дурак (ну, или админ у них дурак)
Читать полностью…
Ага, а вот и уязвимость, через которую распространяется Petya.A https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
Читать полностью…
экран с требованием выкупа у этого нового вируса выглядит так
Читать полностью…
Полезная инструкция о том, как обойти потенциальную блокировку Телеграма, если до этого дойдет http://telegra.ph/Kak-aktivirovat-SOCKS-5-v-Telegram-06-26
Читать полностью…
кстати, о Wcry. как ни странно, но отголоски эпидемии этого трояна доносятся до сих пор. Недавно Honda пришлось остановить производство автомобилей, потому что Wcry проник в компьютерную сеть одной из фабрик компании http://thehackernews.com/2017/06/honda-wannacry-attack.html. А в Австралии Wcry заразил систему управления камерами, фиксирующими нарушения — превышения скорости и проезда на красный свет. Представители вроде как утверждают, что это никак не повлияло на работу камер, но на всякий случай полиция отменила 590 выписанных штрафов. https://www.scmagazine.com/australian-contractor-accidently-infects-traffic-cameras-with-wannacry/article/670391/
Читать полностью…
на выходных IT-инфраструктура британского парламента подверглась атаке хакеров. Кто и зачем это сделал — неизвестно, но судя по пресс-релизу, около 1% аккаунтов (из 9 тысяч) были скомпрометированы (читай — данные тю-тю). Причина того, что некоторые аккаунты все же были взломаны, по объяснению пресс-офиса парламента — "слабые пароли", не соответствовавшие рекомендациям IT-службы. Подозреваю, что дело не только в слабых паролях, но и в отсутствии практически обязательной нынче двух-факторной авторизации. Так что если вам нужен был знак, что надо наконец-то собраться с силами и активировать 2FA на почте-ФБ-Твитторе и тд — ЭТО ОН, ТОТ САМЫЙ ЗНАК.
Читать полностью…
В качестве субботней развлекалочки - несколько картинок, которыми пугают пользователей в интернете ("вирусы, шмирусы", вот это всё)
Читать полностью…
вы, наверно, слышали, что в iOS 11 появится специальный режим "не беспокоить, когда за рулем". Конечно, многие пользователи, скорей всего, не будут им пользоваться — "нужно срочно ответить на важную смс-ку!", поэтому полиция в Штатах со своей стороны тоже "вооружается". Похоже, что cellebrite (та самая контора, которая взламывала телефон террориста из Сан-Бернардино для ФБР) планирует обеспечить полицию как минимум в нескольких штатах устройствами, которое будет анализировать, что происходило на телефоне в определенное время. Типа, подключаешь телефон, и устройство расскажет полицейскому, какое приложение было активно в какой момент, не набирал ли юзер СМС. С одной стороны, если произошло ДТП и надо выяснить причину, то это вроде бы и полезно, но потенциально имеет некие осложнения для приватности информации. http://www.npr.org/sections/alltechconsidered/2017/04/27/525729013/textalyzer-aims-to-curb-distracted-driving-but-what-about-privacy
Читать полностью…
The 4 stages of Twitter during a malware outbreak.
1. OMG WE'RE ALL SCREWED IT'S SO BAD
2. It sucks
3. Should have patched
4. It was Russia
Интересно, NBC пишет, что сотрудники ФБР посетили около десятка сотрудников Kaspersky Lab в США, с вопросами о работе компании. в статье говорится, что это было некое "общее ознакомление", не в рамках какого-либо конкретного уголовного дела. Интересно еще, что в статье говорится о "миллиардере Евгении Касперском", хотя мне казалось, что все-таки до миллиардов Касперскому далеко. может, я ошибался. http://www.nbcnews.com/news/us-news/fbi-interviews-employees-russia-linked-cyber-security-firm-kasperky-lab-n777571
Читать полностью…
и снова здравствуйте. Вроде как основная волна заражений вирусом Petya.A улеглась, и можно, переведя дух, спокойно понять, что случилось. Во-первых, вирус оказался только похожим на Petya.A, а на самом деле это довольно сильно модифицированный вариант, поэтому разные компании называют его по-другому: кто NotPetya, кто ExPetya, есть еще Petrwrap, GoldenEye и Nyetya. Вирус устанавливал на компьютер файл Perfc.dat, который затем получал админские права, перезаписывал MBR для PhysicalDrive 0, перезапускал компьютер и шифровал данные. Распространялся по локальной сети он тремя методами: 1 используя уязвимость EternalBlue (та же, что и в случае с Wcry, 2 — используя админские инструменты Psexec и Windows Management Instrumentation.
Интересно, что вирус смог обмануть множество антивирусных приложений, демонстрируя фейковый и просроченный сертификат, якобы выпущенный Microsoft. С платежами у этого вируса не очень сложилось: во-первых, инструкция для оплаты была весьма сложной, во-вторых, единственный почтовый ящик для приема платежей практически сразу заблокировали. В целом, хорошая проработка вирусно-заразной части и плохая — платежной, вызывают подозрение, что цель этой атаки была вовсе не заработать денег, а внести побольше энтропии во вселенную. В Украине же источником заражения многих систем стало, похоже, бухгалтерское ПО MeDoc — похоже, что сначала заразили системы компании, а затем вирус оттуда распространился через автоматическую систему обновлений по клиентам компании. Насколько я понял, MeDoc — это популярное ПО, которое активно используется для учета и налоговой отчетности. Это, правда, не отвечает на вопрос, как заражались компьютеры в России — в той же РосНефти, например, так что не стоит спешить с выводами про спонсированную государством кибератаку.
Хороший технический анализ Nyetya есть у Talos http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
На всякий случай напоминаю инструкцию о том, что нужно настроить в Телеграме, чтобы избежать последствий блокировки мессенджера, если таковая наступит http://telegra.ph/Kak-aktivirovat-SOCKS-5-v-Telegram-06-26
Читать полностью…
интересный совет по поводу Petya.A/NotPetya — если создать файл C:\Windows\perfc, то вирус не будет заражать компьютер. какая странная фигня.
Читать полностью…
Последние новости: пишут, что вроде как Petya.A все же не использует уязвимость CVE-2017-0199, а путаница связана с тем, что атак одновременно две: одна в Украине, другая в мире. эксперты разбираются. А из Касперского вообще пишут, что это вроде и не Petya.A, поэтому новый вирус они назвали NotPetya
Читать полностью…
а вот еще подборка полезных ссылок по этому поводу, которую прислал читатель Игорь:
В связи с масштабной атакой зловреда Petya.A можно воспользоваться инструментом защиты от перезаписи MBR (это делает вирус перед шифрованием) от нашего TALOS:
http://blog.talosintelligence.com/2016/10/mbrfilter.html
https://www.talosintelligence.com/mbrfilter
https://www.snort.org/advisories/talos-rules-2016-04-08
http://www.darkreading.com/endpoint/new-free-tool-stops-petya-ransomware-and-rootkits/d/d-id/1327241
Реверс - https://0xec.blogspot.ru/2016/04/reversing-petya-ransomware-with.html
Спасибо Dmitry Kazakov за подборку!
Возможные индикаторы компрометации - наличие файла c:\windows\perfc.dat (ненадежный, но работает), для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445 или поставить обмен по ним на контроль.
P.S: AMP ловит эту заразу с момента появления ;)
P.P.S: Рецепт получения ключа расшифровки в статье про реверс ;)
Ещё один рецепт расшифровки и сам расшифровальщик
https://github.com/leo-stone/hack-petya
Инструкция (с информацией как снимать данные)
https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
Похоже, что новый подвид Petya.A, разгуливающий сегодня — это комбинация CVE-2017-0199 (на которую я давал ссылку выше) и MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx, она же — ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers). Универсальный совет — АПДЕЙТ, АПДЕЙТ, АПДЕЙТ!
Читать полностью…
тут, кстати, читатель Владимир прислал ссылку на информацию про Petya.A — оказалось, что это не новая фигня и вроде как ловится с помощью Windows Defender. Возможно, то, что сегодня — какой-то новый подвид этого вируса https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Petya.A&ThreatID=-2147257024
Читать полностью…
Так, котаны, здравствуйте. Сегодня по миру помчалась очередная эпидения вируса-шифровальщика, теперь его называют Petya.A. Говорят, пока что пострадали компании и госорганизации в России и Украине, и якобы не имеет отношения к Wcry. Пока что непонятно, какую именно уязвимость он использует, и каким апдейтом от него защищаться, но он поражает компьютеры с Windows и требует выкупа за расшифровку файлов. Информацию о выкупе просит присылать на wowsmith123456@posteo.net. Говорят, для предотвращения распространения нужно закрывать TCP-порты 1024–1035, 135 и 445. По мере поступления дополнительной информации редакция канала ею обязательно поделится
Читать полностью…
пока существует такое мнение об анонимности, любая информация будет в опасности
Читать полностью…
интересный ежеквартальный отчет McAffee о ситуации с вредоносным ПО в интернете. из него можно узнать, например, про наличие для мобильных платформ 16млн разных вредоносных программ, или про то, что количество зарегистрированных случаев заражения вредоносными программи под Мак выросло до 700 тыс (правда, это в основном adware — то есть какие-то софтины, показывающие рекламу в браузере, а не, например, ворующие данные или шифрующие файлы, как Wcry) https://www.mcafee.com/us/resources/reports/rp-quarterly-threats-jun-2017.pdf
Читать полностью…
Я думаю, те, кто читает этот канал из России, и так прекрасно в курсе того, какая кампания сейчас развернулась против Телеграма в вашей стране. РКН "всего лишь" требует от Павла Дурова предоставить "ключи шифрования", не понимая, что в случае с end2end шифрованием все работает немножко по-другому. Дуров этим идиотам даже что-то там еще отвечает и пытается объяснять, хотя я лично считаю, что их просто нужно игнорировать. в любом случае риск того, что Телеграм в России начнут блокировать, достаточно неиллюзорный. Хотя, опять же, пытаться блокировать информацию в интернете — это весьма неблагодарное занятие. примерно как на этой гифке https://media.giphy.com/media/l0IylfpewZ3BTBN5u/giphy.gif
Читать полностью…
а вот еще забавная история про Microsoft, которая хвасталась, что её "залоченная" версия Windows 10 S, которая вроде как должна позволять устанавливать программы только из Windows Store, супербезопасна и устойчива к современным атакам от ransomware. И хакеры такие сразу возбудились: "а ну-ка, подержи мое пивко!". Короче, закончилось все плохо для Windows — вордовый документ с макрухой отлично позволяет получить доступ к командной строке с админскими привелегиями. Ну а дальше уже дело техники получить контроль над другими процессами или получить доступ к файлам пользователя. Так что и ransomware вполне там может прижиться. http://www.zdnet.com/article/microsoft-no-known-ransomware-windows-we-tried-to-hack-it/
Читать полностью…
