20475
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
и снова здравствуйте. Вроде как основная волна заражений вирусом Petya.A улеглась, и можно, переведя дух, спокойно понять, что случилось. Во-первых, вирус оказался только похожим на Petya.A, а на самом деле это довольно сильно модифицированный вариант, поэтому разные компании называют его по-другому: кто NotPetya, кто ExPetya, есть еще Petrwrap, GoldenEye и Nyetya. Вирус устанавливал на компьютер файл Perfc.dat, который затем получал админские права, перезаписывал MBR для PhysicalDrive 0, перезапускал компьютер и шифровал данные. Распространялся по локальной сети он тремя методами: 1 используя уязвимость EternalBlue (та же, что и в случае с Wcry, 2 — используя админские инструменты Psexec и Windows Management Instrumentation.
Интересно, что вирус смог обмануть множество антивирусных приложений, демонстрируя фейковый и просроченный сертификат, якобы выпущенный Microsoft. С платежами у этого вируса не очень сложилось: во-первых, инструкция для оплаты была весьма сложной, во-вторых, единственный почтовый ящик для приема платежей практически сразу заблокировали. В целом, хорошая проработка вирусно-заразной части и плохая — платежной, вызывают подозрение, что цель этой атаки была вовсе не заработать денег, а внести побольше энтропии во вселенную. В Украине же источником заражения многих систем стало, похоже, бухгалтерское ПО MeDoc — похоже, что сначала заразили системы компании, а затем вирус оттуда распространился через автоматическую систему обновлений по клиентам компании. Насколько я понял, MeDoc — это популярное ПО, которое активно используется для учета и налоговой отчетности. Это, правда, не отвечает на вопрос, как заражались компьютеры в России — в той же РосНефти, например, так что не стоит спешить с выводами про спонсированную государством кибератаку.
Хороший технический анализ Nyetya есть у Talos http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html
На всякий случай напоминаю инструкцию о том, что нужно настроить в Телеграме, чтобы избежать последствий блокировки мессенджера, если таковая наступит http://telegra.ph/Kak-aktivirovat-SOCKS-5-v-Telegram-06-26
Читать полностью…
интересный совет по поводу Petya.A/NotPetya — если создать файл C:\Windows\perfc, то вирус не будет заражать компьютер. какая странная фигня.
Читать полностью…
Последние новости: пишут, что вроде как Petya.A все же не использует уязвимость CVE-2017-0199, а путаница связана с тем, что атак одновременно две: одна в Украине, другая в мире. эксперты разбираются. А из Касперского вообще пишут, что это вроде и не Petya.A, поэтому новый вирус они назвали NotPetya
Читать полностью…
а вот еще подборка полезных ссылок по этому поводу, которую прислал читатель Игорь:
В связи с масштабной атакой зловреда Petya.A можно воспользоваться инструментом защиты от перезаписи MBR (это делает вирус перед шифрованием) от нашего TALOS:
http://blog.talosintelligence.com/2016/10/mbrfilter.html
https://www.talosintelligence.com/mbrfilter
https://www.snort.org/advisories/talos-rules-2016-04-08
http://www.darkreading.com/endpoint/new-free-tool-stops-petya-ransomware-and-rootkits/d/d-id/1327241
Реверс - https://0xec.blogspot.ru/2016/04/reversing-petya-ransomware-with.html
Спасибо Dmitry Kazakov за подборку!
Возможные индикаторы компрометации - наличие файла c:\windows\perfc.dat (ненадежный, но работает), для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445 или поставить обмен по ним на контроль.
P.S: AMP ловит эту заразу с момента появления ;)
P.P.S: Рецепт получения ключа расшифровки в статье про реверс ;)
Ещё один рецепт расшифровки и сам расшифровальщик
https://github.com/leo-stone/hack-petya
Инструкция (с информацией как снимать данные)
https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
Похоже, что новый подвид Petya.A, разгуливающий сегодня — это комбинация CVE-2017-0199 (на которую я давал ссылку выше) и MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx, она же — ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers). Универсальный совет — АПДЕЙТ, АПДЕЙТ, АПДЕЙТ!
Читать полностью…
тут, кстати, читатель Владимир прислал ссылку на информацию про Petya.A — оказалось, что это не новая фигня и вроде как ловится с помощью Windows Defender. Возможно, то, что сегодня — какой-то новый подвид этого вируса https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Petya.A&ThreatID=-2147257024
Читать полностью…
Так, котаны, здравствуйте. Сегодня по миру помчалась очередная эпидения вируса-шифровальщика, теперь его называют Petya.A. Говорят, пока что пострадали компании и госорганизации в России и Украине, и якобы не имеет отношения к Wcry. Пока что непонятно, какую именно уязвимость он использует, и каким апдейтом от него защищаться, но он поражает компьютеры с Windows и требует выкупа за расшифровку файлов. Информацию о выкупе просит присылать на wowsmith123456@posteo.net. Говорят, для предотвращения распространения нужно закрывать TCP-порты 1024–1035, 135 и 445. По мере поступления дополнительной информации редакция канала ею обязательно поделится
Читать полностью…
пока существует такое мнение об анонимности, любая информация будет в опасности
Читать полностью…
интересный ежеквартальный отчет McAffee о ситуации с вредоносным ПО в интернете. из него можно узнать, например, про наличие для мобильных платформ 16млн разных вредоносных программ, или про то, что количество зарегистрированных случаев заражения вредоносными программи под Мак выросло до 700 тыс (правда, это в основном adware — то есть какие-то софтины, показывающие рекламу в браузере, а не, например, ворующие данные или шифрующие файлы, как Wcry) https://www.mcafee.com/us/resources/reports/rp-quarterly-threats-jun-2017.pdf
Читать полностью…
Я думаю, те, кто читает этот канал из России, и так прекрасно в курсе того, какая кампания сейчас развернулась против Телеграма в вашей стране. РКН "всего лишь" требует от Павла Дурова предоставить "ключи шифрования", не понимая, что в случае с end2end шифрованием все работает немножко по-другому. Дуров этим идиотам даже что-то там еще отвечает и пытается объяснять, хотя я лично считаю, что их просто нужно игнорировать. в любом случае риск того, что Телеграм в России начнут блокировать, достаточно неиллюзорный. Хотя, опять же, пытаться блокировать информацию в интернете — это весьма неблагодарное занятие. примерно как на этой гифке https://media.giphy.com/media/l0IylfpewZ3BTBN5u/giphy.gif
Читать полностью…
а вот еще забавная история про Microsoft, которая хвасталась, что её "залоченная" версия Windows 10 S, которая вроде как должна позволять устанавливать программы только из Windows Store, супербезопасна и устойчива к современным атакам от ransomware. И хакеры такие сразу возбудились: "а ну-ка, подержи мое пивко!". Короче, закончилось все плохо для Windows — вордовый документ с макрухой отлично позволяет получить доступ к командной строке с админскими привелегиями. Ну а дальше уже дело техники получить контроль над другими процессами или получить доступ к файлам пользователя. Так что и ransomware вполне там может прижиться. http://www.zdnet.com/article/microsoft-no-known-ransomware-windows-we-tried-to-hack-it/
Читать полностью…
Привет (правда, большинству из вас уже можно желать спокойной ночи). Однако, новости в этом канале такие, что, скорее, могут сон отбить. Я думаю, про борьбу Роскомнадзора с Телеграмом вы уже все слышали — там РКН пытается заставить Дурова записаться в реестр, который ведет РКН, а Дуров радостно игнорирует эти запросы. РКН угрожает применить те меры, которые ему доступны — то есть, заблокировать Телеграм. Так что если вдруг его таки заблокируют в России — ПОКА! (ну это сильно заранее, конечно, но мало ли. Проснетесь вы завтра утром, а уже всё).
Читать полностью…
А вот еще интересное про QR-коды в Китае, где эта технология очень популярна. Они там везде и очень часто используются для оплаты различных услуг, например, прокатов велосипедов. Просканировал код, оплатил время использования велосипеда — и поехал. Этим активно пользуются злоумышленники: они распечатывают и расклеивают фальшивые QR-коды, и таким образом зачастую оплата уходит совсем не туда, куда она предназначалась. Более того, часто в QR-код маскируют вирусы и трояны для мобильных устройств, и в статье говорится, что 23% всех троянов и вирусов распространяется как раз через QR-коды. И, главное, хрен такие штуки отловишь — откуда пользователю знать, правильный QR-код или вредоносный? На вид они все одинаковые. Не зря я никогда QR-кодам не доверял. http://www.scmp.com/business/china-business/article/2080841/rise-qr-code-scams-china-puts-online-payment-security
Читать полностью…
ESET предупреждает о новой фишинговой атаке – мошенники собирают данные банковских карт, действуя от лица сервиса Uber.
Новая мошенническая кампания началась 17 июня. Потенциальным жертвам высылают по электронной почте письма «из Uber», в которых предлагается получить крупную скидку на следующую поездку в такси.
Кликнув на баннер «акции» в письме, пользователь попадает на фишинговый сайт. Он не имеет ничего общего с настоящим сайтом сервиса, несмотря на то, что внешне напоминает оригинал, а в URL-адресе фигурирует слово «uber». Мошенники зарегистрировали поддельный сайт 16 июня, за несколько часов до начала атаки.
На фишинговом сайте пользователя поздравляют с «выигрышем» и предлагают создать аккаунт Uber, чтобы скидка была автоматически учтена в следующей поездке. Кнопка «входа» перенаправляет пользователя на поддельную страницу регистрации – там нужно ввести личные данные, включая имя, фамилию, номер мобильного телефона, а также номер, срок действия и CVV/CVC банковской карты.
После ввода данных пользователь попадет на настоящий сайт Uber, а мошенники получат информацию, необходимую для доступа к банковскому счету жертвы.
В ESET проверили статистику переходов по короткой ссылке из фишингового письма. С 18 июня «за скидкой» на сайт мошенников прошли почти 50 000 пользователей, преимущественно из Бразилии, США, Южной Кореи, Испании и Германии.
Petya killswitch from @0xAmit must match name of the spreading DLL - perfc.dll, providing it matches it'll prevent infections.
Читать полностью…
Так, поправка: из других источников пишут, что создание файла не помогает предотвратить заражение. НО! Есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса "проверки диска", в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам
Читать полностью…
В любом случае, тут ещё одна лажа: почтовый провайдер, где находился ящик вымогателя, по которому надо было связываться для получения ключей дешифровки, заблокировал доступ к этому ящику. Теперь пострадавшие от вируса не могут даже толком и попробовать выкупить доступ к своим файлам
Читать полностью…
Petya.A в банкомате. Мне кажется, нужна интеграция между банкоматами и вирусами. Типа заразился — сразу нажимаешь кнопку "оплатить" и банкомат работает дальше
Читать полностью…
Пояснение "человеческим" языком к предыдущему сообщению: в локальную сеть Petya.A попадает, используя уязвимость в офисных приложениях — как обычно, имейл-клик на документе, и аля-улю. а дальше по сети распространяется, используя уязвимость в SMB1, которую Microsoft исправила в мартовском апдейте. Кто не поставил после эпидемии Wcry мартовский апдейт — сам дурак (ну, или админ у них дурак)
Читать полностью…
Ага, а вот и уязвимость, через которую распространяется Petya.A https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
Читать полностью…
экран с требованием выкупа у этого нового вируса выглядит так
Читать полностью…
Полезная инструкция о том, как обойти потенциальную блокировку Телеграма, если до этого дойдет http://telegra.ph/Kak-aktivirovat-SOCKS-5-v-Telegram-06-26
Читать полностью…
кстати, о Wcry. как ни странно, но отголоски эпидемии этого трояна доносятся до сих пор. Недавно Honda пришлось остановить производство автомобилей, потому что Wcry проник в компьютерную сеть одной из фабрик компании http://thehackernews.com/2017/06/honda-wannacry-attack.html. А в Австралии Wcry заразил систему управления камерами, фиксирующими нарушения — превышения скорости и проезда на красный свет. Представители вроде как утверждают, что это никак не повлияло на работу камер, но на всякий случай полиция отменила 590 выписанных штрафов. https://www.scmagazine.com/australian-contractor-accidently-infects-traffic-cameras-with-wannacry/article/670391/
Читать полностью…
на выходных IT-инфраструктура британского парламента подверглась атаке хакеров. Кто и зачем это сделал — неизвестно, но судя по пресс-релизу, около 1% аккаунтов (из 9 тысяч) были скомпрометированы (читай — данные тю-тю). Причина того, что некоторые аккаунты все же были взломаны, по объяснению пресс-офиса парламента — "слабые пароли", не соответствовавшие рекомендациям IT-службы. Подозреваю, что дело не только в слабых паролях, но и в отсутствии практически обязательной нынче двух-факторной авторизации. Так что если вам нужен был знак, что надо наконец-то собраться с силами и активировать 2FA на почте-ФБ-Твитторе и тд — ЭТО ОН, ТОТ САМЫЙ ЗНАК.
Читать полностью…
В качестве субботней развлекалочки - несколько картинок, которыми пугают пользователей в интернете ("вирусы, шмирусы", вот это всё)
Читать полностью…
И если вы успели подумать "ну и ладно, буду пользоваться VPN", то у меня для вас снова плохие новости: сегодня Госдума в первом чтении единогласно одобрила проект закона о запрете средств обхода интернет-блокировок. Там речь идет в том числе и о VPN — если провайдер VPN откажется блокировать доступ к запрещенной в России информации, то этот сервис тоже будут блокировать http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=195446-7&02
Читать полностью…
смешная история о том, как контракторы ЦРУ взламывали вендинговые машины в здании организации (сама история происходила в 2012-2013 году, но информация о ней стала доступна только сейчас). Некоторые умники придумали, что если у вендинговой машины отключить кабель платежной системы и потом расплачиваться картами без баланса, то можно нахаляву получать ништяки из вендинговых автоматов. за полгода успели сожрать снеков на 3,3 тыс долларов, молодцы какие! https://www.documentcloud.org/documents/3870932-CIA-Vending-Machine.html
Читать полностью…
на Gizmodo интересная статья о сайтах, где данные, которые пользователь ввел в форму, сохраняются или отправляются куда-нибудь еще до того, как пользователь нажал кнопку "отправить". Все это построено на решении компании NaviStone, которая собирает данные о пользователях, чтобы потом, например, в оффлайне уже продолжить попытки "engage" пользователя, если он не закончил заполнение формы. мудацтво, надо сказать, то еще, так как это противоречит ожиданиям пользователя, который вроде как бы еще и не дал согласия на сбор данных. интересно, что даже по части данных от пользователя и данным о том, по каким сайтам пользователь ходил до этого, NaviStone может идентифицировать около 60-70% пользователей и "скрестить" их с реальным адресом в жизни. Где там уже macOS 10.13 с её блокировкой трекинга на сайтах? http://gizmodo.com/before-you-hit-submit-this-company-has-already-logge-1795906081
Читать полностью…
И к более приземленным темам — про автомобили. Один мой знакомый поднял тут интересную тему, относящуюся к информационной безопасности. Современные автомобили с их Bluetooth и интеграцией с телефонами — это в том числе и потенциальный инструмент утечки персональных данных. Когда добавляешь телефон в машину, очень часто автомобиль закачивает в свое устройство адресную книгу и сообщения с телефона. Хорошо, если это ваш автомобиль, а когда это подменный или прокатный? Я уже неоднократно сталкивался с чужими СМС-ками в прокатных автомобилях, и всегда стараюсь удалять данные из прокатных и подменных автомобилей перед их возвратом. Да даже и собственный автомобиль, если его сдавать в trade-in, тоже может оказаться с сообщениями и адресной книгой, так что полезно не забывать удалять телефоны перед сдачей. Но следующий "уровень" — это "умные" автомобили, которыми можно управлять с телефона — открывать двери, заводить автомобиль и тд. Представляете, когда вы купили у кого-то автомобиль, забрали все ключи, а потом оказывается, что продавец все еще может с телефона открыть машину, завести её и уехать? Нехорошо получается :) Группа исследователей подняла этот вопрос перед автопроизводителями, и оказалось, что дилеры вообще были не в курсе как это делать, а производитель начал чесать репу по поводу того, что "отрезать" доступ со смартфона не так-то просто. А там, глядишь, и ransomware на автомобили подтянется — "заплати 2 биткойна, а то не сможешь поехать на работу". Короче, страшно жить :) (я уже, кажется, это говорил, но все эти недоработки в плане автомобильной информационной безопасности сдерживают меня от покупки более новой машины, потому что там слишком много компьютеризации без должной безопасности). Вот еще на BBC статья на эту тему http://www.bbc.com/news/business-40324983
Читать полностью…
