Новости сетевой безопасности, все новости по сетевой безопасности
15.12.2015 - 19:19 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Множественные уязвимости в Avast! Antivirus
Количество уязвимостей: 4 CVSSv2 рейтинг: (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:10/Temporal:7.4 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9 (AV:N/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C) = Base:9.3/Temporal:6.9 (AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C) = Base:4.3/Temporal:3.2 Уязвимости позволяют удаленному пользователю раскрыть важные данные и скомпрометировать систему. 1) Уязвимость существует из-за ошибки выхода за пределы памяти. Удаленный пользователь может скомпрометировать систему. 2) Уязвимость существует из-за ошибки переполнения динамической памяти в AvastSvc.exe. Удаленный пользователь может скомпрометировать систему. Примечание: Эксплуатация уязвимости требует, чтобы жертва открыла специально сформированный вредоносный файл. 3) Уязвимость существует из-за ошибки целочисленного переполнения. Удаленный пользователь может скомпрометировать систему. Примечание: Эксплуатация уязвимости требует, чтобы жертва открыла специально сформированный вредоносный файл TTC. 4) Уязвимость существует из-за неизвестной ошибки. Удаленный пользователь может раскрыть важные данные. Примечание: Эксплуатация уязвимости требует, чтобы жертва открыла специально сформированный вредоносный файл. Решение: Установите исправление с сайта производителя. Источник: securitylab_ru | |
| |
24.12.2015 - 23:51 |
KLUCHICK
Вечная память...
[SoftoRooMTeaM]
Группа: Администраторы Сообщений: 5.668 Регистрация: 15.03.2004 Из: The Ural federal district Пользователь №: 326
Респектов: 3848
| Oracle признала опасность Java Oracle согласилась выполнить требования Федеральной комиссии США по торговле в части информирования пользователей о том, что при обновлении Java SE на их компьютерах сохраняются устаревшие модули среды исполнения, которые остаются уязвимыми к хакерским атакам. Соглашение с FTCOracle согласилась выполнить требования Федеральной комиссии США по торговле (FTC) в обмен на прекращение расследования в отношении корпорации. Компания пошла на это после того, как FTC выдвинула обвинение в том, что корпорация вводит пользователей в заблуждение относительно безопасности среды исполнения Java SE. Суть обвиненияСогласно FTC, Oracle была не права, указывая, что патчи для Java SE делают среду безопаснее путем устранения уязвимостей. Однако по крайней мере с 2010 г. при установке патчей уязвимости продолжают оставаться в старых модулях Java SE, которые остаются на компьютере. «Oracle не говорит или не предпринимает достаточных усилий для того, чтобы донести до пользователей тот факт, что в многочисленных случаях обновление Java SE не удаляет и не заменяет устаревшие версии Java SE на компьютере, поэтому он остается уязвим к атакам, которые хакеры могут провести благодаря уязвимостям, содержащимся в устаревших версиях Java SE», — заявили в FTC. По условиям соглашения, Oracle обязуется в процессе установки обновления уведомлять пользователей о наличии на их компьютерах устаревших версий Java SE, сообщать об опасности их сохранения и предлагать возможность их удаления. Кроме того, Oracle обязуется проинформировать своих пользователей о достигнутых с FTC договоренностях, в том числе посредством социальных сетей, и объяснить, как можно самостоятельно удалить старые версии среды. Соглашение опубликовано на сайте FTC. В течение 30 дней комиссия будет принимать комментарии к нему. После этого ведомство примет решение об исполнении соглашения. Осведомленность компании Oracle в действительности была осведомлена о наличии проблемы. Во внутренних документах корпорации говорилось, что после установки патчей злоумышленники по-прежнему имеют возможность совершать атаки при помощи уязвимостей в прежних версиях среды. В результате руководство компании пришло к выводу, что «механизм обновления Java недостаточно агрессивен или просто не работает», сообщает Ars Technica. Тем не менее, компания никогда не информировала об этом своих пользователей и продолжала использовать этот же самый механизм обновления в Java SE 7 и в наиболее свежей версии Java SE 8. В августе 2015 г. глава Oracle по безопасности Мэри Энн Девидсон (Mary Ann Davidson) опубликовала в корпоративном блоге заметку, в которой попросила исследователей прекратить изучать продукты компании с целью поиска в них уязвимостей . По словам Девидсон, для этого исследователи применяют обратный инжиниринг, что является нарушением лицензионного соглашения на использование продуктов. Кроме того, Девидсон дала понять, что Oracle лучше справляется с поиском уязвимостей и получает множество ложных сообщений. «Потому, пожалуйста, не тратьте ваше время на то, чтобы сообщить нам, что увидели маленьких зеленых человечков в нашем коде», — заявила она в своем обращении. Вместо этого, добавила она, стоило бы заняться укреплением своей собственной ИТ-инфраструктуры. Вскоре после публикации заметка была удалена. Утащил новость с cnews.ruДелаем выводы... | |
| |
10.01.2016 - 22:28 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Forbes заставлял читателей убирать блокировщики рекламы, а потом рекламировал malware
Несколько последних недель известнейший портал Forbes.com не давал читателям знакомиться со своими материалами, если на стороне пользователя включен блокировщик рекламы. Так, если читатель с AdBlock или uBlock посещал Forbes.com, его просили убрать блокировщик. В противном случае ознакомиться с контентом портала просто не было возможности. Иную возможность найти сложно, поскольку тот же Google не кэширует данные портала корректно. » Нажмите, для открытия спойлера | Press to open the spoiler « Но проблема не в рекламе и не в блокировщиках. Как оказалось, после того, как блокировщик рекламы отключался пользователем, ему сразу же предлагалось malware под видом обычной программы. Это обнаружил специалист по информационной безопасности Брайан Баскин (Brian Baskin), который заскриншотил подобный случай. Рекламное malware существует годами, но то программное обеспечение, что работало на сайте Forbes.com — это нечто необычное. Кстати, год от года «видовое разнообразие» подобного программного обеспечения увеличивается. С 2014 по 2015 год уровень онлайн-инфицирования пользовательских ПК увеличился сразу на 325%. Есть несколько способов, которые используют злоумышленники для того, чтобы выглядеть белыми и пушистыми: Загрузка malware спустя несколько дней после одобрения рекламы; Работа с каждым 10 или 20 пользователем, кто видит рекламу; Использование SSl редиректов в цепочке malware; Запись данных пользователя. Нечто подобное случается довольно часто. Сам Forbes в этом не виноват, ведь компании подобного масштаба часто заключают договора с рекламными сетями, обеспечивая демонстрацию рекламного контента читателю. А реклама показывается такая, какая нужна рекламодателю. Есть несколько способов, которые используют злоумышленники, благодаря которым “malvertising” может быть внедрен в рекламную сеть или сайт, показывающий рекламный контент. А в 2015 году многие взломанные сайты начинали совершенствовать систему безопасности, благодаря чему определить источник или следствие атаки весьма сложно. То, что случилось с Forbes, нельзя назвать уникальным событием. Аналогичные проблемы наблюдались и у The New York Times, The Huffington Post и других издательств. Но именно Forbes попробовал отменить блокирование рекламы на своем ресурсе, даже в ущерб безопасности граджан. Кстати, сайты, которые напрямую зависят от рекламы, могут выжить даже в том случае, если 60-80% используют блокировщик. Сейчас Forbes можно считать первым сайтом, который решил попросить читателей отменить блокировку рекламы, начав распространять Malware. Скорее всего, подобные ситуации будут повторяться, и не только с Forbes, но и с другими сайтами. Кстати, по статистике, на просьбу отключить блокировщик рекламы, как правило, откликается менее 1%. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: geektimes | |
| |
25.01.2016 - 0:31 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Горячая картошка сломает вам окошки: получение системных прав на всех версиях Windows, начиная с 7-й
Специалисты по безопасности из компании Foxglove Security сумели объединить несколько уязвимостей операционных систем от Microsoft, самой старой из которых уже 15 лет. Систему из трёх уязвимостей, собранных в одну, назвали «Hot Potato». Эта система позволяет за разумное время поднять привилегии процесса с самого нижнего до системного, и получить тем самым контроль над ОС. » Нажмите, для открытия спойлера | Press to open the spoiler « Среди используемых уязвимостей — NTLM relay, атака на протокол аутентификации NT LAN Manager (конкретно HTTP->SMB relay). Другая уязвимость — «NBNS spoofing», позволяющая атакующему настроить поддельные прокси в Web Proxy Auto-Discovery Protocol. Все уязвимости работают в Windows 7, 8, 10, Server 2008 и Server 2012.Используемые уязвимости не новы. Более того, все они хорошо известны внутри компании Microsoft. Проблема лишь в том, что исправление этих уязвимостей невозможно без нарушения обратной совместимости разных версий операционных систем. Поэтому разного рода хакеры эксплуатируют их по сию пору. Исследователи взяли за основу своей системы метод 2014 года от Google Project Zero , а затем расширили и дополнили его. Новинкой является метод комбинирования известных уязвимостей между собой. Последовательное применение трёх уязвимостей может занять достаточно продолжительное время, от нескольких минут до нескольких дней, но в случае успеха атакующий может поднять привилегии процесса до системного. Поскольку многие администраторы, строя сетевую защиту, полагаются на уровень привилегий, то получивший наивысшие привилегии процесс позволит проникнуть на другие компьютеры сети, и тем самым скомпрометировать всю сеть. О своём открытии Foxglove Security рассказали на последней хакерской конференции ShmooCon, проходившей на прошлых выходных. Они не постеснялись не только детально описать технологию взлома на своей странице , но и опубликовать видеоролики с демонстрацией и даже выложить код утилиты для взлома на GitHub . »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: geekrimes | |
| |
3.02.2016 - 1:05 |
KLUCHICK
Вечная память...
[SoftoRooMTeaM]
Группа: Администраторы Сообщений: 5.668 Регистрация: 15.03.2004 Из: The Ural federal district Пользователь №: 326
Респектов: 3848
| Специалисты высмеяли режим InPrivate в браузере Microsoft Edge Режим приватного просмотра есть во всех современных браузерах: в Safari (Private Browsing), в Chrome (Incognito) и Firefox. Браузер Microsoft Edge из состава Windows 10 тоже хочет казаться современным, поэтому там тоже есть этот режим. Специалисты по компьютерной безопасности проверили как он работает и к большому удивлению обнаружили, что это пустышка. Собственно, так всегда и случается, когда за безопасность пользователей берется Microsoft. Итак, сперва о том, что такое режим приватного просмотра. Когда пользователь его включает, то браузер перестает сохранять историю просмотренных страниц. И это очень удобно. По крайней мере, при выполнении некоторых специфических задач. Во всех нормальных браузерах этот режим работает корректно, что проверили и подтвердили исследователи. И вот они взялись за проверку режима InPrivate в Edge. И сразу же едва не надорвали животы от смеха: в приватном режиме не только сохранялись адреса всех посещенных страниц, но и делалась отметка, что страница просмотрена в приватном режиме (видимо, для большего удобства при последующем сливе и анализе украденных данных). Адреса просто сохранялись в таблице Container_n, а все данные, полученные и переданные в режиме «приватности», сохранялись на диске в директории \Users\user_name\AppData\Local\Microsoft\Windows\WebCache. Таким образом, можно не только просмотреть по каким сайтам пользователь предпочитает «лазать» в режиме секретности, но и просмотреть данные, которые были переданы. Согласитесь, не очень-то тянет режим приватности. Специалисты по компьютерной безопасности рекомендуют: если вам действительно нужна приватность и безопасность, то держитесь от браузера Microsoft Edge подальше. Все браузеры способны раскрыть ваши данные, но система защиты в Edge — одна сплошная бутафория. Утащил с liberatum.ru | |
| |
4.02.2016 - 21:38 |
KLUCHICK
Вечная память...
[SoftoRooMTeaM]
Группа: Администраторы Сообщений: 5.668 Регистрация: 15.03.2004 Из: The Ural federal district Пользователь №: 326
Респектов: 3848
| Как программы для Android воруют ваши персональные данные Специалисты по компьютерной безопасности из Гарварда провели простое, но очень важное исследование: взяли 50 самых популярных программ для Android и пропустили генерируемый ими трафик через анализатор сетевых пакетов. Результаты заставили ужаснуться даже видавших виды профессионалов. Оказалось, что почти все программы (75%) извлекали ту или иную порцию персональных данных и отправляли ее третьим лицам. Было установлено, что 1 программа в среднем сливает данные трем и более коммерческим фирмам. Вероятно, торговля персональными данными и составляет основную прибыль разработчиков программ, а вовсе не показ рекламных баннеров, как предполагалось ранее. Далее были изучены категории извлекаемых личных данных. У пользователя похищались: ФИО владельца устройства; email-адреса; географические координаты пользователя; почтовый адрес пользователя (если пользователь сам указывал его в настройках); идентификационные данные устройства; и так далее. Словом, выгребалось всё, что можно только выгрести, а программная платформа Google Android предоставляла злоумышленникам удобные инструменты для этого. Но куда именно эти данные уходили? » Исследователи составили карту связей: « »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Учитывая объемы похищаемых данных и количество покупателей этих данных, специалисты составили рейтинг самых опасных приложений для Android, от которых лучше избавиться при первой возможности (если, конечно, пользователь не страдает киберэксгибиоционизмом, что тоже встречается нередко): Groupon, Pinterest, RunKeeper, Tango и Text Free. Следует отметить, что рейтинг составлен на основе 50 самых популярных приложений у англоязычных пользователей. Для россиян рейтинг будет немного другим и его возглавят такие программы, как Viber, Instagram, Skype и т.д. » ТОП 10 приложений сливающих информацию о вас « Angry Birds Brightest Flashlight Toss It Talking Tom Backgrounds HD Wallpapers Dictionary.com Mouse Trap Horoscope Shazam music Pandora Internet Radio. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Другим очень интересным открытием стал факт того, что почти все приложения устанавливают связь с одним и тем же доменом — safemovedm.com. Установить предназначение этого сайта не удалось. Канал связи из Android-приложения до этого сайта шифруется очень хитрым образом. Похоже, используется не только криптография, но и стеганография. А что же Google? Корпорация Google может легко решить проблему. Как на уровне самой операционной системы Android, так и с помощью более строгой фильтрации приложений в Google Play. Но абсолютно ничего не предпринимается. Почему? Цитата | Quote(Предоставим слово основателю WikiLeaks Джулиану Ассанжу Бизнес-модель Google — по сути, шпионаж. Компания зарабатывает около 80 процентов выручки, собирая информацию о людях, сводя ее воедино, храня и индексируя ее, создавая профили пользователей, чтобы предсказывать их интересы и поведение. Потом она продает эти профили — в основном, рекламодателям, но и другим заинтересованным сторонам тоже. Что делать?Эксперты советуют: если отказаться от шпионящих приложений нет возможности, следует периодически генерировать ложные запросы (ищите то, что вам не интересно — это замусорит базу данных ключевых слов и ударит по доходам торговцев краденными данными). Кроме этого, всегда указывайте в настройках ложные имя и фамилию, не держите постоянно включенным датчик GPS, заведите отдельный почтовый ящик для мусора и указывайте при регистрации в приложениях только его. Утащил новость с liberatum.ru | |
| |
13.02.2016 - 23:39 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Бэкдор для Skype похищает данные
Исследователи Palo Alto Networks обнаружили бэкдор, способный похищать из Skype видео, аудио, сообщения и скриншоты. По данным экспертов, зловред T9000, прилагает большие усилия, чтобы оставаться незамеченным. Он относится к семейству Plat1 и применяется в фишинговых атаках против ряда американских организаций. » Нажмите, для открытия спойлера | Press to open the spoiler « Для запуска процедуры установки T9000 пользователю нужно открыть вредоносный файл .rtf, полученный в фишинговом сообщении. Многоступенчатый процесс инсталляции позволяет зловреду избежать детектирования. Сначала T9000 тщательно выявляет, установлена ли в системе одна из 24 программ обеспечения безопасности (Sophos, INCAInternet, DoctorWeb, Baidu, Comodo, TrustPortAntivirus, GData, AVG, BitDefender, VirusChaser, McAfee, Panda, Trend Micro, Kingsoft, Norton, Micropoint, Filseclab, AhnLab, JiangMin, Tencent, Avira, Kaspersky, Rising и 360), и уже после адаптирует процесс загрузки таким образом, чтобы обойти защиту. На второй стадии загружается вредоносная DLL-библиотека, при этом бэкдор снова проверяет, какой из антивирусов может представлять для него угрозу. В зависимости от результатов проверки зловред применяет один из трех возможных сценариев для начала третьей фазы. Сам вредоносный компонент загружается не раньше четвертой фазы, но даже тогда T9000 способен незаметно исчезнуть, не оставляя следов, если выявит в системе запущенные процессы антивирусных программ. Если же установка увенчалась успехом, имя пользователя и версия ОС отправляются на удаленный сервер, с которого, в свою очередь, загружаются модули, позволяющие злоумышленникам похищать данные. Первый из них делает скриншоты экрана каждые 20 секунд и собирает информацию из Skype. Если Skype запущен, злоумышленник обманом заставляет жертву предоставить разрешение на доступ к Skype исполняемому файлу explorer.exe, иначе атака не сработает. В случае успеха атакующий получает возможность записи аудио- и видеозвонков и сбора текстовых сообщений. Но этим T9000 не ограничивается: он крадет документы формата .doc, .ppt, .xls, .docx, .pptx, .xlsx, в том числе со съемных дисков. За это отвечает другой плагин — FlaskDiskThief. Третий плагин нужен для ведения журнала изменений файлов: вредоносный компонент отслеживает, когда файл был создан, копирован, перемещен или удален. По мнению исследователей, атакующим нужны эти данные, чтобы изучить поведение жертвы, что в конечном итоге может дать им полезные сведения для «углубления» атаки. В Palo Alto уже опубликовали список индикаторов атаки и надеются, что в ближайшее время появится способ противостоять зловреду, а пока советуют пользователям быть особо внимательными, так как ключевым элементом атаки является согласие пользователя дать соответствующие разрешения вредоносному приложению. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: habrahabr | |
| |
17.02.2016 - 22:04 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| ЦБ: банки начали инсценировать хакерские атаки для незаконного вывода средств
По мнению ЦБ банки, работающие в России, стали инсценировать хакерские атаки, чтобы скрыть следы собственных незаконных действий, пишут «Ведомости». Об этом заявил первый зампред ЦБ Георгий Лунтовский на VIII Уральском форуме по информационной безопасности финансовой сферы. Он также сообщил, что это пока только подозрения ЦБ, полная доказательная база еще не собрана. «У нас есть предположение, что кредитные организации используют этот механизм для того, чтобы не только скрыть предыдущие преступления или ошибки, но и с целью вывода денег из банка. Это нас очень беспокоит», — сказал Лунтовский. » Нажмите, для открытия спойлера | Press to open the spoiler « Также он подчеркнул, что и реальные, а не симулированные атаки очень плохо сказываются на репутации банков. Получается, что банки уделяют недостаточно внимания информационной безопасности, что приводит к значительным финансовым потерям, и отрицательно сказывается на устойчивости банков. За IV квартал 2015 года, по словам первого зампреда ЦБ, лицензии лишились три банка, которые до этого подвергались компьютерным атакам. По мнению Банка России основной причиной появления рисков компьютерных атак является отсутствие процедур контроля соответствия автоматизированных систем и приложений требованиям IT-безопасности, сюда же входит и низкая эффективность банков по внедрению и использованию инструкций ЦБ в области обеспечения информационной безопасности и стандартизации. Только в четвертом квартале 2015 года со счетов клиентов в различных банковских организациях при помощи кибератак было похищено около 1,5 млрд рублей. С начала этого года совместные усилия ЦБ, МВД и банковского сообщества позволили предотвратить хищения на сумму около 500 млн рублей, пишет РБК. «С августа прошлого года мы наблюдаем значительную активизацию криминалитета именно в этой области. Естественно, нас тревожит эта ситуация», — сказал Лунтовский. Основные типы нарушений — это атаки на информационные ресурсы банков для вывода финансовых активов плюс атаки на IT-инфраструктуру некредитных финансовых организаций. Основной инструмент таких атак — неплатежные торговые инструменты, включая торговые терминалы и процессинговые центры. «Статистика Банка России показывает, что невнимательное отношение менеджмента кредитных организаций к вопросу обеспечения информационной безопасности приводит, как правило, к значимым финансовым потерям и свидетельствует о незрелости подхода к управлению рисками. Таким образом, невнимание к вопросам обеспечения информационной безопасности является дополнительным фактором негативного влияния на устойчивость кредитных организаций», — сказал Лунтовский. Несмотря на все озвученные выше проблемы, у ЦБ в настоящее время нет полномочий обязать банки более ответственно относиться к проблеме информационной безопасности. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: geektimes | |
| |
18.02.2016 - 21:30 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Новый криптовымогатель «Locky»
Исследователями в области информационной безопасности был обнаружен новый тип ransomwave — вредоносной программы, шифрующей пользовательские файлы и требующей выкуп в bitcoin. Новый криптовымогатель, который сами создатели назвали «locky», распространяется не совсем стандартным для подобного ПО способом — при помощи макроса в Word-документах. По словам специалиста по информационной безопасности Лоуренса Абрамса, криптовымогатель маскируется под выставленный пользователю счет и приходит жертве по почте: » Нажмите, для открытия спойлера | Press to open the spoiler « Прикрепленный файл имеет имя вида invoice_J-17105013.doc, а при его открытии пользователь увидит только фарш из символов и сообщение о том, что «если текст не читабелен, включите макросы». При включении макросов начинается загрузка исполняемого файла зловреда с удаленного сервера и его установка на компьютер жертвы. Изначально загруженный файл, из которого и производится дальнейшая установка Locky, хранится в папке %Temp%, однако, после старта шифрования пользовательских данных он удаляется. В начале своей работы Locky присваивает жертве уникальный шестнадцатеричный номер и после начинает сканировать все локальные диски, а также скрытые и сетевые папки. Для шифрования пользовательских данных зловред использует AES-шифрование. Под удар подпадают файлы следующих расширений (и только они): .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat Locky игнорирует файлы, путь в которых содержит следующие элементы: Цитата | Quote tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows При шифровании данных зловред переименовывает файлы по принципу [unique_id] [идентификатор] .locky. В итоге файл test.jpg был переименован в нечто вида F67091F1D24A922B1A7FC27E19A9D9BC.locky. Отдельно следует заметить, что Locky шифрует и сетевые диски, поэтому всем системным администраторам следует обратить внимание на политики доступа и максимально ограничить возможности пользователей. Но и это не все. Locky также удаляет все теневые копии файлов, чтобы пользователь не мог восстановить даже то, с чем он недавно работал. Реализовано это следующей командой: Цитата | Quote vssadmin.exe Delete Shadows /All /Quiet После того, как все, до чего смог дотянуться зловред, зашифровано, он создает на рабочем столе и в каждой папке файл _Locky_recover_instructions.txt, в котором объясняется, жертвой чего стал пользователь, а также инструкции по выкупу своих данных. Чтобы пользователь на забывал, что с ним произошло, Locky любезно меняет даже обои рабочего стола на изображение с текстом, дублирующим содержание _Locky_recover_instructions.txt: В файле _Locky_recover_instructions.txt содержится ссылка на сайт в Tor-сети (6dtxgqam4crv6rr6.onion) под названием Locky Decrypter Page. Там даются четкие указания, как, сколько и куда биткоинов купить и перевести. После оплаты «услуг» пользователю предоставляется ссылка на дешифровщик, который восстановит все данные. Другой специалист в области информационной безопасности, Кевин Беумонт так же провел исследование Locky. По его данным, зловред уже получил серьезное распространение и это может быть началом «эпидемии»: Для наглядности Кевин визуализировал сетевую активность Locky (каждая точка — зараженная машина) Вчера, по данным Кевина, Locky заражал до 18 000 компьютеров в час, а уже сегодня эта цифра может быть значительно больше. Еще печальнее то, что пока Locky детектится всего 5 антивирусами из 54 протестированных. Как говорится, лучшая контрацепция — это воздержание, поэтому пока лучшим способом уберечь себя от Locky является удаление или игнорирование писем от неизвестных адресатов и запрет на выполнение макросов в MS Office. »» Нажмите, для закрытия спойлера | Press to close the spoiler «« Источник: habrahabr | |
| |
21.02.2016 - 18:33 |
HugoBo-SS
тут-та-ту
[SoftoRooMTeaM]
Группа: Модераторы Сообщений: 10.906 Регистрация: 3.04.2008 Из: Russia SPb Пользователь №: 827.869
Респектов: 4350
| Дистрибутивы Linux Mint оказались скомпрометированы
Разработчики одного из известных дистрибутивов Linux под названием Mint сообщили в блоге, что их сервер был скомпрометирован, а ISO-дистрибутивы ОС подверглись модификации (backdoored). Указывается, что стоит обратить внимание на скачанные с сервера загрузки дистрибутивы 20 февраля. По данным разработчиков, скомпрометированным оказался дистрибутив версии Linux Mint 17.3 Cinnamon. Вредоносные дистрибутивы были размещены по IP-адресу 5.104.175.212, а сам бэкдор обращается по URL-адресу absentvodka.com. Ниже указаны инструкции проверки скачанного дистрибутива. Для проверки загруженного дистрибутива следует сравнить его сумму MD5 c соответствующим значением легитимного дистрибутива. 6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso 30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso 3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso На вредоносный вариант дистрибутива также указывает присутствие файла /var/lib/man.cy в установленной ОС. В случае установленной вредоносной версии, следует отключить компьютер от сети, сделать резервное копирование необходимых данных, и переустановить ОС. После этого рекомендуется изменить учетные данные своих сервисов. Источник: habrahabr | |
| |
|
|