Новости информационной безопасности

Операторы шифровальщика Locky слишком долго отмечают Новый год В последние три недели эксперты фиксируют резкое снижение атак с использованием Locky. В 2016 году вымогательское ПО Locky, шифрующее файлы на компьютерах жертв и требующее выкуп за их восстановление, стало одной из наиболее эффективных и серьезных угроз в интернете. Тем не менее, сейчас его операторы, похоже, ушли на зимние каникулы. По данным исследователя из Cisco Talos Джейсона Шульца (Jaeson Schultz), в последние три недели (как раз в период зимних праздников) активность вредоноса существенно снизилась. Это не первый раз, когда распространители Locky берут отпуск. В конце октября прошлого года, на Хэллоуин, киберпреступники прекратили свою деятельность на две...

Первыми появление вымогателя Spora заметили пользователи форумов Bleeping Computer и «Лаборатории Касперского». Опираясь на жалобы пользователей, исследователи Emsisoft, MalwareHunterTeam и журналисты Bleeping Computer изучили малварь и пришли к выводу, что шифровальщик весьма необычен. В настоящее время Spora распространяется посредством почтового спама: вредоносные письма содержат вложенные архивы ZIP, внутри которых находятся файлы HTA (HTML Application). Причем HTA используется в качестве добавочного расширения, то есть расширения файлов выглядят как PDF.HTA или DOC.HTA. Так как на компьютерах большинства пользователей отображение расширений отключено, потенциальные жертвы увидят только первую часть, решив, что перед ними обычный...

(c) При публичном цитировании или перепубликации информации текста из этой темы на иных ресурсах ссылка на автора SNS-amigo или эту тему обязательна. Криптовымогательская неделя (7-14 мая) Прошедшая неделя была "плодовитой" на новые криптовымогатели. О некоторых из них я оперативно рассказал выше, но информация о других не публиковалась. Из языконезависимого или англоязычного криптовымогательство становится локально организованным и ориентированным на пользователей, говорящих на других распространенных языках мира: китайском, испанском, португальском, русском, немецком и пр. пр. Итак, по порядку появления на этой неделе. 9 мая Появилась информация о CryptXXX 2.0 Ransomware, выпущенного создателями вредоносного ПО взамен первой...

«Доктор Веб» сообщает о первом троянце для 1С, запускающем шифровальщика-вымогателя 22 июня 2016 года Троянец 1C.Drop.1, исследованный специалистами компании «Доктор Веб», самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного троянца-шифровальщика. Вредоносные программы, при создании которых вирусописатели использовали какую-либо новую технологию или редкий язык программирования, появляются нечасто, и это – тот самый случай. Можно смело сказать, что 1C.Drop.1 — это первый попавший в вирусную лабораторию компании «Доктор Веб» троянец, фактически написанный на русском языке, вернее, на встроенном...

PadCrypt является первым образцом вымогательского ПО, оснащенным чатом и деинсталлятором. Швейцарский исследователь безопасности, ведущий блог abuse.ch, обнаружил новый образец вымогательского ПО PadCrypt. Особенность шифровальщика – наличие чата, позволяющего жертве в режиме реального времени связаться с вымогателями и обсудить условия выплаты выкупа. Помимо «живого чата», требующего подключения к C&C-серверу, PadCrypt также оснащен совершенно бесполезным деинсталлятором. «Недавно нам попались образцы вредоносного ПО, позволяющие активировать и деактивировать автозапуск, но с вымогателем, предлагающим еще и деинсталлятор, мы сталкиваемся впервые», - сообщил ИБ-эксперт компании Bleeping Computer Лоуренс Абрамс (Lawrence Abrams)...

В последнее время авторов вымогательского ПО и шифровальщиков то и дело постигают неудачи. То вирусные аналитики за пару дней разгадают алгоритм шифрования и выпустят инструмент для расшифровки файлов. То сами создатели малвари допустят ошибку, и в итоге их детище работает не совсем так, как было запланировано. Специалисты Trend Micro обнаружили новый яркий пример, относящийся ко второй категории фэйлов. Авторы вымогателя RANSOM_CRYPTEAR.B не только взяли за основу чужой код, но и умудрились его испортить. В августе 2015 года турецкая команда исследователей Otku Sen опубликовала на GitHub исходный код вымогательской малвари Hidden Tear, созданной исключительно в образовательных и научных целях. Авторы Hidden Tear рассказали в своем...

«Медуза» продолжает серию совместных материалов с Тинькофф Банком. В этот раз мы публикуем текст из Тинькофф журнала о скимминге: о том, как мошенники прикрепляют разные устройства к банкоматам, считывают ваш пин-код, а потом снимают с карты все, что можно унести. Это неприятно и опасно, но со скиммингом можно бороться. Бывает так: вы оказались в незнакомом месте без денег. Видите в переулке банкомат. Снимаете наличные. Спустя несколько недель приходит СМС: некто в Кейптауне тоже снимает деньги с вашей карты. Вы звоните в банк, блокируете карту, но деньги уже сняты. Вернут их или нет — зависит от банка. Придется разбираться и тратить время. Возможно, придется звонить в полицию Кейптауна. Это называется скимминг: мошенники крадут...

Защита личных данных — одна из самых важных проблем в интернете. Потерять доступ к своему аккаунту, будь то почта или социальная сеть, сродни катастрофе — как прийти домой и обнаружить, что ключ не подходит к замку. Неслучайно в интернете множество советов, как защитить свой аккаунтот взлома, и, пожалуй, самый популярный из них — использовать сложные пароли и регулярно их менять. Это, конечно, неплохо, но постоянно запоминать новые сложные пароли бывает довольно утомительно. Специально для тех, кто беспокоится о безопасности своего аккаунта, Яндексзапустил бета-версию двухфакторной аутентификации. С ней ключ от вашего аккаунта будет только в ваших руках. Точнее, в вашем смартфоне. При авторизации на Яндексе — или на любом другом...

Глядя на современную статистику распространения вредоносных программ, можно смело сказать, что троянцы-шифровальщики семейства Trojan.Encoder занимают в ней весьма высокие позиции. Компания «Доктор Веб» сегодня предупредила пользователей о массовом распространении двух новых модификаций этих троянцев – Trojan.Encoder.205 и Trojan.Encoder.215. Опасны они тем, что вымогают у пользователей тысячи долларов за расшифровку файлов. Троянцы-шифровальщики за последние годы стали весьма распространенной категорией угроз. Во многом благодаря выгодной для злоумышленников модели монетизации, аналогичной той, что использовалась при массовом распространении Trojan.Winlock. Вредоносные программы семейства Trojan.Encoder отыскивают на дисках...

Эксперты SophosLabs исследовали «новый трюк» мошенников, вымогающих деньги за расшифровку информации. Как сообщают исследователи из SophosLabs, недавно им удалось обнаружить вредоносное приложение, блокирующее работу компьютера и вымогающее деньги за возвращение доступа к операционной системе. «Один из наших клиентов предоставил образец вируса-вымогателя, который сразу же нас заинтересовал, поскольку он использует Windows PowerShell для шифрования файлов», - сообщают эксперты. Отметим, что Windows PowerShell – это язык сценариев, разработанный компанией Microsoft и предназначенный для использования системными администраторами в целях автоматизации определенных задач. Это программное обеспечение предустановлено в ОС начиная с Windows...

На днях в антивирусную лабораторию попал очень интересный сампл — даунлоадер, содержащий в себе два драйвера, и скачивающий фальшивый антивирус, как под платформу PC, так и под MacOS. Этот зловред загружается и устанавливается на машину пользователя при помощи эксплойт-пака “BlackHole Exploit Kit”. Последний, в свою очередь, содержит эксплойты, использующие уязвимости в JRE (CVE-2010-0886, CVE-2010-4452, CVE-2010-3552) и PDF. Оба драйвера — типичные руткиты с богатым функционалом. Один из них — 32-битный, а второй — 64-битный. Особенность последнего состоит в том, что он подписан т.н. тестовой цифровой подписью. Если Windows, семейства Vista и выше, была загружена с ключом ‘TESTSIGNING’, то приложения смогут загружать драйвера...

При диагностике проблем, связанных с полномочиями, порой обнаруживается, что причиной неполадок является вложенная глобальная группа безопасности. Вложение групп может служить источником многих неприятностей при работе с запрещающими правами. А если эти права определяются с помощью групповой политики, отследить причину возникновения проблемы бывает весьма затруднительно. В таком случае нужны ли вообще вложенные глобальные группы безопасности в Active Directory? Диагностика, связанная с членством в группах, в большинстве предназначенных для этого инструментов построена довольно сложно. Многие утилиты позволяют выяснить, какие права действуют для той или иной учетной записи, однако далеко не всегда эти права действительно реализуются —...