Новости информационной безопасности

Обновление Avast мешает запуску программ в Windows 10 15.06.20 Издание Bleeping Computer предупредило, что исправление бага в приложениях AVG и Avast повлекло за собой изменения в реестре, из-за которых в Windows 10 перестали запускаться некоторые приложения. Жалобы от пользователей начали поступать еще на прошлой неделе, когда люди обнаружили, что не могут запустить Microsoft Office и другие приложения (1, 2, 3, 4, 5). При попытке запуска ОС показывала сообщение о том, что не может найти необходимый файл, как в примере ниже. Как выяснилось, проблема была связана не с накопительным обновлением для Windows 10, но с обновлением для продуктов Avast и AVG. Так, один из компонентов защитных решений AVG или Avast вызывает создание в...

Новый Java-шифровальщик атакует Windows и Linux в целевых кибероперациях 5.06.20 Новый образец шифровальщика способен атаковать как Windows, так и Linux. Киберпреступники используют эту вредоносную программу в целевых атаках приблизительно с декабря 2019 года. Исследователи в области кибербезопасности назвали вымогатель Tycoon (из-за строчки в коде). Согласно наблюдениям, операторы Tycoon крайне тщательно подходят к выбору цели. При этом в ходе атак используется довольно необычный способ развёртывания вредоноса, который помогает злоумышленникам оставаться незамеченными внутри скомпрометированной сети. Основные цели вымогателя Tycoon — разработчики софта и организации из сферы образования. Подробно деятельность вредоноса описали...

Про удаленку, незащищенный RDP и рост числа серверов, доступных из интернета Из-за спешного массового перехода компаний на удаленную работу стремительно растет число корпоративных серверов, доступных для злоумышленников из интернета. Одна из главных причин – применение незащищенного протокола удаленного доступа RDP (Remote Desktop Protocol). По нашим данным, всего за одну неделю только в России количество устройств, доступных из интернета по протоколу RDP, выросло на 15%. На сегодня самый популярный способ организовать удаленную работу – удаленное подключение к рабочему месту, поскольку ПО для подключения к удаленному рабочему столу входит в состав любой современной версии Windows, а процесс такой работы для сотрудника ничем не...

В продаже обнаружены исходные коды трёх антивирусов 13.05.19 Специалисты компании Advanced Intelligence (AdvIntel) сообщили, что русскоязычная группировка Fxmsp продает исходные коды как минимум трех неназванных антивирусных продуктов, оценивая их в 300 000 долларов. Fxmsp – известная ИБ-эксертам группа, существующая как минимум с 2017 года. Хакеры специализируются на проникновении в защищенные сети и получении доступа к сетям крупных компаний и правительственных учреждений по всему миру. Похищенные таким образом данные Fxmsp перепродают на черном рынке за внушительные суммы. По данным исследователей, эта деятельность уже принесла группе не менее миллиона долларов. Схема работы Fxmsp По данным AdvIntel, в апреле 2019 года...

Microsoft едва успел захлопнуть «дыру», позволявшую полностью захватить Windows 19.04.2019 Ошибка в обработке жестких ссылок Windows позволила исследователю захватить полный контроль над файлом hosts из-под аккаунта обычного пользователя, не имеющего административных разрешений в системе. Экспериментальный эксплойт уже выпущен. Жестко по ссылкам Очередной кумулятивный патч для продуктов Microsoft исправил более 70 различных уязвимостей, однако к одной из самых серьезных немедленно появился экспериментальный эксплойт. Речь идет о баге CVE-2019-0841, допускающем повышение привилегий в Windows 10, Windows Server 2019 и Server Core. Эксперт по безопасности компании Dimension Data Набил Ахмед(Nabeel Ahmed), один из тех, кто обнаружил...

Госдума приняла закон об изоляции Рунета 16.04.2019 Сегодня, 16 апреля 2019 года, Государственной Думой был принят закон об «обеспечении безопасного и устойчивого функционирования» Интернета на территории России. СМИ уже окрестили его законом об «изоляции Рунета». Его приняли в третьем и последнем чтении, следующим этапом станет передача документа в Совет Федерации, а затем — на подпись президенту. pixabay.com В случае прохождения этих этапов закон вступит в силу с 1 ноября 2019 года, а некоторые его положения — о криптографической защите информации и о национальной системе DNS — с 1 января 2021 года. Как сообщается в пояснительной записке, законопроект был «подготовлен с учётом агрессивного характера принятой в сентябре 2018 года...

Большинство антивирусов для Android практически бесполезны Исследователи из AV-Comparatives изучили 250 популярных защитных приложений из официального каталога Google Play и пришли к неутешительным выводам: почти две трети антивирусов для Android не выполняют заявленных в их рекламе функций. Хуже того, порой такие приложения называют малварью сами себя, не «видят» настоящих угроз и, по сути, не делают ничего полезного вовсе. Тестирование проводилось весьма простым способом: эксперты устанавливали антивирусы на отдельные устройства, на которых автоматически открывался браузер и загружались вредоносные приложения. С каждым приложением такое проделали 2000 раз, использовав 2000 различных образов «популярной» малвари, обнаруженных в...

Google Safe Browsing — пришла беда откуда не ждали Google Safe Browsing внезапно нашел вирус на моем сайте. [WNC-611600] Malicious or unwanted software detected on site… (Которого не было — как выяснилось позже). Посетители сайта видят полноэкранное, красное окно с текстом, что сайт содержит вредоносные программы и авторы сайта пытаются обманом установить эти программы на ваш компьютер, чтобы поменять домашнюю страницу или показывать дополнительную рекламу на сайтах (все это является форменной клеветой). И пользователи уходят, бегом бегут с сайта, так как верят всему, что на красном экране написано. И я их не осуждаю. Любой на их месте поступил бы также. False Positive! Ошибка антивируса! Это бывает. Сейчас напишем в Google, там...

WinRAR — один из самых скачиваемых архиваторов в истории, известный миллионам пользователей по всему миру. Но популярность софта нередко делает его мишенью для хакеров: как оказалось, под угрозой взлома оказались сотни миллионов обладателей копии знаменитого приложения. Эксперты компании Checkpoint Research, работающей в сфере IT-безопасности, опубликовали отчёт о найденной уязвимости в коде архиватора WinRAR. По словам аналитиков, обнаруженный эксплойт позволяет злоумышленникам помещать вредоносный файл из состава архива формата ACE непосредственно в папку автозагрузки Windows, обходя при этом необходимость запуска приложения с повышенными привилегиями. «Слабым звеном» приложения оказалась библиотека UNACEV2.dll, не получавшая...

Массовый взлом ВКонтакте [XSS-червь] В функционале социальной сети Вконтакте обнаружен и успешно эксплуатировался опасный баг — хранимая XSS с функционалом сетевого червя. В данный момент уязвимость устранена. Сообщества и пользователи ВКонтакте» вечером 14 февраля начали публиковать одну и ту же запись. В записи говорится о том, в личных сообщениях в соцсети появилась реклама. За сутки до взлома в сообществе «Багосы» было обсуждение уязвимости, тем не менее соц сеть оказалась не готова к атаке. После начала атаки сообщество было заблокировано, но тут же появилось несколько клонов. При получении вредоносного кода он тут же транслируется во все личные диалоги и сообщества атакуемого, увеличивая пандемию. Используемый javascript...

Windows получит «песочницу» для запуска подозрительного ПО Компания Microsoft решила повысить безопасность Windows 10. Для этого будет создана специальная виртуальная среда под названием Windows SandBox. Об этом американский гигант сообщил посредством своего официального блога. Утверждается, что «песочница» станет изолированной средой, в которой пользователи операционной системы смогут запускать ненадежное и подозрительное программное обеспечения без опаски нанести вред всей ОС. SandBox будет создавать виртуальную машину. Она получит ограниченную функциональность. Так, пользователи будут видеть рабочий стол, из которого смогут исключительно запускать программы и открывать документы. К сожалению, всеми прелестями Windows SandBox...

Каждый шестой интернет-пользователь в России сталкивался с попыткой взлома онлайн-аккаунта, сообщили CNews в «Лаборатории Касперского». Такие данные были получены в ходе исследования, проведенного компанией B2B International по запросу «Лаборатории Касперского» в августе 2016 г. В опросе приняли участие 12546 интернет-пользователей в 21 стране мира. В России были опрошены 1023 человека. Далеко не все считают необходимым защищать свои аккаунты с помощью надежных и сильных паролей. Так, лишь треть (35%) пользователей создают новую комбинацию для каждого отдельного аккаунта, большинство же предпочитает оперировать ограниченным набором паролей, используя таким образом одно и то же для доступа сразу к нескольким учетным записям. Что еще...

1 марта 2017 года пользователь, о котором не известно ничего, кроме ника gektar, опубликовал на форуме сайта BleepingComputer мастер-ключи для всех версий шифровальщика Dharma, основанного на коде другого вымогателя — Crysis. Замечу, что форум сайта BleepingComputer – известное место сбора пользователей, пострадавших от атак шифровальщиков. Независимые эксперты и сотрудники крупных ИБ-компаний, которые тоже присутствуют на форуме, по мере сил стараются помочь пострадавшим с расшифровкой данных, а также используют BleepingComputer для мониторинга последних тенденций среди вымогательского ПО. Gektar обнародовал на форуме ссылку на Pastebin, якобы содержащую мастер-ключи, и это не первый случай подобного рода. В конце 2016 года...

Обновление Malwarebytes' Anti-Malware Malwarebytes' Anti-Malware обновилась до версии 1.5, в новой версии: В 5 раз увеличена скорость сканирования Повышена стабильность сканера и модуля защиты (только в платной версии) В 3 раза уменьшено время запуска программы Снижено потребление ресурсов модулем защиты (только в платной версии) Возможность добавлять вручную файлы и папки в черный список Возможности планирования сканирования и обновления из командной строки (только в платной версии) Дополнительные детали (тип соединения, порт) в уведомлении о заблокированных вэб-сайтах (только Windows Vista и выше и в платной версии) Возможность исключить из сканирования модулем защиты потенциально нежелательные программы, потенциально...

Операторы шифровальщика Locky слишком долго отмечают Новый год В последние три недели эксперты фиксируют резкое снижение атак с использованием Locky. В 2016 году вымогательское ПО Locky, шифрующее файлы на компьютерах жертв и требующее выкуп за их восстановление, стало одной из наиболее эффективных и серьезных угроз в интернете. Тем не менее, сейчас его операторы, похоже, ушли на зимние каникулы. По данным исследователя из Cisco Talos Джейсона Шульца (Jaeson Schultz), в последние три недели (как раз в период зимних праздников) активность вредоноса существенно снизилась. Это не первый раз, когда распространители Locky берут отпуск. В конце октября прошлого года, на Хэллоуин, киберпреступники прекратили свою деятельность на две...

Первыми появление вымогателя Spora заметили пользователи форумов Bleeping Computer и «Лаборатории Касперского». Опираясь на жалобы пользователей, исследователи Emsisoft, MalwareHunterTeam и журналисты Bleeping Computer изучили малварь и пришли к выводу, что шифровальщик весьма необычен. В настоящее время Spora распространяется посредством почтового спама: вредоносные письма содержат вложенные архивы ZIP, внутри которых находятся файлы HTA (HTML Application). Причем HTA используется в качестве добавочного расширения, то есть расширения файлов выглядят как PDF.HTA или DOC.HTA. Так как на компьютерах большинства пользователей отображение расширений отключено, потенциальные жертвы увидят только первую часть, решив, что перед ними обычный...

(c) При публичном цитировании или перепубликации информации текста из этой темы на иных ресурсах ссылка на автора SNS-amigo или эту тему обязательна. Криптовымогательская неделя (7-14 мая) Прошедшая неделя была "плодовитой" на новые криптовымогатели. О некоторых из них я оперативно рассказал выше, но информация о других не публиковалась. Из языконезависимого или англоязычного криптовымогательство становится локально организованным и ориентированным на пользователей, говорящих на других распространенных языках мира: китайском, испанском, португальском, русском, немецком и пр. пр. Итак, по порядку появления на этой неделе. 9 мая Появилась информация о CryptXXX 2.0 Ransomware, выпущенного создателями вредоносного ПО взамен первой...

«Доктор Веб» сообщает о первом троянце для 1С, запускающем шифровальщика-вымогателя 22 июня 2016 года Троянец 1C.Drop.1, исследованный специалистами компании «Доктор Веб», самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного троянца-шифровальщика. Вредоносные программы, при создании которых вирусописатели использовали какую-либо новую технологию или редкий язык программирования, появляются нечасто, и это – тот самый случай. Можно смело сказать, что 1C.Drop.1 — это первый попавший в вирусную лабораторию компании «Доктор Веб» троянец, фактически написанный на русском языке, вернее, на встроенном...

PadCrypt является первым образцом вымогательского ПО, оснащенным чатом и деинсталлятором. Швейцарский исследователь безопасности, ведущий блог abuse.ch, обнаружил новый образец вымогательского ПО PadCrypt. Особенность шифровальщика – наличие чата, позволяющего жертве в режиме реального времени связаться с вымогателями и обсудить условия выплаты выкупа. Помимо «живого чата», требующего подключения к C&C-серверу, PadCrypt также оснащен совершенно бесполезным деинсталлятором. «Недавно нам попались образцы вредоносного ПО, позволяющие активировать и деактивировать автозапуск, но с вымогателем, предлагающим еще и деинсталлятор, мы сталкиваемся впервые», - сообщил ИБ-эксперт компании Bleeping Computer Лоуренс Абрамс (Lawrence Abrams)...

В последнее время авторов вымогательского ПО и шифровальщиков то и дело постигают неудачи. То вирусные аналитики за пару дней разгадают алгоритм шифрования и выпустят инструмент для расшифровки файлов. То сами создатели малвари допустят ошибку, и в итоге их детище работает не совсем так, как было запланировано. Специалисты Trend Micro обнаружили новый яркий пример, относящийся ко второй категории фэйлов. Авторы вымогателя RANSOM_CRYPTEAR.B не только взяли за основу чужой код, но и умудрились его испортить. В августе 2015 года турецкая команда исследователей Otku Sen опубликовала на GitHub исходный код вымогательской малвари Hidden Tear, созданной исключительно в образовательных и научных целях. Авторы Hidden Tear рассказали в своем...