Создана новая программа вакцины от программ-вымогателей, которая завершает процессы, пытающиеся удалить теневые копии тома с помощью программы Microsoft vssadmin.exe,
Каждый день Windows будет создавать резервные копии вашей системы и файлов данных и сохранять их в моментальных снимках теневого копирования томов .
Затем эти снимки можно использовать для восстановления файлов, если они были по ошибке изменены или удалены.
Поскольку заражение программами-вымогателями не хочет, чтобы жертвы использовали эту функцию для бесплатного восстановления файлов , первое, что они делают при запуске, - это удаляют все копии теневых томов на компьютере.
Один из способов удаления теневых томов - использовать следующую команду vssadmin.exe:
vssadmin...
Спустя больше года с момента прошлого выпуска представлен релиз сканера сетевой безопасности Nmap 7.90, предназначенного для проведения аудита сети и выявления активных сетевых сервисов. В состав включено 3 новых NSE-скрипта для обеспечения автоматизации различных действий с Nmap. Добавлено более 1200 новых сигнатур для определения сетевых приложений и операционных систем.
Среди изменений в Nmap 7.90:
Проект перешёл с использования модифицированной лицензии GPLv2 на лицензию Nmap Public Source License, которая принципиально не изменилась и также основана на GPLv2, но лучше структурирована и снабжена более ясными формулировками. Отличия от GPLv2 сводятся к добавлению нескольких исключений и условий, таких как возможность использования...
Ежегодно проводимое компанией Digital Ocean мероприятие Hacktoberfest невольно привело к значительной спам-атаке, из-за которой различные проекты, ведущие разработку на GitHub, столкнулись с волной мелких или бесполезных pull-запросов. Изменения в подобных запросах сводились, как правило, к замене отдельных символов в файлах Readme или добавлению фиктивных примечаний.
Причиной спам-атаки стала публикация в YouTube-блоге CodeWithHarry, имеющем около 700 тысяч подписчиков, демонстрации как можно с минимальными усилиями получить футболку от Digital Ocean, отправив любому открытому проекту на GitHub pull-запрос с мелкой правкой. В ответ на обвинения в организации атаки на сообщество автор YouTube-канала пояснил, что опубликовал видео для...
Компания Google представила инициативу Android Partner Vulnerability, в рамках которой планируется раскрывать данные об уязвимостях в Android-устройствах различных OEM-производителей. Инициатива сделает более прозрачным доведение до пользователей сведений об уязвимостях, специфичных для прошивок с модификациями от сторонних производителей.
До сих пор в официальных отчётах об уязвимостях (Android Security Bulletins) отражались только проблемы в основном коде, предложенном в репозитории AOSP, но не учитывались проблемы, специфичные для модификаций от OEM-производителей. Уже раскрытые проблемы затрагивают таких производителей, как ZTE, Meizu, Vivo, OPPO, Digitime, Transsion и Huawei.
Среди выявленных проблем:
В устройствах Digitime...
Microsoft выпустила новый инструмент, предназначенный для исправления установочных образов Windows 10 и Windows Server последними обновлениями Microsoft Defender, чтобы минимизировать пробелы в защите, с которыми сталкиваются системы, пока не будут обновлены определения защиты от вредоносных программ.
Сценарий обслуживания обновлений Защитника на основе PowerShell для образов установки Windows можно использовать для обновления вручную образов WIM или VHD Windows с входными пакетами обновления Защитника, а также для удаления обновления или отображения сведений о исправленных пакетах Защитника.
Поддержка образов Windows 10 и Windows Server
Пакеты Microsoft Defender, применяемые с помощью этого инструмента, включают ежемесячные...
Теперь исследователи могут найти разработчика определенного эксплойта для Windows, используя новую технику «снятия отпечатков пальцев», специально разработанную для отслеживания активности разработчиков эксплойтов.
Более того, исследователи безопасности Check Point Итай Коэн и Эяль Иткин смогли отследить 16 эксплойтов повышения локальных привилегий (LPE) ядра Windows для двух различных разработчиков эксплойтов, известных как Volodya (или BuggiCorp) и PlayBit (или luxor2008).
15 эксплойтов, успешно сопоставленных Check Point с известным разработчиком эксплойтов, были созданы в период с 2015 по 2019 год, потенциально составляя заметную долю на общем рынке эксплойтов Windows LPE в то время.
Поиск уникальных артефактов
Их метод включает...
Сервис Have I Been Emotet позволяет узнавать, используются ли те или иные домены и адреса в спам-кампаниях Emotet.
Итальянская ИБ-компания TG Soft запустила новый сервис Have I Been Emotet , позволяющий отдельным пользователям и целым организациям узнавать, используются ли их домены или адреса электронной почты в спам-кампаниях Emotet.
Emotet – вредоносное ПО, распространяющееся через спам-письма с вредоносными документами Word и Excel. После открытия документов и активации макросов на компьютер жертвы устанавливается троян Emotet. Вредонос похищает электронные письма жертв и отправляет их на подконтрольный злоумышленникам сервер. Эти письма затем используются в кампаниях по рассылке спама с целью сделать поддельные сообщения более...
NVIDIA выпустила обновления безопасности для устранения уязвимостей высокой степени серьезности в драйвере дисплея графического процессора Windows, которые могут привести к выполнению кода, повышению привилегий, раскрытию информации и отказу в обслуживании.
Все ошибки драйвера дисплея графического процессора, исправленные NVIDIA в этом месяце, требуют доступа локального пользователя, а это означает, что злоумышленникам необходимо сначала закрепиться в системах, чтобы воспользоваться этими уязвимостями.
Как только это будет достигнуто, они могут использовать их, удаленно установив вредоносные инструменты или запустив код, предназначенный для решения одной из исправленных проблем на устройствах, на которых установлены непропатченные...
Операция вымогателя начала использовать новую тактику для вымогательства у своих жертв: DDoS-атака на веб-сайт жертвы, пока они не вернутся за стол переговоров.
Распределенная атака типа «отказ в обслуживании» (DDoS) - это атака, когда злоумышленник наводняет веб-сайт или сетевое соединение большим объемом запросов, чтобы сделать службу недоступной.
После того, как переговоры зашли в тупик в связи с недавней атакой программы-вымогателя, филиал программы-вымогателя SunCrypt сделал DDoS-атаку на веб-сайт жертвы.
Когда жертва снова вошла на сайт оплаты Tor программы-вымогателя, ее приветствовало сообщение о том, что SunCrypt несет ответственность за DDoS и продолжит атаку, если переговоры не будут продолжены.
«В настоящий момент ваш...
Впервые ботнет IPStorm был замечен специалистами компании Anomali в июне 2019 года, и тогда он атаковал только Windows-машины. В то время в ботнет входили примерно 3000 зараженных систем, но уже тогда исследователи обнаружили несколько уникальных и интересных особенностей, характерных исключительно для IPStorm. Например, полное название малвари — InterPlanetary Storm, — происходит от InterPlanetary File System (IPFS), P2P-протокола, который малварь использовала для связи с зараженными системами и передачи команд.
Кроме того, IPStorm оказался написан на языке Go, и хотя сейчас малварью на этом языке никого не удивить, в 2019 году подобное было распространено не так широко, что делало IPStorm довольно экзотичным и интересным образцом...
Спамеры используют новую технику генерации URL-адресов, чтобы избежать обнаружения людьми и спам-фильтрами.
Этот метод заключается в добавлении случайных неиспользуемых текстовых битов к сокращенным ссылкам, чтобы замаскировать их под полноразмерные URL-адреса и избежать проверки почтовых шлюзов.
Поставляется как вложения PowerPoint
Фишинговое письмо озаглавлено «СРОЧНО: ЗАПРОС ПРЕДЛОЖЕНИЯ (Университет Окленда) ...»
Неудивительно, что, как и многие фишинговые письма, это тоже приходит с файлом PowerPoint, содержащим макросы. При запуске надстройки PowerPoint происходит подключение к вредоносному URL-адресу с помощью исполняемого файла Windows mshta.exe .
В рассылке спама используется надстройка PowerPoint с уклончивыми ссылками...
Сервис Microsoft Outlook обрушился по всему миру
В Сети появились сообщения о глобальном отключении сервиса электронной почты Microsoft Outlook. Сбой затронул веб-сервис Outlook, сайт Outlook.com, а также десктопные и мобильные приложения.
Tom Warren / The Verge
Сбой начался сегодня примерно в 9:00 мск, и Microsoft уже подтвердила, что он отразился на работе электронной почты компании по всему миру.
В настоящее время пользователи Outlook не имеют доступа к своей электронной переписке, а сайт Outlook.com попросту не загружается.
«Мы собираем дополнительные данные о пострадавшей инфраструктуре, что поможет в расследовании и определении причин сбоя», — указано в сообщении службы поддержки Microsoft. Похоже, что отключение было вызвано...
Подсистема Windows для Linux 2 будет обходить брандмауэр Windows 10 и любые настроенные правила, что вызывает опасения по поводу безопасности для тех, кто использует эту функцию.
В сегодняшнем блоге Mullvad VPN объяснил, что их продукт включает опцию «Всегда требовать VPN», которая блокирует доступ в Интернет через брандмауэр Windows, если не подключен к VPN.
После того, как Маллвад получил подсказку от пользователя, было определено, что дистрибутивы WSL2 Linux обходят брандмауэр Windows 10 и его настроенные правила и предотвращают работу функции безопасности VPN «Всегда требовать VPN».
WSL 2 обходит брандмауэр Windows
Mullvad заявляет, что они тестировали эту проблему с несколькими продуктами VPN, и проблема существует во всех из...
Microsoft извлекла пакет накопительного обновления 7 (CU7) для SQL Server 2019, выпущенный 2 сентября, после подтверждения известной проблемы надежности, затрагивающей клиентов, которые использовали функцию моментальных снимков базы данных.
KB4570012 был удален из Центра загрузки Microsoft, каталога Центра обновления Microsoft и репозиториев Linux, а ссылки для загрузки теперь направляют пользователей на предыдущее накопительное обновление KB4563110, выпущенное 26 августа.
Список всех улучшений и исправлений, включенных в это накопительное обновление, можно найти здесь .
Проблемы, связанные с удалением SQL Server 2019 CU7
Накопительное обновление 7 для SQL Server 2019 страдает известной проблемой надежности, влияющей на функцию...
80% фишинговых сайтов, выявленных во 2 квартале 2020 года, использовали SSL-сертификаты.
Считается, что значок замка или пометка «безопасный» в адресной строке сайта говорит о его защищенности, однако, по утверждениям ИБ-экспертов, таким визуальным подсказкам не стоит слепо доверять, поскольку злоумышленники также ими пользуются для обмана пользователей.
Согласно результатам исследования Рабочей группы по борьбе с фишингом (Anti-Phishing Working Group, APWG), во втором квартале 2020 года наблюдался всплеск фишинговых атак, причем большая часть из них задействовала сайты, использующие криптографический протокол SSL. Как правило, на таких сайтах есть иконка замочка, указывающая на то, что браузер использует защищенное защифрованное...
На компанию Facebook Inc. подали очередной иск в суд. На этот раз предметом разбирательств является предполагаемый негласный сбор личных данных пользователей Instagram с помощью камер iPhone.
Скандал за скандалом
За последние несколько лет компания Facebook не раз попадала в различные скандалы, связанные со сбором и хранением личных данных пользователей. Это и история с Cambridge Analytica, когда произошла утечка профилей 50 млн человек, и информация о том, что соцсеть годами хранит в архиве подробную информацию о звонках и сообщениях абонентов.
В августе 2020 года на Facebook подали в суд, обвиняя компанию в использовании технологии распознавания лиц для незаконного сбора биометрических данных о более чем 100 миллионах пользователей...
Синхронизация мессенджера с контактами из адресной книги (contact discovery) — очень удобная функция. Когда новый человек ставит приложение, то в него автоматически добавляется большой список контактов, а если кто-то впервые установил мессенджер, то уведомление об этом приходит всем его знакомым. К сожалению, данную функцию могут использовать государственные службы и другие злоумышленники для выслеживания людей. Существующие методы защиты пока не очень эффективны.
Масштаб утечек оценили специалисты из Вюрцбургского университета и Дармштадтского технического университета (Германия), который провели самое масштабное в истории исследование с краулингом телефонных номеров в трёх мессенджерах: WhatsApp, Telegram и Signal. Результаты...
Злоумышленники, стоящие за вымогателем Exorcist 2.0, используют вредоносную рекламу для перенаправления жертв на поддельные сайты взлома программного обеспечения, которые распространяют их вредоносное ПО.
По словам исследователя безопасности Nao_Sec , вредоносная реклама PopCash перенаправляет пользователей с легитимных сайтов на сайт для взлома поддельного программного обеспечения.
Этот сайт взлома, показанный ниже, претендует на то, чтобы предлагать ссылки для скачивания программ, которые нарушают защиту авторских прав на коммерческое программное обеспечение, чтобы его можно было использовать бесплатно.
Например, на изображении ниже сайт делает вид, что предлагает «Windows 10 Activator 2020», который позволит вам бесплатно...
Для защиты от уязвимости удаленного выполнения кода (RCE) CVE-2020-0688 после авторизации, затрагивающей все поддерживаемые версии Exchange Server, необходимо установить исправление более чем 247000 серверов Microsoft Exchange.
Уязвимость CVE-2020-0688 RCE существует в компоненте панели управления Exchange (ECP), который включен в конфигурациях по умолчанию, и позволяет потенциальным злоумышленникам удаленно захватить уязвимые серверы Exchange, используя любые действительные учетные данные электронной почты.
Корпорация Майкрософт рассмотрела проблему безопасности в рамках февральского вторника исправлений 2020 года и пометила ее оценкой индекса уязвимости «Использование более вероятной», предполагая, что уязвимость является...
Чтобы продемонстрировать потенциальные «дыры» в экосистемах умного дома, сотрудник Avast за пару минут взломал кофеварку с Wi-Fi. В результате энтузиаст не только сумел запустить на ней майнинг криптовалюты Monero, но и парализовал работу прибора с требованием выкупа.
Комментируя опубликованный видеоролик, IT-специалист Мартин Хрон отметил, что прибор построен на базе популярных микроконтроллеров, информации о которых в сети предостаточно. Учитывая, что кофеварка не использует шифрование при установке беспроводного соединения, программист перехватил её прошивку во время обновления, немного модифицировал и загрузил на устройство.
После запуска прибор не только «взбунтовался», бесконтрольно разливая кипяток, но и стал непрерывно...