В «Лаборатории Касперского» по вине бывшего сотрудника произошла утечка кода, который, правда, частью антивируса не являлся. Возбуждено уголовное дело.
Кража кода
Бывший сотрудник «Лаборатории Касперского» выложил в публичный доступ часть программного кода, использующегося в продуктах компании, к которому он имел доступ в рамках своей работы. Об этом CNews рассказали в организации.
В компании заверяют, что этот код не является частью известного антивируса. «В “Лаборатории Касперского” очень внимательно относятся к подобным случаям, и компания постоянно проводит мониторинг сети на наличие образцов кода, — отмечают в компании. — Данные были обнаружены на следующий день, после чего удалены из публичного доступа в кратчайшие сроки».
Как...
26 октября 2017 года Malwarebytes официально объявила, что в первом квартале 2018 года будет прекращена поддержка Junkware Removal Tool
Junkware Removal Tool - бесплатная программа, предназначенная для удаления потенциально нежелательных программ (ПНП), рекламного ПО и других нежелательных объектов в операционной системе.
Приложение поддерживает удаление программ, браузерных расширений, панелей инструментов, рекламного ПО и более 250 видов мусорных элементов.
Компания Malwarebytes, разработчик популярных антивирусных решений, приобрела Junkware Removal Tool в 2015 года. Вендор интегрировал функциональность JRT в собственные продукты, но утилита оставалась доступной для скачивания и автономного использования.
Теперь компания решила...
Каждый шестой интернет-пользователь в России сталкивался с попыткой взлома онлайн-аккаунта, сообщили CNews в «Лаборатории Касперского». Такие данные были получены в ходе исследования, проведенного компанией B2B International по запросу «Лаборатории Касперского» в августе 2016 г. В опросе приняли участие 12546 интернет-пользователей в 21 стране мира. В России были опрошены 1023 человека.
Далеко не все считают необходимым защищать свои аккаунты с помощью надежных и сильных паролей. Так, лишь треть (35%) пользователей создают новую комбинацию для каждого отдельного аккаунта, большинство же предпочитает оперировать ограниченным набором паролей, используя таким образом одно и то же для доступа сразу к нескольким учетным записям. Что еще...
Компании IBM и Lenovo выпустили предупреждения для своих клиентов, сообщив, что логистическая цепочка систем хранения данных Storwize была скомпрометирована на одном из этапов, в результате чего USB-накопители, которые поставляются в комплекте с устройствами, «из коробки» заражены малварью.
По данным компаний, заражению подверглись USB-накопители с номером партии 01AC585, использующиеся для инициализации устройств:
IBM Storwize V3500 — 2071 модели 02A и 10A;
IBM Storwize V3700 — 2072 модели 12C, 24C и 2DC;
IBM Storwize V5000 — 2077 модели 12C и 24C;
IBM Storwize V5000 — 2078 модели 12C и 24C.
Сообщается, что IBM Storwize, чей серийный номер начинается с «78D2», вне опасности.
Хотя производители заявляют, что «вредоносный файл...
1 марта 2017 года пользователь, о котором не известно ничего, кроме ника gektar, опубликовал на форуме сайта BleepingComputer мастер-ключи для всех версий шифровальщика Dharma, основанного на коде другого вымогателя — Crysis.
Замечу, что форум сайта BleepingComputer – известное место сбора пользователей, пострадавших от атак шифровальщиков. Независимые эксперты и сотрудники крупных ИБ-компаний, которые тоже присутствуют на форуме, по мере сил стараются помочь пострадавшим с расшифровкой данных, а также используют BleepingComputer для мониторинга последних тенденций среди вымогательского ПО.
Gektar обнародовал на форуме ссылку на Pastebin, якобы содержащую мастер-ключи, и это не первый случай подобного рода. В конце 2016 года...
По данным статистики, пластиковые банковские карты мы используем все чаще. Только за прошлый год частота их применения увеличилась более чем на треть. В таких условиях вопрос безопасности выходит на первый план, тем более что мошенники становятся все изобретательнее. Как обезопасить себя и свои карты от жуликов, прибегающих к обману с помощью SMS, рассказывают в Банке России.
Банковские карты давно и прочно вошли в жизнь каждого из нас. Пользоваться этим современным средством платежа просто и удобно, и потому миллионы граждан каждый год оплачивают товары и услуги на триллионы рублей.
Инфографика "ПД"
Однако как бы ни старались специалисты защитить такие карты, как бы быстро ни шагали технологии в финансовой сфере, не отстают и...
Обновление Malwarebytes' Anti-Malware
Malwarebytes' Anti-Malware обновилась до версии 1.5, в новой версии:
В 5 раз увеличена скорость сканирования
Повышена стабильность сканера и модуля защиты (только в платной версии)
В 3 раза уменьшено время запуска программы
Снижено потребление ресурсов модулем защиты (только в платной версии)
Возможность добавлять вручную файлы и папки в черный список
Возможности планирования сканирования и обновления из командной строки (только в платной версии)
Дополнительные детали (тип соединения, порт) в уведомлении о заблокированных вэб-сайтах (только Windows Vista и выше и в платной версии)
Возможность исключить из сканирования модулем защиты потенциально нежелательные программы, потенциально...
Зашифрованные VirLocker файлы можно восстановить без выкупа
Для этого нужно заставить шифровальщик думать, что требуемая сумма уже оплачена.
Эксперты компании Malwarebytes обнаружили метод, позволяющий восстановить зашифрованные вымогателем VirLocker файлы без оплаты выкупа. Для этого нужно всего лишь заставить шифровальщик думать, что требуемая сумма уже оплачена.
Первые версии семейства VirLocker появились несколько лет назад. По аналогии с другими шифровальщиками VirLocker блокирует рабочий стол инфицированного компьютера, шифрует файлы и выводит на экран сообщение с требованием выкупа (как правило, замаскированное под уведомление правоохранительных органов о каком-либо нарушении).
В дополнение к «традиционному» функционалу...
Операторы шифровальщика Locky слишком долго отмечают Новый год
В последние три недели эксперты фиксируют резкое снижение атак с использованием Locky.
В 2016 году вымогательское ПО Locky, шифрующее файлы на компьютерах жертв и требующее выкуп за их восстановление, стало одной из наиболее эффективных и серьезных угроз в интернете. Тем не менее, сейчас его операторы, похоже, ушли на зимние каникулы. По данным исследователя из Cisco Talos Джейсона Шульца (Jaeson Schultz), в последние три недели (как раз в период зимних праздников) активность вредоноса существенно снизилась.
Это не первый раз, когда распространители Locky берут отпуск. В конце октября прошлого года, на Хэллоуин, киберпреступники прекратили свою деятельность на две...
Первыми появление вымогателя Spora заметили пользователи форумов Bleeping Computer и «Лаборатории Касперского». Опираясь на жалобы пользователей, исследователи Emsisoft, MalwareHunterTeam и журналисты Bleeping Computer изучили малварь и пришли к выводу, что шифровальщик весьма необычен.
В настоящее время Spora распространяется посредством почтового спама: вредоносные письма содержат вложенные архивы ZIP, внутри которых находятся файлы HTA (HTML Application). Причем HTA используется в качестве добавочного расширения, то есть расширения файлов выглядят как PDF.HTA или DOC.HTA. Так как на компьютерах большинства пользователей отображение расширений отключено, потенциальные жертвы увидят только первую часть, решив, что перед ними обычный...
Вымогатели-шифровальщики переключились на незащищённые СУБД MongoDB
В Сети зафиксирована новая атака на серверы с СУБД MongoDB, доступные без аутентификации. Выявлено около 2000 поражённых систем, на которых имеющиеся данные были удалены, а в БД добавлена таблица "WARNING_ALERT", содержащая запись с требованием выплатить 0.2 или 0.5 Bitcoin ($200 или $550) за восстановление информации.
В сообщении утверждается, что данные зашифрованы, но на деле они просто удалены. При этом, в некоторых случаях в логе зафиксирован экспорт данных перед удалением.
Среди поражённых оказались конфигурации MongoDB, доступные для сетевых соединений извне и не использующие аутентификацию доступа. Подобная особенность связана с тем, что до версии...
Напомним, что CryptXXX появился в начале 2016 года. Распространяясь посредством эксплоит китов Angler и Neutrino, вскоре он стал одним из наиболее «популярных» семейств вымогателей. Так, по данным «Лаборатории Касперского», с апреля 2016 года пользователи продуктов компании были атакованы CryptXXX более 80 000 раз. Хуже всего приходится пользователям в США, России, Германии, Японии, Индии и Канаде.
Специалисты взламывали алгоритм шифрования малвари уже не раз. Первый раз CryptXXX был взломан вскоре после появления, в апреле 2016 года. Затем эксперты сумели разобраться и со второй версией вымогателя, опубликовав новый дешифровщик в мае текущего года. Но в июне 2016 года появилась третья версия CryptXXX, в которой авторы малвари...
Исследователи обнаружили криптоблокера в стадии разработки, который цинично предлагает жертве расшифровать ее файлы бесплатно, если она согласится заразить двух знакомых и те уплатят выкуп.
«Я никогда еще не встречал что-либо подобное среди вымогателей, — говорит Лоуренс Абрамс (Lawrence Abrams) с IT-сайта BleepingComputer.com, известивший всех об этой находке. — Это первый случай в моей практике».
О новом вымогателе, именуемом Popcorn Time (не путать с одноименным приложением для просмотра видеоконтента!), Абрамс узнал из твита исследователя MalwareHunterTeam, который обнаружил вредоносное приложение в Дарквебе. Анализ кода подтвердил, что данный зловред предоставляет жертве выбор: платить выкуп или послать двум пользователям ссылку...
Как правило, вымогательское ПО действует следующим образом: после установки на системе жертвы вредонос шифрует хранящиеся на ней файлы, а если жертва хочет вернуть их себе обратно, она должна заплатить злоумышленникам деньги. Однако новый шифровальщик Popcorn Time предлагает альтернативный способ получения своих файлов.
По словам исследователей MalwareHunterTeam, чтобы получить ключ для дешифровки, жертва Popcorn Time может либо заплатить преступникам, либо заразить два других компьютера и добиться от их владельцев выплаты выкупа. Как показал анализ кода, если жертва четыре раза подряд введет неправильный ключ для дешифровки, вредонос начнет удалять файлы.
Если пользователь выбрал альтернативный способ, он может воспользоваться...
Исслeдователь и основатель сайта BleepingComputer Лоренс Абрамс (Lawrence Abrams), сообщил, что 14 ноября 2016 года пользователь под ником crss7777 опубликовал на форумах реcурса ссылку на Pastebin. По ссылке были обнаружены мастер-ключи для расшифровки данных, пострадавших в результате работы вымогателя CrySiS, а также пoдробная инструкция по их применению.
Фото BleepingComputer
Откуда crss7777 взял ключи и кто он такой, неизвестно. Основывaясь на структуре опубликованных данных, Абрамс предположил, что crss7777 может быть одним из автоpов шифровальщика CrySiS. Однако почему ключи были опубликованы именно сейчас, все же неясно. В блоге BleepingComputer выскaзывается мысль, что, вероятно, дело в усиливающемся давлении со стороны...
(c) При публичном цитировании или перепубликации
информации текста из этой темы на иных ресурсах
ссылка на автора SNS-amigo или эту тему обязательна.
Криптовымогательская неделя (7-14 мая)
Прошедшая неделя была "плодовитой" на новые криптовымогатели. О некоторых из них я оперативно рассказал выше, но информация о других не публиковалась. Из языконезависимого или англоязычного криптовымогательство становится локально организованным и ориентированным на пользователей, говорящих на других распространенных языках мира: китайском, испанском, португальском, русском, немецком и пр. пр. Итак, по порядку появления на этой неделе.
9 мая
Появилась информация о CryptXXX 2.0 Ransomware, выпущенного создателями вредоносного ПО взамен первой...
Пользователи, пострадавшие от программы-шифровальщика Polyglot, теперь могут вернуть доступ к файлам благодаря бесплатному инструменту дешифровки RannohDecryptor, который выпустила «Лаборатория Касперского».
Троянец, атакующий в том числе российских пользователей и известный как MarsJoke, распространяется в спам-письмах, которые содержат вредоносный исполняемый файл, упакованный в RAR-архив. Внедрившись в систему, Polyglot никак не меняет файлы пользователя внешне, но при этом блокирует к ним доступ. После окончания шифрования троянец меняет заставку рабочего стола, а затем выводит окно с требованиями выкупа, который назначается в биткойнах. Если оплата не производится в срок, указанный злоумышленниками, троянец оставляет файлы...
Обнаружено вымогательское ПО Donald Trump, которое в настоящее время находящееся на стадии разработки или вообще выпущено как пугалка. Вредонос, возможно, и не будет использоваться.
В Donald Trump предусмотрена функция шифрования файлов с помощью алгоритма AES, но в текущей версии она не активна. Donald Trump просто ищет и перемещает в папку "encrypt" файлы, имеющие определённые расширения, а затем добавляет к ним расширение .ENCRYPTED. Список целевых расширений файлов небольшой (67 шт.).
Исполняемый файл назвается CRPT-TRX.exe
В этой версии для расшифровки файлов достаточно нажать на кнопку "Unlock files", чтобы файлы были переименованы в свои исходные имена.
Исследователи обнаружили вредонос во время первых дебатов Хилари...
«Доктор Веб» сообщает о первом троянце для 1С, запускающем шифровальщика-вымогателя
22 июня 2016 года
Троянец 1C.Drop.1, исследованный специалистами компании «Доктор Веб», самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного троянца-шифровальщика. Вредоносные программы, при создании которых вирусописатели использовали какую-либо новую технологию или редкий язык программирования, появляются нечасто, и это – тот самый случай.
Можно смело сказать, что 1C.Drop.1 — это первый попавший в вирусную лабораторию компании «Доктор Веб» троянец, фактически написанный на русском языке, вернее, на встроенном...
PadCrypt является первым образцом вымогательского ПО, оснащенным чатом и деинсталлятором.
Швейцарский исследователь безопасности, ведущий блог abuse.ch, обнаружил новый образец вымогательского ПО PadCrypt. Особенность шифровальщика – наличие чата, позволяющего жертве в режиме реального времени связаться с вымогателями и обсудить условия выплаты выкупа. Помимо «живого чата», требующего подключения к C&C-серверу, PadCrypt также оснащен совершенно бесполезным деинсталлятором.
«Недавно нам попались образцы вредоносного ПО, позволяющие активировать и деактивировать автозапуск, но с вымогателем, предлагающим еще и деинсталлятор, мы сталкиваемся впервые», - сообщил ИБ-эксперт компании Bleeping Computer Лоуренс Абрамс (Lawrence Abrams)...