1 марта 2017 года пользователь, о котором не известно ничего, кроме ника gektar, опубликовал на форуме сайта BleepingComputer мастер-ключи для всех версий шифровальщика Dharma, основанного на коде другого вымогателя — Crysis.
Замечу, что форум сайта BleepingComputer – известное место сбора пользователей, пострадавших от атак шифровальщиков. Независимые эксперты и сотрудники крупных ИБ-компаний, которые тоже присутствуют на форуме, по мере сил стараются помочь пострадавшим с расшифровкой данных, а также используют BleepingComputer для мониторинга последних тенденций среди вымогательского ПО.
Gektar обнародовал на форуме ссылку на Pastebin, якобы содержащую мастер-ключи, и это не первый случай подобного рода. В конце 2016 года...
По данным статистики, пластиковые банковские карты мы используем все чаще. Только за прошлый год частота их применения увеличилась более чем на треть. В таких условиях вопрос безопасности выходит на первый план, тем более что мошенники становятся все изобретательнее. Как обезопасить себя и свои карты от жуликов, прибегающих к обману с помощью SMS, рассказывают в Банке России.
Банковские карты давно и прочно вошли в жизнь каждого из нас. Пользоваться этим современным средством платежа просто и удобно, и потому миллионы граждан каждый год оплачивают товары и услуги на триллионы рублей.
Инфографика "ПД"
Однако как бы ни старались специалисты защитить такие карты, как бы быстро ни шагали технологии в финансовой сфере, не отстают и...
Обновление Malwarebytes' Anti-Malware
Malwarebytes' Anti-Malware обновилась до версии 1.5, в новой версии:
В 5 раз увеличена скорость сканирования
Повышена стабильность сканера и модуля защиты (только в платной версии)
В 3 раза уменьшено время запуска программы
Снижено потребление ресурсов модулем защиты (только в платной версии)
Возможность добавлять вручную файлы и папки в черный список
Возможности планирования сканирования и обновления из командной строки (только в платной версии)
Дополнительные детали (тип соединения, порт) в уведомлении о заблокированных вэб-сайтах (только Windows Vista и выше и в платной версии)
Возможность исключить из сканирования модулем защиты потенциально нежелательные программы, потенциально...
Зашифрованные VirLocker файлы можно восстановить без выкупа
Для этого нужно заставить шифровальщик думать, что требуемая сумма уже оплачена.
Эксперты компании Malwarebytes обнаружили метод, позволяющий восстановить зашифрованные вымогателем VirLocker файлы без оплаты выкупа. Для этого нужно всего лишь заставить шифровальщик думать, что требуемая сумма уже оплачена.
Первые версии семейства VirLocker появились несколько лет назад. По аналогии с другими шифровальщиками VirLocker блокирует рабочий стол инфицированного компьютера, шифрует файлы и выводит на экран сообщение с требованием выкупа (как правило, замаскированное под уведомление правоохранительных органов о каком-либо нарушении).
В дополнение к «традиционному» функционалу...
Операторы шифровальщика Locky слишком долго отмечают Новый год
В последние три недели эксперты фиксируют резкое снижение атак с использованием Locky.
В 2016 году вымогательское ПО Locky, шифрующее файлы на компьютерах жертв и требующее выкуп за их восстановление, стало одной из наиболее эффективных и серьезных угроз в интернете. Тем не менее, сейчас его операторы, похоже, ушли на зимние каникулы. По данным исследователя из Cisco Talos Джейсона Шульца (Jaeson Schultz), в последние три недели (как раз в период зимних праздников) активность вредоноса существенно снизилась.
Это не первый раз, когда распространители Locky берут отпуск. В конце октября прошлого года, на Хэллоуин, киберпреступники прекратили свою деятельность на две...
Первыми появление вымогателя Spora заметили пользователи форумов Bleeping Computer и «Лаборатории Касперского». Опираясь на жалобы пользователей, исследователи Emsisoft, MalwareHunterTeam и журналисты Bleeping Computer изучили малварь и пришли к выводу, что шифровальщик весьма необычен.
В настоящее время Spora распространяется посредством почтового спама: вредоносные письма содержат вложенные архивы ZIP, внутри которых находятся файлы HTA (HTML Application). Причем HTA используется в качестве добавочного расширения, то есть расширения файлов выглядят как PDF.HTA или DOC.HTA. Так как на компьютерах большинства пользователей отображение расширений отключено, потенциальные жертвы увидят только первую часть, решив, что перед ними обычный...
Вымогатели-шифровальщики переключились на незащищённые СУБД MongoDB
В Сети зафиксирована новая атака на серверы с СУБД MongoDB, доступные без аутентификации. Выявлено около 2000 поражённых систем, на которых имеющиеся данные были удалены, а в БД добавлена таблица "WARNING_ALERT", содержащая запись с требованием выплатить 0.2 или 0.5 Bitcoin ($200 или $550) за восстановление информации.
В сообщении утверждается, что данные зашифрованы, но на деле они просто удалены. При этом, в некоторых случаях в логе зафиксирован экспорт данных перед удалением.
Среди поражённых оказались конфигурации MongoDB, доступные для сетевых соединений извне и не использующие аутентификацию доступа. Подобная особенность связана с тем, что до версии...
Напомним, что CryptXXX появился в начале 2016 года. Распространяясь посредством эксплоит китов Angler и Neutrino, вскоре он стал одним из наиболее «популярных» семейств вымогателей. Так, по данным «Лаборатории Касперского», с апреля 2016 года пользователи продуктов компании были атакованы CryptXXX более 80 000 раз. Хуже всего приходится пользователям в США, России, Германии, Японии, Индии и Канаде.
Специалисты взламывали алгоритм шифрования малвари уже не раз. Первый раз CryptXXX был взломан вскоре после появления, в апреле 2016 года. Затем эксперты сумели разобраться и со второй версией вымогателя, опубликовав новый дешифровщик в мае текущего года. Но в июне 2016 года появилась третья версия CryptXXX, в которой авторы малвари...
Исследователи обнаружили криптоблокера в стадии разработки, который цинично предлагает жертве расшифровать ее файлы бесплатно, если она согласится заразить двух знакомых и те уплатят выкуп.
«Я никогда еще не встречал что-либо подобное среди вымогателей, — говорит Лоуренс Абрамс (Lawrence Abrams) с IT-сайта BleepingComputer.com, известивший всех об этой находке. — Это первый случай в моей практике».
О новом вымогателе, именуемом Popcorn Time (не путать с одноименным приложением для просмотра видеоконтента!), Абрамс узнал из твита исследователя MalwareHunterTeam, который обнаружил вредоносное приложение в Дарквебе. Анализ кода подтвердил, что данный зловред предоставляет жертве выбор: платить выкуп или послать двум пользователям ссылку...
Как правило, вымогательское ПО действует следующим образом: после установки на системе жертвы вредонос шифрует хранящиеся на ней файлы, а если жертва хочет вернуть их себе обратно, она должна заплатить злоумышленникам деньги. Однако новый шифровальщик Popcorn Time предлагает альтернативный способ получения своих файлов.
По словам исследователей MalwareHunterTeam, чтобы получить ключ для дешифровки, жертва Popcorn Time может либо заплатить преступникам, либо заразить два других компьютера и добиться от их владельцев выплаты выкупа. Как показал анализ кода, если жертва четыре раза подряд введет неправильный ключ для дешифровки, вредонос начнет удалять файлы.
Если пользователь выбрал альтернативный способ, он может воспользоваться...
Исслeдователь и основатель сайта BleepingComputer Лоренс Абрамс (Lawrence Abrams), сообщил, что 14 ноября 2016 года пользователь под ником crss7777 опубликовал на форумах реcурса ссылку на Pastebin. По ссылке были обнаружены мастер-ключи для расшифровки данных, пострадавших в результате работы вымогателя CrySiS, а также пoдробная инструкция по их применению.
Фото BleepingComputer
Откуда crss7777 взял ключи и кто он такой, неизвестно. Основывaясь на структуре опубликованных данных, Абрамс предположил, что crss7777 может быть одним из автоpов шифровальщика CrySiS. Однако почему ключи были опубликованы именно сейчас, все же неясно. В блоге BleepingComputer выскaзывается мысль, что, вероятно, дело в усиливающемся давлении со стороны...
(c) При публичном цитировании или перепубликации
информации текста из этой темы на иных ресурсах
ссылка на автора SNS-amigo или эту тему обязательна.
Криптовымогательская неделя (7-14 мая)
Прошедшая неделя была "плодовитой" на новые криптовымогатели. О некоторых из них я оперативно рассказал выше, но информация о других не публиковалась. Из языконезависимого или англоязычного криптовымогательство становится локально организованным и ориентированным на пользователей, говорящих на других распространенных языках мира: китайском, испанском, португальском, русском, немецком и пр. пр. Итак, по порядку появления на этой неделе.
9 мая
Появилась информация о CryptXXX 2.0 Ransomware, выпущенного создателями вредоносного ПО взамен первой...
Пользователи, пострадавшие от программы-шифровальщика Polyglot, теперь могут вернуть доступ к файлам благодаря бесплатному инструменту дешифровки RannohDecryptor, который выпустила «Лаборатория Касперского».
Троянец, атакующий в том числе российских пользователей и известный как MarsJoke, распространяется в спам-письмах, которые содержат вредоносный исполняемый файл, упакованный в RAR-архив. Внедрившись в систему, Polyglot никак не меняет файлы пользователя внешне, но при этом блокирует к ним доступ. После окончания шифрования троянец меняет заставку рабочего стола, а затем выводит окно с требованиями выкупа, который назначается в биткойнах. Если оплата не производится в срок, указанный злоумышленниками, троянец оставляет файлы...
Обнаружено вымогательское ПО Donald Trump, которое в настоящее время находящееся на стадии разработки или вообще выпущено как пугалка. Вредонос, возможно, и не будет использоваться.
В Donald Trump предусмотрена функция шифрования файлов с помощью алгоритма AES, но в текущей версии она не активна. Donald Trump просто ищет и перемещает в папку "encrypt" файлы, имеющие определённые расширения, а затем добавляет к ним расширение .ENCRYPTED. Список целевых расширений файлов небольшой (67 шт.).
Исполняемый файл назвается CRPT-TRX.exe
В этой версии для расшифровки файлов достаточно нажать на кнопку "Unlock files", чтобы файлы были переименованы в свои исходные имена.
Исследователи обнаружили вредонос во время первых дебатов Хилари...
«Доктор Веб» сообщает о первом троянце для 1С, запускающем шифровальщика-вымогателя
22 июня 2016 года
Троянец 1C.Drop.1, исследованный специалистами компании «Доктор Веб», самостоятельно распространяется по электронной почте среди зарегистрированных в базе контрагентов, заражает компьютеры с установленными бухгалтерскими приложениями 1С и запускает на них опасного троянца-шифровальщика. Вредоносные программы, при создании которых вирусописатели использовали какую-либо новую технологию или редкий язык программирования, появляются нечасто, и это – тот самый случай.
Можно смело сказать, что 1C.Drop.1 — это первый попавший в вирусную лабораторию компании «Доктор Веб» троянец, фактически написанный на русском языке, вернее, на встроенном...
PadCrypt является первым образцом вымогательского ПО, оснащенным чатом и деинсталлятором.
Швейцарский исследователь безопасности, ведущий блог abuse.ch, обнаружил новый образец вымогательского ПО PadCrypt. Особенность шифровальщика – наличие чата, позволяющего жертве в режиме реального времени связаться с вымогателями и обсудить условия выплаты выкупа. Помимо «живого чата», требующего подключения к C&C-серверу, PadCrypt также оснащен совершенно бесполезным деинсталлятором.
«Недавно нам попались образцы вредоносного ПО, позволяющие активировать и деактивировать автозапуск, но с вымогателем, предлагающим еще и деинсталлятор, мы сталкиваемся впервые», - сообщил ИБ-эксперт компании Bleeping Computer Лоуренс Абрамс (Lawrence Abrams)...
В последнее время авторов вымогательского ПО и шифровальщиков то и дело постигают неудачи. То вирусные аналитики за пару дней разгадают алгоритм шифрования и выпустят инструмент для расшифровки файлов. То сами создатели малвари допустят ошибку, и в итоге их детище работает не совсем так, как было запланировано. Специалисты Trend Micro обнаружили новый яркий пример, относящийся ко второй категории фэйлов. Авторы вымогателя RANSOM_CRYPTEAR.B не только взяли за основу чужой код, но и умудрились его испортить. В августе 2015 года турецкая команда исследователей Otku Sen опубликовала на GitHub исходный код вымогательской малвари Hidden Tear, созданной исключительно в образовательных и научных целях. Авторы Hidden Tear рассказали в своем...
14.07.2015
«Лаборатория Касперского» обнаружила необычного троянца-шифровальщика, выдающего себя за другую вредоносную программу. Речь идет о TeslaCrypt 2.0 – новой версии зловреда, прослывшего грозой геймерского мира и требующего 500 долларов США за ключ для декодирования зашифрованных файлов. В основном от вымогательств этой программы пострадали пользователи в США и Германии, однако угроза не обошла стороной и Россию, которая оказалась в первой десятке стран с наибольшим количеством заражений.
Аналитики «Лаборатории Касперского» наблюдают за этим зловредом с начала года: первые образцы TeslaCrypt были обнаружены в феврале 2015 года, и с тех пор шифровальщик претерпел несколько изменений. В последней версии программа требует выкуп...
Крупнейший российский торент-трекер готовит своих пользователей к блокировке и проводит полномасштабные учения.
Linux.Encoder — первый в истории шифровальщик, нацеленный на пользователей систем GNU/Linux, щадит пользователей из России и стран СНГ. Специалисты компании Malwarebytes обнаружили новую версию вредоноса, в которой авторы трояна предлагают бесплатную расшифровку данных всем пострадавшим на территории РФ и СНГ.
Ранее, в начале ноября 2015 года, компании «Доктор Веб», «Лаборатория Касперского» и Bitdefender обнаружили и изучили Linux.Encoder версий 1 и 2, а также исходную нулевую версию, созданную в августе. Теперь эксперты Malwarebytes нашли четвертую модификацию малвари, судя по всему, наиболее свежую.
Новый Linux.Encoder...
Компания «Доктор Веб» исследовала троян-шифровальщик для ОС Linux Linux.Encoder.2. Об этом CNews сообщили в «Доктор Веб».
Несмотря на то, что данная вредоносная программа была добавлена в вирусные базы Dr.Web под вторым номером, исторически она появилась раньше, однако в течение длительного времени не попадала в поле зрения аналитиков антивирусных компаний. Более того, недавно одна из компаний-разработчиков антивирусного ПО опубликовала исследование другого трояна, названного ею Linux.Encoder.0. Предположительно, он является самым первым в этой группе шифровальщиков, Linux.Encoder.2 начал распространяться чуть позже, в сентябре-октябре 2015 г., а уже затем появился Linux.Encoder.1.
По информации «Доктор Веб», модификацию...