Безопасность. Вирусы

Подписаться на эту рубрику по RSS

Controlled Folder Access - новая фунция Windows 10 для борьбы с шифровальщиками

Июль, 10th 2017

шифровальщики. WannaCry и Petya

До Мелкософта наконец дошло что шифровальщики приобрели по-настоящему массовый характер, особенно это стало заметно после масштабных эпидемий WannaCry и Petya. Шифровальщики приносят весьма не плохие деньги, их уже стали продавать по схеме Ransomware-as-a-Service (RaaS) (вымогатель как услуга), таким образом приобрести и распространять его может практически любой желающий обогатиться подобным образом.

К сожалению, до сих пор никаких решений проблемы от разработчиков операционной системы Windows предложено не было, а надо заметить, что система то далеко не бесплатна и имеет множество дыр в безопасности. Microsoft наконец зашевелилась и представила Windows 10 Insider Preview Build 16232, в котором присутствуют долгожданные нововведения, связанные с безопасностью.

читать полностью →

[ВАЖНО] Распространение Wana Decrypt0r временно приостановлено

Май, 14th 2017

Wana Decrypt0r

Наверняка все уже в курсе, что 12 мая десятки тысяч компьютеров по всему миру стали жертвами атаки шифровальщика Wana Decrypt0r (он же WCry, WannaCry, WannaCrypt0r и WannaCrypt). Главными целями стали Россия, Украина и Тайвань. У нас же от Wana Decrypt0r пострадали Минздрав России, «Мегафон», РЖД, МВД, Сбербанк и это только самые известные. Наверное, это первый вымогатель на моей памяти, который попал даже в выпуски новостей по зомбоящику.

Вымогатель распространяется, используя брешь первой версии протокола SMBv1, для тех кто не в теме, это собственно любая сеть Microsoft (уже давно существуют и SMBv2 и v3, а последняя актуальная версия SMB 3.1.1). Проникнув в систему, малварь действует как другие шифровальщики, заменяя расширение пользоватльских файлов на .WNCRY и требуя выкуп в размере $300-600 в биткоин. Надо признать, аппетиты ещё весьма умеренные.

читать полностью →

В сеть выложили ключи для криптовымогателя Dharma и уже появились инструменты для дешифровки.

Март, 09th 2017

криптовымогатель Dharma

Весна началась с весьма интересного события, а именно 1 марта, на одном забугорном форуме BleepingComputer, некий пользователь под ником gektar, выложил ключи для всех версий шифровальщика Dharma (вот сама ссылка на мастер-ключи с форума http://pastebin.com/SKfGE5TM).

Похожая ситуация случилась год назад, когда в сеть утекли мастер-ключи от другого шифровальщика CrySiS. Честно говоря не совсем понятно откуда они берутся, тут можно только предполагать, что это такая своеобразная война среди авторов малвари, в случайную утечку тут слабо вериться.

читать полностью →

Выделение статических ip адресов клиентам OpenVPN

Февраль, 02nd 2017

Я уже не раз рассказывал как сконфигурировать собственный OpenVPN сервер. Пользователи подключаются по сертификатам и им динамически выдаются свободные ip-адреса из заданного диапазона. Встала задача выдавать некоторым клиентам постоянные ip-адреса, чтобы была возможность подключаться к ним тоже.

Собственно, решается это довольно просто, если знать как. В файл конфигурации сервера OpenVPN нужно добавить буквально пару строк:

client-to-client
ifconfig-pool-persist ipp.txt
  • client-to-client - разрешаем клиентам видеть друг-друга в сети
  • ifconfig-pool-persist ipp.txt - наличие этой строки указывает, что перед тем как выдать клиенту свободный адрес из пула, сервер должен свериться с файлом ipp.txt, в котором прописывается привязка имени пользователя к ip-адресу.

Файл ipp.txt должен иметь следующий формат:

username1,ip-address
username2,ip-address
username3,ip-address

username1, username2 и username3 соотвествуют именам выданных сертификатов пользователей.

Снова о шифровальщиках. Вымогатели стали предлагать купить иммунитет от новых версий и где найти дешифраторы.

Январь, 12th 2017

шифровальщик. ransomware

Наверное уже сложно найти человека который не слышал про вирусы-шифровальщики, однако, даже зная об опасности, мало кто понимает что ежедневно подвергается риску подцепить эту заразу. Кажется что всё это где-то там... а оно уже вокруг нас здесь и сейчас... алгоритмы криптовымогателей постоянно усовершенствуются и аппетиты их только растут.

Сам стал серьезно задумываться, не пора ли завязывать заниматься серверами, так как риски сильно возросли, а руководство до сих пор не осознало насколько, финансируя IT по остаточному принципу, не вкладывая средства в системы резервного копирования и защиту.

А опасаться есть чего... к примеру, новая малварь KillDisk теперь атакует не только Windows, но и Linux-сервера и рабочие станции. Зашифровав файлы, малварь требует просто безумный выкуп в размере 222 биткоинов, что составляет примерно $210 000 по текущему курсу.

читать полностью →

В борьбе с троянами-вымогателями наметился прогресс

Декабрь, 16th 2016

Эксперт по информационной безопасности Michael Gillespie выпустил уже несколько бесплатных утилит, вскрывающих шифрование троянов-вымогателей и создал сервис ID Ransomware. На данный момент в базе имеются сведения о 257 семействах троянов-вымогателей. Утилита RansomNoteCleaner помогает жертвам троянов избавиться от мусора, которым те забивают диски.

читать полностью →

Программа-криптовымогатель шифрует пользовательские файлы в «оффлайне»

Ноябрь, 06th 2015

Программа-криптовымогатель

В очередной раз хочу предупредить НЕ ОТКРЫВАЙТЕ НЕПОНЯТНЫЕ ПИСЬМА! Чаще всего они маскируются под вполне нормальные от ваших друзей или клиентов, либо содержат в заголовках что-то типа «На вас заведено уголовное дело, срочно прочтите». О таких письмах я уже писал ранее.

Разного рода ransomware, программ-криптовымогателей развелось сейчас довольно много. Некоторые просто блокируют ПК, пока пользователь не заплатит. Иные разновидности такого ПО шифруют файлы, отправляя ключ на сервер, контролируемый мошенниками. Но есть и другие виды криптовымогателей, которые действуют еще более оригинально.

Исследователи из компании Check Point недавно провели анализ работы одной из разновидностей такого рода программ, которая использует альтернативный метод шифрования файлов и предоставления ключа своим создателям. Сама программа — не новая, впервые ее заметили в июне прошлого года. С тех пор автор неоднократно обновлял свое творение (примерно раз в два месяца), криптовымогатель постоянно эволюционирует и совершенствуется. По мнению специалистов по информационной безопасности, этот образец был создан русскоязычными злоумышленниками, и работает это ПО, как правило, с пользователями из России.

читать полностью →

Как удалить китайский вирус (антивирус?) baidu

Сентябрь, 13th 2015

Как удалить китайский вирус Baidu

Сегодня расскажу про одну китайскую тарабарщину, так как она стала встречаться с завидной регулярностью. Baidu - именно так называется это детище наших китайских друзей, штука весьма своеобразная. Полной уверенности что это чистой воды вирус нет, скорее нечто похожее на лезущий без спроса McAfee Security Scan Plus.

Baidu PC Faster, по уже сложившейся "доброй" традиции, идет паровозом вместе с какой-то другой программой. Сейчас это сплошь и рядом, потому ВСЕГДА ВНИМАТЕЛЬНО СЛЕДИТЕ ЗА УСТАНОВЛЕННЫМИ ГАЛОЧКАМИ по умолчанию, которые за вас заботливо расставили разработчики. Примеров подобных масса: Майл.ру агент, Амиго, Яндекс.браузер и так далее. Последний хоть и вполне себе ничего, но подобный способ распространения вызывается отторжение.

читать полностью →

Как удалить Yamdex.net в браузере. Избавляемся от Yambler.net, Webalta и Амиго

Март, 03rd 2015

yamdex.net

Yamdex.net, yambler.net, webalta, Амиго... полагаю, что-то из этого вы наблюдаете на своем компьютере или ноутбуке, иначе не искали бы как избавиться от этого безобразия. И так, при запуске любого браузера - Google Chrome, Mozilla, Internet Explorer, вы неожиданно попадаете на yamdex.net или yambler.net, а может еще что-то подобное с полным набором рекламных баннеров сомнительного содержания.

Браузер Амиго от Mail.ru сюда попал до кучи, за назойливость, заточен на соцсети и часто его установка сопровождается троянами.

Ежу понятно, что словили трояна и как показывает практика, обычно не одного. Для начала стоит проверить компьютер антивирусом, желательно свежим (сам предпочитаю DrWeb, не сочтите рекламой). DrWeb, можно скачать вполне легально с демонстрационным ключом с официального сайта https://download.drweb.ru.

Однако, если у вас сидит троян, то попасть на сайт антивируса скорее всего не удасться. Попросите закачать его кого-то из друзей или воспользуйтесь другим компьютером. Процесс лечения описывать не стану - там всё просто. Перейдем к главному - навязчивым Yamdex.net, Yambler.net, Search Protect и Webalta.

читать полностью →

OpenVPN сервер на маршрутизаторах D-Link серии DSR

Октябрь, 16th 2014

маршрутизатор D-Link DSR-500N

Ранее, на страницах блога, я рассказывал о настройке OpenVPN сервера на базе FreeBSD. Однако, существуют и аппаратные решения для реализации подобного шифрованного канала связи. Мне известны два таких решения - Microtik c их RouterOS и маршрутизаторы D-Link серии DSR. О последних сегодня и пойдет речь.

За основу взята вот эта статья http://www.dlink.ua/dsr_openvpn_settings с небольшими дополнениями уже от меня.

ВНИМАНИЕ! Функционал OpenVPN отсутствует в прошивках _RU

Последняя стабильная прошивка DSR-500N_A1_FW1.08B88_WW для DSR-500N ревизии A1 (прошивки других моделей маршрутизаторов можете найти самостоятельно на том же ftp)

читать полностью →