Безопасность. Вирусы

Подписаться на эту рубрику по RSS

«Это не секрет — просто это не ваше дело». Каким образом Роскомнадзор сможет заблокировать Tor.

Сентябрь, 15th 2017

Tor

Времена меняются, а маразм в головах наших законотворцев год от года только крепчает. Никто не даст гарантии, что по очередному нелепому закону, какой-то комментарий или пост в сети, оставленный пару лет назад, нельзя будет причислить к экстремистским высказываниям. Промывки мозгов по зомбоящику уже недостаточно, теперь правительство всерьёз взялось за интернет. По доброй традиции, всё это проходит под видом борьбы с терроризмом, и в целом, заботой о нас с вами.

читать полностью →

Шифрование файлов с помощью OpenSSL

Сентябрь, 14th 2017

Шифрование файлов с помощью OpenSSL

Иногда бывает нужно зашифровать какой-то архив или отдельный файл, обезопасив таким образом доступ к нему посторонним. Несколько лет назад, я уже рассказывал о хранении шифрованных данных в облаке Яндекс.Диск, тогда рассматривалось создание шифрованного образа диска средствами Mac OS X.

Сегодня, будем шифровать данные с помощью библиотеки OpenSSL, входящей в состав любого *NIX дистрибутива. К сожалению, самый распространённый архиватор tar, не умеет самостоятельно шифровать данные, но мы ему в этом поможем.

читать полностью →

Отзыв пользовательских сертификатов OpenVPN на FreeBSD 10/11

Сентябрь, 13th 2017

Решил дополнить последний пост о настройке OpenVPN сервера на FreeBSD 10/11. В прошлый раз, оставил без внимания вопрос об отзыве пользовательских сертификатов, а ведь данная тема, рано или поздно, встаёт перед любым администратором.

Как вы, наверное, уже знаете, начиная с 10-ой версии FreeBSD изменился процесс создания и управления сертификатами. Ранее для отзыва сертификатов использовался специальный скрипт revoke-full. Отныне, за все действия с сертификатами, в том числе и за отзыв, отвечает один единственный shell-скрипт easyrsa.real, что согласитесь, гораздо удобнее. Пример отзыва сертификата пользователя user01:

переходим в каталог easy-rsa
# cd /usr/local/etc/openvpn/easy-rsa
удаляем сертификат пользователя user01 из базы
# ./easyrsa.real revoke user01
создаем файл с отозванными сертификатами
# ./easyrsa.real gen-crl

Осталось скопировать полученный файл crl.pem в каталог с остальными ключами (в моём случае это /usr/local/etc/openvpn/keys/). Также не забудьте в конфиге OpenVPN сервера (server.conf) раскомментировать соответствующую строку о проверке отозванных сертификатов:

crl-verify /usr/local/etc/openvpn/keys/crl.pem

СПАМ. Ошибка доставки почты (отсутствует SPF запись в DNS)

Август, 28th 2017

SPF запись в DNS

Ставил на прошлой неделе новый почтовый сервер. Изменения были весьма масштабными, кроме всего прочего, поменялся и статический ip, который ранее выдавал провайдер. Следствием этого получили очередной виток борьбы со всякими спамбазами, где адреса блокируются целыми блоками (вообще, конечно, это забота провайдера выдавать чистый IP-адрес, вот только заниматься такими вещами провайдеры считают выше своего достоинства). Но, сегодня речь не об этом...

читать полностью →

Controlled Folder Access - новая фунция Windows 10 для борьбы с шифровальщиками

Июль, 10th 2017

шифровальщики. WannaCry и Petya

До Мелкософта наконец дошло что шифровальщики приобрели по-настоящему массовый характер, особенно это стало заметно после масштабных эпидемий WannaCry и Petya. Шифровальщики приносят весьма не плохие деньги, их уже стали продавать по схеме Ransomware-as-a-Service (RaaS) (вымогатель как услуга), таким образом приобрести и распространять его может практически любой желающий обогатиться подобным образом.

читать полностью →

[ВАЖНО] Распространение Wana Decrypt0r временно приостановлено

Май, 14th 2017

Wana Decrypt0r

Наверняка все уже в курсе, что 12 мая десятки тысяч компьютеров по всему миру стали жертвами атаки шифровальщика Wana Decrypt0r (он же WCry, WannaCry, WannaCrypt0r и WannaCrypt). Главными целями стали Россия, Украина и Тайвань. У нас же от Wana Decrypt0r пострадали Минздрав России, «Мегафон», РЖД, МВД, Сбербанк и это только самые известные. Наверное, это первый вымогатель на моей памяти, который попал даже в выпуски новостей по зомбоящику.

читать полностью →

В сеть выложили ключи для криптовымогателя Dharma и уже появились инструменты для дешифровки.

Март, 09th 2017

криптовымогатель Dharma

Весна началась с весьма интересного события, а именно 1 марта, на одном забугорном форуме BleepingComputer, некий пользователь под ником gektar, выложил ключи для всех версий шифровальщика Dharma (вот сама ссылка на мастер-ключи с форума http://pastebin.com/SKfGE5TM).

Похожая ситуация случилась год назад, когда в сеть утекли мастер-ключи от другого шифровальщика CrySiS. Честно говоря не совсем понятно откуда они берутся, тут можно только предполагать, что это такая своеобразная война среди авторов малвари, в случайную утечку тут слабо вериться.

читать полностью →

Выделение статических ip адресов клиентам OpenVPN

Февраль, 02nd 2017

Я уже не раз рассказывал как сконфигурировать собственный OpenVPN сервер. Пользователи подключаются по сертификатам и им динамически выдаются свободные ip-адреса из заданного диапазона. Встала задача выдавать некоторым клиентам постоянные ip-адреса, чтобы была возможность подключаться к ним тоже.

Собственно, решается это довольно просто, если знать как. В файл конфигурации сервера OpenVPN нужно добавить буквально пару строк:

client-to-client
ifconfig-pool-persist ipp.txt
  • client-to-client - разрешаем клиентам видеть друг-друга в сети
  • ifconfig-pool-persist ipp.txt - наличие этой строки указывает, что перед тем как выдать клиенту свободный адрес из пула, сервер должен свериться с файлом ipp.txt, в котором прописывается привязка имени пользователя к ip-адресу.

Файл ipp.txt должен иметь следующий формат:

username1,ip-address
username2,ip-address
username3,ip-address

username1, username2 и username3 соотвествуют именам выданных сертификатов пользователей.

Снова о шифровальщиках. Вымогатели стали предлагать купить иммунитет от новых версий и где найти дешифраторы.

Январь, 12th 2017

шифровальщик. ransomware

Наверное уже сложно найти человека который не слышал про вирусы-шифровальщики, однако, даже зная об опасности, мало кто понимает что ежедневно подвергается риску подцепить эту заразу. Кажется что всё это где-то там... а оно уже вокруг нас здесь и сейчас... алгоритмы криптовымогателей постоянно усовершенствуются и аппетиты их только растут.

читать полностью →

В борьбе с троянами-вымогателями наметился прогресс

Декабрь, 16th 2016

Эксперт по информационной безопасности Michael Gillespie выпустил уже несколько бесплатных утилит, вскрывающих шифрование троянов-вымогателей и создал сервис ID Ransomware. На данный момент в базе имеются сведения о 257 семействах троянов-вымогателей. Утилита RansomNoteCleaner помогает жертвам троянов избавиться от мусора, которым те забивают диски.

читать полностью →

Программа-криптовымогатель шифрует пользовательские файлы в «оффлайне»

Ноябрь, 06th 2015

Программа-криптовымогатель

В очередной раз хочу предупредить НЕ ОТКРЫВАЙТЕ НЕПОНЯТНЫЕ ПИСЬМА! Чаще всего они маскируются под вполне нормальные от ваших друзей или клиентов, либо содержат в заголовках что-то типа «На вас заведено уголовное дело, срочно прочтите». О таких письмах я уже писал ранее.

Разного рода ransomware, программ-криптовымогателей развелось сейчас довольно много. Некоторые просто блокируют ПК, пока пользователь не заплатит. Иные разновидности такого ПО шифруют файлы, отправляя ключ на сервер, контролируемый мошенниками. Но есть и другие виды криптовымогателей, которые действуют еще более оригинально.

Исследователи из компании Check Point недавно провели анализ работы одной из разновидностей такого рода программ, которая использует альтернативный метод шифрования файлов и предоставления ключа своим создателям. Сама программа — не новая, впервые ее заметили в июне прошлого года. С тех пор автор неоднократно обновлял свое творение (примерно раз в два месяца), криптовымогатель постоянно эволюционирует и совершенствуется. По мнению специалистов по информационной безопасности, этот образец был создан русскоязычными злоумышленниками, и работает это ПО, как правило, с пользователями из России.

читать полностью →

Как удалить китайский вирус (антивирус?) baidu

Сентябрь, 13th 2015

Как удалить китайский вирус Baidu

Сегодня расскажу про одну китайскую тарабарщину, так как она стала встречаться с завидной регулярностью. Baidu - именно так называется это детище наших китайских друзей, штука весьма своеобразная. Полной уверенности что это чистой воды вирус нет, скорее нечто похожее на лезущий без спроса McAfee Security Scan Plus.

Baidu PC Faster, по уже сложившейся "доброй" традиции, идет паровозом вместе с какой-то другой программой. Сейчас это сплошь и рядом, потому ВСЕГДА ВНИМАТЕЛЬНО СЛЕДИТЕ ЗА УСТАНОВЛЕННЫМИ ГАЛОЧКАМИ по умолчанию, которые за вас заботливо расставили разработчики. Примеров подобных масса: Майл.ру агент, Амиго, Яндекс.браузер и так далее. Последний хоть и вполне себе ничего, но подобный способ распространения вызывается отторжение.

читать полностью →

Как удалить Yamdex.net в браузере. Избавляемся от Yambler.net, Webalta и Амиго

Март, 03rd 2015

yamdex.net

Yamdex.net, yambler.net, webalta, Амиго... полагаю, что-то из этого вы наблюдаете на своем компьютере или ноутбуке, иначе не искали бы как избавиться от этого безобразия. И так, при запуске любого браузера - Google Chrome, Mozilla, Internet Explorer, вы неожиданно попадаете на yamdex.net или yambler.net, а может еще что-то подобное с полным набором рекламных баннеров сомнительного содержания.

Браузер Амиго от Mail.ru сюда попал до кучи, за назойливость, заточен на соцсети и часто его установка сопровождается троянами.

Ежу понятно, что словили трояна и как показывает практика, обычно не одного. Для начала стоит проверить компьютер антивирусом, желательно свежим (сам предпочитаю DrWeb, не сочтите рекламой). DrWeb, можно скачать вполне легально с демонстрационным ключом с официального сайта https://download.drweb.ru.

Однако, если у вас сидит троян, то попасть на сайт антивируса скорее всего не удасться. Попросите закачать его кого-то из друзей или воспользуйтесь другим компьютером. Процесс лечения описывать не стану - там всё просто. Перейдем к главному - навязчивым Yamdex.net, Yambler.net, Search Protect и Webalta.

читать полностью →

OpenVPN сервер на маршрутизаторах D-Link серии DSR

Октябрь, 16th 2014

маршрутизатор D-Link DSR-500N

Ранее, на страницах блога, я рассказывал о настройке OpenVPN сервера на базе FreeBSD. Однако, существуют и аппаратные решения для реализации подобного шифрованного канала связи. Мне известны два таких решения - Microtik c их RouterOS и маршрутизаторы D-Link серии DSR. О последних сегодня и пойдет речь.

За основу взята вот эта статья http://www.dlink.ua/dsr_openvpn_settings с небольшими дополнениями уже от меня.

ВНИМАНИЕ! Функционал OpenVPN отсутствует в прошивках _RU

Последняя стабильная прошивка DSR-500N_A1_FW1.08B88_WW для DSR-500N ревизии A1 (прошивки других моделей маршрутизаторов можете найти самостоятельно на том же ftp)

читать полностью →

Реклама в браузере, как убрать?

Сентябрь, 21st 2014

Реклама в браузере, как убрать?

Всё чаще можно встретить проблему всплывающей рекламы в браузере, причем наблюдается она абсолютно на всех сайтах. Признаки одинаковы для всех браузеров, будь то Google Chrome, Яндекс браузер или Opera - при клике в любом месте любого сайта появляются всплывающие окна с рекламой сомнительного содержания. Постараюсь рассказать как убрать гадость.

читать полностью →

Все папки и файлы на флешке стали ярлыками

Сентябрь, 20th 2014

папки и файлы на флешке стали ярлыками

Пожалуй, самый явный вид заражения, это когда все файлы и папки на флешке вдруг превратились в ярлыки. Хоть его и видно невооруженным взглядом без всяких антивирусов, в результате неграмотных действий пользователя, последствия могут быть печальными.

Если на флешке были очень важные файлы, трудно удержаться от соблазна удостовериться что ними всё в порядке, ткнуть мышкой в знакомые до боли названия... а вот этого делать совсем не стоит!

читать полностью →

Как снять пароль любого пользователя в Windows

Февраль, 13th 2014

Offline Windows Password & Registry Editor

Готовы почувствовать себя хакерами? Имея физический доступ к компьютеру, сбросить пароль любого пользователя не составит труда. Как сбросить пароль в OS X я уже писал ранее, а вот Windows осталась без внимания.

Поможет нам в этом небольшая утилитка Offline Windows Password & Registry Editor, позволяющая снимать пароли пользователей или повышать их в правах, начиная с Windows NT3.5 и до Windows 8.1. Также поддерживаются серверные версии Windows Server 2003, 2008 и 2012.

На сайте разработчика предлагается два варианта для загрузки - в виде iso образа диска и вариант для создания загрузочной флешки (оба по 18Mb). На мой взгляд, флешка предпочтительнее.

читать полностью →

Ответ компании DrWeb о троянцах-шифровальщиках семейства Encoder. Возможно ли восстановить файлы.

Январь, 16th 2014

Салют буржуа! Наши быстроходные катера, атаковали ваш файловоз.

"Салют буржуа! Наши быстроходные катера, атаковали ваш файловоз. Ваш компьютер взят на абордаж командой Африканских пиратов...". Текст сообщения - дурь редкостная, однако от этого не легче. Тема троянцев-шифровальщиков продолжает набирать обороты в сети.

Сейчас, когда данный вид вымогательства стал сильно популярен, любителям кликать по всем ссылкам без разбора остается только пожелать удачи. Впрочем, только безвозвратно потеряв важные файлы и можно научить людей делать резервные копии и думать, прежде чем открыть очередной мега-ускоритель-интернета, узнать секретный способ сказочного обогащения не отрывая жопы от стула или скачать супер-сжигатель жира с беспроигрышного интернет-казино.

Буквально месяц назад писал об одном из способов распространения данной заразы с помощью поддельных писем из арбитражного суда. Прошло чуть более года с того момента когда я впервые столкнулся с вирусами шифровальщиками и на тот момент не было вообще никаких инструментов, дающих хоть какой-то шанс на восстановление данных.

Сейчас уже есть некоторые позитивные сдвиги в борьбе с вымогателями, однако это всё-равно большая лотерея. Компания DrWeb продолжает оказывать бесплатные услуги по расшифровке (если есть возможность), однако с 19 июня 2013 года к рассмотрению принимаются только заявки от владельцев коммерческих лицензий на продукты Dr.Web. Привожу ссылку, по которой можно подать заявку:

читать полностью →

СУДЕБНОЕ РАЗБИРАТЕЛЬСТВО! Внимание! Поддельные письма из арбитражного суда с вирусом-шифровальщиком

Декабрь, 10th 2013

СУДЕБНОЕ РАЗБИРАТЕЛЬСТВО! Письмо из Арбитражного суда

Буквально за три последних дня, ко мне обратилось сразу несколько знакомых с вопросом про странное письмо из арбитражного суда. Один раз мне его даже переслали с просьбой открыть, благо самостоятельно открывать его пытались на Mac и на iPad, потому всё обошлось без последствий.

Догадались о чем речь? Именно так, в большинстве случаев люди приобретают себе вирусы-шифровальщики. Вирус шифрует пользовательские файлы - текстовые документы, фотографии, базы данных 1С, электронные таблицы и pdf. Это просто бич какой-то, при условии что найти дешифратор под каждый конкретный экземпляр практически невозможно.

читать полностью →

Запрет на использование USB-накопителей в Mac OS X

Июль, 24th 2013

Помнится, я уже писал о том как принудительно запретить использование USB-накопителей в Windows. Надо признать, что в боевых условиях, Windows порой ведет себя непредсказуемо и странным образом некоторые компы возвратили былую способность читать флешки. Маки ведут себя более достойно, как и все unix-системы в целом.

В Mac OS X, за работу USB-устройств хранения данных (флэшек и внешних жестких дисков) отвечает расширение ядра IOUSBMassStorageClass.kext. Собственно, удалив или переименовав (рекомендую) это расширение мы полностью устраним возможность ипользовать USB-накопители. Отсутствие IOUSBMassStorageClass.kext не влияет на другие устройства, такие как USB принтеры, мышь или клавиатуру.

Для включения/отключения данного расширения, необходимы права администратора. В терминале переходим в каталог /System/Library/Extensions/ и переименовываем IOUSBMassStorageClass.kext в IOUSBMassStorageClass.kext.bak. После чего желательно изменить дату каталога /System/Library/Extensions командой touth и перезагрузить компьютер:

$ cd /System/Library/Extensions
$ sudo mv IOUSBMassStorageClass.kext IOUSBMassStorageClass.kext.bak
$ sudo touch /System/Library/Extensions

Важно! Необходимо проделать данное действие всякий раз при обновлении системы.

Конечно, в версии сервер можно наложить запрет на использование USB-накопителей отдельным пользователям системы, но я рассказал именно про обычные версии, где нет Server.app. Данный способ не отсебятина, а взят из реального руководства к Snow Leopard.