В очередной раз хочу предупредить НЕ ОТКРЫВАЙТЕ НЕПОНЯТНЫЕ ПИСЬМА! Чаще всего они маскируются под вполне нормальные от ваших друзей или клиентов, либо содержат в заголовках что-то типа «На вас заведено уголовное дело, срочно прочтите». О таких письмах я уже писал ранее.

Разного рода ransomware, программ-криптовымогателей развелось сейчас довольно много. Некоторые просто блокируют ПК, пока пользователь не заплатит. Иные разновидности такого ПО шифруют файлы, отправляя ключ на сервер, контролируемый мошенниками. Но есть и другие виды криптовымогателей, которые действуют еще более оригинально.

читать полностью →

Сегодня расскажу про одну китайскую тарабарщину, так как она стала встречаться с завидной регулярностью. Baidu - именно так называется это детище наших китайских друзей, штука весьма своеобразная. Полной уверенности что это чистой воды вирус нет, скорее нечто похожее на лезущий без спроса McAfee Security Scan Plus.

читать полностью →

Yamdex.net, yambler.net, webalta, Амиго... полагаю, что-то из этого вы наблюдаете на своем компьютере или ноутбуке, иначе не искали бы как избавиться от этого безобразия. И так, при запуске любого браузера - Google Chrome, Mozilla, Internet Explorer, вы неожиданно попадаете на yamdex.net или yambler.net, а может еще что-то подобное с полным набором рекламных баннеров сомнительного содержания.

читать полностью →

Ранее, на страницах блога, я рассказывал о настройке OpenVPN сервера на базе FreeBSD. Однако, существуют и аппаратные решения для реализации подобного шифрованного канала связи. Мне известны два таких решения - Microtik c их RouterOS и маршрутизаторы D-Link серии DSR. О последних сегодня и пойдет речь.

За основу взята вот эта статья http://www.dlink.ua/dsr_openvpn_settings с небольшими дополнениями уже от меня.

читать полностью →

Всё чаще можно встретить проблему всплывающей рекламы в браузере, причем наблюдается она абсолютно на всех сайтах. Признаки одинаковы для всех браузеров, будь то Google Chrome, Яндекс браузер или Opera - при клике в любом месте любого сайта появляются всплывающие окна с рекламой сомнительного содержания. Постараюсь рассказать как убрать гадость.

читать полностью →

Пожалуй, самый явный вид заражения, это когда все файлы и папки на флешке вдруг превратились в ярлыки. Хоть его и видно невооруженным взглядом без всяких антивирусов, в результате неграмотных действий пользователя, последствия могут быть печальными.

Если на флешке были очень важные файлы, трудно удержаться от соблазна удостовериться что ними всё в порядке, ткнуть мышкой в знакомые до боли названия... а вот этого делать совсем не стоит!

читать полностью →

Готовы почувствовать себя хакерами? Имея физический доступ к компьютеру, сбросить пароль любого пользователя не составит труда. Как сбросить пароль в OS X я уже писал ранее, а вот Windows осталась без внимания.

читать полностью →

"Салют буржуа! Наши быстроходные катера, атаковали ваш файловоз. Ваш компьютер взят на абордаж командой Африканских пиратов...". Текст сообщения - дурь редкостная, однако от этого не легче. Тема троянцев-шифровальщиков продолжает набирать обороты в сети.

Сейчас, когда данный вид вымогательства стал сильно популярен, любителям кликать по всем ссылкам без разбора остается только пожелать удачи. Впрочем, только безвозвратно потеряв важные файлы и можно научить людей делать резервные копии и думать, прежде чем открыть очередной мега-ускоритель-интернета, узнать секретный способ сказочного обогащения не отрывая жопы от стула или скачать супер-сжигатель жира с беспроигрышного интернет-казино.

Буквально месяц назад писал об одном из способов распространения данной заразы с помощью поддельных писем из арбитражного суда. Прошло чуть более года с того момента когда я впервые столкнулся с вирусами шифровальщиками и на тот момент не было вообще никаких инструментов, дающих хоть какой-то шанс на восстановление данных.

Сейчас уже есть некоторые позитивные сдвиги в борьбе с вымогателями, однако это всё-равно большая лотерея. Компания DrWeb продолжает оказывать бесплатные услуги по расшифровке (если есть возможность), однако с 19 июня 2013 года к рассмотрению принимаются только заявки от владельцев коммерческих лицензий на продукты Dr.Web. Привожу ссылку, по которой можно подать заявку:

читать полностью →

Буквально за три последних дня, ко мне обратилось сразу несколько знакомых с вопросом про странное письмо из арбитражного суда. Один раз мне его даже переслали с просьбой открыть, благо самостоятельно открывать его пытались на Mac и на iPad, потому всё обошлось без последствий.

Догадались о чем речь? Именно так, в большинстве случаев люди приобретают себе вирусы-шифровальщики. Вирус шифрует пользовательские файлы - текстовые документы, фотографии, базы данных 1С, электронные таблицы и pdf. Это просто бич какой-то, при условии что найти дешифратор под каждый конкретный экземпляр практически невозможно.

читать полностью →

Помнится, я уже писал о том как принудительно запретить использование USB-накопителей в Windows. Надо признать, что в боевых условиях, Windows порой ведет себя непредсказуемо и странным образом некоторые компы возвратили былую способность читать флешки. Маки ведут себя более достойно, как и все unix-системы в целом.

В Mac OS X, за работу USB-устройств хранения данных (флэшек и внешних жестких дисков) отвечает расширение ядра IOUSBMassStorageClass.kext. Собственно, удалив или переименовав (рекомендую) это расширение мы полностью устраним возможность ипользовать USB-накопители. Отсутствие IOUSBMassStorageClass.kext не влияет на другие устройства, такие как USB принтеры, мышь или клавиатуру.

Для включения/отключения данного расширения, необходимы права администратора. В терминале переходим в каталог /System/Library/Extensions/ и переименовываем IOUSBMassStorageClass.kext в IOUSBMassStorageClass.kext.bak. После чего желательно изменить дату каталога /System/Library/Extensions командой touth и перезагрузить компьютер:

Важно! Необходимо проделать данное действие всякий раз при обновлении системы.

Конечно, в версии сервер можно наложить запрет на использование USB-накопителей отдельным пользователям системы, но я рассказал именно про обычные версии, где нет Server.app. Данный способ не отсебятина, а взят из реального руководства к Snow Leopard.

Раньше я боялся потерять флешку по причине того, что на ней присутствует информация, доступ посторонних к которой крайне противопоказан (ключи к серверам, пароли к панелям управления хостингом, доменами, сайтами и т.д.).

В чем проблема скажете, создай тем же TrueCrypt шифрованный образ нужного размера и пользуйся. А вот неудобно каждый раз подключать данный образ к системе, тем более, что компьютеры, куда может быть воткнута данная флешка, совершенно разные. По такому случаю приобрел corsair padlock 2 - флешку с аппаратным шифрованием, перед началом использования которой неодходимо ввести пароль. Огромный плюс в том, что защита именно аппаратная, не привязана к какой-либо системе.

Однако, тревога утраты данной дивной флешки стала носить иной характер - информацию хоть и не достанут, но и копии её нигде нет. Косяк страшный. Хранить копию на домашнем компе - тоже не вариант, хочется иметь доступ не только из дома. Выход есть - использовать облачное хранилище Яндекс.Диск, тем более на халяву дают 10 Gb. Грех не воспользоваться.

Для пущей надежности хранить свои секретные данные в облаке будем в зашифрованном виде. Для этих целей можно воспользоваться, упомянутой ранее программой TrueCrypt, но мы поступим иначе, ведь надо когда-то использовать возможности нашей любимой Mac OS X.

Вы знали, что шифрованный образ диска в Mac OS можно легко сделать средствами самой системы? Если нет, то сейчас узнаете.

читать полностью →

ой…
Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические. По этой причине мы вынуждены временно заблокировать доступ к поиску.
Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить».

Надоело всякий раз объяснять, что не стоит слепо верить тому, что написано в интернете и уж тем более сообщать всем страждущим свой номер. Потому и решил написать этот коротенький пост.

То, что вы видите на картинках, банальный вирус-редиректор. Вы полагаете, что находитесь на известном сайте, к примеру Yandex или Google, но на самом деле посетили сайт злоумышленника, который лишь оформлен как известные вам странички. Доверия к таким ресурсам больше, потому гораздо проще "выудить" у вас какую-либо информацию под благовидным предлогом. Данную тему я уже затрагивал, когда писал о том как разводят на деньги в соцсетях.

читать полностью →

Заметили падение скорости интернет в пару последних дней? Сегодня многие интернет издания и крупные СМИ рассказали о «крупнейшей DDoS-атаке в истории интернета». Пришлось ощутить эти тормоза в полной мере на одном из серверов, пока временно не прикрыли на нем открытый DNS снаружи.

Основной жертвой атаки стала компания Spamhaus, которая занесла в чёрный список голландского хостинг-провайдера Cyberbunker за рассылку спама. Хостер не простил этого и организовал мощный DDoS (впрочем сейчас утверждает, что сам стал жертвой хакеров).

DDoS-атака началась еще неделю назад и вчера ее мощность выросла до 300 Гбит/с, так что смело можно утверждать, что это самая мощная атака в истории интернета на данный момент. В общем, сейчас зачинщиков "ищут пожарные, ищет милиция...".

Честно говоря мне доводилось выводить из черных списков Spamhaus вполне себе мирные домены, которым просто "не повезло", когда MX записи их почтовиков указывали на забаненные этим самым Spamhaus сети, причем без разбора. С другой стороны, НУ КАК ЖЕ ЗАДРАЛ ЭТОТ СПАМ!!!

КОРАБЛЬ НА ЯКОРЬ, ГОСПОДА!
Бонжур комрады ! Вэлком на борт нашей "Чёрной мамбы".
Ваш компьютер взят на абордаж
командой Зимбабвийских пиратов .
Ваши файлы зашифрованы нашим
морским криптографом Намбо Ваном.
Если вы, нежадный белый человек
и не психованный депутат из ЛДПР,
то, мы готовы обменять вашу драгоценную инфу,
на жалкие бумажки именуемые бабками.
Поверьте, бабло зло - отдайте его нам.
Алчных и неадекватных типов за борт.
Весёлым и находчивым скидки.
У вас три дня до отплытия корабля.
Для переговоров собираемся в кают компании, sos на мыло
Номер компании 00000100
KORSARS@POST.COM

Забавное сообщение? Это только на первый взгляд... новый вирус шифрует файлы (документы, изображения, mp3), после чего тело вируса удаляется с компьютера. И это уже приобретает масштаб эпидемии.

Вирус-шифровальщик, предположительно распространяется в почтовых сообщениях в виде исполняемого файла и, на данный момент, пропускается ВСЕМИ антивирусами! Во всяком случае ни Касперский, ни DrWeb ничего обнаружить не смогли. Конечно, вина лежит на самих пользователях, которые запускают всё без разбора, но факт остается фактом.

читать полностью →

Вот такое, серьезное с виду, предупреждение высветилось на одном из компьютеров - хоть бы без ошибок писали, грамотеи. Отдельно хочется поблагодарить одного из ночных охранников офиса и пользователя, который не удосужился поставить пароль.

читать полностью →

Мой маленький недельный отпуск закончился и работа вновь накрыла с головой. Даже столь небольшой промежуток времени был богат на события... ну да это совсем другая тема, которой посвящу один из ближайших постов.

Давненько ничего не писал о троянцах, так что встречайте нового героя - trojan.carberp.30. О Carberp я слышал только то, что он внедряется в популярные системы дистанционного банковского обслуживания, но вот попался данный экземпляр на вполне заурядном офисном компьютере.

Честно говоря, симптомы были странные, OpenOffice запускался через раз, вернее начинал стартовать только после чистки /temp/ каталога пользователя. При загрузке компьютера, DrWeb постоянно находил вирус и бережно складывал его в карантин.

Однако, полная проверка компьютера, к моему удивлению, ничего не выявила, хотя вирус продолжал упорно находиться после каждой перезагрузки.

читать полностью →

Поговорим о последствиях действий некоторых вирусов, приводящих, при запуске программ из командной строки, к ошибкам следующего плана:

На месте ping, в командной строке, с таким же успехом может быть написана любая системная программа (ipconfig, tracert, regedit и т.д.). Честно говоря, о простом решении сразу не подумал и для начала решил накатить обновление SP3 на Windows XP. Результат был нулевым.

На самом деле всё гораздо проще - были изменены пути у системной переменной PATH. Эта переменная указывает системе, где искать программы соответствующие той или иной команде. Т.е. выполнить команду можно и без этого, но в противном случае пришлось бы писать полный путь до нужной программы.

читать полностью →

Avast! был и остается довольно неплохим бесплатным антивирусом. Но по личному опыту, DrWeb с AVZ и здравым смыслом помогали решать любую проблему с зараженными машинами. Доказывать какая давилка вирусов лучше не стану, т.к. не участвую в "религиозных войнах", лучше расскажу об одном неприятном моменте, связанном с антивирусом Avast!

Разработчики Avast!, желая навечно поселить своё детище на вашем компьютере, решили не включать деинсталлер в пакет установки. В итоге, стандартными средствами, через Панель управления -> Удаление программ вы Avast! не удалите - его просто нет в списке установленных программ.

Такое поведение присуще скорее вирусам, а не программам, которые предназначены для борьбы с ними. Понимая, что так поступать не гоже, разработчики антивируса предлагают отдельную утилиту для удаления Avast! на своем сайте aswclear. Скачать её можно по этой ссылке:

http://www.avast.com/ru-ru/uninstall-utility

Теперь остается загрузить компьютер в безопасном режиме (нажать F8 перед стартом Windows) и запустить aswclear.exe. Процесс удаление происходит довольно быстро, хоть на этом спасибо.

Жил-был один ноутбук Аcer aspire 5560G, на котором немного "пошуровали" вирусы. Итог был весьма печален - ноут напрочь отказывался устанавливать видеокарту. Как я только не бился, но режим 1024x768 был ему милее всего, а на драйвера плевать он хотел.

Подозрение на то, откуда ноги растут у данной проблемы, пало на одну хитрую папку, с довольно странным и бессмысленным названием. Кроме того данная папка отказывалась отказывалась удаляться мирным путем. Проверка диска не выявила нарушений, потому пришлось копать в сторону прав на данную папку.

читать полностью →

Мы обнаружили подозрительную активность и временно заморозили Вашу страницу, чтобы вырвать ее из рук злоумышленников.

Далее просят ввести номер телефона для подтверждения... и такого рода сообщения наблюдаются при входе в наиболее популярные соцсети - Одноклассники, Facebook, ВКонтакте и Skype. Наверняка в этот же список попал и твиттер, только владельцы компьютера, с которым приключилась беда им не пользуются, потому это лишь мое предположение.

Такое поведение явно указывает на наличие вируса на компьютере. Налицо банальная переадресация запросов на сайты злоумышленников, полностью повторяющих дизайн и оформление известных соцсетей. Это и есть классический троян.

читать полностью →