Comments 24
Но это же касается только пользователей windows. Обычным людям-то оно нафиг сдалось?
И чем же по-вашему пользователи Windows такие необычные?
Их очень мало? Оглянулся по отделу — 2 винды, три десятка маков, десяток линуксов.
Во первых: то что таких людей мало в вашем окружении еще не делает их «необычными».
Во вторых: ваша выборка не репрезентативная, не стоит строить мнение о группе людей лишь по двум из этой группы.
Во вторых: ваша выборка не репрезентативная, не стоит строить мнение о группе людей лишь по двум из этой группы.
А ваша выборка репрезентативнее моей. Почему?
О моей выборке здесь речь не идет, она здесь попросту не представлена. Но если вам интересно, то насчет выборки используемых ОС (и не только) предпочитаю использовать статистику на StatCounter.
Зашёл на их сайт, почитать как они считают. А они, оказываются, используют xss для сборка статистики. А он заблокирован, внезапно:
When a visitor visits your webpage with the installed HTML and Javascript code, their anonymous details are sent to StatCounter to be recorded.
Привет RequestPolicy, так сказать.
When a visitor visits your webpage with the installed HTML and Javascript code, their anonymous details are sent to StatCounter to be recorded.
Привет RequestPolicy, так сказать.
>После нажатия на ложную кнопку, запускается шифровальщик, содержащийся внутри Zip-файл, и вредоносный Java-скрипт начинает работать в системе.
А поподробнее нельзя? Где нажимается кнопка — в браузере или почтовом клиенте? Каком именно и на какой платформе? Что значит «ложная кнопка»? Каким именно образом запускается шифровальщик? Используется какая-то zero-day уязвимость? При чём тут Zip-файл? При чём тут Java-скрипт?
Постоянно вижу подобные «загадочные» фразы в новостях про атаки и заражения, а потом оказывается что это пользователи сами запускают exe в аттаче.
А поподробнее нельзя? Где нажимается кнопка — в браузере или почтовом клиенте? Каком именно и на какой платформе? Что значит «ложная кнопка»? Каким именно образом запускается шифровальщик? Используется какая-то zero-day уязвимость? При чём тут Zip-файл? При чём тут Java-скрипт?
Постоянно вижу подобные «загадочные» фразы в новостях про атаки и заражения, а потом оказывается что это пользователи сами запускают exe в аттаче.
Именно так и запускают :). Ничего нового в мире новейших разработок в сфере шифровальщиков не придумано.
Спасибо за Ваши вопросы, уточнил в лаборатории, корректировки в статью уже внес.
В общем, все происходит таким образом:
1. Пользователь получает письмо по почте якобы от известной компании (стиль, логотип и пр. сохранены). Все выглядит как легитимное письмо
2. В самом письме нет вложений, а только суммарная информация о сумме и потреблении и кнопка для получения подробной информации по счету.
3. Когда пользователь нажимает на кнопку, он переходит на ложный веб-сайт, который выглядит как веб-сайт той компании, от лица которой якобы выступают злоумышленники
4. На сайте пользователя просят заполнить поле Captcha, чтобы получить доступ к информации.
5. После того как пользователь заполняет поле, ему предлагается скачать zip-файл.
6. В этом zip-файле содержится файл с java-скриптом, и если пользователь открывает, то скрипт скачивает и запускает шифровальщик
Данная угроза актуальна только для Windows.
Если пользователь использует другую ОС (Android, Mac, Linux), то при попытке скачивания с ложного сайта не осуществляется проверка операционной системы.
Никаких уязвимостей нулевого дня нет, используются только техники социальной инженерии.
А поподробнее нельзя? Где нажимается кнопка — в браузере или почтовом клиенте? Каком именно и на какой платформе? Что значит «ложная кнопка»? Каким именно образом запускается шифровальщик? Используется какая-то zero-day уязвимость? При чём тут Zip-файл? При чём тут Java-скрипт?
В общем, все происходит таким образом:
1. Пользователь получает письмо по почте якобы от известной компании (стиль, логотип и пр. сохранены). Все выглядит как легитимное письмо
2. В самом письме нет вложений, а только суммарная информация о сумме и потреблении и кнопка для получения подробной информации по счету.
3. Когда пользователь нажимает на кнопку, он переходит на ложный веб-сайт, который выглядит как веб-сайт той компании, от лица которой якобы выступают злоумышленники
4. На сайте пользователя просят заполнить поле Captcha, чтобы получить доступ к информации.
5. После того как пользователь заполняет поле, ему предлагается скачать zip-файл.
6. В этом zip-файле содержится файл с java-скриптом, и если пользователь открывает, то скрипт скачивает и запускает шифровальщик
Данная угроза актуальна только для Windows.
Если пользователь использует другую ОС (Android, Mac, Linux), то при попытке скачивания с ложного сайта не осуществляется проверка операционной системы.
Никаких уязвимостей нулевого дня нет, используются только техники социальной инженерии.
Спасибо за ответ! На 0day уязвимости я в общем-то и не надеялся, примерно что-то подобное я себе и представлял.
В общем, отличие от «традиционной» схемы только в том, что вредоносный файл не рассылается по почте, а скачивается по ссылке с сервера злоумышленников.
Ничего принципиально нового, к счастью, нет.)
Ничего принципиально нового, к счастью, нет.)
А что такое «java-скрипт»?
А что такое «java-скрипт»?
https://ru.wikipedia.org/wiki/JavaScript
JavaScript — это не java-скрипт. Скрипты на Java не пишутся, а JavaScript не имеет ничего общего с Java (кроме части имени и части синтаксиса).
Видимо следует уточнить, что скорее всего это не обычный JavaScript для браузера, а код для Windows Scripting Host, который по сути дела обладает всеми привелегиями обычного *.exe файла, и может что угодно запускать, загружать какие угодно COM обьекты, итп.
Обычный браузерный *.js файл не принесет сам по себе такого вреда, если только не эксплуатирует какую-либо oday уязвимость.
Обычный браузерный *.js файл не принесет сам по себе такого вреда, если только не эксплуатирует какую-либо oday уязвимость.
¿Зачем писать про угрозы, которые распространяются в основном в Испании, в российском блоге?
Эта угроза вовсю распространяется и по России.
К нам уже 4 раза такое залетало.
Причем маскируется под разные документы, не только счета. Были и судебные документы, и еще какие-то.
Бывают и другие вариации, например, без капчи.
К нам уже 4 раза такое залетало.
Причем маскируется под разные документы, не только счета. Были и судебные документы, и еще какие-то.
Бывают и другие вариации, например, без капчи.
Вы говорите про то, что используется та же самая схема, но группы то разные. В этом посте речь идет о конкретной группе, которая распространняет TorrentLocker. CERT Polska писала о этой группе в 2015 году: http://www.cert.pl/PDF/The_Postal_Group.pdf
Вот если бы Panda запостила информацию о том про что вы говорите (судебные документы, счета), с примерами писем — это совсем другое дело
Вот если бы Panda запостила информацию о том про что вы говорите (судебные документы, счета), с примерами писем — это совсем другое дело
Пользователи думают, что они выполняют безопасное действие, но на самом деле, их кибер-безопасность контролируется очень мощным шифровальщиком.
Бред какой-то написан. Шифровальщики (очень мощные!) теперь контролируют чью-то кибер-безопасность.
UFO just landed and posted this here
Статья, к сожалению, в основном рекламная. И полезной информации в ней, как в детском «Бууу!» из-за угла, маловато.
Если вкратце:
— идет активная рассылка спама со вложениями
— вложения в основном — зазипованные (или нет) PDF и MS-Office, просто исполняемые файлы и т.д.
— PDF эксплуатирует уязвимости Acrobat Reader'a, MS-Office файлы содержат макросы, которые может написать любой школьник. О JavaScript слышу впервые, всё-таки у него минимальные права по сравнению с другими типами атак.
Антивирусы могут помочь, но не всегда--от «свежих» версий вредоносного ПО они не защищают. Корпоративный файрволл (если есть) также может блокировать попытку скачать основное тело шифровальщика с мусорного сайта (мусорные сайты рано или поздно попадают в базу антивируса и блокируются, но не сразу). Для MS-Office пользователь должен явно разрешить исполение макросов (и таких хватает). Наиболее продвинутое антивирусное ПО анализирует сомнительные вложения на специальном гейте, запуская файлы в виртуальной машине. Помогает не всегда.
Основная защита от таких вредоносных программ:
— ликбез среди пользователей
— актуальный бэкап. Важно: бэкап не должен быть доступен с той машины, для которой его делают. Наоборот, бэкап-сервер должен коннектиться к защищаемой машине (CIFS, ssh) и сохранять бэкап у себя. Потому что многие шифровальщики шифруют также и те ресурсы, до которых смогут дотянуться.
— сетевые ресурсы не должны быть доступны для клиентских машин с правами записи без важной на то причины
Что делать, если есть подозрения на заражение машины? Как можно быстрее отключите её от локальной сети. Это поможет предотвратить заражение другим машин в локальной сети.
Что делать, если важные файлы таки зашифрованы? Для некоторых типов шифровальщиков есть рас-шифровальщики. Попробуйте найти их в сети. Если вам не повезло, платите деньги (рекомендация от ФБР.)
Если вкратце:
— идет активная рассылка спама со вложениями
— вложения в основном — зазипованные (или нет) PDF и MS-Office, просто исполняемые файлы и т.д.
— PDF эксплуатирует уязвимости Acrobat Reader'a, MS-Office файлы содержат макросы, которые может написать любой школьник. О JavaScript слышу впервые, всё-таки у него минимальные права по сравнению с другими типами атак.
Антивирусы могут помочь, но не всегда--от «свежих» версий вредоносного ПО они не защищают. Корпоративный файрволл (если есть) также может блокировать попытку скачать основное тело шифровальщика с мусорного сайта (мусорные сайты рано или поздно попадают в базу антивируса и блокируются, но не сразу). Для MS-Office пользователь должен явно разрешить исполение макросов (и таких хватает). Наиболее продвинутое антивирусное ПО анализирует сомнительные вложения на специальном гейте, запуская файлы в виртуальной машине. Помогает не всегда.
Основная защита от таких вредоносных программ:
— ликбез среди пользователей
— актуальный бэкап. Важно: бэкап не должен быть доступен с той машины, для которой его делают. Наоборот, бэкап-сервер должен коннектиться к защищаемой машине (CIFS, ssh) и сохранять бэкап у себя. Потому что многие шифровальщики шифруют также и те ресурсы, до которых смогут дотянуться.
— сетевые ресурсы не должны быть доступны для клиентских машин с правами записи без важной на то причины
Что делать, если есть подозрения на заражение машины? Как можно быстрее отключите её от локальной сети. Это поможет предотвратить заражение другим машин в локальной сети.
Что делать, если важные файлы таки зашифрованы? Для некоторых типов шифровальщиков есть рас-шифровальщики. Попробуйте найти их в сети. Если вам не повезло, платите деньги (рекомендация от ФБР.)
Only those users with full accounts are able to leave comments. Log in, please.
Опасайтесь онлайн-счетов с шифровальщиком: недавно обнаруженная угроза уже проявилась в разных странах