Pull to refresh
  • by relevance
  • by date
  • by rating

Властям Флориды пришлось заплатить $600 тысяч создателям шифровальщика-криптовымогателя

Information Security *Finance in IT
Несколько дней назад власти города в штате Флорида, США, заплатили громадную сумму в $600 тыс. создателям криптовымогателя. Это один из крупнейших известных выкупов, произведенных городскими властями злоумышленникам. При этом незадолго до заражения вся компьютерная инфраструктура городских систем была обновлена.

Проблема возникла 29 мая 2019 года, но о ней стало известно только сейчас. Все началось с банальной неосторожности — сотрудник администрации открыл электронное сообщение со приложением, которое было заражено зловредом. В итоге шифровальщик быстро распространился по административным сетям, поразив систему коммуникаций. Службе 911 даже пришлось перейти на ручную регистрацию вызовов.
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 2.1K
Comments 6

Хакерские форумы запретили рекламу и обсуждения вирусов-криптовымогателей

Information Security *Cryptography *

Команда разработчиков крупного форума Exploit, который используется для найма хакеров и рекламы услуг Ransomware-as-a-Service (RaaS), объявила, что отныне реклама программ-вымогателей запрещена и будет удалена. С аналогичным заявлением выступил русскоязычный хакерский форум XSS.

Читать далее
Total votes 9: ↑9 and ↓0 +9
Views 4.2K
Comments 10

Производитель железа для ПК Gigabyte подвергся атаке криптовымогателя RansomEXX

Information Security *Cryptography *Manufacture and development of electronics *Computer hardware

На тайваньского производителя материнских плат Gigabyte организовала атаку банда криптовымогателей RansomEXX. Она угрожает опубликовать 112 ГБ украденных данных, если компания не заплатит выкуп.

Читать далее
Total votes 12: ↑12 and ↓0 +12
Views 2.5K
Comments 1

Правообладатели США просят законности использования вредоносного ПО против пиратов

Information Security *


Организация под названием «Комиссия вопросов кражи американской интеллектуальной собственности» выпустила 84-страничный документ с отчётом о своей работе. Среди описаний бешеных темпов краж, посчитанных сомнительными методиками огромных убытков для американских компаний и прочих преувеличений в документе предлагается метод более активной борьбы с распространителями и потребителями нелицензионных копий защищенных материалов.

В частности, предлагается легализовать распространение специального вредоносного программного обеспечения, наказываюшего людей, на компьютере которых будет найден пиратский контент. В отчете описывается буквально следующее: ПО загружается на машину и каким-то образом выясняет, не пират ли вы. Если ответ на этот вопрос положительный, то содержимое накопителей вашего компьютера блокируется, а вам предлагается позвонить в полицию и признаться в преступлении.

Возможно также, что ваша веб-камера сфотографирует вас, и ПО свяжется с правоохранительными органами самостоятельно. Механизм работы трояна-вымогателя знаком специалистам информационной безопасности под названием ransomware.
Читать дальше →
Total votes 93: ↑88 and ↓5 +83
Views 53K
Comments 238

Семейства вымогателей FileCoder активизировались

ESET NOD32 corporate blog
Вредоносное ПО, которое шифрует файлы пользователей, а затем просит деньги за расшифровку, не является новым. Такие семейства получили общее название Filecoder и являются распространенным типом угроз — их называют вымогателями (ransomware). За последние несколько месяцев мы отметили значительный рост активности шифровальщиков FileCoder. Антивирусные продукты ESET обнаруживают эти угрозы как Win32/Filecoder и Win32/Gpcode.

Наша система телеметрии ESET Live Grid показывает, что еженедельное количество обнаружений объектов Win32/Filecoder выросло более чем на 200% с июля 2013 г. — в сравнение со средним показателем за январь-июнь того же года.



Больше всего пострадала от деятельности этого вредоносного ПО Россия. В других странах активность присутствует в меньшей степени.

Читать дальше →
Total votes 23: ↑18 and ↓5 +13
Views 26K
Comments 23

Новая рансомварь просит биткойны

Information Security *
image
Зверушка под названием CryptoLocker, всплыла на Реддите и в новостях на Арс Технике.

Целевая аудитория зверя — машины от ХР до 7-ки 64-бит. Зловред распространяется в аттачах к имейлам и не детектируется антивирями сразу (реддитовцы протестировали на MSE, Trend Micro WFBS, Eset, и Касперском). Жертвы ботнета Zeus так же получили данный вирус через пуш.
Читать дальше →
Total votes 89: ↑79 and ↓10 +69
Views 51K
Comments 122

Win32/Nymaim — другой вектор заражения

ESET NOD32 corporate blog
Вредоносное ПО Win32/TrojanDownloader.Nymaim представляет из себя загрузчик троянской программы, который также содержит возможности вымогателя (ransomware) и может блокировать компьютер пользователя с целью выкупа. Мы уже писали о нем раньше и отмечали, что для распространения этой угрозы злоумышленники использовали компрометацию веб-серверов под управлением Linux с последующей доставкой вредоносного кода пользователям. Установка Nymaim на компьютеры пользователей осуществлялась с использованием набора эксплойтов Blackhole, автор которого недавно был арестован правоохранительными органами. Одно из последних исследований независимого ресерчера kafeine, которое основывается на анализе одной из панелей управления этого набора эксплойтов, показывает, что злоумышленники смогли заразить почти 3 млн. пользователей с начала проведения операции «The Home Campaign».



Наш прошлый анализ Nymaim был посвящен исследованию различных методов обфускации его кода, которые злоумышленники использовали в нем с целью усложнения анализа. В этом материале мы более подробно остановимся на рассмотрении нового вектора заражения и детальном анализе протокола взаимодействия с C&C.

Читать дальше →
Total votes 34: ↑32 and ↓2 +30
Views 11K
Comments 4

Вымогатель для Android шифрует файлы на устройстве

ESET NOD32 corporate blog
На прошлой неделе наша антивирусная лаборатория обнаружила интересный образец вредоносного кода для Android. Он представляет из себя вымогатель (ransomware) для устройств под управлением Android, который шифрует файлы пользователя, а потом требует денежный выкуп за их расшифровку. Такой тип вымогателей является широко распространенным явлением в мире Windows. Злоумышленники шифруют файлы пользователя, а затем блокируют рабочий стол с требованием выкупа.



Вредоносная программа была добавлена в наши базы как Android/Simplocker. После заражения устройства, она проверяет карту памяти на предмет присутствия там определенных типов файлов, далее шифрует их и блокирует доступ к устройству с сообщением о выкупе. Simplocker производит свои операции аналогично тому, как это делают вымогатели для Windows.

Читать дальше →
Total votes 15: ↑12 and ↓3 +9
Views 18K
Comments 17

Шифровальщик Android/Simplocker нацелился на англоговорящих пользователей

ESET NOD32 corporate blog Information Security *
В прошлом месяце мы писали про появление новых модификаций шифровальщика Simplocker для Android. Злоумышленники изменили некоторые особенности поведения вредоносной программы, а также векторы ее распространения. На прошлой неделе мы обнаружили новые модификации этой вредоносной программы (обнаруживается как Android/Simplocker.I), в которых были добавлены несколько значительных усовершенствований.



Первое изменение, которое бросается в глаза, представляет из себя текстовое сообщение вымогателя. Оно теперь отображается на английском языке. Через это сообщение жертву запугивают и вымогают денежные средства, аргументируя это тем, что устройство было заблокировано правоохранительными органами, а точнее ФБР, после того как на нем был обнаружен незаконный контент в виде детской порнографии. Такие обложки вымогателей не являются редкостью в мире Windows. Сумма выкупа теперь составляет $300 (в отличие от предыдущих 260 гривен, что соответствует 16 евро или $21). Изменился также и способ оплаты, теперь он должен осуществляться с помощью сервиса MoneyPak. Как и в предыдущих версиях Simplocker, в этой версии злоумышленники продолжили использовать снимки камеры смартфона при отображении сообщения о выкупе.
Читать дальше →
Total votes 3: ↑2 and ↓1 +1
Views 6.9K
Comments 2

Win32/Virlock – первый саморазмножающийся вымогатель

ESET NOD32 corporate blog
Вредоносная программа Win32/Virlock представляет из себя первый известный на сегодняшний день вымогатель (ransomware), который специализируется на заражении исполняемых файлов, т. е. ведет себя как файловый вирус. Virlock умеет блокировать рабочий стол пользователя с требованием выкупа, шифровать файлы пользователя, а также размножать свое тело как полиморфный вирус.



Читать дальше →
Total votes 33: ↑27 and ↓6 +21
Views 47K
Comments 37

CTB-Locker — новая модификация трояна-шифровальщика FileCoder

ESET NOD32 corporate blog
Мы уже несколько раз писали про различные семейства троянов-шифровальщиков. Речь идет о модификациях семейства вредоносных программ FileCoder, а также вымогателе Win32/Virlock. Несколько дней назад наша антивирусная лаборатория начала получать сообщения о вредоносной кампании, направленной на пользователей Латинской Америки и Восточной Европы. Фишинговые сообщения электронной почты содержали информацию о «прибывшем факсе». Вложения таких сообщений содержали вредоносное ПО, которое специализируется на шифровании файлов пользователя и требовании выкупа за расшифровку в биткоинах.


Читать дальше →
Total votes 5: ↑4 and ↓1 +3
Views 31K
Comments 12

Вымогатель Android/Lockerpin.A атакует пользователей США

ESET NOD32 corporate blog
Недавно наши аналитики зафиксировали очередной всплеск активности злоумышленников, которые распространяли одну из модификаций вымогателя для Android. Ранее мы уже наблюдали семейства вымогателей, которые также совмещали в себе функции фальшивого антивируса (Fake AV) и могли блокировать экран устройства пользователя (напр., Android Defender). В прошлом году мы также писали о вымогателе Simplocker, представляющем из себя первую вредоносную программу – вымогатель для Android, которая содержала в себе возможности по шифрованию файлов.



В предыдущих версиях вымогателя для Android типа LockScreen, механизм блокировки экрана обычно реализовывался методом постоянной прорисовки окна вымогателя на переднем плане, причем такая операция выполнялась в бесконечном цикле, чтобы никто не мог прервать ее. С другой стороны, преодоление такого механизма самозащиты не представляло сложности для опытного пользователя, он мог использовать для разблокировки механизм Android Debug Bridge (ADB) или отключить права Администратора, а также удалить вредоносное ПО в безопасном режиме (Safe Mode).

Читать дальше →
Total votes 3: ↑3 and ↓0 +3
Views 6.5K
Comments 4

Как проанализировать файл на вредоносность?

Cisco corporate blog Information Security *
Если верить последнему отчету компании Verizon за 2015 год, то сегодня 70-90% всего вредоносного кода уникально для каждой организации и поэтому нередко происходят ситуации, когда в организацию по какому-либо каналу (почта, Web, флешка, мобильное устройство и т.п.) приходит файл, который вызывает подозрение, но при этом антивирус «молчит» и ничего в отношении данного файла не сигнализирует. Как быть в такой ситуации? Дать файлу попасть в сеть и начать по ней распространяться? Или удалить его? Или поместить в карантин? А может быть есть способ все-таки проанализировать файл и выдать по нему вердикт? Пусть и без названия вируса или трояна. Да, такой вариант есть — называется он Threat Intelligence Platform.
Читать дальше →
Total votes 15: ↑8 and ↓7 +1
Views 8K
Comments 31

Создатели программ-вымогателей и мошеннических сайтов техподдержки объединяются

ua-hosting.company corporate blog Information Security *

Пока первые держат файлы в заложниках, вторые выставляют баснословные счета за устранение на компьютере несуществующих проблем


Внимание специалистов Symantec привлекло слияние двух серьезных онлайн угроз, способных вызвать большие проблемы в случае, если интернет-пользователям придется с ними столкнуться.

Некоторые веб-сайты, предлагающие весьма сомнительные услуги техподдержки, также используют программы-вымогатели, которые блокируют файлы пользователей, взымая плату за расшифровку.

Мошеннические ресурсы техподдержки пытаются убедить пользователей, что на их компьютере обнаружены неполадки, а затем предлагают по завышенной цене программное обеспечение или дополнительные услуги для устранения проблемы. Как правило, механизм запускается при помощи всплывающего сообщения с указанным контактным номером для совершения звонка или ссылкой для скачивания программного обеспечения.
Читать дальше →
Total votes 20: ↑11 and ↓9 +2
Views 12K
Comments 6

2015 – год Cryptolocker, и как кибер-преступники совершенствовали свои атаки

Panda Security в России и СНГ corporate blog Information Security *
Translation


В конце 2013 года появились первые признаки новых угроз, которые вскоре станут одним из самых прибыльных видов атак, осуществляемых кибер-преступниками. Cryptolocker – наиболее популярное семейство ransomware, которое в конечном итоге стало использоваться в качестве названия для всех угроз подобного типа.

Эта угроза всегда работает по одному и тому же сценарию: шифрует документы и требует выкуп для того, чтобы восстановить зашифрованные документы.

В этом году мы уже писали о принципах работы Cryptolocker. Кратко о том, каким образом происходит шифрование файлов уже после
Читать дальше →
Total votes 18: ↑14 and ↓4 +10
Views 17K
Comments 12

Специалисты Emsisoft обнаружили вымогатель на JavaScript

ESET NOD32 corporate blog
Специалисты компании Emsisoft обнаружили вредоносную программу — вымогатель, которая написана на JavaScript. Она получила название Ransom32 и используется злоумышленниками для вредоносных кампаний, аналогичных распространению многих других семейств такого типа вредоносного ПО. Злоумышленники выбрали высокий уровень анонимности для работы с Ransom32, для связи со своим управляющим C&C-сервером вымогатель использует анонимную сеть Tor, а оплата выкупа осуществляется в биткоинах.



Использование JavaScript делает вымогатель кроссплатформенным, он может использоваться как для Microsoft Windows, так и для Linux и Apple OS X. Ключевой особенностью Ransom32 является модель распространения этого вымогателя для киберпреступников. Она представляет из себя модель Software as a service (SaaS), при этом для получения доступа к административной панели управления вредоносной программой и ее генерации, им нужно всего лишь указать адрес своего кошелька Bitcoin.

Читать дальше →
Total votes 23: ↑22 and ↓1 +21
Views 20K
Comments 30

Security Week 01: Вымогатель на Javascript, $100k за баг в Adobe Flash, зашифрованное светлое будущее

«Лаборатория Касперского» corporate blog Information Security *Cryptography *
Важным событием конца декабря стала конференция Chaos Communication Congress. Материалы с нее можно найти по ключевому слову 32c3, где 32 — порядковый номер мероприятия, начиная с 1984 года. Интересных исследований на мероприятии в Гамбурге было немало. Например, эксперты Феликс Домке и Даниель Ланге подробно рассказали о технической стороне «дизельгейта», включая особенности работы современных управляющих систем автомобилей. А здесь можно посмотреть монументальную 110-страничную презентацию об уязвимости железнодорожных систем, и прийти к выводу, что IT в поездах применяется широко, много, везде по-разному, и часто с применением стандартного ПО (Windows XP) или типовых протоколов беспроводной связи (GSM), недостатки которых с точки зрения безопасности широко известны и активно эксплуатируются (к счастью, пока в других местах).

А вот новость (презентация и ссылка на исследовательскую работу внутри) о том, что уникальные особенности стиля программирования просачиваются даже в скомпилированный код. Хотя данная тема и является достаточно узкоспециализированной, я вижу в ней нечто большее: возможно в ближайшем будущем картинка справа окончательно потеряет актуальность. Не потому, что все за всеми будут следить, а благодаря поведенческому анализу — пользователя можно будет идентифицировать по тому, как он взамодействует с сайтом, приложением или чем-то еще так же, как программиста — по тому, как тот пишет код. Вот кстати Apple буквально вчера приобрела стартап, специализирующийся на анализе человеческих эмоций. В общем, 2016-й год начинается интересно. А мы продолжаем наблюдение. Предыдущие серии доступны здесь.
Читать дальше →
Total votes 10: ↑9 and ↓1 +8
Views 14K
Comments 6

Security Week 07: Apple против ФБР, глобальная уязвимость в glibc, криптолокеры и медицина

«Лаборатория Касперского» corporate blog Information Security *
Неделя с лишним рабочим днем выдалась насыщенной и сбалансированной. События вокруг спора между Apple и американскими госорганами в лице ФБР и Минюста продолжают развиваться, но уже сейчас ясно, что они серьезно повлияют на развитие индустрии безопасности в части защиты личной информации. В отличие от этой чисто политической истории, критическая уязвимость в библиотеке glibc представляет собой новость абсолютно техническую, но, прямо или косвенно, тоже затрагивает всех.

Хочется сказать, что на этой неделе активизировался спор за возможность влиять на развитие технологий: между, так сказать, технарями и гуманитариямиполитиками. Первые руководствуются возможностью реализовать ту или иную функциональность в софте и железе, вторые — необходимостью договариваться с различными заинтересованными сторонами. На самом деле спорят не об этом. Технологии всегда развиваются независимо от того, согласны ли с этим окружающие или нет. Выводя свой спор с ФБР в общественное пространство, Apple борется за то, чтобы оставаться в авангарде этого самого технического развития. Иными словами, если Apple проиграет, и реальная (а то и воображаемая!) защищенность устройств компании каким-то образом пострадает, это не значит, что за всеми нами обязательно будет следить большой брат. Это значит, что условный вымпел с надписью «самый безопасный смартфон» перехватит какая-то другая компания.

Впрочем, это только гипотеза. Не исключено, что пока мы все бурно обсуждаем взлом зашифрованных данных, кто-то где-то копает очередную критическую дыру в очередной glibc, и когда докопает — все остальное по теме безопасности станет вообще неактуально. Рассмотрим оба случая подробнее. Все выпуски дайджеста доступны по тегу.
Читать дальше →
Total votes 16: ↑13 and ↓3 +10
Views 18K
Comments 20

Анатомия вымогателей для Android, часть 1

ESET NOD32 corporate blog
Вымогатели (ransomware) представляют из себя особый тип вредоносных программ для мобильных устройств, количество которых постоянно растет. Вымогатели можно разделить на две большие группы: первые специализируются на блокировании экрана устройства пользователя (lock-screen ransomware), а вторые шифруют на нем данные (сrypto-ransomware). За несколько лет своей деятельности оба этих типа уже привели к значительным финансовым потерям пользователей, а также потерям их личных данных.



Подобно другим типам вредоносного ПО для Android, таким как, например, SMS-трояны, вымогатели существенно эволюционировали в течение последних нескольких лет, при этом VX-авторы адаптировали многие вредоносные техники, доказавшие свою эффективность в аналогичных вредоносных программах, для настольных систем.

Читать дальше →
Total votes 10: ↑7 and ↓3 +4
Views 19K
Comments 5

Анатомия вымогателей для Android, часть 2

ESET NOD32 corporate blog
В мае 2014 г. специалисты ESET обнаружили первый вымогатель с функцией шифрования файлов для Android под названием Simplocker. Аналогичное вредоносное ПО для Windows ранее уже получило достаточно широкую распространенность и успешно использовалось злоумышленниками для вымогания значительных сумм с их жертв. Среди ярких представителей можно выделить такие семейства как Cryptolocker, Cryptowall, CTB-Locker, Torrentlocker.



После своего запуска на устройстве, вымогатель отображает пользователю сообщение с требованием выкупа, как это показано на рисунке ниже. Шифрование файлов осуществляется Simplocker в отдельном программном потоке. Вредоносная программа Android/Simplocker.A осуществляет поиск на SD-карте определенных типов файлов, таких как изображения, документы, видео со следующими расширениями: JPEG, JPG, PNG, BMP, GIF, PDF, DOC, DOCX, TXT, AVI, MKV, 3GP, MP4. Файлы шифруются с использованием симметричного шифра AES.

Читать дальше →
Total votes 11: ↑10 and ↓1 +9
Views 19K
Comments 6