Рубрика «криптолокеры»

в 18:24, , рубрики: cryptolocker, Malware, криптолокеры, реверс-инжиниринг, реверсинг malware
Ковыряем криптолокер, назовём его — «nekema» - 1

Итак, очередной криптолокер зашифровал файлы в небольшой конторе, стандартная проблема современности. Приехал посмотреть, и случилось чудо — письмо с заразой не удалили. Записал ссылку с которой грузиться файл с заразой, прочитал лекцию о важности бэкапов, перенес зараженные файлы в отдельную папку до лучших времен и покинул расстроенных бухгалтеров.

Дома решил посмотреть как происходит заражение, и проанализировать, может есть шанс восстановить данные. Что из этого вышло — под катом, добро пожаловать!
Читать полностью »

в 16:56, , рубрики: klsw, linux kernel, openvpn, Popcorn Time, Zcash, Блог компании «Лаборатория Касперского», информационная безопасность, криптолокеры

Security Week 50: социализация криптолокеров, аудит OpenVPN, уязвимость в ядре Linux - 1Только мы обсудили, что криптолокеры стали вредоносной темой года не за технологии атаки, а благодаря, скажем так, социальным аспектам проблемы, как пришла новость, это подтверждающая. Вымогатель Popcorn Time назван в честь перспективного, но зарубленного на взлете софта для удобного скачивания фильмов из торрентов. Лоренс Абрамс, владелец сайта BleepingComputer, обнаружил, что код трояна явно не дописан, из-за чего не всегда работает связь с командным центром.

Но главной особенностью трояна является альтернативный вариант расшифровки: жертве предлагается отправить друзьям ссылку, по которой, предположительно, скачивается такой же троян, и в случае если два адресата установят вредоносную программу, ключ отправителю будет предоставлен бесплатно (иначе требуют 1 BTC). Предположительно, так как сайт в сети Tor на момент анализа вредоносной программы был недоступен.

В общем, на практике конкретно эта схема работать вряд ли будет. Не стоит забывать и о том, что распространение вредоносных программ преследуется уголовным кодексом вне зависимости от намерений или необходимости срочно расшифровать рабочие документы. Но попытка интересная: дистрибуция вредоносного контента самими жертвами происходит часто, но жертвы обычно об этом не догадываются. А тут дилемма покруче, чем «платить или не платить выкуп». Очень хочется верить в то, что данная технология развития не получит.
Читать полностью »

в 17:42, , рубрики: Firefox, klsw, Mirai, Tor, vindows, Блог компании «Лаборатория Касперского», информационная безопасность, криптолокеры, роутеры

Security Week 48: локер с техподдержкой, мутации Mirai, уязвимость в Firefox и Tor - 1Начнем наш пятничный вечерний дайджест с новости о криптолокере, который настолько плох с технической точки зрения, что это даже интересно. Хотя я не могу достоверно знать, что происходит по ту сторону ландшафта угроз, могу представить, как создатели более приличных троянов-вымогателей комментируют данное творение в стиле мастера Безенчука из «Двенадцати стульев». "Уже у них и матерьял не тот, и отделка похуже, и кисть жидкая, туды ее в качель".

Троян VindowsLocker (да, именно так, через V) подробно описан специалистами компании Malwarebytes и независимым исследователем TheWack0lian (новость, исследование). После шифрования данных троян предлагает позвонить в техподдержку (бесплатный звонок на территории США, все как у приличных людей), и обсудить возможность выкупа в 350 долларов. Командного центра нет, вместо него троян отправляет ключи для разблокировки на pastebin. Сделано все максимально криво: в большинстве случаев ключ нормально не отправляется, соответственно и преступники его не видят. То есть деньги (после переговоров) они собрать могут, а расшифровать данные — нет.

После звонка в «техподдержку» происходит следующее: создается сессия RDP, и скаммеры прямо на компьютере пользователя сначала открывают официальную страницу техподдержки Microsoft, а поверх ее — форму регистрации, где мотивируют жертв передать им номер соц. страхования и кредитной карты с секретным кодом. В этом косноязычном киберпостмодернизме, если постараться, можно разглядеть попытку нацелить криптолокерский бизнес на более широкую аудиторию — ту, что с биткоином и даркнетом справиться не сможет. Но нет, на самом деле это просто просто очень плохой троян.
Читать полностью »

в 14:39, , рубрики: bart, ios10, klsw, антивирусная защита, Блог компании «Лаборатория Касперского», информационная безопасность, криптолокеры

Security Week 26: Слив данных через вентилятор, ядро iOS расшифровали, криптолокер на парольных архивах - 1Есть такая категория исследований в области ИБ, которую я называю «страшилками из будущего». Ни в коем случае не хочу умалять достоинства таких исследований: часто бывает так, что угроза, считающая очень теоретической, лет через десять после исследования становится вполне реальной. Конечно же, это всегда происходит неожиданно. К подобным потенциальным уязвимостям можно отнести, например, перепрограммирование контроллеров USB, атаки на алгоритмы, используемые для шифрования данных, и даже, например, уязвимость в USB-приемниках для беспроводных клавиатур и мышей. Последний пример особенно показателен: это вовсе не теоретическая атака, но все же очень трудоемкая. Пока есть методы проще, сложными пользоваться не будут. Или лучше по-другому сказать: момент, когда такими методами все же начнут пользоваться, ознаменует качественно новый уровень защищенности IT-систем. Куда более продвинутый, чем сейчас.

Так вот, исследователи из израильского Университета имени Бен-Гуриона показали новую атаку такого типа, которая теоретически позволяет проникнуть в air-gapped системы. Air-gapped — это такой устоявшийся термин для компьютерной инфраструктуры на критически важных объектах, которая с целью максимальной защиты отключена и от интернета, и от менее важных сетей того же предприятия. Уже давно понятно, что этот метод — не панацея, смотрите пример Stuxnet, который очевидно заражал такие тщательно охраняемые системы, распространяясь на USB-флешках («Привет, я тут фильм скачал новый, на посмотри пока на работе сидишь»).

Предположим, что в ответственных конторах после этого случая залили эпоксидкой все разъемы. Стало ли безопаснее? Не совсем. В исследовании (Исходник в PDF, статья на Wired) показано, как можно сливать данные с защищенного компьютера, изменяя скорость вращения вентилятора на процессоре.
Все выпуски сериала — тут.
Читать полностью »

в 15:51, , рубрики: flash, IBM, klsw, watson, windows, zeroday, антивирусная защита, Блог компании «Лаборатория Касперского», информационная безопасность, искусственный интеллект, криптолокеры

Security Week 19: искусственный интеллект в безопасности, zero days у Microsoft и Adobe, иной взгляд на криптолокеры - 1Начнем выпуск с еще одной производственной новости: компания IBM намерена использовать суперкомпьютер Watson для решения задач в области информационной безопасности (новость, официальный пресс-релиз). Напомню, Watson — это, как говорится в официальных документах, программно-аппаратный комплекс (кластер из 90 серверов), способный отвечать на вопросы на естественном языке, или некая реализация искусственного интеллекта. В 2011 году Watson одержал победу над жалкими людишками многократными победителями в игре Jeopardy (у нас это «Своя игра»).

В IBM хотят научить Watson обрабатывать большой поток связанной с ИБ информации, так, чтобы суперкомпьютер мог «отличать вирусы от троянов». Для этого IBM будет сотрудничать с рядом американских университетов, студенты которых будут соответствующим образом готовить информацию для дальнейшей обработки. Данных получится много, речь идет о миллиардах записей. Впрочем, пока рано говорить о том, что искуственный интеллект и человекоподобные роботы защитят нас от всех киберугроз. Конечные цели в анонсе даны очень широкими мазками: «автоматизировать нахождение взаимосвязей между данными [об инцидентах], потенциальными угрозами и стратегиями защиты».

С одной стороны, тема машинного обучения, искусственного интеллекта и поиска аномалий в огромном потоке данных (например, в сетевом трафике) весьма перспективна, да собственно уже сейчас такие алгоритмы широко применяются: начиная от детектирования новых угроз на основе информации о предыдущих инцидентах и до выявления сложных, таргетированных атак. С другой, почти все в индустрии согласны, что абсолютно все автоматизировать не получится, даже если оснастить парой Ватсонов каждое крупное предуприятие. Доля «ручного труда», а точнее необходимость в высококлассных экспертах для расследования угроз, остается весьма высокой. Большую роль в безопасности играет человеческий фактор, а это совсем уж плохо алгоритмизируемая задача. Впрочем, IBM формулирует задачу корректно: «дать новые возможности экспертам по безопасности». Не заменить их. В этом ключевое отличие данной инициативы от иных попыток порекламироваться на теме машин лернинга, обещая, что «компьютер все поймет», и сам научится детектировать любые атаки. Не научится. Почему — объясню под катом.

Предыдущие выпуски сериала — тут.
Читать полностью »

в 14:43, , рубрики: android, klsw, Viber, антивирусная защита, Блог компании «Лаборатория Касперского», информационная безопасность, криптолокеры, шифрование

Security Week 16: взлом мыши с 225 метров, детектор криптолокеров в Mac OS X, миллион долларов за взлом iPhone - 1Самое заметное изменение в новостном фоне по теме инфобезопасности по сравнению, скажем, с осенью прошлого года — это бурные дебаты вокруг и около шифрования данных. Начавшись с теоретических изысканий о потенциальных уязвимостях, например, в SHA-1, тема приобрела сугубо практический окрас по мере развития диспута между Apple и ФБР, с переходом мессенджера Whatsapp на полное шифрование данных и с повышением внимания к проблеме криптолокеров (хотя казалось бы, причем здесь они?). Криптолокеры здесь может и действительно не при чем, но не могу не отметить иронию положения: в одном случае прогрессивная часть общества ратует за полное шифрование данных, в другом — испытывает немалую боль от того, что данные зашифровались без спроса, и как правило очень надежно. Шифрование — не панацея, если все остальное ломается без труда. Только комплексная защита информации, только хардкор.

Вот и на этой неделе ФБР прозрачно намекнуло, во сколько обошелся взлом того самого iPhone 5c, про который был суд с Apple. Больше 1 миллиона долларов, предположительно за zero-day уязвимость, которая позволила обойти защиту устройства. Напомню, в сентябре прошлого года сумму такого же порядка обещала заплатить за уязвимость компания Zerodium. И вроде грустно как-то: защищай-не защищай, все равно взломают толстосумы. Но гарантировать 100% безопасность данных в принципе невозможно, и по сути любая защита пытается лишь сделать взлом неоправданно дорогим. Так что в контексте истории про iPhone это хорошая новость: сломать стоит дорого.

Другие компании тоже не собираются отдавать пользовательские данные задешево. По-крайней мере, когда им самим это не приносит прибыли, одни репутационные издержки. Внедрить полное шифрование всех коммуникаций на этой неделе пообещал Viber, они утверждают что смогут видеть только факт коммуникации между двумя абонентами (=метаданные), но не содержимое. И только Blackberry продолжает защищать произвольный доступ к личной переписке по запросу органов. Никто особо не против, но подход Blackberry, в свое время бывшей пионером защищенных мобильных коммуникаций, кажется устарел.

Далее: особенности взлома компьютеров через мышь на расстоянии и как сделать детектор криптолокеров, который то ли работает, то ли нет. Предыдушие выпуски тут.
Читать полностью »

Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js