В прошлую пятницу, аккурат под конец дня, когда все администраторы и специалисты по безопасности засобирались по домам и дачам, мир облетела новость о начале беспрецедентной атаке WannaCry. По истечении пары дней уже можно сказать, что не зря название этой атаки ассоциируется с песней Кита Урбана «Tonight I Wanna Cry» («Сегодня я хочу плакать»). Ее масштабы оказались достаточно зловещими — на момент написания число жертв превысило 230 тысяч и это число может вырасти, когда многие вернутся с выходных и отпусков и включат свои домашние и рабочие компьютеры. Мы, в нашем подразделении Cisco Talos, еще в пятницу опубликовало свое исследование данной вредоносной программы и сейчас хотели бы поделиться отдельными ключевыми моментами с пользователям Хабра.
Рубрика «ransomware» - 4
WannaCry: анализ, индикаторы компрометации и рекомендации по предотвращению
2017-05-14 в 14:23, admin, рубрики: Cisco, ransomware, ShadowBrokers, TALOS, WannaCry, антивирусная защита, Блог компании Cisco, вирус, системное администрирование, червь, шифровальщик
Security Week 18: Дыра во всех системах с Intel Core, Apple отобрала сертификат у троянца, рансомварь заполонила планету
2017-05-05 в 16:20, admin, рубрики: AMT, Intel ME, klsw, OS X, ransomware, Блог компании «Лаборатория Касперского», информационная безопасность
То, о чем так долго говорили большевики безопасники, свершилось. Свершилось почти десять лет назад, а сейчас об этом стало широко известно: в микропрограмме Intel Management Engine обнаружилась уязвимость. В оповещении от Intel указаны версии от 6.0 до 11.6, а, это, на минуточку, все версии, начиная с 2008 года, с платформ для процессоров Intel Core первого поколения.
Тем, кто хорошо знает, что умеет ME, уже страшно. Оно может читать и писать в любую область оперативной памяти и накопителей, подсматривать за происходящем на экране, посылать и получать из сети всякое, игнорируя работающий в системе файрволл, и все это, не оставляя в логах никаких следов. По слухам, даже шифрование диска ME обходит без напряга. Нечеловечески полезная штука.
Ежу понятно, что встраивая в материнки легитимный аппаратный бэкдор, надо по-максимуму закрутить гайки в системе безопасности, что Intel и сделала. Код iME, например, зашифрован 2048-битным ключом. Но как обычно, что-то пошло не так, и теперь прогрессивная общественность доподлинно узнала о возможности удаленно захватывать доступ к функциям управления ME. Под угрозой машины, в которых реализованы технологии AMT, ISM и SBT. Ну то есть вообще все на интеловских чипсетах под Intel Core.
Прогнозы по развитию программ-вымогателей в 2017 году
2017-03-30 в 10:04, admin, рубрики: acronis, Active Protection, ransomware, Блог компании Acronis, Inc, информационная безопасность, реверс-инжинирингКаждому из нас 2016 год запомнился по-своему. Физикам — обнаружением предсказанных Альбертом Эйнштейном гравитационных волн, политикам — конфликтами на Ближнем Востоке, музыкантам — Нобелевской премией Мира Бобу Дилану. Специалистам в области IT-безопасности 2016 запомнился невероятным всплеском активности программ-вымогателей, заставивших не только специалистов, но и простых обывателей выучить ответ на вопрос "Что такое ransomware?".
Сейчас на дворе 2017 год, и нет сомнений, что «ransomware» aka «программы-вымогатели» станут еще опаснее и продолжат свое наступление на данные пользователей. В опасности окажутся все пользователи, и либо вы, либо ваши друзья уже завтра могут столкнуться с этой угрозой.
«Предупрежден, значит вооружен», — подумали мы, провели детальный разбор одной из последних программ-вымогателей, а также подготовили небольшой прогноз на предстоящий год.
Читать полностью »
Бэкапы как способ избежать лишних затрат при заражении криптовымогателем
2017-02-24 в 20:45, admin, рубрики: ransomware, антивирусная защита, безопасность, Блог компании King Servers, бэкапы, дата-центр, метки: Дата-центр
Из всех киберугроз, которые существуют на сегодняшний момент, ransomware можно назвать наиболее разрушительным. ПО такого типа быстро распространяется по сети (частной или корпоративной), закрывая доступ к данным, которые для человека или компании могут быть просто бесценными. Удалить криптовымогатель с ПК можно, но только со всеми данными, что есть на жестких дисках. Некоторые представители этого класса программного обеспечения не слишком опасны, и ключ или другие средства обезвреживания можно найти в сети. Но другие гораздо опаснее, если они уже попали в систему, то жертва не видит иного выхода, кроме как платить.
Для оплаты чаще всего используются биткоины, хотя в некоторых случаях киберпреступники выбирают и другие способы оплаты. Платят очень многие. По данным ФБР, только в 2016 году различные компании выплатили разработчикам ransomware около $1 млрд. Это в 40 раз больше, чем аналогичный показатель, фигурировавший в 2015 году. Все потому, что ransomware становится все более совершенным, новые разработки киберпреступников появляются гораздо быстрее, чем раньше. Но все же — платить стоит далеко не всегда. Точнее, лучше бы вообще не платить.
Читать полностью »
Страховые компании и криптовымогатели: новый метод уберечь себя от последствий работы ransomware
2017-02-14 в 15:49, admin, рубрики: ransomware, информационная безопасность, криптовымогатели, страховка, страховые случае, финансы
Ransomware, программное обеспечение, которое шифрует данные пользователя, вымогая затем деньги за получение ключа дешифровки, становится все более популярным. Криптовымогатели поражают компьютеры и компьютерные сети как частных лиц, так и компаний и государственных организаций. Многие атаки оборачиваются убытками в тысячи долларов, вследствие чего пользователи часто предпочитают заплатить создателям ransomware, а не ждать, пока ценные данные будут удалены.
Часто попытки решить проблему затягиваются на дни или даже недели, и далеко не всегда отправка денег создателям вредоносного ПО приводит к положительному результату. Иногда ключ дешифровки никто не отправляет даже после оплаты, а в некоторых случаях ПО удаляет файлы пользователя, лишь притворяясь ransomware. Возможно, одним из выходов является страховка на случай кражи данных криптовымогателями, которая покроет возможные убытки жертвы такого ПО.
Читать полностью »
16 отделений библиотеки Сент-Луиса парализованы криптовымогателем
2017-01-24 в 11:42, admin, рубрики: ransomware, библиотека, выкуп, информационная безопасность, криптовымогатель, рэкет, Сент-Луис, метки: Сент-Луис
Центральное отделение библиотеки Сент-Луиса
Западные коммерческие компании и государственные учреждения продолжают страдать от программ-криптовымогателей. В 2016 году зафиксирован многократный рост популярности таких программ у представителей криминального мира. Современный транснациональный рэкет гораздо безопаснее, чище и прибыльнее, чем аналогичный бизнес 90-х годов в России.
Злоумышленникам гораздо выгоднее инфицировать компьютеры коммерческих компаний, потому что с них можно получить более крупные суммы выкупа. Но иногда жертвами заражений (случайно?) становятся некоммерческие организации и частные лица. Им не позавидуешь.
Неприятная история на днях произошла с библиотекой Сент-Луиса, которая столкнулась с заражением ransomware. В результате жители Сент-Луиса не могли ни взять, ни вернуть книги ни в одном из 16 городских отделений библиотеки.
Читать полностью »
70% американских компаний платили выкуп после заражения
2016-12-15 в 15:51, admin, рубрики: ransomware, информационная безопасность, Криптовалюты, криптовымогатель, Пила, самоисполняющееся пророчество, Софт, Финансы в IT-индустрии
Инструкции по оплате выкупа от криптовымогателя «Пила» (Jigsaw)
Нападение на компанию с требованием выкупа по-прежнему остаётся популярным видом заработка в хакерской среде. Раньше было принято устраивать DDoS-атаку и предлагать услуги по защите от DDoS (или «независмый консалтинг»), но это был довольно опасный способ. Ведь приходилось вступать в личный контакт с жертвой, которая наверняка что-то подозревала. Неспроста ведь человек предлагает свои услуги сразу после начала DDoS.
Теперь же появились способы вымогательства, которые не предполагают никакого личного контакта. С оплатой за биткоины риски почти исчезли. И самое главное, что компании послушно платят в большинстве случаев.
Читать полностью »
Зарази ПК двух друзей и получи ключ разблокировки собственного компьютера: новая схема работы криптовымогателя
2016-12-12 в 22:07, admin, рубрики: ransomware, информационная безопасность, криптовымогатели, Софт, файлы, широфание данных
Ransomware в последнее время становится все более распространенной разновидностью зловредного ПО. Речь идет о программах-криптовымогателях, которые, заражая компьютер пользователя, шифруют все его данные, причем ключ находится на сервере у злоумышленника. После того, как ПК заражен, пользователю обычно предоставляют выбор — заплатить определенную сумму за расшифровку своих файлов или же смириться с тем, что они будут удалены через 2-3 дня. При этом жертве показывается таймер с обратным отсчетом времени.
Криптовымогателей довольно много, среди всего этого многообразия иногда встречаются очень любопытные экземпляры. Например, есть программа, которая ничего не шифрует, а просто безвозвратно удаляет файлы пользователя, притворяясь криптовымогателем. Да, программа просит денег, но никакого ключа пользователь не получает даже в случае оплаты. Все удаляется хоть с оплатой, хоть без нее. Еще одна программа удаляет по нескольку файлов в час, чтобы жертва находилась в состоянии стресса и быстрее заплатила. Недавно появился новый «штамм» ransomware, который использует самый оригинальный способ нажиться.
Читать полностью »
Как криптовымогатель сделал проезд на железной дороге Сан-Франциско бесплатным
2016-11-28 в 11:34, admin, рубрики: ransomware, информационная безопасность, криптовымогатель, Софт
На днях пассажиры узкоколейной железной дороги Сан-Франциско получили возможность наблюдать надпись «Вы взломаны, ВСЕ данные зашифрованы» на экранах всех платежных терминалов транспортной компании San Francisco Municipal Transportation Agency (SFMTA). Некоторое время спустя руководство подтвердило факт взлома, заявив, что SFMTA ведет активное расследование инцидента.
«Мы сейчас работаем над решением этой проблемы. Ведется расследование, и мы не можем пока сообщить дополнительные детали», — заявил пресс-секретарь SFMTA. Как оказалось, надпись на экраны выводится зловредным программным обеспечением — криптовымогателем. В результате блокированы оказались не только платежные терминалы, но и большая часть компьютерной инфраструктуры компании. По этой причине оплату за проезд провести невозможно, и пассажирам разрешили на время урегулирования ситуации ездить бесплатно.
Читать полностью »
Специалисты ESET выпустили новый инструмент расшифровки файлов шифровальщика Crysis
2016-11-27 в 13:41, admin, рубрики: Malware, ransomware, антивирусная защита, Блог компании ESET NOD32С момента своего появления, вымогатели-шифровальщики представляют из себя прибыльный инструмент для организации бизнеса киберпреступников. Количество представителей таких семейств вредоносных программ выросло достаточно быстро, причем их жертвами становились как корпоративные пользователи (компании), так и простые пользователи.
Один из шифровальщиков под названием Crysis заразил достаточно большое количество пользователей по всему миру, антивирусные продукты ESET обнаруживают его как Win32/Filecoder.Crysis. В случае этого шифровальщика, жертвам повезло больше, поскольку наши специалисты разработали бесплатный инструмент для расшифровки зашифрованных файлов.