Автор Тема: Внимание, вируси в нета, пазете се - 2017 г.  (Прочетена 4876 пъти)

0 Потребители и 1 Гост преглежда(т) тази тема.

Неактивен Moderator Club

  • Глобален модератор
  • Старши
  • ****
  • Публикации: 11661
  • Пол: Мъж
    • Профил
WannaLocker - вирус, който имитира WannaCry, се прицели към Аndroid

Китайските хакери насочиха вниманието си към смартфони с Android



WannaCry напада хиляди компютъра. Вирусът плъзна и започва да нанася щети чрез установена уязвимост в комуникационен протокол за връзка между сървъри по света, използващи операционната система Windows.

И тъкмо, когато се зарадвахме, че нещата са се успокоили, китайските хакери насочиха вниманието си към смартфони с Android. Те са копирали външния вид на WannaCry и са разработили Android ransomware, който се нарича WannaLocker.

Той се разпространява чрез форуми за игри, дегизирайки се като плъгин за играта King of Glory.

Изглежда, че популярността на WannaCry е вдъхновила китайците да направят подобен ransomware и да го разпространяват чрез различни медии.

Avast е открила този ransomware и го нарече WannaLocker. Трябва да се отбележи, че вирусът заразява файловете, съхранявани на външното хранилище на заразеното устройство.

WannaLocker се разпространява из китайските форуми за игри, пише fossbytes.com. Той имитира себе си като приставка за играта King of Glory. WannaLocker използва AES криптиране и игнорира файловете, чиито имена започват с "."

Как да се предпазите от WannaLocker?

Избягвайте да изтегляте софтуер от произволни източници.
Потърсете официални сайтове за изтегляне и се опитайте да проверите тяхната автентичност.
Уверете се, че редовно архивирате данните си.
Използвайте софтуер за защита в реално време.
Ако сте заразени, не плащайте откуп. Потърсете професионална помощ.
Създателите на този рансъмуер не са много алчни и искат само да платите 6 долара чрез QQ, Alipay или WeChat - популярни в Китай платежни системи.

PC WORLD
Танкът мачка и пердаши, няма наши, няма ваши. Няма ваши, няма наши, танкът мачка и пердаши.

Неактивен Moderator Club

  • Глобален модератор
  • Старши
  • ****
  • Публикации: 11661
  • Пол: Мъж
    • Профил
Нов малуер използва технологията Intel AMT, за да преодолее софтуерните защити

Затова е препоръчително да не държите включена тази технология.
Технология Intel Active Management Technology (AMT) Serial-over-LAN (SOL) е част от Intel Management Engine (ME) – система, вградена във всички съвременни решения на Intel. Технологичният гигант въведе тази технология най-вече за големите компании с цел осъществяване на отдалечен достъп до голям парк компютри. Характерното за нея е, че тя продължава да работи дори когато централният процесор е изключен. Реално SOL работи винаги, независимо от операционна система и дори когато компютърът е изключен. Така и при изключени мрежови функции, ME продължава да работи, защото използва негов мрежови стек и устройството остава свързано към мрежата. А по този начин винаги има виртуален последователен порт даващ възможност за обмен на данни.
Въпреки, че идеята на тази технология е да улесни администрирането на голям брой компютри, то сега става ясно, че носи и големи рискове. Microsoft официално съобщиха, че са засекли нов малуер, който използва AMT SOL, за да заобикаля безпроблемно софтуерните защити. Новата заплаха се нарича Platinum и е първият компютърен вирус, който използва хардуерната технология на Intel. Той с лекота заобикаля защитните стени и антивирусните решения, като получава достъп до системата на жертвата, а от там може да последват различни неприятни сценарии.
С цел сигурност, по подразбиране Intel AMT SOL е изключен във всички продукти на Intel, но не е рядкост системните администратори често да го включват, за да улеснят работата си. Това създава голям риск за компаниите и ги прави уязвими. Към момента Microsoft са започнали да използват машинно обучение и анализ, за да научат Windows Defender ATP да разпознава този нов тип атаки.

Танкът мачка и пердаши, няма наши, няма ваши. Няма ваши, няма наши, танкът мачка и пердаши.

Неактивен Moderator Club

  • Глобален модератор
  • Старши
  • ****
  • Публикации: 11661
  • Пол: Мъж
    • Профил
Непознат вирус изнудвач е причинил новата световна кибер атака

Снимка: Thinkstock/Getty Images
Световната кибер атака, която удари днес цяла Европа и започна да се разпростира в САЩ, не е извършена с вируса изнудвач Петя, каза в комюнике руската фирма за кибер сигурност "Лаборатория Касперски", цитирана от Франс прес.

"Предварителният ни анализ показва, че не става дума за вариация на вируса Петя, както се говореше досега, а за нов, невиждан досега вирус изнудвач. По тази причина го нарекохме НотПетя (NotPetya)", каза фирмата. По нейни данни най-тежко пострадали до момента са Украйна и Русия, а вирусът е засегнал още Обединеното кралство, Германия, Италия, Франция и САЩ.

За да бъде възпрепятствано разпространението му, "Лаборатория Касперски" препоръчва взетите на прицел организации да актуализират операционните си системи "Уиндоус". Жертви на кибер атаката станаха датският морски превозвач "Мерск", британският рекламен гигант "Уайър енд пластик продъктс", френското промишлено предприятие "Сен-Гобен" и американската фармацевтична лаборатория "Мерк". Започналата сутринта атака порази едновременно големи украински компании, възпрепятства работата на банки и летища. Тя засегна и руския петролен гигант "Роснефт".

Компютрите на спряната украинска атомна централа "Чернобил" също пострадаха, което принуди техниците да измерват радиоактивността с гайгерови броячи, съобщи за АФП говорител на украинските власти.

Танкът мачка и пердаши, няма наши, няма ваши. Няма ваши, няма наши, танкът мачка и пердаши.

Неактивен Moderator Club

  • Глобален модератор
  • Старши
  • ****
  • Публикации: 11661
  • Пол: Мъж
    • Профил
Petya или NotPetya - световна кибер атака на нов вирус изнудвач


Компании от цял свят съобщават, че са обект на масирана хакерска атака със зловреден криптиращ софтуер

Световната кибер атака, която удари цяла Европа и започна да се разпростира в САЩ, не е извършена с вируса изнудвач Petya, се казва в комюнике на руската фирма за кибер сигурност "Лаборатория Касперски".
Предварителният анализ показва, че не става дума за вариация на вируса Petya, както се говореше досега, а за нов, невиждан досега вирус изнудвач. По тази причина го нарекохме "NotPetya", се посочва в изявление на компанията.
По нейни данни най-тежко пострадали до момента са Украйна и Русия, а вирусът е засегнал още Обединеното кралство, Германия, Италия, Франция и Съединените щати. За да бъде възпрепятствано разпространението му, "Лаборатория Касперски" препоръчва взетите на прицел организации да актуализират операционните си системи Windows.

"Тревожна е обстановката. Първото, не бих го нарекъл "атака", а една кампания, подобна на WannaCry преди месец. Разпространи се много бързо, като вирус, известен като Petya, със съответна част за отпук. Успоредно с него се разпространи друг вирус - GoldenEye. И двата вируса действат по един и същ начин - криптират информация по дисковете и искат откуп. Но при втория вирус е по-страшен, тъй като самият диск става не достъп". Това обясни пред БНТ ръководителят на лаборатория по кибер сигурност в София Тех Парк д-р Георги Шарков.



По думите му бързото разпространение се дължи на това, че не са обновявани системите. "Както повечето криптиращи вируси, един от компютрите се зарязява. Слабост в защита на Word документи, като хората не са си обновявали файловете. Но това е първоначалното", смята Шарков.Запитан как може да се защитим, специалистът посъветва, че тя е една и съща, която се препоръчва за всички кампании - киберхигиена. Той предупреди, че най-уязвими от вируса са фирмите на малкия и среден бизнес.Най-уязвими са домашните потребители, тъй като не са използвали често оптимизиране на операционната система, която използват или офисния пакет, категоричен е специалистът.Компании от цял свят съобщават, че са обект на масирана хакерска атака със зловреден криптиращ софтуер. Исканият откуп е 300 долара в биткойни, които да се преведат в посочена сметка.Според експерти криптовирусът е подобен на Уонакрай, който удари света миналия месец. Засегнати са редица фирми и обекти в Украйна, Русия, Холандия, Великобритания, Норвегия, Франция и дори Индия. Съобщава се и за първа жертва в САЩ - фармацевтична компания.
Вирусът е засегнал и компютри на атомната централа Чернобил, но няма опасност от радиация. Нивото й се измерва ръчно, защото е затруднено актуалното подаване на данни.

Особено засегната на този етап е Украйна. Сред мишените там са правителствените мрежи, Централната банка, авиационния производител Антонов, летището в столицата, енергийните компании Укрененерго и Киевенерго и мобилни оператори. Има съобщения, че метрото в Киев е спряло да приема карти за плащане, работа са преустановили няколко вериги бензиностанции и магазините Метро. Официален Киев заяви, че има признаци за руска връзка.

Руският енергиен гигант Роснефт също се оказа сред потърпевшите. Компанията твърди, че е преминала на резервни системи и работи за неутрализиране на заплахата. Според специалисти по киберсигурност цел на вируса-изнудвач са станали общо около 80 компании в Украйна и Русия.

За поражения съобщи и холандската корабна компания Мерск. Хакнати са 17 контейнерни терминала, включително два в Хага, както и обекти в Копенхаген като част от фирмената АйТи инфраструктура. Уточнява се, че малуерът е криптирал информацията на твърдите дискове на компютрите. Жертва е станала и френската компания за строителни материали Сен Гобен и испанския гигант за производство на храни Монделес.

Специалисти виждат почерка на вирус, известен под името Petya. Той се появи в началото на 2016 г., а в началото на тази година излезе подобрената му версия Петруорп. В нея са отстранени някои слабости в оригиналния код, които позволяваха на фирмите за кибер сигурност да отключват системите на клиентите си.

И сега заразата пристига по имейл, и използва същите слабости на Уиндоуз като Уонакрай. Редица фирми не се погрижиха за тези пробойни защото Уонакрай беше овладян бързо, отбелязват експерти.

PC WORLD
Танкът мачка и пердаши, няма наши, няма ваши. Няма ваши, няма наши, танкът мачка и пердаши.

Неактивен Moderator Club

  • Глобален модератор
  • Старши
  • ****
  • Публикации: 11661
  • Пол: Мъж
    • Профил
Хакери атакуват длъжници с бързи кредити

Хакери атакуват хора, които са длъжници към фирми за бързи кредити. Такива сигнали са започнали да се получават в ГДБОП още от средата на март, съобщиха за Агенция „Монитор“ от силовото ведомство. Мошениците намирали адресите на клиенти на фирмите и от тяхно име изпращали писма по мейла с текст „Искова молба“.
В нея било посочено, че собственикът на пощата дължи пари и му се дава срок в рамките на пет работни дни да се издължи, иначе за всеки ден ще му се трупат по 3,5 процента наказателна лихва.
„Уведомяваме ви, че по договор №23889 вие дължите сумата от 2879,00 лв. Съгласно условията на договора, в съответствие с параграф 3.0, в рамките на 5 работни дни от датата на предоставяне на услугите трябва да бъде направено плащане в пълен размер.
В съответствие с точка 3.2 от настоящия договор следва санкция в размер на 3,5% от стойността на предоставените услугите за всеки просрочен ден. Към днешна дата плащане от вас не е постъпило. Въз основа на изложеното по-горе ние ви призоваваме до пет дни да изплатите изцяло задължението си в пълен обем. В случай на пълен или частичен отказ от удовлетворяване на нашите законови претенции, ще бъдем принудени да депозираме искова молба до компетентния съд“, се казва в мейла. Съобщенията са подписани от жена на име Димитринка Дионова. Фигурира името и на мъж – Георги Иванов, който дори е титулуван като началник отдел „Вземания“.
Имало хора, които се хващали на измамата и превеждали пари по сметката на мошениците вместо да си погасят реалните задължения. Едва след като от фирмата на кредитора ги потърсели, те разбирали, че са измамени.
От ГДБОП съветват хората много внимателно да проверяват сметките, по които пращат пари, както и на кого точно ги превеждат.
Друга опасност, която се криела в тези спам съобщения, била и вирус, който се съдържал в писмото. При отварянето му компютърната система се заразявала. Така злонамереният софтуер започвал да краде лични данни и пароли.

Танкът мачка и пердаши, няма наши, няма ваши. Няма ваши, няма наши, танкът мачка и пердаши.

Неактивен Moderator Club

  • Глобален модератор
  • Старши
  • ****
  • Публикации: 11661
  • Пол: Мъж
    • Профил
Нова разновидност на позната заплаха порази над половин милион

Актуалната се разпространява ударно в Интернет през последните дни, затова бъдете внимателни.
Нова разновидност на позната от миналото зараза се разпространява ударно през последните дни в интернет. Става въпрос за вируса Stantinko, който е известен още от далечната 2002г., но за този дълъг период е бил усъвършенстван многократно и значително е увеличил сложността си. Последната му версия, която сега върлува в интернет, е заразила над 500 000 компютъра. Основната функция на актуалния Stantinko е да образува ботнет, който инсталира разширения за браузъра и показва реклами при сърфиране. В браузъра на жертвите се появяват добавки, които изглеждат като легален софтуер и са с имена от типа Teddy Protection и The Safe Surfing. Създателите на вируса печелят добри пари чрез скрито или открито показване на рекламни ресурси на заразените потребители. Но това не е всичко! Stantinko също така краде лични данни, вкл. пароли, информация за банкови сметки, адреси на електронна поща и т.н., а освен това се опитва да влезе в профилите на потребителите в социални мрежи чрез налучкване на пароли по метода на "грубата сила". Актуалният Stuntinko определено е по-различен и сложен от други подобни програми и има способността да изтегля и стартира допълнителни програмни модули, като например задна врата, бот за търсене чрез търсачката на Google и инструменти за разбиване на пароли за WordPress и Joomla чрез метода "грубата сила".
Засега новата заплаха се разпространява най-силно в Русия и Украйна, но експерти очакват скоро да поразява и цели от цял свят. Засечено е да се разпространява чрез торент тракери, като се представя за програма за безплатно изтегляне на различно съдържание, а файлът, който заразява първоначално компютрите се нарича FileTour. Stantinko поразява компютри под Windows операционна система.

Танкът мачка и пердаши, няма наши, няма ваши. Няма ваши, няма наши, танкът мачка и пердаши.

Неактивен Moderator Club

  • Глобален модератор
  • Старши
  • ****
  • Публикации: 11661
  • Пол: Мъж
    • Профил
Как да се предпазим от вируси?


Доста хора се сблъскват с вирусите, защото не знаят как да се предпазят от тях

Често, когато компютърът ни започне да работи по-бавно от обикновено, или се случват разни странни неща, то тогава започваме да си мислим, че имаме вирус. Може да не е вирус, но в голяма част от случаите е точно това.

Вирусите най-често са зловредни (изтриват файлове, крадат лични данни, ограничават достъпа ви до компютъра) или досадни (променят имената на файловете ви, понижават производителността на компютъра, сменят настройките ви и така нататък).

Няма да изпадаме в подробна информация за всеки тип вирус, но ще ви дадем основни насоки и съвети за това как да предпазите компютъра си от вируси.

Използвайте анти-вирусен софтуер – един от най-лесните начини да се предпазите от вируси е именно да използвате анти-вирусен софтуер. Много е важно да извършвате и чести сканирания на компютъра за вируси. Има анти-вирусни програми с платен, както и с безплатен лиценз, така че парите не са оправдание да държите компютъра си незащитен.
Винаги поддържайте всичкия си софтуер обновен – ако поддържате софтуера си обновен до най-новата версия, то шансовете да „лепнете“ вирус значително се намаляват. Това включва операционната система, анти-вирусния софтуер, както и всички други програми, които използвате.
Не влизайте в непознати, незащитени и съмнителни уеб сайтове – едни от най-често срещаните места, от които може да си свалите вирус. Избягвайте да посещавате съмнителни места в Интернет, както и внимавайте къде кликате, когато сте в непознати уеб сайтове. Винаги може неволно да кликнете върху линк, който да започва изтеглянето на зловреден софтуер (особено прикрити линкове чрез съкратени такива).



Не използвайте незащитени безжични мрежи – в днешни времена навсякъде около нас е пълно с незащитени безжични мрежи, към които да се свържем, но те крият много опасности, една от която е да ви откраднат личните данни.
Не отваряйте файлове, за чиято легитимност се съмнявате – вирусите могат да се прикрият много умело – например в една обикновена .jpeg снимка, а също така, може да ги получите като прикачен файл в електронната си поща. Затова, ако имате съмнения относно определен файл – винаги може да го сканирате с анти-вирусен софтуер. Ако нямате такъв на компютъра, то винаги има онлайн алтернативи като VirusTotal.
Не използвайте непознати или несигурни USB устройства – все по-често срещан е този начин за разпространение на вируси. Намирате уж „изгубена“ флашка, която след това отваряте на персоналния си компютър и воала – вашият компютър е заразен. Друг често срещан сценарий е, когато заемете вашата флашка на друг, след което когато си я вземете - на нея има вирус. Как става това? Много просто, най-вероятно другият човек въобще не подозира, че компютърът му е заразен, след което вирусът сам се „разпространява“ чрез флашката.
Винаги имайте резервно копие на файловете си – никога не е лошо да имате резервно копие с най-важните си данни, било то на друг компютър или на облачна услуга за съхранение на файлове.
Като цяло, няма 100% начин за предпазване от вирусите, но винаги е добре да имаме едно на ум и да се защитаваме, доколкото е възможно.

PC WORLD
Танкът мачка и пердаши, няма наши, няма ваши. Няма ваши, няма наши, танкът мачка и пердаши.

Неактивен Moderator Club

  • Глобален модератор
  • Старши
  • ****
  • Публикации: 11661
  • Пол: Мъж
    • Профил
Съмнителни мейли за неплатени сметки отново заляха електронните пощи

Снимка: Thinkstock/Getty Images
Странни мейли за неплатени сметки отново заляха електронните пощи и породиха съмнения за разпространение на вирус. Съобщенията се изпращат от имейл адрес k-yoshida@koushin-k.com, който се представя с името Румен Узунов.

Мейлът съдържа zip файл, озаглавен "сметка", а съобщението гласи "За повече подробности, моля, отворете прикачения файл".

Специалисти съветват Интернет потребителите в никакъв случай да не отварят въпросния файл, тъй като може да съдържа вирус, който компрометира компютърната система и "краде" лични данни и пароли.

Танкът мачка и пердаши, няма наши, няма ваши. Няма ваши, няма наши, танкът мачка и пердаши.

Неактивен Moderator Club

  • Глобален модератор
  • Старши
  • ****
  • Публикации: 11661
  • Пол: Мъж
    • Профил
Пореден вирус: Японци пращат заразни мейли от името на НАП

Снимка: Thinkstockphotos
Пореден опит за разпространение на вирус засякоха потребители на електронни пощи, които получиха странни мейли от името на НАП. По-наблюдателните веднага забелязаха, че пощата, от която са изпратени писмата, е японска. Съобщението съдържа прикачен файл и разяснителна информация.

„Национална агенция по приходите (НАП) напомня за промени в регламента и периодите за подаване на декларации в НАП. Необходимо е да се запознаете с нововъведенията с цел спазване на всички срокове“, пише в писмото.



„Напомняме, че в случай на данъчно задължено лице, което не подаде декларация по този Закон, не я подаде в срок, не посочи или невярно посочи данни или обстоятелства, водещи до определяне на дължимия данък в по-малък размер или до неоснователно намаляване, преотстъпване или освобождаване от данък, се наказва с имуществена санкция в размер от 500 до 3000 лв. При повторно нарушение имуществената санкция е в размер от 1000 до 6000“, продължава текстът.

За финал подателят изостря вниманието, че всички подробности могат да бъдат намерени в съпътстващия прикачен файл. Експерти съветват в никакъв случай да не бъде отварян въпросния файл, тъй като вероятно съдържа вирус, чрез който се копират всички данни и пароли от компютъра на получателя.

Танкът мачка и пердаши, няма наши, няма ваши. Няма ваши, няма наши, танкът мачка и пердаши.

Неактивен Moderator Club

  • Глобален модератор
  • Старши
  • ****
  • Публикации: 11661
  • Пол: Мъж
    • Профил
Новооткрита уязвимост засяга всички Wi-Fi мрежи

Сериозна слабост във WPA, протоколът за сигурност в Wi-Fi, позволява на злоумишленици да следят трафика на потребители и дори да инжектират код в посещавани от тях страници. Проблемът бе наречен KRACK и касае самия протокол, а не отделни продукти или негови имплементации. Техниката работи при всички модерни защитени Wi-Fi мрежи, подчертава Мати Ванхов – изследователят който я откри. Това по всяка вероятност означава, че ако вашето устройство използва Wi-Fi, то KRACK го засяга.

KRACK е съкращение от Key Reinstallation AttaCK. Проблемът засяга третата фаза от четири стъпковия процес по свързване към защитена Wi-Fi точка (т.нар. four-way handshake). В рамките му двете устройства генерират ключ (Pairwise Master Key, PMK), който се използва за криптиране на трафика. Този ключ обаче може да изпращан няколко пъти по време на третата стъпка и ако бъде прихванат може да бъде използван за дешифриране на данните. Повече технически детайли можете да откриете на официалния сайт на KRACK атаката.



Потенциални злоумишленици биха могли да следят трафика на потребители за извличане на чувствителна информация като номера на банкови карти, пароли, комуникационни съобщения, електронни писма, снимки и т.н., подчертава Ванхов. Засега обаче няма информация дали техниката е използвана за такива цели.

Добрата новина е, че злоумишлениците трябва да използват същата Wi-Fi мрежа като своите клиенти. Това означава, че KRACK по-скоро може да инструмент за тясно насочени атаки. Т.е. наличието ѝ по-скоро не означава, че масовите потребители внезапно са станали по-уязвими.

За предпазване от подобни атаки Ванхов препоръчва ъпдейтване на устройствата. По думите му един такъв пач не би нарушил работата им. Също така, имайки предвид потенциалния обхват на слабостта, подобни поправки могат да бъдат очаквани в скоро време от производителите на хардуер и разработчиците на операционни системи.

Microsoft например, без много шум, е пуснала в обръщение необходимия пач още на 10 октомври.

До излизането на подобни поправки от други доставчици, работещите с чувствителна информация биха могли да избягват използването на Wi-Fi и да разчитат на кабелни връзки или на мобилните мрежи, съветват специалисти. Ако все пак е налице необходимост да бъде използвана публична точка за достъп (дори да е защитена с парола) то е добре да се посещават само сайтове с HTTPS криптиране. Друго възможно решение е стартиране на виртуална частна мрежа (VPN) за скриване на трафика.

PC WORLD
Танкът мачка и пердаши, няма наши, няма ваши. Няма ваши, няма наши, танкът мачка и пердаши.

Неактивен Moderator Club

  • Глобален модератор
  • Старши
  • ****
  • Публикации: 11661
  • Пол: Мъж
    • Профил
Мощна кибер атака с вируса „Badrabbit“, България е сред засегнатите страни

Транспортни компании, медии и държавни учреждения в Украйна, Русия, Турция, България и други страни бяха подложени вчера на кибератака с компютърния вирус "Badrabbit", предаде Росбалт.
 
Според съобщение за медиите на фирмата за компютърна сигурност ESET, сред нападнатите компютърни мрежи са тези на летището в Одеса, украинското Министерство на инфраструктурата, редакциите на руската информационна агенция "Интерфакс".

ESET е отчела стотици нападения с вируса "Diskcoder.D (Bad Rabbit)", който е нова модификация на вируса "Petya".
 
Предишната версия на Diskcoder беше използвана при кибератака през юни.
 
По-рано фирмата за кибер сигурност "Лаборатория Касперски" съобщи, чe нападението с Bad Rabbit е насочено срещу корпоративни мрежи, припомня Росбалт.

Компанията за разследване на киберпрестъпленията "Group-IB" заяви, че е открила начин за предотвратяване на зашифрова на файлове, дори ако компютърът вече е заразен с вируса "BadRabbit", който вчера нападна компютри в Русия, Украйна и други страни, предаде ТАСС.

Компанията е съобщила в Телеграм, че вирусът няма да може да шифрова файловете, ако потребителите създадат файл C:windowsinfpub.dat и го определят като "само за четене". "След това файловете няма да бъдат зашифровани, дори в случай на заразяване", уверява компанията.
 
За да се избегне заразата на компютри, свързани в мрежи, трябва бързо да се изолират машините, които предават вредните файлове. Освен това потребителите трябва да проверят, че резервните копия на мрежовите възли са актуални и пълни.

Защитните мерки изискват и да се обновят операционни системи и системите за сигурност, както и да се блокират Айпи адресите и имената на домейните, от които се разпространява зловредният софтуер.
 
Освен това трябва да се блокират изскачащите прозорци, а паролите да се заменят с по-сложни и да не се държат в нешифрован вид.

Генералният директор на компанията "Group-IB" Илия Сачков съобщи пред ТАСС, че експертите са определили името на домейна, от който е започнало разпространението на вируса. Според него кибер атаката има масов характер и вероятно не е насочена към конкретни цели./Източник: БТА

Танкът мачка и пердаши, няма наши, няма ваши. Няма ваши, няма наши, танкът мачка и пердаши.

Неактивен Moderator Club

  • Глобален модератор
  • Старши
  • ****
  • Публикации: 11661
  • Пол: Мъж
    • Профил
Какво представлява криптовирусът Bad Rabbit?


Следвайки стъпките на предшествениците си WannaCry и NotPetya, новият криптовирус започна да набира скорост

Нов криптовирус, наречен “Bad Rabbit”, набира скорост, като за момента се разпространява предимно в Русия и Украйна, където редица организации вече са станали негова жертва. Какво трябва да знаете за него?

Какво прави?
Криптовирусът вече зарази няколко големи руски уеб сайта, включително този на ИА “Интерфакс”, както и украинско летище и метро системата в Киев. Американски представители заявиха, че съобщенията за Bad Rabbit са били получени от "много страни по света".

Криптовирусите - злонамерен софтуер, който блокира достъпа до съдържанието на инфектираната система и изисква плащане, за да бъде отключена – далеч не е ново явление. WannaCry, а след това и Petya, предизвикаха огромен хаос в глобален мащаб по-рано тази година.

Техният наследник - Bad Rabbit – от своя страна, криптира компютъра и след това изисква плащане от 0,05 биткойна, което се равнява на малко над 200 лири стерлинги (около 440 лева).

Размерът на плащането, който е нищожен за някои от засегнатите организации, предполага използването на тактиката  на "случайните жертви" (т.е. плати и се моли да ти пратят отключващ код), при която авторът на кампанията се надява, че жертвите ще сметнат, че минималният откуп е несъизмерим с ефекта от повредената от криптовируса информация. Разбира се, няма никакви гаранции, че ако платите, ще ви върнат достъпа до данните, а има и доклади от предишни жертви на криптовируси, които впоследствие откриват, че право охранителните органи са се намесили, за да предотвратят плащания.



Как работи?
Kaspersky Lab отбелязва, че при посещение на легитимен уеб сайт злонамереният софтуер се изтегля от инфраструктурата на атакуващия - hxxp: // 1dnscontrol [.] Com / flash_install.php

Криптовирусът, който е прикрит като инсталатор за Adobe Flash - файлът се нарича install_flash_player.exe, не се инсталира автоматично. Той изисква администраторски права и ако бъде стартиран, ще задейства злонамерен DLL като infpub.dat и ще стартира с rundl32.

Kaspersky Lab твърди също така, че този DLL изглежда е в състояние да преодолее защитния протокол за идентификация NT Lan Manager (NTLM).

Според изследователи по сигурността в Cylance infpub.dat има 5 вградени изпълними програми:

Две версии на Mimikatz, x86 и x64, които изследват заразената конфигурация за пълномощия, предназначени за достъп до други устройства (мислете за корпоративни мрежи).
Две версии на подписан драйвер, също x86 и x64, за физически достъп до зареждащия сектор и пълно криптиране на диска.
Модул, който заразява записа за зареждане и произвежда съобщението за откуп.
Когато вече се намира на дадено устройство, infpub.dat ще инсталира злонамерен изпълним файл dispci.exe в C:\ Windows и ще насрочи задача за стартиране на файла. Кодовата база на discpi изглежда подобна на помощната програма с отворен код DiskCryptor, обясняват от Kaspersky, но се използва за криптиране на файлове и инсталиране на модифициран запис за зареждане.



Противодействие
На първо място инсталирайте лесно достъпни и безплатни защити на вашата система: най-малко Windows Defender трябва да е активиран и да работи. Също така трябва да се уверите предварително, че платените антивирусни продукти, които използвате, могат да предпазят устройството от този вид злонамерен софтуер.

Изследователите от Cybereason Амит Серпер и Майк Ячовачи твърдят, че са разработили начин за предотвратяване на атаката с Bad Rabbit. Техните техники, изброени стъпка по стъпка в блога на Cybereason, препоръчват серия от мерки.

За служителите на организации, които са установили, че са били засегнати, Питър Гручут, директор на екипа по възстановяване при бедствия Databarracks, препоръчва да се насочат директно към отдела за управление на кризи, който разполага с най-големи възможности да изолира зловреден софтуер, да намери точното място, от което е започнала инфекцията, и да вземе незабавни оперативни мерки, за да излезете в офлайн режим.

"След като идентифицирате чистите данни, можете да започнете възстановяването и тестването на системата и данните, преди да се върнете отново в мрежата", казва той.

Междувременно Матиас Майер от Splunk обръща внимание на добрата практика бизнесът да наблюдава постоянно цялата си дейност в ИТ екосистемата, което дава възможност на аналитичните организации да засичат нередовни модели, които биха могли да бъдат показателни за наличието на злонамерени актьори. "Екипите по сигурността трябва да могат да анализират дали тяхната среда е потенциално уязвима и ако видят някакви показатели за начална инфекция, да могат бързо да предприемат подходящи противодействия", казва Майер и добавя: “Например - изглежда, че Bad Rabbit създава три нови планирани задачи в дадена система, включително принудително рестартиране. Чрез търсенето на тези конкретни симптоми в наблюдаваните данни от регистрационните файлове организацията ще може да идентифицира по-рано пациента нула и да действа, за да изолира влиянието му".

PC WORLD
Танкът мачка и пердаши, няма наши, няма ваши. Няма ваши, няма наши, танкът мачка и пердаши.

Неактивен Moderator Club

  • Глобален модератор
  • Старши
  • ****
  • Публикации: 11661
  • Пол: Мъж
    • Профил
Хакери в действие: Хиляди получиха писма с вирус от името на енергото

Хиляди българи получиха фалшиви имейли с вирус от името на енергото в Североизточна България. Това е поредна хакерска атака след поредицата фалшиви писма от данъчните.
Андрей Терзиев е сред получателите на електронно писмо с прикачен файл под името „Фактура”. Имейлите със зловреден код са написани на перфектен български, но с адрес, който не отговаря на адреса на дружеството. Файловете са с разширение zip, което вече рядко се използва.
В официална позиция от „Енерго про” предупредиха за киберизмамата и подчертаха, че електронните им фактури са в PDF формат.
Десетки хиляди са били имейлите, изпратени до потребители според звеното за борба с киберпрестъпленията в МВР. Кибертаката обаче е била ограничена.
Разчита се на чисто човешки слабости, например атаките се случват в понеделник, когато хората бързат да разчистят пощата си, натрупана през почивните дни.
„Затова препоръчвам хората да се доверят на типичната българска черта - бъдете крайно подозрителни, преди да отворите имейл или да отворите вратата на непознат”, каза Ваня Палейкова, експерт по киберсигурност дигитално читалище SAFER.
Според експертите въпреки филтрирането и техническите мерки поне 30% от получателите на заразените писма ще ги отворят.

bTV
Танкът мачка и пердаши, няма наши, няма ваши. Няма ваши, няма наши, танкът мачка и пердаши.