Не можешь? Научим! Не хочешь? Заставим!

10/01/2017

Уже давно не вызывает особого интереса появление нового образца ransomware. Ну что может быть принципиально нового? Пути заражения? Так их не так много! Применяемые алгоритмы шифрования? Тоже весьма ограниченное количество!

Ведь на самом деле алгоритм ransomware уже достаточно хорошо изучен и может быть сведен к ряду операций ЗАРАЖЕНИЕ – ШИФРОВАНИЕ – ТРЕБОВАНИЕ ВЫКУПА – ВОЗМОЖНОЕ РАСШИФРОВЫВАНИЕ. Поиск чего-то нового сводится, как правило, к поиску путей заражения и ключей шифрования. Однако создателям ransomware под названием Koolova удалось меня удивить.

koolova

Рисунок 1  Koolova

Данный вредонос-вымогатель является разновидностью печально известного Locky и использует для шифрования комбинацию алгоритмов RSA-2048 и AES-256, то есть алгоритмов ассимметричного и симметричного шифрования. Единственные файлы на вашем компьютере, которые не будут затронуты вредоносом, важные системные файлы и файл ransom, из которого жертва может узнать о шифровании данных алгоритмов, о том, как купить bitcoin, как установить Tor браузер и так далее.

Вместе с тем, будь Koolova стандартным вымогателем, не стоило бы столько времени уделять ему. Основное отличие данного вымогателя от других состоит в том, что он не требует денег в качестве выкупа!

Основной целью Koolova как ни странно, является информирование пользователей об опасностях ransomware. То есть, создатели вредоноса не требуют от жертвы денег, они хотят, чтобы жертва прочла две статьи о вымогателях. Эти статьи — Google Security Blog Stay safe while browsing и BleepingComputer Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom

После того, как пользователь сделает это, он получит ключ и сможет расшифровать свои файлы. А затем сможет просто удалить Koolova.

Если же жертва слишком ленива чтобы прочесть обе статьи, Koolova запускает обратный отсчет и в случае если пользователь все же отказывается читать, удаляет зашифрованные файлы, как ransomware Jigsaw.

Однако если же жертва прочтет обе статьи, кнопка расшифровки Decrypt My Files (Decripta i Miei File) становится доступной. При нажатии этой кнопки Koolova подключится к управляющему серверу (C&C) и получит ключ расшифровки.

decryption-key-retrieved

Не правда ли, весьма своеобразный подход к повышению компьютерной грамотности?


Сказки о безопасности: Теледебаты

10/01/2017

http://www.pcweek.ru/themes/detail.php?ID=191345

Вот и наступил Новый год. В кабинете Иоганна собрались друзья и коллеги. У всех было еще нерабочее настроение. Все обсуждали прошедший Новый год. Один из коллег Иоганна похвастался тем, что на Рождество купил себе новый Smart TV под управлением открытой ОС А.

— Иоганн, что вы думаете по поводу внедрения ОС А в мир интернета вещей?

— Что думаю? Думаю, что это катастрофа, все последствия которой мы осознаем очень-очень скоро.

— Вы уверены?

— Да! Ведь даже вы, Курт, еще не понимаете, что произошло, а что уж говорить об обычных пользователях?

— Можете пояснить?

— Легко. Смотрите. ОС А очень широко применяется огромным числом производителей планшетов и смартфонов. Причем одна и та же операционная система у производителя 1 и производителя 2 выглядят совершенно по-разному. Более того, у одного и того же производителя одинаковые модели смартфонов, выпущенные на рынок в одном и том же году, но в разные месяцы, могут иметь совершенно разные операционные системы. Причем выпущенные в мае могут так и не обновиться до июньской версии ОС. Проходит год-два и эти смартфоны, и планшеты уже не обновляются совсем. А производитель ОС заявляет, что операционные системы старше двух лет обновляться не будет никогда. Это приводит к появлению зоопарка на рынке. Но ведь это всего лишь смартфоны и планшеты, ожидаемое «время жизни» которых составляет максимум три года. А теперь поставим ту же версию на телевизор.

— Да, я не подумал

— Вот-вот. Ожидаемое время эксплуатации вашего, достаточно дорогого телевизора минимум 5-7 лет. Сколько раз за это время сменится версия ОС? Как думаете, производитель телевизора будет ее поддерживать? Рассылать прошивки? Тем более что чаще всего перепрошивка через Интернет поддерживается только в аппаратах премиум-класса. А если добавить, что в телевизоры встраивают микрофоны и камеры, то не станут ли телевизоры легкой добычей для злоумышленников?

— Н-да, невеселую картинку мы нам нарисовали, шеф…

— Добавьте сюда, что уже есть блокировщики и шифраторы для соответствующих смартфонов. Появятся и для телевизоров. Да и уровень знаний пользователей телевизоров таков, что они не просто легкая, а очень легкая добыча для злоумышленника.

— Страшная картина.

— И это только телевизоры! Но еще страшнее будет, когда они решат встраивать эту ОС в автомобили.

— А что делать?

— Учить! Учить пользователей! Другого выхода у нас нет! И заставлять производителей обеспечивать безопасность своих устройств под угрозой лишения права продавать их в нашей стране. Да. Это нерыночная мера. А что делать?

Страшная сказка? Да нет! Страшная правда! Что делать? Я не знаю, а вы?


Противодействие вирусам-шифровальщикам Часть 2

10/01/2017

Напомню читателям, что в данной статье мы рассматриваем тему вымогательства с применением специальных вирусов, которые часто обозначают термином ransomware. Как было показано в первой части статьи, современные темпы развития вирусов-шифровальщиков представляют серьезную проблему, на которую нельзя не обращать внимания. Столкнувшись с шантажом, жертва оказывается перед выбором — платить либо потерять информацию. Поэтому лучше предупредить угрозу, нежели заниматься устранением последствий. Сегодня мы обсудим, как это сделать, а также рассмотрим способы борьбы с шифровальщиками.

windows_it_ro_1_2017


Девять способов защитить предприятие от программного обеспечения вируса-вымогателя

09/01/2017

https://www.pcweek.ru/security/blog/security/9240.php

В отличие от направленных атак, которые могут оставаться необнаруженными в корпоративной сети в течение многих месяцев и даже лет, влияние вируса-вымогателя проявляется сразу же.
Согласно отчета компании Symantec, количество заражений вирусами-вымогателями в 2016 году увеличилось на 35%. Вместе с тем огромную тревогу вызывает изощрённость данного вида атак. Фактически заражение вирусом-вымогателем может остановить ваш бизнес полностью и нанести непоправимый ущерб, вплоть до полного разорения.
Увы, но стоит признать, что злоумышленнику не нужно иметь много денег или ресурсов, чтобы использовать данный вид вредоносного ПО.
В качестве предварительных мер защиты компания Landesk рекомендует следующие шаги.
1. Обновите критические операционные системы и приложения
Фактически обновление ваших операционных систем и приложений всегда является первой линией обороны против любой атаки, в том числе и атаки вируса-вымогателя. Именно поэтому вы должны следить за регулярными обновлениями вашего программного обеспечения. Причем не только операционной системы, а и таких приложений как Adobe Flash, Java, веб-браузеры, Microsoft Office и прочие.
Естественно, установка обновлений является приоритетной задачей, но в то же время не нарушить работу пользователя или бизнес-процесса.
Очень многие организации боятся, что своевременное всестороннее и непротиворечивое обновлений это слишком сложно в поддержке и более того, что это может повредить работе бизнес-приложений. Однако использование последних средств управления обновлениями делает этот процесс намного проще.
2. Вы должны гарантировать проведение регулярных сканирований и своевременное обновление антивирусного ПО.
Если исправление ваша первая линия обороны, то антивирус вторая. Безусловно, вы не можете гарантировать что ваш антивирус блокирует все атаки, однако он поможет вам снизить вероятность заражения уже идентифицированным вредоносным ПО.
Но чтобы это выполнялось, вы, в свою очередь, должны позаботиться об актуальности ваших антивирусных баз и проведении регулярного сканирования вашей сети ваши антивирусом.
3. Тщательно управляйте использованием привилегированных учетных записей.
Следует признать, что эффективным барьером на пути распространения вредоносного ПО является минимизация полномочий. Живым примером является атака вируса-вымогателя «Petya», требующего для своей работы права локального администратора. Данное ПО просто не может зашифровать ваш жесткий диск, если запущено под правами локального пользователя. Но вместе с тем стоит отметить, что это не панацея. Обновленная версия того же вируса уже не требует прав локального администратора.
4. Управление доступом
Управление доступом может быть эффективным решением для защиты файлов, расположенных на общих дисках. Поэтому некоторые пользователи должны иметь право на создание и изменение файлов, а некоторые только на чтение. В конце концов большинство таких файлов – документы, создаваемые пользователями. А значит и заражение только ПК владельца таких документов позволит им быть зашифрованными, что уменьшит вероятность их блокировки.
5. Определите, создайте и внедрите правила использования программного обеспечения
Прежде всего вы должны понять, какое программное обеспечение применяется на вашем предприятии. Увы, но стоит отметить, что большинство компаний перечня применяемого ПО просто не имеет. После того как вы поймете какое ПО вы применяете, вам стоит понять, а какое ПО нужно каким пользователям и зачем. Затем вам придется продумать какое ПО может создавать изменять или считывать файл, расположенный в определенной папке.
Соответствующие правила вы можете применить или глобально, или к определенным пользователям или группам. Однако прежде чем вы будете применять эти правила, следует понять, что эти правила могут усложнить жизнь ваших пользователей. Потому перед внедрением вам в обязательном порядке нужно провести тестирование правил. Не экономьте на времени тестирования иначе придется расплачиваться возможными авариями в процессе работы.
6. Отключите макросы Microsoft Office
Я уверен, что вы уже так и сделали, ведь отключение макросов Office позволит вам заблокировать множество различных типов вредоносного ПО.
7. Белый список ПО
После реализации правил программного обеспечения вам, безусловно, захочется применить белый список ПО, что позволит забыть о проблемах вредоносного программного обеспечения. Ведь работать будут только известные приложения. Однако стоит понять, что эффективно работать такой белый список будет только на тех компьютерах, на которых установленное ПО решает одни и те же задачи ежедневно.
8. Ограничьте пользователей виртуализированный средой
В большинстве случае вредоносное программное обеспечение вируса-вымогателя заражает ваш ПК путем почтового вложения.
Ограничение пользователей виртуализированной средой позволяет гарантировать что любое вредоносное ПО не причинит ущерба основной рабочей среде пользователя.
9. Часто выполняйте резервное копирование критических данных.
ФБР рекомендует часто проводить резервное копирование критических данных. При правильной организации вы получаете ежедневное резервное копирование, что позволит вам не заботиться при нападении вируса-вымогателя.

 


Сколько лет прошло, а все одно и то же!

08/01/2017

https://msdn.microsoft.com/ru-ru/library/dn753686.aspx

Пользователи и мифы безопасности

Всякий раз, когда сталкиваешься с проблемой онлайн безопасности, стараешься советовать совершить те или иные действия, которые кажутся правильными. Это порождает массу мифов. С годами я понял, что многие мифы кажутся пользователям правдой. Давайте поговорим о таких мифах.

Миф №1. Пароли должны быть чрезмерно сложными и их невозможно запомнить

В то время как этот совет все еще хорош в теории, на самом деле сегодня он заменяется тремя гораздо более важными советами, которые я рекомендую вам запомнить:

  1. Ваш пароль должен быть не менее 15 символов в длину и содержать как минимум 3 набора символов из 4-х.
  2. Сегодня, когда вы вынуждены использовать множество паролей, запомните, вы не имеете права использовать один и тот же пароль на различных интернет-ресурсах.
  3. Используйте платные или бесплатные менеджеры паролей для их хранения. В таком случае вам потребуется запомнить один мастер-пароль. Лучше использовать тот менеджер паролей, который может работать под различными ОС, в том числе и мобильными, а также имеет portable-версию, хранимую на USB-флеш.

Миф №2. Только вложения электронной почты, являющиеся исполняемыми файлами, опасны и их нельзя открывать

Неправильно! Я очень часто слышу это от пользователей, которые не понимают, что существует риск при открытии файлов ВСЕХ типов, присоединенных к сообщениям электронной почты. Недавними и очень опасными примерами были документы MicrosoftWord и AdobePDF.

Если Вы не ожидаете получения документа по электронной почте от кого-либо, удалите сообщение электронной почты; или по крайней мере гарантируйте, что программное обеспечение вашего компьютера находится в актуальном состоянии и базы вашего антивируса регулярно обновляются.

Миф №3. Всплывающие сообщения, об обновлении ПО, могут быть фальшивкой

Много лет назад было довольно много примеров «поддельного» обновления программного обеспечения. Эта эпидемия, заразила много пользователей, но еще больше заставила бояться обновляться. Вместе с тем – обновление – важнейшая задача в обеспечении безопасности.

Лучший совет, в данном случае, состоит в том, чтобы ВСЕГДА обновлять свое программное обеспечение. А для того чтобы не забывать обновляться – воспользуйтесь услугами PersonalSoftwareInspector от компании Secunia.

Миф №4. Вы никогда не должны записывать пароль

Фактически бывают ситуации, когда записывать пароли можно и нужно, однако при этом хранить их придется в надежном месте. Например, чтобы защитить вашу домашнюю беспроводную сеть вы должны удостовериться, что пароль WiFi имеет надежную длину (по крайней мере 20 символов) и настолько сложен, что вы не помните его – запишите его и храните его дома в безопасном месте.

Пока вы храните любые записанные пароли в защищенном месте, они находятся в безопасности.

Миф №5. Ваши банковские учетные данные — самая важная вещь

Когда людей спрашивают, какие онлайн учетные записи более всего нуждаются в защите, они будут часто говорить о своих банковских данных. При этом часто они полностью забывают о важности защиты их почтового ящика; особенно, если это — онлайновая учетная запись, такая как Gmail, Yahoo или Outlook.com.

Мошенники в состоянии использовать плохо защищенные почтовые ящики многими способами. Защитите свой почтовый ящик уникальным паролем и включите все дополнительные функции, такие как двухэтапная аутентификация (если она существует).


Norton Core — домашний маршрутизатор с обеспечением безопасности в реальном времени

07/01/2017

До сих пор Norton ассоциировался как одно из самых популярных имен в защитном программном обеспечении, однако так было до 2017 года. Сегодня к программным средствам безопасности присоединяется средство аппаратной защиты. Компания Symantec выпустила первый домашний маршрутизатор, Norton Core, представленный впервые на CES 3017.

Защита вашей домашней сети

Фактически это маршрутизатор со встроенными средствами безопасности, предназначенный для защиты всего вашего дома, а не просто личного ПК. По заявлению Symantec, устройство предназначено для обеспечения безопасности всех подключенных к нему устройств, включая компьютеры под управлением Windows, Mac, смартфоны, планшеты и любые устройства IoT, в режиме реального времени.

Norton Core поддерживается командой специалистов безопасности, постоянно анализирующей и противодействующей кибератакам во всем мире.

Маршрутизатор получает регулярные обновления механизмов защиты. Если к сети будет подключено зараженное устройство, то оно будет изолировано от остальных устройств в сети, чтобы предотвратить распространение вредоносного программного обеспечения.

В свою очередь, вы можете использовать мобильное приложение, чтобы в любой момент времени просмотреть отчет о состоянии безопасности.

Простое управление домашней сетью

Средства обеспечения на уровне маршрутизаторов существовали и до этого. В свое время Asus вместе с Trend Micro уже предлагал такое решение на своих высокопроизводительных маршрутизаторах, таких как RT-AC5300 и RT-AC88U.

Однако в Norton Core сделан шаг вперед, предлагая всестороннюю защиту домашним пользователям.

Используя мобильное приложение, вы можете контролировать сеть и видеть список сетевых угроз, блокированных вашим маршрутизатором. Более того, вы можете видеть текущий уровень безопасности вашей домашней сети с рейтингом от 0 (абсолютно уязвимо) до 500 (абсолютно безопасно)

Кроме того, приложение можно использовать чтобы приостановить Интернет для любого подключенного устройства или установить интервал времени выключения широкополосного соединения.

Маршрутизатор будет доступен для пользователей с лета 2017 года.


Девять способов защитить предприятие от программного обеспечения вируса-вымогателя

01/01/2017

В отличие от направленных атак, которые могут оставаться необнаруженными в корпоративной сети в течение многих месяцев и даже лет, влияние вируса-вымогателя проявляется сразу же.

Согласно отчета компании Symantec, количество заражений вирусами-вымогателями в 2016 году увеличилось на 35%. Вместе с тем огромную тревогу вызывает изощрённость данного вида атак. Фактически заражение вирусом-вымогателем может остановить ваш бизнес полностью и нанести непоправимый ущерб, вплоть до полного разорения.

Увы, но стоит признать, что злоумышленнику не нужно иметь много денег или ресурсов, чтобы использовать данный вид вредоносного ПО.

В качестве предварительных мер защиты компания Landesk рекомендует следующие шаги.

  1. Обновите критические операционные системы и приложения

Фактически обновление ваших операционных систем и приложений всегда является первой линией обороны против любой атаки, в том числе и атаки вируса-вымогателя. Именно поэтому вы должны следить за регулярными обновлениями вашего программного обеспечения. Причем не только операционной системы, а и таких приложений как Adobe Flash, Java, веб-браузеры, Microsoft Office и прочие.

Естественно, установка обновлений является приоритетной задачей, но в то же время не нарушить работу пользователя или бизнес-процесса.

Очень многие организации боятся, что своевременное всестороннее и непротиворечивое обновлений это слишком сложно в поддержке и более того, что это может повредить работе бизнес-приложений. Однако использование последних средств управления обновлениями делает этот процесс намного проще.

  1. Вы должны гарантировать проведение регулярных сканирований и своевременное обновление антивирусного ПО.

Если исправление ваша первая линия обороны, то антивирус вторая. Безусловно, вы не можете гарантировать что ваш антивирус блокирует все атаки, однако он поможет вам снизить вероятность заражения уже идентифицированным вредоносным ПО.

Но чтобы это выполнялось, вы, в свою очередь, должны позаботиться об актуальности ваших антивирусных баз и проведении регулярного сканирования вашей сети ваши антивирусом.

  1. Тщательно управляйте использованием привилегированных учетных записей.

Следует признать, что эффективным барьером на пути распространения вредоносного ПО является минимизация полномочий. Живым примером является атака вируса-вымогателя «Petya», требующего для своей работы права локального администратора. Данное ПО просто не может зашифровать ваш жесткий диск, если запущено под правами локального пользователя. Но вместе с тем стоит отметить, что это не панацея. Обновленная версия того же вируса уже не требует прав локального администратора.

  1. Управление доступом

Управление доступом может быть эффективным решением для защиты файлов, расположенных на общих дисках. Поэтому некоторые пользователи должны иметь право на создание и изменение файлов, а некоторые только на чтение. В конце концов большинство таких файлов – документы, создаваемые пользователями. А значит и заражение только ПК владельца таких документов позволит им быть зашифрованными, что уменьшит вероятность их блокировки.

  1. Определите, создайте и внедрите правила использования программного обеспечения

Прежде всего вы должны понять, какое программное обеспечение применяется на вашем предприятии. Увы, но стоит отметить, что большинство компаний перечня применяемого ПО просто не имеет. После того как вы поймете какое ПО вы применяете, вам стоит понять, а какое ПО нужно каким пользователям и зачем. Затем вам придется продумать какое ПО может создавать изменять или считывать файл, расположенный в определенной папке.

Соответствующие правила вы можете применить или глобально, или к определенным пользователям или группам. Однако прежде чем вы будете применять эти правила, следует понять, что эти правила могут усложнить жизнь ваших пользователей. Потому перед внедрением вам в обязательном порядке нужно провести тестирование правил. Не экономьте на времени тестирования иначе придется расплачиваться возможными авариями в процессе работы.

  1. Отключите макросы Microsoft Office

Я уверен, что вы уже так и сделали, ведь отключение макросов Office позволит вам заблокировать множество различных типов вредоносного ПО.

  1. Белый список ПО

После реализации правил программного обеспечения вам, безусловно, захочется применить белый список ПО, что позволит забыть о проблемах вредоносного программного обеспечения. Ведь работать будут только известные приложения. Однако стоит понять, что эффективно работать такой белый список будет только на тех компьютерах, на которых установленное ПО решает одни и те же задачи ежедневно.

  1. Ограничьте пользователей виртуализированный средой

В большинстве случае вредоносное программное обеспечение вируса-вымогателя заражает ваш ПК путем почтового вложения.

Ограничение пользователей виртуализированной средой позволяет гарантировать что любое вредоносное ПО не причинит ущерба основной рабочей среде пользователя.

  1. Часто выполняйте резервное копирование критических данных.

ФБР рекомендует часто проводить резервное копирование критических данных. При правильной организации вы получаете ежедневное резервное копирование, что позволит вам не заботиться при нападении вируса-вымогателя.