Не можешь? Научим! Не хочешь? Заставим!

10/01/2017

Уже давно не вызывает особого интереса появление нового образца ransomware. Ну что может быть принципиально нового? Пути заражения? Так их не так много! Применяемые алгоритмы шифрования? Тоже весьма ограниченное количество!

Ведь на самом деле алгоритм ransomware уже достаточно хорошо изучен и может быть сведен к ряду операций ЗАРАЖЕНИЕ – ШИФРОВАНИЕ – ТРЕБОВАНИЕ ВЫКУПА – ВОЗМОЖНОЕ РАСШИФРОВЫВАНИЕ. Поиск чего-то нового сводится, как правило, к поиску путей заражения и ключей шифрования. Однако создателям ransomware под названием Koolova удалось меня удивить.

koolova

Рисунок 1  Koolova

Данный вредонос-вымогатель является разновидностью печально известного Locky и использует для шифрования комбинацию алгоритмов RSA-2048 и AES-256, то есть алгоритмов ассимметричного и симметричного шифрования. Единственные файлы на вашем компьютере, которые не будут затронуты вредоносом, важные системные файлы и файл ransom, из которого жертва может узнать о шифровании данных алгоритмов, о том, как купить bitcoin, как установить Tor браузер и так далее.

Вместе с тем, будь Koolova стандартным вымогателем, не стоило бы столько времени уделять ему. Основное отличие данного вымогателя от других состоит в том, что он не требует денег в качестве выкупа!

Основной целью Koolova как ни странно, является информирование пользователей об опасностях ransomware. То есть, создатели вредоноса не требуют от жертвы денег, они хотят, чтобы жертва прочла две статьи о вымогателях. Эти статьи — Google Security Blog Stay safe while browsing и BleepingComputer Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom

После того, как пользователь сделает это, он получит ключ и сможет расшифровать свои файлы. А затем сможет просто удалить Koolova.

Если же жертва слишком ленива чтобы прочесть обе статьи, Koolova запускает обратный отсчет и в случае если пользователь все же отказывается читать, удаляет зашифрованные файлы, как ransomware Jigsaw.

Однако если же жертва прочтет обе статьи, кнопка расшифровки Decrypt My Files (Decripta i Miei File) становится доступной. При нажатии этой кнопки Koolova подключится к управляющему серверу (C&C) и получит ключ расшифровки.

decryption-key-retrieved

Не правда ли, весьма своеобразный подход к повышению компьютерной грамотности?


Противодействие вирусам-шифровальщикам Часть 2

10/01/2017

Напомню читателям, что в данной статье мы рассматриваем тему вымогательства с применением специальных вирусов, которые часто обозначают термином ransomware. Как было показано в первой части статьи, современные темпы развития вирусов-шифровальщиков представляют серьезную проблему, на которую нельзя не обращать внимания. Столкнувшись с шантажом, жертва оказывается перед выбором — платить либо потерять информацию. Поэтому лучше предупредить угрозу, нежели заниматься устранением последствий. Сегодня мы обсудим, как это сделать, а также рассмотрим способы борьбы с шифровальщиками.

windows_it_ro_1_2017


Девять способов защитить предприятие от программного обеспечения вируса-вымогателя

09/01/2017

https://www.pcweek.ru/security/blog/security/9240.php

В отличие от направленных атак, которые могут оставаться необнаруженными в корпоративной сети в течение многих месяцев и даже лет, влияние вируса-вымогателя проявляется сразу же.
Согласно отчета компании Symantec, количество заражений вирусами-вымогателями в 2016 году увеличилось на 35%. Вместе с тем огромную тревогу вызывает изощрённость данного вида атак. Фактически заражение вирусом-вымогателем может остановить ваш бизнес полностью и нанести непоправимый ущерб, вплоть до полного разорения.
Увы, но стоит признать, что злоумышленнику не нужно иметь много денег или ресурсов, чтобы использовать данный вид вредоносного ПО.
В качестве предварительных мер защиты компания Landesk рекомендует следующие шаги.
1. Обновите критические операционные системы и приложения
Фактически обновление ваших операционных систем и приложений всегда является первой линией обороны против любой атаки, в том числе и атаки вируса-вымогателя. Именно поэтому вы должны следить за регулярными обновлениями вашего программного обеспечения. Причем не только операционной системы, а и таких приложений как Adobe Flash, Java, веб-браузеры, Microsoft Office и прочие.
Естественно, установка обновлений является приоритетной задачей, но в то же время не нарушить работу пользователя или бизнес-процесса.
Очень многие организации боятся, что своевременное всестороннее и непротиворечивое обновлений это слишком сложно в поддержке и более того, что это может повредить работе бизнес-приложений. Однако использование последних средств управления обновлениями делает этот процесс намного проще.
2. Вы должны гарантировать проведение регулярных сканирований и своевременное обновление антивирусного ПО.
Если исправление ваша первая линия обороны, то антивирус вторая. Безусловно, вы не можете гарантировать что ваш антивирус блокирует все атаки, однако он поможет вам снизить вероятность заражения уже идентифицированным вредоносным ПО.
Но чтобы это выполнялось, вы, в свою очередь, должны позаботиться об актуальности ваших антивирусных баз и проведении регулярного сканирования вашей сети ваши антивирусом.
3. Тщательно управляйте использованием привилегированных учетных записей.
Следует признать, что эффективным барьером на пути распространения вредоносного ПО является минимизация полномочий. Живым примером является атака вируса-вымогателя «Petya», требующего для своей работы права локального администратора. Данное ПО просто не может зашифровать ваш жесткий диск, если запущено под правами локального пользователя. Но вместе с тем стоит отметить, что это не панацея. Обновленная версия того же вируса уже не требует прав локального администратора.
4. Управление доступом
Управление доступом может быть эффективным решением для защиты файлов, расположенных на общих дисках. Поэтому некоторые пользователи должны иметь право на создание и изменение файлов, а некоторые только на чтение. В конце концов большинство таких файлов – документы, создаваемые пользователями. А значит и заражение только ПК владельца таких документов позволит им быть зашифрованными, что уменьшит вероятность их блокировки.
5. Определите, создайте и внедрите правила использования программного обеспечения
Прежде всего вы должны понять, какое программное обеспечение применяется на вашем предприятии. Увы, но стоит отметить, что большинство компаний перечня применяемого ПО просто не имеет. После того как вы поймете какое ПО вы применяете, вам стоит понять, а какое ПО нужно каким пользователям и зачем. Затем вам придется продумать какое ПО может создавать изменять или считывать файл, расположенный в определенной папке.
Соответствующие правила вы можете применить или глобально, или к определенным пользователям или группам. Однако прежде чем вы будете применять эти правила, следует понять, что эти правила могут усложнить жизнь ваших пользователей. Потому перед внедрением вам в обязательном порядке нужно провести тестирование правил. Не экономьте на времени тестирования иначе придется расплачиваться возможными авариями в процессе работы.
6. Отключите макросы Microsoft Office
Я уверен, что вы уже так и сделали, ведь отключение макросов Office позволит вам заблокировать множество различных типов вредоносного ПО.
7. Белый список ПО
После реализации правил программного обеспечения вам, безусловно, захочется применить белый список ПО, что позволит забыть о проблемах вредоносного программного обеспечения. Ведь работать будут только известные приложения. Однако стоит понять, что эффективно работать такой белый список будет только на тех компьютерах, на которых установленное ПО решает одни и те же задачи ежедневно.
8. Ограничьте пользователей виртуализированный средой
В большинстве случае вредоносное программное обеспечение вируса-вымогателя заражает ваш ПК путем почтового вложения.
Ограничение пользователей виртуализированной средой позволяет гарантировать что любое вредоносное ПО не причинит ущерба основной рабочей среде пользователя.
9. Часто выполняйте резервное копирование критических данных.
ФБР рекомендует часто проводить резервное копирование критических данных. При правильной организации вы получаете ежедневное резервное копирование, что позволит вам не заботиться при нападении вируса-вымогателя.

 


Сколько лет прошло, а все одно и то же!

08/01/2017

https://msdn.microsoft.com/ru-ru/library/dn753686.aspx

Пользователи и мифы безопасности

Всякий раз, когда сталкиваешься с проблемой онлайн безопасности, стараешься советовать совершить те или иные действия, которые кажутся правильными. Это порождает массу мифов. С годами я понял, что многие мифы кажутся пользователям правдой. Давайте поговорим о таких мифах.

Миф №1. Пароли должны быть чрезмерно сложными и их невозможно запомнить

В то время как этот совет все еще хорош в теории, на самом деле сегодня он заменяется тремя гораздо более важными советами, которые я рекомендую вам запомнить:

  1. Ваш пароль должен быть не менее 15 символов в длину и содержать как минимум 3 набора символов из 4-х.
  2. Сегодня, когда вы вынуждены использовать множество паролей, запомните, вы не имеете права использовать один и тот же пароль на различных интернет-ресурсах.
  3. Используйте платные или бесплатные менеджеры паролей для их хранения. В таком случае вам потребуется запомнить один мастер-пароль. Лучше использовать тот менеджер паролей, который может работать под различными ОС, в том числе и мобильными, а также имеет portable-версию, хранимую на USB-флеш.

Миф №2. Только вложения электронной почты, являющиеся исполняемыми файлами, опасны и их нельзя открывать

Неправильно! Я очень часто слышу это от пользователей, которые не понимают, что существует риск при открытии файлов ВСЕХ типов, присоединенных к сообщениям электронной почты. Недавними и очень опасными примерами были документы MicrosoftWord и AdobePDF.

Если Вы не ожидаете получения документа по электронной почте от кого-либо, удалите сообщение электронной почты; или по крайней мере гарантируйте, что программное обеспечение вашего компьютера находится в актуальном состоянии и базы вашего антивируса регулярно обновляются.

Миф №3. Всплывающие сообщения, об обновлении ПО, могут быть фальшивкой

Много лет назад было довольно много примеров «поддельного» обновления программного обеспечения. Эта эпидемия, заразила много пользователей, но еще больше заставила бояться обновляться. Вместе с тем – обновление – важнейшая задача в обеспечении безопасности.

Лучший совет, в данном случае, состоит в том, чтобы ВСЕГДА обновлять свое программное обеспечение. А для того чтобы не забывать обновляться – воспользуйтесь услугами PersonalSoftwareInspector от компании Secunia.

Миф №4. Вы никогда не должны записывать пароль

Фактически бывают ситуации, когда записывать пароли можно и нужно, однако при этом хранить их придется в надежном месте. Например, чтобы защитить вашу домашнюю беспроводную сеть вы должны удостовериться, что пароль WiFi имеет надежную длину (по крайней мере 20 символов) и настолько сложен, что вы не помните его – запишите его и храните его дома в безопасном месте.

Пока вы храните любые записанные пароли в защищенном месте, они находятся в безопасности.

Миф №5. Ваши банковские учетные данные — самая важная вещь

Когда людей спрашивают, какие онлайн учетные записи более всего нуждаются в защите, они будут часто говорить о своих банковских данных. При этом часто они полностью забывают о важности защиты их почтового ящика; особенно, если это — онлайновая учетная запись, такая как Gmail, Yahoo или Outlook.com.

Мошенники в состоянии использовать плохо защищенные почтовые ящики многими способами. Защитите свой почтовый ящик уникальным паролем и включите все дополнительные функции, такие как двухэтапная аутентификация (если она существует).


Чудеса с почтой Microsoft

19/12/2016

На днях обратился ко мне знакомый со странной проблемой. Где-то две недели тому мы создали ему почтовый аккаунт на http://outlook.com . Стандартная процедура. Ничего сверхъестественного. К аккаунту телефон не привязывался.

Прошло две недели. Вдруг у него блокируется учетная запись. При входе на сайт http://outlook.com появляется сообщение что с данного адреса идет спам, необходимо подтвердить, что это ваш адрес и т.д. (дословно просто не помню). В ходе подтверждения потребовалось ввести номер мобильного телефона, на который придет SMS с кодом подтверждения.

После прохождения всей этой процедуры доступ к почте восстановлен и все работает.

Странно то, что это далеко не первый случай. С той же проблемой ранее уже обращались человека 3-4. Причем такое сообщение приходит только в том случае если пользователь изначально не указал мобильный номер телефона. Если же изначально телефон указали, то такая ситуация не происходит. Что это? Сбор информации о пользователе? Зачем? Непонятно!


Сказки о безопасности: Новая прослушка

13/12/2016

http://www.pcweek.ru/themes/detail.php?ID=190960

В империи, впрочем, как и на всей планете, компьютерные средства подчинялись основному принципу «сделаем так, чтобы пользователю было удобнее».

С одной стороны, это привело к значительному увеличению пользователей персональных компьютеров, многие ранее обычные бытовые электронные приборы стали компьютеризированными.

С другой стороны, пользовательские приборы становились новыми источниками угроз, причем ранее совсем не характерными для данного оборудования.

Первыми в качестве подслушивающих и подсматривающих приборов стали телевизоры. Как только компании-производители стали добавлять в телевизоры средства для общения через Интернет, поддержку социальных сетей, различные мессенджеры, в том числе рассчитанные для общения с поддержкой видео, встала проблема безопасности. Ведь отключить микрофон, а как позже стало понятно, и камеру, пользователи просто не могли. Появилось универсальное подслушивающее и подсматривающее устройство, которое пользователи сами устанавливали в своих квартирах и даже кабинетах.

Иоганн со своей командой добился запрета на установку таких телевизоров в кабинетах государственных служащих и не рекомендовал их покупку. Однако время шло.

Сегодня утром в новостях Иоганн прочел, что компания Х заявила о новшестве в своей новой широко разрекламированной операционной системе. Теперь компьютеры под ее управлением можно включать голосом. Наперебой с экрана различные «эксперты» вещали об этом, как о новом прорыве. Но никто не задумывался о том, а что же это означает на самом деле?

— Марк, Рита, приглашаю вас на наше очередное заседание по поводу различных технических новинок.

— О чем речь пойдет, шеф? К чему быть готовым? Что брать с собой?

— Марк, как обычно брать голову, быть готовым к худшему, речь пойдет о продуктах компании Х.

— О боже! Действительно, быть готовым к худшему. Эти ради заработка мать родную продадут и скажут, что ее осчастливили.

Через 10 минут в комнате переговоров.

— Марк, вы помните историю с прослушкой с помощью телевизоров?

— Это когда мы запретили телевизоры с видеокамерами и микрофонами? Конечно помним. На нас до сих пор обижаются и называют нас консерваторами.

— А помните историю с программным обеспечением для смартфонов, предназначенным для опознавания музыкальных треков. Проигрываешь музыку, программа слушает и выдает имя исполнителя и авторов музыки?

— Конечно, там еще микрофон выключить было нельзя. Хорошую свинью пользователям тогда подсунули борцы за авторское право. Сколько штрафов выписали.

— Ну а теперь все еще интереснее. Компания Х решила, что пользователи безмозглые идиоты и сами включить компьютер (впрочем и выключить тоже) уже не умеют и решила внедрить ПО для управления включением-выключением компьютера голосом. Подумайте, что это может означать?

— Шеф, а что тут думать? Это ведь означает что даже выключенный компьютер будет теперь вас слушать целые сутки. Фактически мы сами устанавливаем себе еще один канал для прослушки. Особенно «весело» будет, если заблокировать данную возможность будет невозможно. А зная умение рекламировать продукцию данной компании, мы еще и массу недовольных получим, если запретим это. А не запретить просто нельзя… Веселые времена настают.

— Но все же мы постараемся запретить это ПО хотя бы на государственных предприятиях и в домах госслужащих. Надеюсь, это хоть немного поможет. Завтра же еду на прием к императору.

Вы думаете это сказка? Компания Microsoft уже объявила, что компьютеры под управлением Windows 10 смогут включаться с помощью голосовой команды. Кто следующий?


Противодействие вирусам-шифровальщикам. Часть 1

12/12/2016

В данной статье мы попытаемся разобраться в проблеме вымогательства с применением специальных вирусов, которые часто обозначают термином ransomware. Увы, приходится признать, что данная проблема все чаще возникает перед множеством компаний и частных
лиц по всему миру. Статья будет состоять из двух частей, я планирую во всех деталях рассмотреть функциональность данного вредоносного программного обеспечения, пути его распространения и методы противодействия, а также постараюсь дать основные рекомендации на случай заражения незащищенных систем.

 

Полностью первая часть статьи опубликована в Windows IT Pro/RE #12 2016