Сказки о безопасности: Видеокарточный дефицит

21/06/2017

— Мистер Ли, у нас проблема! Склады наших фабрик по производству видеокарт премиум-сегмента затоварены. Цены падают. Эти карты в первую очередь скупались геймерами. Но сегодня новых игр нет, и мы не знаем, что делать.

— Что делать? А для чего еще можно приспособить эти карты?

— Для взлома паролей. Для расчета криптовалют. Больше, пожалуй, некуда.

— Генри, вы идиот! Зовите сюда начальника пиар-отдела, срочно!

— Анна! Срочно организовать в прессе серию статей о криптовалютах! О том, что это надежное вложение капитала, что стоимость криптовалюты растет и что валюту удобно создавать с помощью видеокарт премиум-сегмента. Без прямого указания нашей продукции!

Прошел месяц. СМИ всего мира подняли тему криптовалют. В мире начался бум.

— Ну как наши запасы, Генри?

— Мистер Ли! Вы гений! У нас не только нет ничего на складах! Нам пришлось ввести на фабриках трехсменный режим работы. Сегодня фабрики работают даже в субботу-воскресенье.

— Учтите, это ненадолго. Как только людей, которые будут производить криптовалюту, станет много, стоимость ее будет падать, а значит производить ее невыгодно. Потому думайте, что будет дальше.

— Мистер Ли, вы вытащили фабрики из кризиса. Теперь думать, что делать дальше. А значит нужно вкладываться в науку и разработку.

Такой или приблизительно такой разговор мог возникнуть не так давно. Ведь спрос на видеокарты привел к жуткому дефициту. Что дальше?

 

 

http://www.itweek.ru/themes/detail.php?ID=196110

 


Сказки о безопасности: Навязчивая реклама

21/06/2017

— Привет, Потапыч!

— Привет, Хрюша! Что привело на этот раз?

— Да не пойму, что произошло! На ноутбуке вдруг изменилась стартовая страница в браузере и поисковая система по умолчанию стала другой. Приходил Заяц, ну ты ж знаешь его.

— И что?

— Посидел поохал, но сменить все обратно так и не смог. Не пойму, что случилось.

— Погоди, а что ты устанавливала в последнее время. И когда это случилось?

— Случилось с неделю назад, но последний раз я устанавливала программу давно, еще с месяц тому. Заяц же мне ее и устанавливал. Я ж в этом деле темная. Ставил он мне книгу рецептов. Ты ж знаешь, я люблю готовить.

— Ворованную?

— Да нет. Бесплатную. Там еще говорилось что периодически вам будет показываться реклама. Но оно ж мне не мешает, верно? Зато рецепты хорошие.

— Эх, Хрюша! Судя по всему, тебя явно заразили каким-то ПО для показа рекламы. Осталось понять, каким.

— Ну реклама, а что тут плохого?

— Да то, что такая вот дополнительная реклама может не просто тебе показывать где и что купить, с ее помощью можно следить за тобой и фиксировать, на какие сайты ты ходишь, что смотришь, чтобы подсовывать тебе именно твою рекламу.

— Ага, то-то я смотрю, стоило мне поискать для племянника велосипед и теперь меня преследует реклама велосипедов, запчастей и т. д. Причем не только в браузере на компьютере, но и на телефоне.

— Вот-вот! А ведь фактически такое ПО может скачивать и устанавливать расширения для браузера и выполнять любой код на зараженном устройстве, превращают это рекламное приложение в отличный способ для установки троянов. Использовать его можно самыми разными способами — в основном для установки нехороших программ на компьютер и перехвата важной информации или для заражения его различными видами зловредов.

— Ой, а что ж мне делать?

— Неси ноутбук сюда, будем проверять и настроим тебе защиту от потенциально нежелательных программ. Заодно вообще гляну, что у тебя там и как. Короче, иди домой за ноутбуком!

Вот так счастливо закончилась эта история для Хрюши. А на вашем компьютере вы установили защиту от нежелательной рекламы? Нет еще? Тогда самое время!        

 https://www.itweek.ru/security/article/detail.php?ID=196097


Сказки о безопасности: Опасная библиотека

19/06/2017

— Доброе утро, Софи!

— Доброе утро, Иоганн!

— Что у нас на сегодня?

— К 10 утра к вам записаны на прием школьные учителя

— Хорошо, спасибо! Приготовьте, пожалуйста, чай, кофе и пирожные. Все же учитель — это самая главная профессия в жизни.

— Хорошо!

В 10 утра Иоганн встретил учителей у порога. В числе делегации был и школьный учитель Иоганна.

— Доброе утро!

— Иоганн, милый, какой же ты уже взрослый! Идет время…

— Что случилось, господин Штаубе?

— Ой, да какой там господин Штаубе!

— Ну как же, вы для меня всегда останетесь тем же школьным учителем, который учил меня читать и писать

— И все же, мы понимаем, что вы заняты, потому сразу к делу. У нас проблема. Наши дети, выполняя домашнее задание, должны были прочитать две книги известных писателей Э. Х. и Ф. Д. Как обычно, они нашли их в Интернете, поскольку это классики и все должны их предоставлять бесплатно, ведь классику, тем более из школьной программы, оплачивает император. И тут…

— Что произошло?

— Первой с неприятностями столкнулась наша отличница Эмма. Она загрузила архив с книгой (как она считала) с сайта бесплатной библиотеки. Когда она стала распаковывать его, антивирус заявил о наличии трояна и потребовал лечения активного заражения. Но, как оказалось, в распакованном архиве содержались два файла — текстовый и еще один архив. Для распаковки второго архива необходим был пароль, получить который можно было, зарегистрировавшись на сайте. При регистрации нужно указать фамилию, имя, e-mail и телефон.

— Погодите, то есть сайт заведомо заражает пользователей, а затем еще и собирает их персональные данные?

— Да. Но и это не все.

— А что еще?

— Когда она все же распаковала архив, оказалось, что в нем книги нет, а есть набор непонятных рекламных картинок, то есть просто мусор.

— Правильно ли я понимаю, что фактически прикрываясь званием библиотеки данный сайт предназначен для сбора персональных данных и распространения вредоносного ПО?

— Все верно!

— Спасибо! Я сегодня же поручу своим сотрудникам разобраться. Еще раз благодарю!

Вы думаете, что это фантастика? Отнюдь. Я сам натолкнулся на такую вот «библиотеку». А что? Весьма оригинальный способ заражения. И не пойдешь же жаловаться. Ведь сам скачиваешь пиратский контент!

http://www.itweek.ru/themes/detail.php?ID=196053


Выпущен инструмент для дешифрования Jaff Ransomware

15/06/2017

Kaspersky Labs выпустил обновленную версию RakhniDecryptor 1.21.2.1, своего бесплатного инструмента для дешифрования.

Исследователи из Kaspersky Lab обнаружили, что в коде Jaff Ransomware содержится уязвимость, позволяющая жертвам разблокировать их зашифрованные файлы.

Идентифицированный в прошлом месяце Jaff является относительно новым ransomware. Атака Jaff Ransomware выполняется путем отправки спам писем миллионам пользователей с присоединенным PDF, который открывает встроенный документ Word со злонамеренным макро-сценарием.

После этого Jaff ransomware загружается на компьютер, шифруя файлы жертвы и затем требуя выкуп от 0.5 до 2 Bitcoin (~ 1,500$ до 5,000$ сегодня).

Как использовать RakhniDecryptor

  1. Загрузите Kaspersky RakhniDecryptor
  2. Скачайте и распакуйте архив RakhniDecryptor.zip, используя программу-архиватор (например, 7zip).
  3. Запустите файл RakhniDecryptor.exe на зараженном компьютере.
  4. В окне Kaspersky RakhniDecryptor нажмите Изменить параметры проверки.
  5. В окне Настройки выберите объекты для проверки (жесткие диски / сменные диски / сетевые диски).
  6. Установите флажок Удалять зашифрованные файлы после успешной расшифровки (в этом случае утилита будет удалять копии зашифрованных файлов с расширениями .locked, .kraken и .darkness).
  7. Нажмите ОК.
  8. В окне Kaspersky RakhniDecryptor нажмите Начать проверку.

Файл может быть зашифрован с расширением _crypt более одного раза.

Например, файл тест.doc зашифрован 2 раза. Первый слой утилита RakhniDecryptor расшифрует в тест.1.doc.layerDecryptedKLR. В отчете о работе утилиты появится запись Decryption success: диск:\путь\тест.doc_crypt -> диск:\путь\тест.1.doc.layerDecryptedKLR. Этот расшифрованный файл также необходимо еще раз расшифровать утилитой. При успешной расшифровке файл будет пересохранен с оригинальным названием тест.doc.

Если файл зашифрован с расширением _crypt, подбор пароля для этого файла может длиться продолжительное время. Например, на процессоре Intel Core i5-2400 подбор пароля может длиться порядка 120 суток.


Мониторинг подозрительной активности

09/06/2017

Статистика 2016 года говорит о том, что мы живем в эпоху бурного развития вирусов-шифровальщиков. По данным компании Kaspersky Lab (см. рисунок), за это время возникло 62 новых семейства программ-вымогателей, количество новых модификаций вымогателей выросло в 11 раз, с 2900 в период с января по март до 32 091 в июле–сентябре. С января по конец сентября число атак на компании увеличилось в три раза: если в январе атаки проводились в среднем каждые две минуты, то в сентябре — уже каждые 40 секунд. Интенсивность атак на пользователей удвоилась: атаки предпринимались в среднем раз в 20 секунд в начале периода и раз в 10 секунд в конце. Каждое пятое предприятие малого или среднего бизнеса, заплатившее выкуп, так и не получило доступа к своим данным. В 2016 году увеличилось число вымогателей, написанных на языках сценариев, а также готовых решений «вымогатели как услуга» для тех, у кого нет нужных навыков, ресурсов или времени. В то же время, в 2016 году в мире началось организованное противостояние вымогателям.

Полный текст статьи


Вышла новая книга!

25/05/2017

Gigiena

Выпущен инструмент дешифрования программы-вымогателя WannaCry. Разблокируйте файлы без оплаты выкупа

22/05/2017

Если ваш PC был заражен WannaCry – программой-вымогателем, которая нанесла огромный ущерб компьютерам по всему миру, вы сможете вернуть ваши заблокированные файлы, не потратив на выкуп киберпреступникам 300$.

Adrien Guinet, французский исследователь в области безопасности от Quarkslab, обнаружил способ получить секретные ключи шифрования, используемые программой-вымогателем WannaCry бесплатно. Этот способ доступен для операционных систем Windows XP, Windows 7, Windows Vista, Windows Server 2003 и 2008.

Ключи расшифровки программы-вымогателя WannaCry

В ходе работы схемы шифрования WannaCry генерирует ключи шифрования компьютера жертвы на основе простых чисел.

Для того чтобы жертва не получила доступ к закрытому ключу и не дешифровала заблокированные файл сама, WannaCry вытирает ключ из системы. Таким образом у жертвы не остается выбора кроме оплаты выкупа атакующему.

Но вот простые числа из памяти не вытираются.

На основании этого открытия Guinet выпустил инструмент для дешифрования программы-вымогателя WannaCry, названный WannaKey, который находит эти два простых числа, используемые в формуле, чтобы сгенерировать эти ключи шифрования. Увы, такой способ работает только под управлением Windows XP.

Простые числа ищутся в процессе wcry.exe. Все это стало возможным только потому что CryptDestroyKey и CryptReleaseContext не стирают простые числа из памяти прежде чем ее освободить.

Что это означает?

А то что этот метод будет работать лишь при соблюдении следующих условий:

  • Компьютер после заражения не перегружался.
  • Соответствующая память не была выделена и вытерта некоторым другим процессом.

Таким образом, ваш компьютер, не должен перегружаться, будучи заражен. Кроме того, вам нужна некоторая удача, таким образом, увы, всегда этот способ работать не будет.

Это не ошибка от авторов программы-вымогателя, поскольку они правильно используют Windows Crypto API.

WanaKiwi: инструмент дешифрования программы-вымогателя WannaCry

Хорошие новости — то, что другой исследователь в области безопасности, Benjamin Delpy, разработал простой в использовании инструмент по имени «WanaKiwi», на основе открытия Guinet, которое упрощает процесс дешифрования WannaCry.

Все что жертва должна сделать – загрузить инструмент WanaKiwi с Github и выполнить его на соответствующем ПК в режиме командной строки.

Фирма Comae Technologies, работающая в области безопасности, подтвердила работу WanaKiwi над Windows XP, Windows 7, Windows Vista, Windows Server 2003 и 2008.

https://www.pcweek.ru/security/blog/security/9624.php