Size: a a a
2017 June 24
В качестве субботней развлекалочки - несколько картинок, которыми пугают пользователей в интернете ("вирусы, шмирусы", вот это всё)
2017 June 26
Я думаю, те, кто читает этот канал из России, и так прекрасно в курсе того, какая кампания сейчас развернулась против Телеграма в вашей стране. РКН "всего лишь" требует от Павла Дурова предоставить "ключи шифрования", не понимая, что в случае с end2end шифрованием все работает немножко по-другому. Дуров этим идиотам даже что-то там еще отвечает и пытается объяснять, хотя я лично считаю, что их просто нужно игнорировать. в любом случае риск того, что Телеграм в России начнут блокировать, достаточно неиллюзорный. Хотя, опять же, пытаться блокировать информацию в интернете — это весьма неблагодарное занятие. примерно как на этой гифке https://media.giphy.com/media/l0IylfpewZ3BTBN5u/giphy.gif
на выходных IT-инфраструктура британского парламента подверглась атаке хакеров. Кто и зачем это сделал — неизвестно, но судя по пресс-релизу, около 1% аккаунтов (из 9 тысяч) были скомпрометированы (читай — данные тю-тю). Причина того, что некоторые аккаунты все же были взломаны, по объяснению пресс-офиса парламента — "слабые пароли", не соответствовавшие рекомендациям IT-службы. Подозреваю, что дело не только в слабых паролях, но и в отсутствии практически обязательной нынче двух-факторной авторизации. Так что если вам нужен был знак, что надо наконец-то собраться с силами и активировать 2FA на почте-ФБ-Твитторе и тд — ЭТО ОН, ТОТ САМЫЙ ЗНАК.
интересный ежеквартальный отчет McAffee о ситуации с вредоносным ПО в интернете. из него можно узнать, например, про наличие для мобильных платформ 16млн разных вредоносных программ, или про то, что количество зарегистрированных случаев заражения вредоносными программи под Мак выросло до 700 тыс (правда, это в основном adware — то есть какие-то софтины, показывающие рекламу в браузере, а не, например, ворующие данные или шифрующие файлы, как Wcry) https://www.mcafee.com/us/resources/reports/rp-quarterly-threats-jun-2017.pdf
кстати, о Wcry. как ни странно, но отголоски эпидемии этого трояна доносятся до сих пор. Недавно Honda пришлось остановить производство автомобилей, потому что Wcry проник в компьютерную сеть одной из фабрик компании http://thehackernews.com/2017/06/honda-wannacry-attack.html. А в Австралии Wcry заразил систему управления камерами, фиксирующими нарушения — превышения скорости и проезда на красный свет. Представители вроде как утверждают, что это никак не повлияло на работу камер, но на всякий случай полиция отменила 590 выписанных штрафов. https://www.scmagazine.com/australian-contractor-accidently-infects-traffic-cameras-with-wannacry/article/670391/
Полезная инструкция о том, как обойти потенциальную блокировку Телеграма, если до этого дойдет http://telegra.ph/Kak-aktivirovat-SOCKS-5-v-Telegram-06-26
2017 June 27
Так, котаны, здравствуйте. Сегодня по миру помчалась очередная эпидения вируса-шифровальщика, теперь его называют Petya.A. Говорят, пока что пострадали компании и госорганизации в России и Украине, и якобы не имеет отношения к Wcry. Пока что непонятно, какую именно уязвимость он использует, и каким апдейтом от него защищаться, но он поражает компьютеры с Windows и требует выкупа за расшифровку файлов. Информацию о выкупе просит присылать на wowsmith123456@posteo.net. Говорят, для предотвращения распространения нужно закрывать TCP-порты 1024–1035, 135 и 445. По мере поступления дополнительной информации редакция канала ею обязательно поделится
тут, кстати, читатель Владимир прислал ссылку на информацию про Petya.A — оказалось, что это не новая фигня и вроде как ловится с помощью Windows Defender. Возможно, то, что сегодня — какой-то новый подвид этого вируса https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Petya.A&ThreatID=-2147257024
Ага, а вот и уязвимость, через которую распространяется Petya.A https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
Похоже, что новый подвид Petya.A, разгуливающий сегодня — это комбинация CVE-2017-0199 (на которую я давал ссылку выше) и MS17-010 (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx, она же — ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers). Универсальный совет — АПДЕЙТ, АПДЕЙТ, АПДЕЙТ!
Пояснение "человеческим" языком к предыдущему сообщению: в локальную сеть Petya.A попадает, используя уязвимость в офисных приложениях — как обычно, имейл-клик на документе, и аля-улю. а дальше по сети распространяется, используя уязвимость в SMB1, которую Microsoft исправила в мартовском апдейте. Кто не поставил после эпидемии Wcry мартовский апдейт — сам дурак (ну, или админ у них дурак)
а вот еще подборка полезных ссылок по этому поводу, которую прислал читатель Игорь:
В связи с масштабной атакой зловреда Petya.A можно воспользоваться инструментом защиты от перезаписи MBR (это делает вирус перед шифрованием) от нашего TALOS:
http://blog.talosintelligence.com/2016/10/mbrfilter.html
https://www.talosintelligence.com/mbrfilter
https://www.snort.org/advisories/talos-rules-2016-04-08
http://www.darkreading.com/endpoint/new-free-tool-stops-petya-ransomware-and-rootkits/d/d-id/1327241
Реверс - https://0xec.blogspot.ru/2016/04/reversing-petya-ransomware-with.html
Спасибо Dmitry Kazakov за подборку!
Возможные индикаторы компрометации - наличие файла c:\windows\perfc.dat (ненадежный, но работает), для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445 или поставить обмен по ним на контроль.
P.S: AMP ловит эту заразу с момента появления ;)
P.P.S: Рецепт получения ключа расшифровки в статье про реверс ;)
Ещё один рецепт расшифровки и сам расшифровальщик
https://github.com/leo-stone/hack-petya
Инструкция (с информацией как снимать данные)
https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
В связи с масштабной атакой зловреда Petya.A можно воспользоваться инструментом защиты от перезаписи MBR (это делает вирус перед шифрованием) от нашего TALOS:
http://blog.talosintelligence.com/2016/10/mbrfilter.html
https://www.talosintelligence.com/mbrfilter
https://www.snort.org/advisories/talos-rules-2016-04-08
http://www.darkreading.com/endpoint/new-free-tool-stops-petya-ransomware-and-rootkits/d/d-id/1327241
Реверс - https://0xec.blogspot.ru/2016/04/reversing-petya-ransomware-with.html
Спасибо Dmitry Kazakov за подборку!
Возможные индикаторы компрометации - наличие файла c:\windows\perfc.dat (ненадежный, но работает), для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445 или поставить обмен по ним на контроль.
P.S: AMP ловит эту заразу с момента появления ;)
P.P.S: Рецепт получения ключа расшифровки в статье про реверс ;)
Ещё один рецепт расшифровки и сам расшифровальщик
https://github.com/leo-stone/hack-petya
Инструкция (с информацией как снимать данные)
https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
Последние новости: пишут, что вроде как Petya.A все же не использует уязвимость CVE-2017-0199, а путаница связана с тем, что атак одновременно две: одна в Украине, другая в мире. эксперты разбираются. А из Касперского вообще пишут, что это вроде и не Petya.A, поэтому новый вирус они назвали NotPetya
В любом случае, тут ещё одна лажа: почтовый провайдер, где находился ящик вымогателя, по которому надо было связываться для получения ключей дешифровки, заблокировал доступ к этому ящику. Теперь пострадавшие от вируса не могут даже толком и попробовать выкупить доступ к своим файлам