Бъркаш в коша (карантината) и възстановяваш. Ранните алфи/бети (0.Х.Х - 1.0.Х) са опасно нещо.

преди 1 минута, ExaFlop написа:

Бъркаш в коша (карантината) и възстановяваш. Ранните алфи/бети (0.Х.Х - 1.0.Х) са опасно нещо.

Проблема е,че в "коша'няма никой...Въпреки,че имаше изключение,файла си  замина...

преди 4 минути, NIKISHARK написа:

Проблема е,че в "коша'няма никой...Въпреки,че имаше изключение,файла си  замина...

Това е така, защото файла е маркиран за изтриване при рестарт и не може да се възстанови преди да е рестартирана системата. След рестарта може да се възстанови, но е досадно, че взима решенията сама. Трябва да покаже съобщение с опция за карантина или whitelist\ignore. При обновяване с нова версия пак трябваше рестарт и още един за да се стартира защитата в реално време (иначе беше изключена). Пратих им и 2 crash dmp файлове. Предполагам до месец-два ще е друга бира, но засега не е препоръчителна.

Препоръчвам ви да прочетете доклада на ENISA за заплахите през миналата година. Освен, че са събрали инфото от собствените партньори, има инфо от много компании и под всяка страница има допълнително като бележка под линия по десетина линкове към източници и матерали.

 

https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-landscape/etl2015

От Enigma Software са предявили иск за негативно представяне на SpyHunter от страна на BleepingComputer

В подкрепа на свободата на словото : http://www.bleepingcomputer.com/announcement/frivolous-lawsuits/help-bleepingcomputer-defend-freedom-of-speech/

Историята:http://www.bleepingcomputer.com/forums/t/550005/spyhunter-vs-malwarebytes-vs-iobit/

Редактирано 4 февруари 201610 г. от NIKISHARK (преглед на промените)

[:facepalm: ] Светът прогресивно оглупява. Те тея имат ли основание да съдят форум? Надявам се EFF да им го .... дълбоко, а ако вземат, че се заядат, а EFF са доказали, че заядат ли се нещата стават дебели, това няма да се отрази само на някакви измисляци, които предлагат rogue софтуер, а на цялата антивирусна индустрия, която често най-мазно лъже и спонсорираните от тях т.нар. тестващи организации, които изкарват по 100% или 99% успех. Много рядко се чува истината: като "Симантек", които преди години заявиха, че индустрията просто не може да се справи:

http://securitywatch.pcmag.com/security/323419-symantec-says-antivirus-is-dead-world-rolls-eyes

http://www.wsj.com/news/article_email/SB10001424052702303417104579542140235850578-lMyQjAxMTA0MDAwNTEwNDUyWj

"Антивирусът е мъртъв", Браян Дай (Brian Dye), вицепрезидент на "Симантек".

През 90-те "Електронна граница" се изправя срещу Вашингтон и АНС и печели. Дано все още са останали такива хоа във фондацията. Не мога да позная кой ще помага на "Спайхънтър", но мога да предположа... кардъри, DDoS-ъри, спамъри, вирусописачи и всякаква такава киберизмет, която със сигурност иска Bleeping Computer да го няма. Да не говорим за разни PC shop-ове и такива като "Спайхънтър".

 

Да пошли они на...

Редактирано 5 февруари 201610 г. от Методи Дамянов (преглед на промените)

Ма хората там си казват истината и не само за SpyHunter! Ще ти предложат Касперски или Есет пред Нортън,нищо че са американци.Това защо се третира като целенасочена кампания? И не се водят от субективни пристрастия.А че интернет е задръстен с указания за употреба на SpyHunter относно лечение?

Нова бета на  Malwarebytes Anti-Ransomware beta5 - build 0.9.14.361

New in version 0.9.14.361 Beta 5
Known Issue:
• If installing the upgrade on Windows 8.1 x64 over a previous Beta, the service may not start automatically. In this case, simply click Start Protection on the Malwarebytes Anti-Ransomware dashboard or run the Beta installer a second time.

Improvements:
• Improved internal log format to better distinguish between the various Anti-Ransomware beta versions
• Adjusted embedded license so that earlier beta versions could be expired and users would be encouraged to move off older versions and onto the latest available beta

Issues Fixed:
• Fixed issue that caused high-CPU and memory usage and resulted in a process crash in certain cases
• Fixed issue where the current state of the protection status was not remembered correctly after a reboot

https://forums.malwarebytes.org/index.php?/topic/177751-introducing-malwarebytes-anti-ransomware/

 

Инкогнито режимът на Microsoft Edge може и да не е много инкогнито

Цитат

Новината, че новият брузър Edge на Microsoft има калпав инкогнито режим, обиколи доста специализирани медии през последните две седмици. Реално тази информация е известна още от септември миналата година. Тогава специалистът по информационна сигурност Брент Муир написа статия, в която разказва за няколко пропуски в поверителния режим на работа на Edge.

Накратко: Муир открива, че дори в режим инкогнито (Microsoft го нарича InPrivate) браузърът Edge пази информация за страниците, които потребителят е посетил. Това не би трябвало да се случва, тъй като цялата идея зад инкогнито режима на интернет браузърите е да не пази информация за това, което се случва на екрана на монитора.

„Изследването ми установи, че дори в InPrivate режим браузърът пази данни за посетените страници в базата данни WebCacheV01.dat, която се използва за складиране на данни за браузването в нормален режим“, пише Муир. Специалистът открива и други забавни недосмилици в Edge: като например факта, че някои от папките в браузъра включват в името си Spartan. Това беше тестовот име на браузъра на Microsoft; после компанията го прекръсти на Edge, но очевидно разрабточиците са забравили да прекръстят въпросните папки така, че да отговарят на официалното име на софтуера.

Историята около Edge се раздуха около една статия по темата, публикувана във Forensic Focus още през октомври 2015 г. Интересното е, че до преди няколко дни тази статия все още я имаше, но към днешна дата (6 февруари 2016 г.) вече е свалена. Когато една новина е базирана на информация от преди месеци е много възможно фактите и обстоятелствата да са се променили от тогава. Което пък означава, че Microsoft може вече да са направили нещо по въпроса. Въпреки това, като всеки нов продукт и особено поради спорната репутация на Internet Explorer, компанията ще трябва да следи изкъсо сигурността на Edge.

 

Имаме ли нов празник?

15 февраля - день освобождения пользователей от Windows

Цитат

Именно 15 февраля 1999 пользователи, которые предпочитали альтернативные Windows операционные системы, а именно различные дистрибутивы Linux, после того, как у них не получилось вернуть деньги за предустановленную Windows у производителей компьютеров, собрались и пришли с этой целью непосредственно к офису Microsoft.

Дело в том, что каждый пользователь при первом включении персонального компьютера с предустановленной Windows, может отказаться от принятия лицензионного соглашения, что дает возможность вернуть потраченные на нее деньги, которые входят в стоимость компьютера в магазине.

Тогда, 15 февраля, у толпы поклонников Linux, которые оделись в футболки с пингвином, главным символом системы и вооружились плакатами, как на настоящий митинг, к сожалению ничего не вышло. В корпорации отправляли их обратно к производителям ПК, так как ссылались на то, что цена для каждого производителя на ОС свой я зависит в том числе, продает ли он ПК с другими ОС и вообще это является коммерческой тайной и Microsoft не имеет право ее разглашать.

Штурмом взять офис не получилось, преградой митингующим стали двери и лифт, который уже был перепрограммирован и не ехал до 9 этажа здания. Все же позже, именно после этого случая, у многих производителей и продавцов ПК не составляет большого труда вернуть деньги за предустановленную Windows 10.

 

Уязвимост в Comodo GeekBuddy позволява на всеки да се свърже със вашия компютър!

http://news.softpedia.com/news/comodo-antivirus-tech-support-feature-lets-anyone-connect-to-your-pc-500648.shtml

Редактирано 20 февруари 201610 г. от Гост (преглед на промените)

Тоз' мъ кефи. Преди около две седмици откри непозволено преодоляване на защитни настройки на системата от Chromodo ли се казваше браузъра?

 

https://threatpost.com/chromodo-browser-disables-same-origin-policy/116131/

 

Имаше обаче един или два случая, в които публикува експлойт код преди да са издали обновление към докладваната уязвимост.

 

http://www.zdnet.com/article/google-researcher-publishes-windows-zero-day-exploit/

преди 7 часа, Методи Дамянов написа:

Тоз' мъ кефи. Преди около две седмици откри непозволено преодоляване на защитни настройки на системата от Chromodo ли се казваше браузъра?

 

Ами така става ,когато високомерието им преминава всякакви граници и не обръщат внимание на проблемите ...

Очередная уязвимость в Comodo: VNC-сервер со слабой парольной защитой

Цитат

Комментарий Орманди: “Это очевидное и возмутительное повышение пользовательских привилегий, которое по мнению Comodo было решено генерацией пароля вместо того, чтобы оставить его пустым.  Это не поможет, ведь пароль состоит из 8 символов и простой SHA1 комбинации (Disk.Caption + Disk.Signature + Disk.SerialNumber + Disk.TotalTracks). Наверняка в Comodo не рассчитывали, что кто-нибудь будет проверять, каким способом генерируется пароль и поэтому преждевременно объявили о решении проблемы”.

Орманди сообщил об уязвимости в Comodo еще 19 января 2016 года. 18 февраля 2016 года, Comodo официально сообщила, что уязвимость устранена в версии GeekBuddy 4.25.380415.167, которая была выпущена 10 февраля. У 90 процентов пользователей обновление будет установлено автоматически.

 

Признавам си,това съм го пропуснал...човека направо ги разкатава всичките...

Цитат

В Malwarebytes Anti-Malware обнаружены проблемы безопасности

Недавно обнаруженная в Malwarebytes Anti-Malware (в бесплатной, Premium и Enterprise версиях) уязвимость позволяет злоумышленникам запускать MITM-атаки (man in the middle) на системах с запущенным ПО     Malwarebytes Anti-Malware является популярным дополнительным антивирусным сканером, а версии Premium и Enterprise включают также защиту реального времени, что позволяет решению конкурировать с традиционными антивирусными продуктами. Программа получает хорошие отзывы и оценки благодаря эффективному обнаружению вредоносных программ и тщательной очистке угроз. Специалист по информационной безопасности Google Тэвис Орманди (Tavis Ormandy) в начале ноября 2015 года предупредил компанию Malwarebytes о найденных в Malwarebytes Anti-Malware уязвимостях. Malwarebytes удалось пропатчить несколько уязвимостей на серверной стороне “в течении нескольких дней”, а сейчас компания занимается тестированием новой версии клиента, которую планируется запустить через 3-4 недели. Новая версия программы будет включать патч для уязвимости на клиентской стороне. Орманди обнаружил, что программа извлекает обновления сигнатур по протоколу HTTP. В то время, как данные зашифровываются, Орманди выявил, что их несложно расшифровать с помощью команд OpenSSL. “Malwarebytes извлекает обновления сигнатур по протоколу HTTP, позволяя злоумышленникам организовывать MITM-атаки. В рамках протокола HTTP загружаются файлы YAML для каждого обновления из http://data-cdn.mbamupdates.com. Хотя файлы YAML содержат контрольную сумму MD5, злоумышленник может легко изменить их из-за транспорта по HTTP без цифровой подписи”. У злоумышленников есть различные варианты для эксплуатации данной уязвимости. “Существует большое количество способов для исполнения произвольного кода, например указание целевого файла в конфигурации сети, написание нового правила TXTREPLACE для редактирования конфигурационных файлов или изменение ключа реестра с помощью правила REPLACE”. Malwarebytes публично подтвердила наличие уязвимости в сообщении блога, заверив, что идет работа над исправлением ошибки. Кроме того, компания объявила о программе поощрения за обнаруженные уязвимости - исследователь может получить до 1000 долларов. Пользователи версий Premium и Enterprise могут защитить себя, включив модуль самозащиты: 1.    Щелкните правой кнопкой мыши по иконке Malwarebytes Anti-Malware в системном трее и выберите опцию для открытия окна программы; 2.    Перейдите Настройки> Расширенные настройки 3.    Включите галочку “Включить модуль самозащиты”, если опция еще не включена. Напомним, что ранее в рамках программы Project Zero были обнаружены уязвимости в продуктах многих антивирусных вендоров, в частности AVG, Comodo, Kaspersky, Sophos и TrendMicro.

 

Редактирано 20 февруари 201610 г. от NIKISHARK (преглед на промените)

Сайтът на Линукс Минт е хакнат:

http://www.neowin.net/news/linux-mint-website-hacked-malicious-iso-offered-on-saturday

 

Доообреееееели е това?

 

 

Редактирано 22 февруари 201610 г. от BackTrack5R3 (преглед на промените)

Цитат

It's not clear yet whether the team plans to have the authorities go after the hackers. The ISOs and the website the backdoor contacts are both hosted from Sofia, Bulgaria. The Mint team claim to have the name of three people who could be involved with the attack, giving authorities a good place to start, should they investigate.

 

преди 13 часа, BackTrack5R3 написа:

Доообреееееели е това?

 

 

Ми не знам...

Питай разбирачите...

Политиката е навсякъде...

Пентагонът препоръчва на промишлените предприятия да се откажат от продуктите на Касперски...Ясно е,че Америка не счита Русия за добронамерена страна...а когато Америка има грехове към всички-всички са злонамерени....

Цитат

Программное обеспечение ЛК якобы позволяет хакерам проникать во внутренние сети компаний.

Использование программного обеспечения «Лаборатории Касперского» ставит американские промышленные предприятия под угрозу кибератак со стороны российских хакеров. Как сообщает The Washington Free Beacon, к данному выводу пришло Разведывательное управление Министерства обороны США (Defense Intelligence Agency, РУМО).

По информации РУМО, программное обеспечение «Лаборатории Касперского» создает бэкдоры и уязвимости в американских SCADA-системах. Приобретая и устанавливая продукцию ЛК, промышленные предприятия рискуют стать жертвами атаки российских правительственных хакеров.

Используя продукты ЛК, хакеры предположительно могут проникнуть во внутренние сети промышленных предприятий и взломать SCADA-системы. Под наибольшей угрозой взлома находятся объекты критической инфраструктуры – энергетические и нефтегазовые предприятия, канализационные системы, дамбы и системы централизованного водоснабжения.

Пресс-секретарь РУМО отказался давать комментарии. Представители ЛК выступили с опровержением данного заявления. «ЛК не разрабатывает технологий взлома и никогда не помогала правительствам каких-либо стран осуществлять хакерские атаки», - заявили сотрудники «Лаборатории Касперского».

http://www.securitylab.ru/news/479841.php

Не един  два сценария сме гледали, в които янките, за да защитят бюджет, сами си създават проблем/враг.

на 3.03.2016 г. at 12:02, NIKISHARK написа:

Политиката е навсякъде...

Пентагонът препоръчва на промишлените предприятия да се откажат от продуктите на Касперски...Ясно е,че Америка не счита Русия за добронамерена страна...а когато Америка има грехове към всички-всички са злонамерени....

Явно им много им пречат. И кви са тия от Пентагона да казват кой ще кара влака? Бахти и наглеците са.

Цитат

«ЛК не разрабатывает технологий взлома и никогда не помогала правительствам каких-либо стран осуществлять хакерские атаки», - заявили сотрудники «Лаборатории Касперского».

 

преди 1 минута, nikssi написа:

Явно  много им пречат. И кви са тия от Пентагона да казват кой ще кара влака? Бахти и наглеците са.

 

Шубето е голям страх...

преди 3 минути, NIKISHARK написа:

Шубето е голям страх...

Цитат

Alexander Gostev, Chief Security Expert, Kaspersky Lab, comments: “Despite the newly discovered facts, we are confident that Flame and Tilded are completely different platforms, used to develop multiple cyber-weapons. They each have different architectures with their own unique tricks that were used to infect systems and execute primary tasks. The projects were indeed separate and independent from each other. However, the new findings that reveal how the teams shared source code of at least one module in the early stages of development prove that the groups cooperated at least once. What we have found is very strong evidence that Stuxnet/Duqu and Flame cyber-weapons are connected”.

 

Цитат

 

Three of the most high-profile pieces of malware to have been discovered in the past two years have been Stuxnet, Duqu, and as of this week, Flame. Now, researchers are suggesting that whoever commissioned Stuxnet and Duqu also ordered up Flame.

"We believe Flame was written by a different team of programmers but commissioned by the same larger entity," Roel Schouwenberg, a security researcher at Kaspersky Labs, told The New York Times. But he declined to name the larger entity--or nation states--that he thought had commissioned Duqu.

If the three different malicious applications share a common origin, each appears to have been designed for a different purpose. Duqu, for example, was cyber-espionage malware created "to act as a backdoor into the system and facilitate the theft of private information," said Kaspersky Lab security researcher Ryan Naraine in a blog post. The private information in question, according to Kaspersky Lab, included nuclear facility blueprints and industrial control system schematics. Duqu was first discovered in September 2011.

 

 

То не само руснаците им се смеят. Микко Хипонен (F-Secure) нали им го каза: "Американците плашат с кибероръжия и Армагедон, но единственото кибероръжие, известно ни досега е разработено от САЩ". Кратко и ясно. В случая обаче не съм убеден, че става дума за Студена война, а разчистване на конкуренцията. Работата е там, че напоследък бяха осъществени пробиви като тези в OPM и в Данъчните служби на САЩ и още няколко големи пробива, а последния изглежда ужасен - този към Wendy's. Вследствие на това, реномето на американските компании за сигурност яко пада. Това би било дюшеш за неамерикански фирми. Събираш две и две. Разбира се, че може и да намесим геополитиката, но раздорите в света стават заради три неща - пари или жени, или заради пари и жени.

 

И в тази връзка... Браян Кребс за това, което може да се окаже 5 до 10 пъти по-голям обир от този в Target:

http://krebsonsecurity.com/2016/03/credit-unions-feeling-pinch-in-wendys-breach/

Редактирано 5 март 201610 г. от Методи Дамянов (преглед на промените)

Кибератака срещу Apple, хакерите искат откуп

Цитат

Зловреден софтуер, който блокира файловете в компютъра и иска откуп, за да ги освободи, успешно е атакувал компютри на Apple, пише BBC News. Изследователи в сферата на киберсигурността от компанията Palo Alto Networks посочват, че за пръв път такива атаки се реализират срещу “Мак”. 

Софтуерът KeRangers е бил скрит във версия на клиента на BitTorrent Transmission. Създателят на Transmission и Apple заявяват, че са предприели стъпки, за да спрат разпространението на зловредния софутер. Все още не се знае колко хора за засегнати. 

Transmission е програма, която позволява на потребителите да свалят и споделят BitTorrent файлове - най-често музика или филми. След като е бил информиран за нападенията, Apple е анулирал сертификата на заразения софтуер, за да предотврати инсталирането му, ако бъде свален. Разработчиците на Transmission са пуснали нова версия и призовават клиентите да обновят софтуера си назабавно. 

Писането на зловреден код за “Мак” беше по-трудно, защото имаше по-малко такива машини, но с нарастването на употребата им, престъпниците работят усилено, за да ги атакуват, казва Грег Дей от Palo Alto Networks.

“Свидетели сме на повече заплахи за “Мак” през последните няколко години - това е напомняне, че няма среда, в която не съществува риск от кибератаки.”

 

Малко инфо за криптиращия вирус Locky

http://www.comss.info/page.php?al=Shifrovalshhik_Locky

Цитат

Основная цель вредоносной программы Locky – это шифрование определенных файлов в системе и на доступных сетевых дисках с целью заставить пострадавшего пользователя заплатить выкуп за восстановление зашифрованных документов.

Зловред переименовывает каждый зашифрованный документ в виде файлов hash.locky.

Системы поражаются по электронной почте через вложения в письмах. Когда пользователь открывает зараженный документWord, то включается вредоносный макрос, который запускает скрипт для скачивания бинарного файла Locky.

Код макроса, который запускает скрипт:

Скрипт связывается с сервером для скачивания вредоносного файла в папку %TEMP% и запускает его.

Трассировка, используемая для загрузки Locky на требуемый компьютер:

После запуска Locky генерирует уникальный ID машины, используя GUID операционной системы. Затем он создает следующий ключ реестра с помощью сгенерированного значения:  HKEY_CURRENT_USER\Software\Locky\id.

Кроме того, он связывается с C&C сервером для получения открытого ключа, который он использует для шифрования файлов в системе с помощью алгоритмов RSA-2048 и AES-128, и сохраняет его в следующий раздел реестра:HKEY_CURRENT_USER\Software\Locky\pubkey.

Locky скачивает файл .TXT с инструкциями для оплаты выкупа, сохраняет его в реестр (HKEY_CURRENT_USER\Software\Locky\paytext) и создает файл с названием «__Locky_recover_instructions.txt» в каждой папке, где содержится зашифрованный файл. Затем, после выполнения шифрования жесткого диска, он использует API-функцию ShellExecuteA для открытия файла .TXT.

Locky проверяет каждый файл в системе, шифруя только те файлы, которые имеют расширения из списка расширений, добавленных в его код. Эти файлы шифруются с помощью AES-шифрования и переименовываются в виде файлов hash.locky.

СПИСОК РАСШИРЕНИЙ ФАЙЛОВ, КОТОРЫЕ ШИФРУЮТСЯ С ПОМОЩЬЮ LOCKY 

.m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wb2, .123, .wks, .wk1, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .602, .dotm, .dotx, .docm, .docx, .DOT, .3dm, .max, .3ds, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .p12, .csr, .crt, .key 

Также вредоносная программа использует команду vssadmin для отключения службы теневого копирования системы, чтобы пользователи не могли восстановить архивные резервные копии, созданные операционной системой. Затем зловред пытается удалить файл.EXE, чтобы удалить любые следы своего присутствия на компьютере.

Хотя данный вариант не предпринимал никаких действий, чтобы гарантировать свое присутствие в системе, однако другие варианты добавляли следующий параметр реестра::

HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run “Locky” = “%TEMP%\[name].exe”