Я да вдигна темата че други почнаха да пишат някъде.

Като сте задрънкали за това широко рекламирано говно https://www.drweb.ru/pravda/issue/?number=317&lng=ru

Spoiler

Авторство нашумевшего WannaCry – вопрос, который интересует всех, от правоохранительных органов и специалистов по ИБ до простых пользователей. Изложенное ниже не является официальным мнением компании «Доктор Веб» – это всего лишь размышление о том, насколько легко в условиях недостатка данных обвинить в киберпреступлениях кого-либо в современном цифровом мире.

Начнем просто с фактов:

1. Группировка The Shadow Brokers публикует очередную порцию хакерских инструментов, похищенных у группы Equation Group,подозреваемой в связях с Агентством национальной безопасности США. В этот раз публикуются эксплойты для уязвимостей в ОС Windows – от Windows 2000 и Server 2012 до Windows 7 и 8. Опубликованный архив содержит в общей сложности 23 инструмента, в том числе EternalBlue, Oddjob, Easybee, EducatedScholar, EnglishmanDentist, EsikmoRoll, EclipsedWing, Emphasismine, EmeraldThread, EternalRomance, EternalSynergy, Ewokefrenzy, ExplodingCan, ErraticGopher, EsteemAudit, Doublepulsar, Mofconfig и Fuzzbunch.
2. В компании Microsoft (уведомленной «неизвестным доброжелателем» о грядущей выкладке) провели анализ эксплойтов и заявили, что уязвимости в протоколе SMB v1-3, эксплуатируемые инструментами EternalBlue, EmeraldThread, EternalChampion, EternalRomance, ErraticGopher, EducatedScholar и EternalSynergy, уже были исправлены в предыдущие годы, а некоторые – устранены в нынешнем году (CVE-2017-0146 и CVE-2017-0147). Патч для уязвимости в контроллерах домена, работающих под управлением Windows 2000, 2003, 2008 и 2008 R2, эксплуатируемой инструментом EsikmoRoll, был выпущен еще три года назад, в 2014 году. Было заявлено, что инструменты EnglishmanDentist, EsteemAudit и ExplodingCan не работают на поддерживаемых версиях Windows, поэтому патчи для них выпускаться не будут. 
   
   В частности, уязвимости, которые через некоторое время использовал WannaCry, были закрыты обновлением MS 17-010, выпущенным в марте 2017.
3. Новый шифровальщик, используя выложенные группировкой The Shadow Brokers инструменты (в частности, EternalBlue и Doublepulsar), начал распространение примерно в 10 утра 12 мая, и уже вечером того же дня СМИ (не производители антивирусов!) стали сообщать о многочисленных заражениях.
4. The Shadow Brokers во вторник, 16 мая, объявляет о запуске платного сервиса The Shadow Brokers Data Dump of the Month, ежемесячно предоставляющего подписчикам новые эксплойты для ранее неизвестных уязвимостей в браузерах, маршрутизаторах, мобильных устройствах, Windows 10, а также данные, похищенные из банковской системы SWIFT, и информацию, связанную с ядерными программами России, Китая, Ирана и КНДР.

Создать эксплойт – не значит создать троянца и с его помощью провести атаку.

А кто создал троянца? Кто стоит за атакой — т. е. распространением троянца?

Практически сразу появились сообщения о связи WannaCry и группировки Lazarus.

Отмечается, что фрагменты кода, обнаруженные в предшествующей версии вируса WannaCry, использовались группировкой Lazarus Group, подозреваемой в связях с Пхеньяном.

http://rusgosnews.com/2017/05/17/specialisti-laboratorii-kasperskogo-rasskazali-kto-stoit-za.html

В связи с этим напомним, что приписывается Lazarus Group:

1. Успешная атака на кинокомпанию Sony Pictures в 2014 году. Также они ограбили ряд банков, в частности, у центрального банка Бангладеш хакеры украли $81 миллион.
2. Атака на межбанковскую систему SWIFT. В частности, в феврале 2016 года хакерам удалось вывести из Центробанка Бангладеш $81 млн.
3. Атака на Banco del Austro в Эквадоре в январе 2015 года. В результате было похищено $9 млн.

Серьезная организация, существующая уже лет десять. Успешнейшие операции – заметим, все они основаны на взломе, а не на попытках рассылки вредоносного ПО.

А что WannaCry (описание специалистов «Доктор Веб» здесь)?

1. Троянец не упакован и, тем более, не перепаковывается. Подавляющее число троянцев наблюдаются средствами обнаружения примерно 9 минут – WannaCry же атаковал в течение дней с одним и тем же кодом, не пытаясь укрыться от внимания антивирусов. Только поражающая безграмотность админов позволила ему нанести ущерб.
2. Троянец представляет собой архив с зашитым внутри ключом распаковки, видимым любому исследователю.

   

   (https://www.linkedin.com/feed/update/urn:li:activity:6269238070189654016)

3. Троянец не пытается как-либо замаскироваться в системе – его файлы обнаруживает любой антивирусный файловый монитор.
4. Внутри троянца можно увидеть некий почтовый адрес:

   
   00:34 < nulldot> 0x1000ef48, 24, BAYEGANSRV\administrator
   00:34 < nulldot> 0x1000ef7a, 13, Smile465666SA
   00:34 < nulldot> 0x1000efc0, 19, [email protected]
   00:34 < nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
   00:34 < nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion
   00:34 < nulldot> 0x1000f088, 52, https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1
   00:34 < nulldot> 0x1000f0ec, 67, https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip
   00:34 < nulldot> 0x1000f150, 52, https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
   00:34 < nulldot> 0x1000f1b4, 12, 00000000.eky
   00:34 < nulldot> 0x1000f270, 12, 00000000.pky 
   00:34 < nulldot> 0x1000f2a4, 12, 00000000.res

   https://habrahabr.ru/company/pentestit/blog/328606
   https://habrahabr.ru/post/328548

5. Атака осуществлялась из одного места.

   

   https://www.hybrid-analysis.com/sample/24d004...

6. Копеечный заработок хакеров из-за ошибки в модуле приема биткойнов — и из-за этого огромное количество жертв, которые никогда не смогут восстановить данные, потому что просто не могут заплатить выкуп.

Совершенно не похоже на успешных хакеров Lazarus, зарабатывающих миллионы долларов. Добавим, что среди утекших инструментов АНБ была специальная утилита, позволявшая вставлять в текст программы фразы на нужном языке. А уж вставить кусок нужного кода...

https://twitter.com/neelmehta/status/864164081116225536

Практически сразу появились сообщения о связи WannaCry и группировки Lazarus.

Серьезная организация, существующая уже лет десять. Успешнейшие операции – заметим, все они основаны на взломе, а не на попытках рассылки вредоносного ПО.

Копеечный заработок хакеров из-за ошибки в модуле приема биткойнов — и из-за этого огромное количество жертв, которые никогда не смогут восстановить данные, потому что просто не могут заплатить выкуп.

Совершенно не похоже на успешных хакеров Lazarus, зарабатывающих миллионы долларов.

https://www.drweb.ru/pravda/issue/?number=318&lng=ru

Spoiler

Напомним, что WannaCry для своей работы использовал инструменты и уязвимости, которые были опубликованы группировкой The Shadow Brokers, похитившей их у Equation Group, подозреваемой в связях с Агентством национальной безопасности США.

«Эпидемия» WannaCry (именно так, в кавычках) выглядит довольно странно:

1. Система распространения WannaCry существенно отличается от привычных шифровальщиков, распространяющихся через почтовые спам-рассылки и тогда количество заражений пропорционально мощности рассылки. В отличие от них, WannaCry похож на финансовую пирамиду: каждый новый зараженный компьютер пытается заражать и локальную сеть, и другие интернет-адреса. Очень похоже на эпидемии начала века. Но итог! Melissa заразила 20% компьютеров по всему миру. I Love You! – миллионы ПК за несколько часов. Может быть, Интернет стал более защищенным с тех пор?

   Более чем 18% пользователей работают на ПК с нелицензионной ОС Windows, у 23% отключен сервис Windows Update.

   А что WannaCry? По разным оценкам – всего от 200 до 400 тысяч компьютеров.

   Как сообщил MalwareHunter, 19 мая XData инфицировал в четыре раза больше украинских пользователей, чем печально известный червь WannaCry за всю неделю.

   http://www.securitylab.ru/news/486205.php

   Вы слышали от СМИ об XData (он же Trojan.Encoder.11526 в классификации Dr.Web)? Странно.

2. Атака затронула практически исключительно крупнейшие компании и частных пользователей – количество пострадавших компаний малого и среднего бизнеса незначительно.

   Ответы партнеров «Доктор Веб» на вопрос о том, пострадали ли компании малого и среднего бизнеса из числа их клиентов (имена партнеров убраны):

   M..:еще нет
А..:нет
А..:нет
В..:нет
В..:у нас вообще никто не пострадал, но все напугались

   Странно для столь мощного способа распространения? Не то слово. А вот пиар был обеспечен отменный.

   Как вы считаете, почему именно этот шифровальщик был так распиарен в СМИ? Конспирология?

   Вопрос в ходе вебинара для партнеров «Доктор Веб»

3. Возможность расшифровки не гарантирована, так как ключи шифрования файлов, на которых пользователю демонстрируется возможность расшифровки, и всех остальных зашифрованных файлов – разные.
4. Сумма выкупа (от 300 долларов США в биткойнах) – для основной массы заразившихся компаний – даже не деньги. Для многих из них факт выплаты вымогателям невозможен по причинам репутации.

Итог истории с WannaCry – огромное число публикаций в СМИ при минимуме заражений и весьма скромном заработке злоумышленников. Кому это выгодно? Неизвестно.

Но как минимум для желающих заработать были продемонстрировано следующее:

1. Возможность атаковать не менее четверти компьютеров мира.
2. Возможность осуществить гарантированное проникновение – не нужно полагаться на то, что пользователь кликнет по ссылке, поскольку проникший троянец автоматически получает права администратора.

WannaCry достаточно примитивен, и о его недостатках говорили мировые СМИ:

1. Отсутствие перешифрования.
2. Отсутствие средств маскировки от антивирусных программ.
3. Уязвимая система связи с серверами управления.

Не нужен шаманский бубен для предсказания того, что должно случиться дальше.

Раз:

Исследователь Мирослав Стампар (Miroslav Stampar) обнаружил сетевого червя EternalRocks, использующего сразу семь эксплоитов АНБ – EternalBlue, Eternalchampion, Eternalromance, Eternalsynergy, Doublepulsar, Architouch и SMBtouch.

С целью обмануть исследователей безопасности EternalRocks маскируется под WannaCry, однако в отличие от последнего не загружает на атакуемую систему вымогательское ПО. Вредонос используется для подготовки на системе жертвы плацдарма для осуществления дальнейших атак.

Для связи с C&C-сервером EternalRocks использует Tor. Получив первый запрос от червя, сервер отвечает лишь спустя 24 часа отправкой файла shadowbrokers.zip. После разархивирования файла червь начинает сканировать интернет на предмет открытых портов 445. В отличие от WannaCry в коде вредоноса отсутствует вшитый адрес домена, позволяющего его отключить. На зараженной системе EternalRocks получает права администратора, и даже если потом на ОС было установлено исправляющее уязвимость обновление, червь продолжает действовать.

http://www.securitylab.ru/news/486210.php

Видно, что код троянца (определяемого Dr.Web как Trojan.EternalRocks.1) существенно интереснее – целых 7 используемых уязвимостей!

Два:

Уязвимость EternalBlue, использованная в шифровальщике WannaCry, была использована и в майнере криптовалюте Adylkuzz, также распространяющемся с помощью EternalBlue

http://www.securitylab.ru/news/486210.php

Три (самый продвинутый вариант):

UIWIX является новым семейством вредоносного ПО. Как и WannaCry, вредонос эксплуатирует уязвимость в SMB, исправленную с выходом бюллетеня безопасности MS17-010. Эксплоит для нее (EternalBlue) предположительно был в распоряжении Агентства национальной безопасности США до тех пор, пока его не опубликовали хакеры из The Shadow Brokers.

Помимо эксплуатации одной и той же уязвимости, UIWIX и WannaCry больше ничем не похожи. В отличие от WannaCry, UIWIX не использует файлы – после эксплуатации уязвимости вредонос выполняется в памяти. В ходе атаки на диск компьютера не записываются никакие файлы/компоненты, что усложняет обнаружение вредоносного ПО. UIWIX гораздо незаметнее, чем WannaCry. Оказавшись на виртуальной машине или в песочнице, вредонос самоуничтожается. Кроме того, функция самоуничтожения срабатывает, если вымогатель попадает на компьютер в России, Казахстане или Белоруссии.

В отличие от WannaCry, UIWIX не сохраняется на инфицированной системе после перезагрузки компьютера, и в его коде нет вшитого адреса домена, позволяющего отключить функцию шифрования файлов. Авторы UIWIX требуют за расшифровку файлов меньшую сумму - $200, а не $300-600.

Как показал анализ кода, UIWIX способен собирать учетные данные для авторизации в браузере, сервисах электронной почты, мессенджерах и FTP.

http://www.securitylab.ru/news/486177.php
http://www.securitylab.ru/blog/personal/aodugin/341866.php

Dr.Web классифицирует данного троянца как Trojan.Encoder.11536. В нем реализованы методы сокрытия от антивирусов, он определяет наличие виртуальных машин и песочниц для их обхода.

Станет ли использование уязвимостей новым популярным трендом проникновения? Время покажет.

1. Вы слышали от СМИ об XData (он же Trojan.Encoder.11526 в классификации Dr.Web)? Странно.

2. Атака затронула практически исключительно крупнейшие компании и частных пользователей – количество пострадавших компаний малого и среднего бизнеса незначительно.

   Странно для столь мощного способа распространения? Не то слово. А вот пиар был обеспечен отменный.

   Как вы считаете, почему именно этот шифровальщик был так распиарен в СМИ? Конспирология?

   Въпреки че е заразил много повече компютри по новинарските сайтове нямаше нито дума за XData. Освен това авторите му пуснаха и Master Decryption Keys https://www.bleepingcomputer.com/news/security/xdata-ransomware-master-decryption-keys-released-kaspersky-releases-decryptor-/

Мен също ме възмути шума около wcry. Възможно ли е това да е smoke-screen атака? Или някакви script-kiddie-та? Виж как всички заговориха за wannacry, но не и за престъпните действия на американските шпиони. Не и за това, че дупката в smb не е запушена в Windows 7. Как Майкрософт издали пачове към платените поддръжки и оставили другите да правят това, което прави вятъра?  Иначе за хайпа... ами това е днешното състояние на нещата, човек. "Само тук!", "Ексклузивно!", "Невероятно! Видео само тук"...

 

Страхуваха хората как хакери трупат експлойти за уязвимости след смъртта на ЕксПи. Някакъв ЕксПигедон щяло да настане. И? Ако беше толкова лесно, сигурно така щеше да стане. Има милиони ЕксПи-та, свързани към Интернет.

 

Редактирано 5 юни 20179 г. от Мальчик Бананан (преглед на промените)

 

Майкрософт включва EMET  в ядрото на Windows с Creators Update/Red Stone 3

http://thehackernews.com/2017/06/windows10-built-in-emet.html

Най-после някаква смислена промяна по отношение на сигурността.

Редактирано 22 юни 20178 г. от Мальчик Бананан (преглед на промените)

Какво прави вируса Петя и тя ли криптира файлове :Д

https://forum.drweb.com/index.php?showtopic=327882

https://habrahabr.ru/post/331762/

https://habrahabr.ru/company/infosecurity/blog/331788/

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

На хост изначально попадает дроппер, состоящий из нескольких компонент:
Модифицированная версия криптолокера Misha и Petya.

• Модуль-сканер, выявляющий потенциально уязвимые к EternalBlue хосты.
• Модуль, использующий для распространения связку PsExec+Mimikatz (дамп паролей и распространение по windows-машинам в сети через штатную утилиту удаленного администрирования Microsoft, для работы которой нужен открытый 445 порт).

Попадая на хост, вирус пытается повысить привилегии до Системы. В случае успеха – рестарт и шифрование MFT. В случае неуспеха – шифрование файлов (как стандартный криптер).

Засега май само работи на NTFS. Май не може да се оправя с GPT / UEFI. Е, скапва MBR, но може да се възстанови. Важното е ако рестартира и "почне да прави проверка" да се дърпа незабавно тока. След рестарт извежда екран подобен на стандартната проверка на chkdsk, а през това време шифрира всичките данни.

По разни писания един от каналите за разпространение е като ъпдейт за украинска счетоводна програма (Me-Doc). Макар че основно е като спам мейл с прикачен боклук и зададено време за активиране. И веднъж попаднал в корпоративната мрежа се саморазпространява с ония експлойти от NSA. Засегнати са основно в Украйна. Петя е нарицателното на президента им Петро Порошенко, а разпространението е почнало в предпочивен ден, а той е юбилеен и за Касперски Лаб. Този път освен компютри на големи организации са засегнати и малък/среден бизнес. 

Редактирано 29 юни 20178 г. от Филипов (преглед на промените)

 

троянец осуществляет проверку наличия файла, только если у него достаточно для этого привилегий в операционной системе.

UPD: Новые подробности!

Аналитики, исследовавшие шифровальщик Trojan.Encoder.12544, сообщают, что первоначальным источником распространения троянца была система обновления программы MEDoc. Эта программа помогает украинским пользователям в ведении налогового учета. Исследователям удалось установить, что входящая в комплект поставки MEDoc утилита EzVit.exe, предназначенная для обновления основного приложения, в определенный момент выполняла cmd-команду, по которой в память компьютера загружалась вредоносная библиотека. В этой библиотеке реализован основной функционал Trojan.Encoder.12544. Поскольку этот шифровальщик обладает способностью самостоятельно распространяться по сети с использованием уязвимости в протоколе SMB, а также красть учетные данные пользователей Windows, для дальнейшего распространения инфекции достаточно лишь одной зараженной машины.

Еще в 2012 году вирусные аналитики компании «Доктор Веб» выявили целенаправленную атаку на сеть российских аптек и фармацевтических компаний с использованием вредоносной программы BackDoor.Dande. Этот троянец-шпион похищал информацию о закупках медикаментов из специализированных программ, которые используются в фармацевтической индустрии. В момент запуска бэкдор проверял, установлены ли в системе соответствующие приложения для заказа и учета закупок лекарств, и, если они отсутствовали, прекращал свою работу. Заражению подверглись более 2800 аптек и российских фармацевтических компаний. Таким образом, можно с определенной уверенностью утверждать, что BackDoor.Dande использовался в целях промышленного шпионажа. 
https://habrahabr.ru/company/drweb/blog/331878/

Spoiler

Специалисты компании «Доктор Веб» провели расследование, длившееся целых 4 года. Проанализировав жесткие диски, предоставленные одной из пострадавших от BackDoor.Dande фирм, вирусные аналитики установили дату создания драйвера, который запускает все остальные компоненты бэкдора. Упоминания об этом драйвере обнаружились в файле подкачки Windows и журнале антивируса Avast, который был установлен на зараженной машине. Анализ этих файлов показал, что вредоносный драйвер был создан сразу же после запуска приложения ePrica (D:\ePrica\App\PriceCompareLoader.dll). Это приложение, разработанное компанией «Спарго Технологии», позволяет руководителям аптек проанализировать расценки на медикаменты и выбрать оптимального поставщика. Изучение программы ePrica позволило установить, что она загружает в память библиотеку, которая скрытно скачивает, расшифровывает и запускает в памяти BackDoor.Dande. Троянец загружался с сайта ws.eprica.ru, принадлежащего компании «Спарго Технологии» и предназначенного для обновления программы ePrica. При этом модуль, скрытно загружавший вредоносную программу, имел действительную цифровую подпись «Спарго». Похищенные данные троянец загружал на серверы за пределами России. Иными словами, как и в ситуации с Trojan.Encoder.12544, бэкдор «прятался» в модуле обновления этой программы.

Сходство этих двух случаев показывает, что инфраструктура разработки программного обеспечения требует повышенного внимания к вопросам информационной безопасности. Прежде всего, процессы обновления любого коммерческого ПО должны находиться под пристальным вниманием как самих разработчиков, так и пользователей. Утилиты обновления различных программ, обладающие в операционной системе правами на установку и запуск исполняемых файлов, могут неожиданно стать источником заражения. В случае с MEDoc к этому привел взлом злоумышленниками и компрометация сервера, с которого загружались обновления, а в ситуации с BackDoor.Dande, как полагают специалисты, к распространению инфекции привели сознательные действия инсайдеров. Посредством такой методики злоумышленники могут провести эффективную целевую атаку против пользователей практически любого программного обеспечения.

 

Редактирано 29 юни 20178 г. от Филипов (преглед на промените)

на 6/29/2017 в 18:58, Филипов написа:

Похищенные данные троянец загружал на серверы за пределами России.

Разбирате ли защо възможността да се активира Член 5 от вашингтонкото споразумение при кибератаки  е толкова безумно и страшно? Малоумно!!!! Какво си търсят извинение Столтенберг и шайката му. Искат да убиват руснаци. Еми да се свършва. Айде! Идиоти! ОК, унищожават Русия, убиват хиляди руснаци, и после какво. Сами със себе си ли ще се бият? НАТО е най-голямата терористична организация на света. Факт! terror - "ужас, страх". terrorist - "човек, който насажда ужас, страх"! Атаките с NotPetya са проведени с помощта на американско кибероръжие. Факт! EternalBlue и EternalRomance. Факт. Кой ще докаже, че това не е false-flag атака. Не може да бъде доказано. Факт! Но медиите на agenda-та веднага казаха: "Кремъл!". И подобно на йезуита Плевнелиев, когато кажат Русия те не визират Пу, те визират обикновените руснаци... С Пу са се договорили. Той остава жив. Сметките на Кайманите и в Швейцария на неговата клика стоят. Всичко е толкова мръсно и пошло.

Редактирано 1 юли 20178 г. от Мальчик Бананан (преглед на промените)

преди 14 часа, Мальчик Бананан написа:

Малоумно!!!! Какво си търсят извинение Столтенберг и шайката му.

Дали пък не е някаква тяхна (на САЩ и компания) игричка? Много страни демократизираха напоследък и бежанци от същите тези демократизирани страни сега наводняват Европа. Та кой крив кой прав ама Путин виновен по-презумция. Не е ли действително малоумно това?!

На крива ракета космоса и пречи

току-що, nikssi написа:

Дали пък не е някаква тяхна (на САЩ и компания) игричка? Много страни демократизираха напоследък и бежанци от същите тези демократизирани страни сега наводняват Европа. Та кой крив кой прав ама Путин виновен по-презумция. Не е ли действително малоумно това?!

Те Путин да тролеха и на него да му се отразяваше,...виж ми аватара... То рефлектира единствено на обикновения руснак. Щатите са автори на първото в света кибероръжие: Стъкснет. Автори са и на Flame и на Duqu. Те са автори на първия акт на държавен кибертероризъм - Натанц. Вместо да се скрият... Иначе, то е спекулация, но има версии, че първото кибероръжие е далеч назад - през осемдесетте - логическа бомба по трасето на транс-сибирския тръбопровод... https://en.wikipedia.org/wiki/Logic_bomb#Supposed_logic_bombing_of_the_Trans-Siberian_Pipeline

За да сме честни, атаките към украинската енергопреносна мрежа, едва ли са на някой друг, освен на Кремъл. Както може би и атаката към TV5Monde...

 

Цитат

Дали пък не е някаква тяхна (на САЩ и компания) игричка?

Е, то НАТО е САЩ...

Редактирано 2 юли 20178 г. от Мальчик Бананан (преглед на промените)

https://habrahabr.ru/company/eset/blog/332472/

27 июня компании на Украине и в других странах стали жертвами масштабной кибератаки шифратора DiskCoder.C (он же ExPetr, PetrWrap, Petya или NotPetya). Малварь маскируется под обычный вымогатель – шифрует данные и требует выкуп за ключ расшифровки. Но, поскольку авторы стремятся нанести максимальный ущерб, шансы на восстановление данных сведены к минимуму.

В ходе нашего исследования мы обнаружили сложный скрытый бэкдор, внедренный в один из легитимных модулей M.E.Doc. Маловероятно, что злоумышленники сделали это, не имея доступа к исходному коду M.E.Doc

Помимо кодов ЕДРПОУ, бэкдор собирает из приложения M.E.Doc информацию о настройках прокси и почтовой службы, включая логины и пароли. ЕДПРОУ = ЕИК (БУЛСАТ) И доколкото с една програма един счетоводител може да обслужва няколко фирми, краде се информация за всичките.

Выводы

Как показывает исследование, операция была тщательно спланирована и реализована. Мы предполагаем, что атакующие имели доступ к исходному коду приложения M.E.Doc. У них было время изучить код и встроить в него скрытый сложный бэкдор. Размер приложения M.E.Doc около 1,5 Гб, и у нас пока не было достаточно времени проверить, нет ли в нем других бэкдоров.

Locky се завърна с нова кампания.

https://blog.fortinet.com/2017/08/14/locky-strikes-another-blow-diablo6-variant-starts-spreading-through-spam

https://blog.malwarebytes.com/cybercrime/2017/08/locky-ransomware-returns-to-the-game-with-two-new-flavors/

Единият вариант криптира с разширение .diablo6, другият с.lukitus.

 

Вече има и тема в hjt темата на жертва на втория:

 

Редактирано 18 август 20178 г. от Мальчик Бананан (преглед на промените)

"Зелените чушки"(авторите) на Locky добре закърпват пробойните в алгоритъма на криптовируса. Изненадан съм.....

Специалист по сигурност откри грешка в ядрото на Winodows, която присъства във всички версии на най-популярната десктоп платформа. Проблемът е описан от Омри Мисгав в блог на компанията enSilo.
Грешката дава теоретична възможност на хакери да изпълнят злонамерени действия, като заобикалят приложенията за сигурност, които разчитат в своята работа на интерфейса Windows API. Омри Мисгав е установил, че Windows не винаги връща правилния резултат, в резултат на което антивирусите може да не знаят кой файл да сканират...

https://breakingmalware.com/documentation/windows-pssetloadimagenotifyroutine-callbacks-good-bad-unclear-part-1/

Фалшв актуализатор на шрифтове в Chrome и Firefox заразяват с RAT и Locky

https://www.hackread.com/fake-chrome-firefox-font-update-drops-rat-and-locky-ransomware/

Не знам, дали е вярно, не посещавам въпросните сайтове, но... за всеки случай...

Frognews.bg вече писа за схемата, която се използва в сайта на вестник „Монитор“, както и в други български сайтове – като bradva.bg и pogled.info.

https://frognews.bg/obshtestvo/naroden-glas/coinhive--ili-kak-sait-peevski-kopae-liubimata-valuta-dark-web.html

Цитат

 

Новината, че сайтът на Делян Пеевски monitor.com използва компютърните мощности на своите читатели, за да добива набиращите популярност криптовалути, предизвика сериозен интерес.

Проверка на сайта ни показа, че става въпрос за сериозен проблем, засягащ не само българските сайтове. Специалният скрипт, позволяващ да се отнемат мощностите на нищо неподозиращи читатели, бе открит в световноизвестни сайтове като Pirate Bay и Showtime, като набира все по-голяма популярност и в други онлайн портали.

 

Какво представлява Coinhive?

 

Специално разработеният скрипт Coinhive, който може да се инсталира в сайтовете, е иновативен инструмент, позволяващ да се монетизира собствеността на популярен онлайн портал без досадните за всички множество реклами. С най-прости думи, когато потребител посети сайта, скриптът се активира и започва да добива криптовалутата Monero за собственика на сайта, но използвайки процесора на потребителя. Официалното пускане в действие на скрипта бе на 14 септември и самият той е рекламиран като алтернатива на рекламите в сайтовете. Вместо предвижданите 20-30% допълнително натоварване на процесорите обаче, потребителските процесори се оказват на 100% ангажирани с добива на валутата, което забавя тяхното представяне, както и източва бързо батерията на лаптопите. Амортизацията на самия процесор и повишената консумация на ток са други негативни последствия от използването на Coinhive.

 

 

За браузъра се спира добиването на биткойни чрез  hosts файла .

https://www.ghacks.net/2017/09/22/how-to-block-bitcoin-mining-in-your-browser/

 

Редактирано 28 септември 20178 г. от Гост (преглед на промените)

@URIEL, извинявай за корекцията, но това е през hosts файла.

преди 9 минути, ExaFlop написа:

@URIEL, извинявай за корекцията, но това е през hosts файла.

Няма проблем.Имах предвид за браузъра,  ама не се изразих правилно.

Adguard сборва проблема.
https://blog.adguard.com/en/adguard_vs_mining/

преди 10 минути, ExaFlop написа:

Adguard сборва проблема.
https://blog.adguard.com/en/adguard_vs_mining/

Ами честито на всички, които си взеха лиценз.

И аз грабнах един.

Вариант за блокиране на тая шит и през филтър на ABP - https://github.com/hoshsadiq/adblock-nocoin-list/

преди 31 минути, URIEL написа:

Ами честито на всички, които си взеха лиценз.

И аз грабнах един.

Аз съм с доживотен стандартен за Win  и за Android. 
 

Spoiler

fuklxo

 

Ъ, значи това е някаква нова схема за монетизиране, доколкото схващам, така ли? RiskIQ писаха миналата седмица за регистрирани от 991 домейна, които копаят с това Coinhive. Трябва обаче май да се регнеш да видиш тея домейни.

https://www.riskiq.com/blog/external-threat-management/coinhive/

преди 18 часа, exwol написа:

Вариант за блокиране на тая шит и през филтър на ABP - https://github.com/hoshsadiq/adblock-nocoin-list/

 

Редактирано 29 септември 20178 г. от Мальчик Бананан (преглед на промените)