преди 3 часа, viperdick написа:

Кой Protection level използваш на Cryptoprevent, ако не е тайна? И имаш ли специфични настройки в advanced?

Ами предпоследния, защото последното ниво има проблеми с филтрирането на някои приложения като airytec switch off или Battle.net.

Специфични настройки в advanced нямам...понякога се налага да махам отметката пред bcdedit.exe файла ако искам да модвам BCD записа с easybcd или ръчно или ако реша да добавя програма като Macrium Reflect в Boot записа. Но имам ръчни правила в изключенията, както и в gpedit. Последното е важно ако е преместена папката %temp% на друг дял чрез Junction Point, защото CryptoPrevent защитава само папката на нормалното и място. Но ако се използва SSD и се премести папката, вече не я защитава. За да я защити трябва да се добавят глобални правила за %temp% в gpedit.

Виж този пост за повече информация.

https://www.kaldata.com/forums/topic/244006-проблем-с-infection-urlmal/?do=findComment&comment=3168257

 

Поздрави!

Забравих да спомена нещо. С ръчното добавяне на правила се заобикаля и нуждата от пълната версия на CryptoPrevent. В безплатната е наличен само модула whitelist, а blacklist-a е изключен. Но след добавянето на правилата ще видиш, че цифрата тук набъбва:

Забележи, че съм оградил долната цифра...тя е за ръчните правила. Горната е база с дефиниции, които се обновяват през updater-a на програмата, но се използват главно ако е активирана последната опция с бета филтрирането. Т.е. за предпоследната опция обновяването на дефинициите, не е от значение.

А иначе забележи, че и добавените в gpedit правила после се използват и от CryptoPrevent:

Друга важно нещо, което не споменах е да преименуваш или да блокираш изпълнението на файла с CryptoPrevent за vssadmin.exe:

https://www.kaldata.com/forums/topic/247405-как-да-се-предпазим-от-cryptowal-и-как-да-съхраним-файловете/?do=findComment&comment=3235284

За преименуване можеш да използваш скрипта тук:

http://www.bleepingcomputer.com/news/security/why-everyone-should-disable-vssadmin-exe-now/

За блокирането му можеш да използваш CryptoPrevent: (само че се слага отметката, ако я няма, а не се маха, както е на снимката):

https://www.kaldata.com/forums/topic/247405-как-да-се-предпазим-от-cryptowal-и-как-да-съхраним-файловете/?do=findComment&comment=3235386

Аз препоръчвам и ръчно да му резнеш крилцата като сложиш Deny пред Read & Execute за всички акаунти имащи достъп до файла:

VirusTotal добавя сандбокс за OS X Apps!

https://threatpost.com/virustotal-adds-sandbox-execution-for-os-x-apps/115424/

 

Едно интересно приложение за блокиране на тракери:

Desktop:
https://disconnect.me/

Добавката му за Firefox

https://addons.mozilla.org/bg/firefox/addon/disconnect/

Добавка за Chrome:

https://chrome.google.com/webstore/detail/disconnect/jeoacafpbcihiomhlakheieifhpjdfeo

Редактирано 20 ноември 201510 г. от ExaFlop (преглед на промените)

Dr.web - Linux.Encoder.2

Цитат

Появление опасного шифровальщика для ОС Linux, получившего наименование Linux.Encoder.1, всколыхнуло мировую общественность — оказалось, что это семейство операционных систем, всегда считавшееся устойчивым к воздействию вредоносных программ, также подвержено риску заражения энкодерами. Тем не менее, данный троянец оказался не единственным — в последнее время стало известно как минимум еще о двух представителях этой группы шифровальщиков. Специалисты компании «Доктор Веб» готовы поделиться результатами исследования одного из них, получившего наименование Linux.Encoder.2.

http://news.drweb.ru/show/?i=9709&c=5&lng=ru&p=0

Тест за устойчивост на фишинг атаки:

https://info.knowbe4.com/phishing-security-test

За криптоатаките:

http://techtalk.pcpitstop.com/2014/06/12/knowbe4-will-pay-cryptolocker-ransom/

Редактирано 24 ноември 201510 г. от ExaFlop (преглед на промените)

Здравейте,

имам компютър заразен с rsa-2048 cryptowall. Възможно ли е да бъдат възстановени криптираните файлове? Някакъв декриптор?

преди 23 минути, dpgeorgiew написа:

Здравейте,

имам компютър заразен с rsa-2048 cryptowall. Възможно ли е да бъдат възстановени криптираните файлове? Някакъв декриптор?

Следвай тези инструкции.

 

 

Редактирано 24 ноември 201510 г. от ExaFlop (преглед на промените)

Проблема е че компютъра в момента не е при мен. Доколкото видях обаче за вируси от типа Cryptowall засега няма възможност да се възстановят файловете. Така ли е наистина?

За това трябва да се следват, инструкциите дето дадох. Момчетат от отдела, ще видят точно какъв е. И ще кажет, дали има надежда или няма. Тук видя ли?

https://www.kaldata.com/forums/forum/137-%D0%BF%D1%80%D0%B5%D0%BC%D0%B0%D1%85%D0%B2%D0%B0%D0%BD%D0%B5-%D0%BD%D0%B0-%D0%B7%D0%BB%D0%BE%D0%B2%D1%80%D0%B5%D0%B4%D0%B5%D0%BD-%D1%81%D0%BE%D1%84%D1%82%D1%83%D0%B5%D1%80-hijackthis-%D0%BB%D0%BE%D0%B3%D0%BE%D0%B2%D0%B5/

 

Редактирано 24 ноември 201510 г. от ExaFlop (преглед на промените)

Ок. Разбрах. При първа възможност ще го направя. Благодаря за бързия отговор.

Току що, dpgeorgiew написа:

Ок. Разбрах. При първа възможност ще го направя. Благодаря за бързия отговор.

До тогава, нищо не правете на компютъра. Изтриване на файлове или някакви други манипулации, намаляват шанса за успех.

Благодаря! Ще имам предвид.

Привет ozzy,

Какво ви беше отговорено в другата ви тема в един друг бг форум, за съжаление за Cryptowall без значение от версията...няма оправия...

Поздрави!

Magspoof способен спрогнозировать номера и красть деньги с карт American Express

Цитат

Легендарный хакер Сами Камкар (Samy Kamkar), сумевший взломать дрон, гараж и машину, снова удивил все ИБ-сообщество своим исследованием. Камкар смог создать устройство размером с монету (которое он уже окрестил Magspoof), способное прогнозировать и хранить сотни данных кредитных карт American Express. Кроме того, с его помощью можно «заставить» PoS-терминал принять чипованную карту за карту с магнитной полосой.
 

 

Новини от Kaspersky

«Лаборатория Касперского» получила патент на технологию эффективного обнаружения ложных срабатываний при эвристическом анализе групп похожих вредоносных файлов

Цитат

Запатентованная технология позволяет продуктам «Лаборатории Касперского» проверять автоматически созданные правила детектирования на предмет того, корректно ли они описывают группы вредоносных файлов и не затрагивают ли при этом легитимные объекты (а при таком подходе вероятность получения ложных срабатываний существенно снижается). Проверка осуществляется следующим образом: в инфраструктуре «Лаборатории Касперского» все файлы, подходящие под предложенное описание, сравниваются с набором известных чистых (включенных в белые списки) файлов и более широкой подборкой известных вредоносных объектов. Если никаких сходств в процессе сравнения не обнаруживается, правило детектирования считается корректным и применяется для защиты пользователей от киберугроз.

http://www.comss.info/page.php?al=Kaspersky_Lab_patented_intelligent_method

 Според Xaker.ru  авторите на Linux.Encoder,предлагат безплатна разшифровка за сайтове на територията на Руската Федерация

 

Цитат

Linux.Encoder  — первый в истории шифровальщик, нацеленный на пользователей систем GNU/Linux, щадит пользователей из России и стран СНГ. Специалисты компании Malwarebytes обнаружили новую версию вредоноса, в которой авторы трояна предлагают бесплатную расшифровку данных всем пострадавшим на территории РФ и СНГ.

Ранее, в начале ноября 2015 года, компании «Доктор Веб», «Лаборатория Касперского» и Bitdefender обнаружили и изучили Linux.Encoder версий 1 и 2, а также исходную нулевую версию, созданную в августе. Теперь эксперты Malwarebytes нашли четвертую модификацию малвари, судя по всему, наиболее свежую.

Новый Linux.Encoder попал на радары Malwarebytes в 20-х числах ноября. Новая версия вредоноса отличается от своих предшественниц тем, что требует больший выкуп. Если ранее шифровальщик просил у своих жертв всего $50 в биткоинах, теперь эта сумма варьируется и может составлять $100, $200, $300, $400, $500 и даже $999.

Еще одно интересное изменение: теперь сообщение с требованием выкупа содержит абзац на русском языке. Хакеры извиняются перед всеми пострадавшими из России и стран СНГ и предлагают бесплатно расшифровать все их данные.

Стоит ли верить хакерам в данном случае  – личное дело каждого. Напомню, что расшифровку данных своим клиентам предлагает компания «Доктор Веб», а специалисты Bitdefender выпустили для расшифровки бесплатную утилиту.

 

Европейският съюз е подготвил първия нормативно-правен акт в сферата на информационната безопасност

Цитат

Евросоюз подготовил первый нормативно-правовой акт в сфере информационной безопасности, который будут обязаны соблюдать все его члены.

Документ содержит требования к финансовым компаниям, коммунальным предприятиям, интернет-компаниям и другим организациям, от которых зависит жизнь общества. 

Новый законопроект 

Европейские власти согласились ввести директиву Network and Information Security (NIS) Directive в сфере информационной безопасности, которая будет действовать во всех странах Евросоюза после формального утверждения Европарламентом и Европейским советом. Об этом говорится на сайте Еврокомиссии.  Как пишет Reuters, решению предшествовало 5-часовое заседание Европарламента и представителей стран, входящих в Евросоюз. Впервые предложение о вводе новой директивы появилось в начале 2013 г.

Требования к компаниям

Согласно директиве, компании, владеющие интернет-поисковиками, маркетплейсами и облачными хранилищами, включая такие компании, как Google, Apple, Microsoft и Amazon, интернет-провайдеры и регистраторы доменных имен должны будут предпринимать соответствующие меры безопасности и уведомлять правительство о любых инцидентах, связанных с информационной безопасностью. То же самое будет касаться кредитных и финансовых организаций, медицинских учреждений и нефтегазовых компаний, коммунальных предприятий, включая электрические сети и водоснабжение, и транспортных компаний (все виды транспорта — авиаперевозки, автомобильные и железные дороги и водное сообщение). Евросоюз вводит первую директиву в области инфобезопасности

Требования к правительствам стран

Директива предъявляет требования к всем 28 членам Евросоюза. Правительство каждой страны будет обязано соблюдать указанные в ней требования и создать собственный центр реагирования на инциденты, связанные с компьютерной безопасностью (CERT), а также центра соблюдения директивы в каждом государстве. В России такие центры тоже есть. Один из последних был создан Банком России в июне 2015 г. Он специализируется на хакерских атаках в банковской сфере.  Кроме того, согласно директиве, в Евросоюзе будет создан единый координационный центр по информационной безопасности, который будет служить площадкой для взаимодействия членов Евросоюза. Руководство этого центра будет назначено Еврокомиссией. После утверждения директивы Европарламентом и Европейским советом государства Евросоюза получат 21 месяц на приведение в соответствии с ней собственного законодательства и шесть месяцев на регистрацию всех компаний, которых затрагивают новые правила.

Причины нововведений

Нововведение обусловлено необходимостью предотвращать инциденты в сфере информационной безопасности, затрагивающие вычислительные сети, серверы, системы хранения данных и сетевые узлы, от исправного функционирования которых зависят жизни людей, пояснили в пресс-службе Еврокомиссии. При этом, как говорят представители правительства, защиту необходимо обеспечить не только от хакерских атак, но и от технических неполадок, человеческих ошибок и природных катастроф. С учетом роста количества инцидентов и роли информационных систем в жизни современного общества, эти меры приобрели безотлагательный  характер. 

Другие меры в Европе

На днях стало известно, что Франция планирует заблокировать анонимную сеть Tor и полностью закрыть на территории государства публичный Wi-Fi-доступ, так как они не позволяют идентифицировать личность человека, выходящего в сеть. Ранее стало известно, что европейские власти планируют ужесточить регулирование виртуальных валют, так как предполагается, что ими могут пользоваться террористы.

 

AVG, McAfee, Kaspersky са фикснали Уязвимости в техните антивирусни продукти.

http://news.softpedia.com/news/avg-mcafee-kaspersky-fix-common-vulnerability-in-their-antivirus-products-497395.shtml

Това го мернах преди 2 дни, но нямах достъп до акаунта си за да го споделя:

Thriving Beyond The Operating System: Financial Threat Group Targets Volume Boot Record

Бууткит Немезис се крие в стартиращите сектори на твърдия диск за да краде данни за кредитни карти и тъй като компонентите са му разположени в VFS рам дял, може да оцелее при пълно преинсталиране на Операционната Система.

https://www.fireeye.com/blog/threat-research/2015/12/fin1-targets-boot-record.html

Microsoft преименува шпионския DiagTrack и пак го пусна в действие

Цитат

Оказывается, бывший сервис Diagnostics Tracking Service (DiagTrack) никуда не делся. Microsoft просто переименовала его в сервис Функциональные возможности для подключенных пользователей и телеметрия (Connected User Experiences and Telemetry)

Но всё-таки несколько ложек дёгтя Microsoft приготовила. Во-первых, операционная система зачем-то автоматически удаляет на отдельных компьютерах некоторые установленные программы. Судя по сообщениям на форумах, среди «пострадавших» — CPU-Z, speccy, 8gadgetpack, клиент Cisco VPN, драйверы SATA, SpyBot, RSAT, F5 VPN, HWMonitor и другие. После обновления Windows программы можно без проблем установить обратно.

Во-вторых, после обновления Windows 10 изменяет некоторые настройки по умолчанию обратно на сервисы Microsoft. Опять же, потом дают возможность вернуть всё обратно.

 

на 10.12.2015 г. at 18:57, B-boy/StyLe/ написа:

Това го мернах преди 2 дни, но нямах достъп до акаунта си за да го споделя:

Thriving Beyond The Operating System: Financial Threat Group Targets Volume Boot Record

Бууткит Немезис се крие в стартиращите сектори на твърдия диск за да краде данни за кредитни карти и тъй като компонентите са му разположени в VFS рам дял, може да оцелее при пълно преинсталиране на Операционната Система.

https://www.fireeye.com/blog/threat-research/2015/12/fin1-targets-boot-record.html

Вече се лови, но не ми е позволено да кажа от кой инструмент.

HitmanPro закупен от Sophos:

https://blogs.sophos.com/2015/12/14/we-just-made-our-next-gen-endpoint-offering-even-stronger-with-our-acquisition-of-surfright/?cmp=70130000001xHGRAA2

Ransomware е заплаха, която става все по-разпространенa по време на празниците. Това е зловреден софтуер, който позволява на престъпниците да заключват достъпа на потребителите до собствените им устройства, докато жертвата не плати „откуп”.

Лабораториите на F-Secure установиха значително увеличение в засичането на редица ransomware семейства от ноември до декември 2014 г., включително и около 300% увеличение на семейството Browlock ransomware, което се откроява като едно от 10-те най-разпространени заплахи в последния доклад за заплахите на F-Secure.

Browlock е разновидност на ransomware, която изследователите наричат „police-themed ransomware”, тъй като тя ограничава достъпа на хората до компютрите им чрез заключващ екран, който съобщава, че действа от името на правоприлагането. Засичането на такъв тип ransomware значително се увеличава преди и след празниците.

Съществуват обаче и други видове ransomware, които следват малко по-различни тенденции, тъй като престъпната инфраструктура зад тях е различна. Cryptowall, например, разчита на техники за криптиране, за да заключи съдържание като снимки и документи, използва човешки ресурс, за да помогне на пострадалите да направят плащане и да отключат устройствата си, което го прави уникален и не по-малко значим по време на празниците.

http://kaldata.com/article-86945.html

Рутерите на ZyXEL, Belkin, ReadyNet, Amped Wireless, Buffalo и Netgear са уязвими

Цитат

Целую россыпь различных проблем обнаружили в роутерах компаний ZyXEL, Belkin, ReadyNet, Amped Wireless, Buffalo и Netgear.

Почти все найденные уязвимости до сих пор не исправлены и представляют реальную угрозу для пользователей.

Spoiler

Почти все найденные уязвимости до сих пор не исправлены и представляют реальную угрозу для пользователей.

Belkin

Исследователь Джон Гаррет (John Garrett)  из Ethical Reporting обнаружил множество багов в роутерах Belkin AC-1750, AC-1200, N-600 и N-150. На сайте Ethical Reporting эксперт опубликовал всю подробною информацию о багах, а также видео эксплуатации обнаруженных уязвимостей.

В каждой модели нашлось сразу несколько проблем. Среди багов: возможность обхода каталога, которая может использовать для доступа к некоторым API; обход аутентификации; брешь, позволяющая хакеру сменить некоторые настройки устройства без авторизации; удаленное исполнение кода.

Ранее в декабре 2015 года исследователь Рахул Пратап Сингх уже рассказывал о нескольких уязвимостях в роутерах N150 компании Belkin. Тогда производитель заверил, что уже работает над патчем, однако исправление по-прежнему не было выпущено. С новым багом ситуация аналогичная: компания сообщила, что уже работает над патчем, но когда он будет выпущен, неизвестно.

Netgear

На прошлой неделе Джо Ленд (Joel Land) из координационного центра CERT, при университете Карнеги-Меллона, опубликовал ряд бюллетеней безопасности, проливающих свет на несколько уязвимостей в устройствах Netgear, ZyXEL,ReadyNet, Amped Wireless и Buffalo.

Беспроводные маршрутизаторы Netgear G54/N150 (WNR1000), работающие на прошивке 1.0.2.68, подвержены уязвимости CVE-2015-8263. Баг позволяет подделать DNS-запросы, перенаправив ничего не подозревающего пользователя на подконтрольные хакеру ресурсы.

ZyXEL

В устройстве ZyXEL NBG-418N обнаружено сразу две уязвимости. Проблемы затрагивают прошивку  1.00(AADZ.3)C0.

В частности, Ленд обнаружил, что связку логина и пароля admin и 1234 можно использовать в веб-интерфейсе устройства (CVE-2015-7283), что позволит атакующему получить привилегированный доступ к маршрутизатору.

Также устройства  данной модели уязвимы перед подделкой межсайтовых запросов (CSRF), что позволяет атакующему удаленно исполнить произвольный код на машине жертвы (CVE-2015-7284). Данный баг отлично работает в связке с первым.

ReadyNet, Amped Wireless и Buffalo

Маршрутизаторы ReadyNet подвержены совершенно аналогичным проблемам. Устройства ReadyNet WRT300N-DD, работающие под управлением прошивки 1.0.26, примут от атакующего дефолтные идентификационные данные (CVE-2015-7280), уязвимы перед CSRF (CVE-2015-7281) и могут подвергаться DNS спуфингу (CVE-2015-7282).

Абсолютно такая же ситуация сложилась и с моделью Amped Wireless R10000, работающей под управлением прошивки 2.5.2.11. Идентификационные данные по умолчанию (CVE-2015-7277), CSRF (CVE-2015-7278) и DNS спуфинг (CVE-2015-7279).

Немного меньше проблем у модели Buffalo AirStation Extreme N600 (WZR-600DHP2). Этот роутер уязвим только перед подделкой запросов DNS (CVE-2015-8262). Зато баг распространяется на прошивки версий 2.09, 2.13, 2.16 и, вероятнее всего, на другие тоже.

Гаррет и Ленд пишут, что им неизвестно ничего об исправлениях для данных уязвимостей. Хотя все производители были поставлены в известность об обнаруженных проблемах летом или осенью 2015 года, никакой реакции от них до сих пор не последовало.

 

Latentbot — бэкдор, который не могли обнаружить в течение двух лет

Исследователи из FireEye обнаружили новый модульный, сильно обфусцированный бот с функционалом бэкдора, который существует лишь в оперативной памяти и умеет заметать следы.

Цитат

Latentbot, как его называют в FireEye, предположительно появился в Сети в середине 2013 года и атакует организации разного профиля в разных странах. На настоящий момент зафиксированы успешные атаки Latentbot против компаний, прописанных в США, Великобритании, Южной Корее, Бразилии, ОАЭ, Сингапуре, Канаде, Перу и Польше. Мотивы злоумышленников пока неясны, однако замечено, что при широком выборе мишеней их особо интересуют финансовые и страховые организации.

Spoiler

Latentbot, как его называют в FireEye, предположительно появился в Сети в середине 2013 года и атакует организации разного профиля в разных странах. На настоящий момент зафиксированы успешные атаки Latentbot против компаний, прописанных в США, Великобритании, Южной Корее, Бразилии, ОАЭ, Сингапуре, Канаде, Перу и Польше. Мотивы злоумышленников пока неясны, однако замечено, что при широком выборе мишеней их особо интересуют финансовые и страховые организации.

По данным FireEye, основным способом распространения Latentbot является почтовый спам с вредоносным вложением. Обычно это документ Microsoft Word с внедренным эксплойтом, созданный с помощью готового инструмента Microsoft Word Intruder (MWI). При отработке эксплойта на машину жертвы загружается RAT-троянец LuminosityLink, способный воровать пароли, регистрировать нажатия клавиш, передавать файлы и включать микрофон или веб-камеру. Однако злоумышленникам этого мало, и RAT по команде скачивает и устанавливает Latentbot.

Инсталляция целевого зловреда — это многоступенчатый процесс, ибо Latentbot использует несколько слоев обфускации. После расшифровки и развертывания зловред тщательно стирает в памяти все строки, которые ему уже не нужны. Как показал анализ, авторы Latentbot предпочитают использовать кастомные криптографические алгоритмы и протоколы. Примечательно также, что бот запускается не на всех системах, отказываясь работать на Windows Vista и Windows Server 2008.

C&C-инфраструктура Latentbot размещена на скомпрометированных ресурсах, откуда он скачивает плагины: основной модуль Bot_Engine, детектор антивирусов, RDP-клиент, нестандартный VNC-модуль с функцией кейлоггера, умеющий также стирать MBR, блокировать рабочий стол и мышь; а также похититель информации Pony, ориентированный в данном случае на кражу криптовалюты. Модульная архитектура зловреда значительно облегчает процесс его обновления.

«Хотя Latentbot сильно обфусцирован, его выдают многочисленные инъекции кода в процессы, и его можно легко обнаружить в памяти с помощью адекватного анализатора поведения, — заключает FireEye. — Отслеживание и блокировка исходящих вызовов также обязательны в том случае, если зловред смог обойти систему защиты».

 

Цитат

 

Изследователи от Масачузетския технологичен институт (MIT) създадоха система за анонимен обмен на съобщения, за която твърдят, че е по-надеждна от месинджъра на прословутата мрежа Tor.

Системата Vuvuzela гарантира математически анонимността на потребителя и позволява обмен на съобщения един път на минута, поясняват разработчиците от MIT.

Според тях, недостатъкът на Tor е, че се базира на предположение за отсъствието на наблюдател, който да проверява всяка връзка в мрежата. Но в съвременните условия подобно допускане не е толкова надеждно.

По-рано тази година MIT показа нагледно несъвършенството на анонимната мрежа Tor. Учените успяха да определят местоположението на анонимния сървър и дори източника на данните към конкретен потребител чрез анализ на кодирания трафик, който преминава само през един възел на мрежата.

 

http://kaldata.com/article-87511.html