Нормално...там са кинките явно. Иначе странно, че авторите на Tesla са мигрирали към CryptXXX. Докато първия след последния update бе непробиваем, то втория се декриптира дори след обновлението му, което също беше обявено за непробиваемо. Кофтито при втория вариант, е че се изисква наличието на незаразен файл за да сработи инструмента на Касперски. Иначе още по-странно бе, че се извиниха за Tesla-та, а мигрират към нов... Иначе аз в момента тествам WinAntiRansomware и мога да кажа, че не е лош инструмента.

 

От Есет предупреждават, че вирусът Locky променя своя облик.
Облачната система ESET LiveGrid е отчела сериозен процент в разпространението на JS/Danger.ScriptAttachment.Ако потребител стартира приложението ,Danger се отитва да изпълни криптовируса Win32/Filecoder.Locky.

Сравнявайки данните пострадалите от това са страни като Австрия,Дания И Люксенбург.След активирането Locky криптира файлове,като wma, .mov, .jpeg, .jpg, .rar, .zip, .ppt, .xls, .doc, и т.н.
През месец март Есет предупредиха за подобно разпространение,но с помоща на друг инсталатор-Nemucod.
От Есет препоръчват да се игнорират спам съобщенията и да се поддържат актуални програмите за защита.Също така се препоръчва да имате актуално резервно копие на важните данни.

COMSS.RU

Сървърите на TeamViewer са паднали.Потребители се оплакват, че са хакнати!

 

http://news.softpedia.com/news/teamviewer-servers-go-down-as-users-complain-on-reddit-about-getting-hacked-504758.shtml

 

При мен в момента работи. Та може и да е бил сегментен проблем.

Редактирано 4 юни 201610 г. от ExaFlop (преглед на промените)

CryptXXX с 2 нови ъпдейта:

Ultracrypter (вече има и такава тема в подфорума):

http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptxxx-gets-overhaul-now-known-as-ultracrypter

Вече сканира и мрежата:

http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/cryptxxx-updated-again-now-scans-networks-and-steals-data

TeamViewer вече не обвинява потребителите за слаби пароли, а признава пробив и пуска нова услуга за защита на данните:

https://www.teamviewer.com/en/company/press/teamviewer-launches-trusted-devices-and-data-integrity/

Всъщност не признава пробив. Отдава го на това, което изтече от LinkedIn, MySpace и какво беше още. В смисъл, че хакерите са се възползвали от това, че хората са използвали едни и същи данни за вписването в няколко услуги, вкл. и TV. Уж тея мерки сега де ги въвеждат, щели по-късно тази година да ги въведат, ама утечките ги принудили...

 

As you have probably heard, there have been unprecedented large scale data thefts on popular social media platforms and other web service providers. Unfortunately, credentials stolen in these external breaches have been used to access TeamViewer accounts, as well as other services.

Въпросът остава има ли нещо вярно в докладите за преодоляване на 2FA защитата. Според някои става дума за незапушена дупка, според други - за болестта на Интернет - един казал нещо, друг го надул... Странно е, че едва сега въвеждат "Доверени устройства". Това Гугъл и Фейсбук го направиха още кога...

Иначе, ето тук, може да следите за повече развитие, макар че кой казва истината и кой не, не можеш разбра: https://www.reddit.com/r/technology/comments/4m7ay6/teamviewer_has_been_hacked_they_are_denying

Квото и да е звучи зловещо. И още нещо: пропуска се, че са ги DDoS-нали. Принципно може да са използвали тая атака като smoke-screen за реалната атака към някой от сървърите им и пробив... Кой знае?!

––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

И нещо за "новините" или защо преминах на Дебиан: "Cerber морфира на всеки 15 секунди"

http://www.securityweek.com/cerber-ransomware-morphing-every-15-seconds

А антивирусната индустрия масово продължава да залага на сигнатурно-базирани решения.

Редактирано 5 юни 201610 г. от Методи Дамянов (преглед на промените)

Всъщност имаше и нещо като признание и вчера го забелязах, но днес доста трудно го открих отново (може би са го изтрили):

Цитат

 

“We are appalled by the behavior of cyber criminals, and are disgusted by their actions towards TeamViewer users. They have taken advantage of common use of the same account information across multiple services to cause damage,” said Schmidt.

With the statement the company also announced two new security features to assist users – “Trusted Device,” a new option for enrolling a trusted device, and “Data Integrity,” an automated account monitoring feature.

 

Иначе, добре, че нямах акаунт в TV, че паролите са ми по-сложни, че имам Master Password (за която се говори, че не предпазва от инструментите за dump-ване на пароли, но не е така, защото тествах лично и нито инструментите на Nirsofer, нито на SecurityXploaded можаха да видят паролите), но така или иначе важни пароли в браузърите нямам...важните са в архиви със сложни пароли (а директното разархивиране е забранено в правила в Local Security Policies) и се логвам винаги със SecureLogin. И за капак услугата на TV съм я направил на Manual и не стои постоянно в Тask Manager-a. Та явно това е помогнало (не че в PayPal в момента имам повече от 20 евро) та не ме боли. Все пак деинсталирах временно TV (имам доста алтернативи и портативки) и в момента реално не ми трябва (ползвам го само за да влизам в чужди системи и съм забранил влизането в своята), а да не говорим, че в Comodo съм ограничил всички входящи заявки.

Колкото до ransomware-a да му мислят онези, които ползват само антивирусни и разчитат на дефиниции....с multi-layer-a засега не съм имал проблеми да чукна на дърво...а този вид заплахи не са от вчера и досега защитите удържат...при пробив ще го мисля.

Понеделник, ще стане весело. Има доста познати, дето ползват TeamViewer, било за работа, било за лични нужди. Ще видя, дали някой е пострадал и дали изобщо са разбрали. Сега само са крали данни от акаунти и пари или са криптирали и компютри?

http://www.ghacks.net/2016/06/03/teamviewer-service-outage-hacking-claims/

Продължение по темата:

Цитат

TeamViewer confirms number of hacked user accounts is “significant”

http://arstechnica.com/security/2016/06/teamviewer-says-theres-no-evidence-of-2fa-bypass-in-mass-account-hack/

Тук нещо като алтернативи:

http://www.techworm.net/2016/06/10-best-remote-desktop-software-alternatives-teamviewer.html

Rising разпространил Sality!

https://malwaretips.com/threads/chinese-av-rising-spreads-sality-virus-via-signature-update.60685/

Интересен канал за новите криптобацили:

https://www.youtube.com/channel/UCv5keDaFSoFO2vK1UJSD-8w

Продуктите на Symantec уязвими:

http://news.softpedia.com/news/symantec-products-affected-by-multiple-as-bad-as-it-gets-vulnerabilities-505786.shtml

Kaspersky:Арсенал за защита от криптиращи вируси

 

 

 

 

 

AVG заминА!

 

преди 17 минути, T-50 написа:

AVG заминА!

 

Кофти, най-омразната ми АВ е Аваст, а за последно реших да ползвам малко АВГ. Дано поне не се слеят и самите програми. 

Дупка в сигурността на Windows. Поредната.

Цитат

Всички версии на Windows преди юнското обновление съдържат критична уязвимост, през която атакуващи могат да прихванат мрежовия трафик на жертвите, алармираха специалисти по сигурността.

информация

И нов криптиращ бацил. Подобен на Петя и сие, 'зачуква' целия диск и прави компютъра неизползваем. За сега е още бета версия, но се очаква да стане много опесен.
 

Цитат

 

Нова зловредна програма под името Satana кодира данните в компютъра и иска откуп от жертвите, за да възстанови достъпа, алармира компанията за сигурност Malwarebytes.

Прониквайки в компютъра, вирусът шифрира файловете с определени разширения, вкл. .bak, .doc, .jpg, .txt, .db, .xls, .pdf, .mdb, .mdf, .rar, .zip, .7z и др. При рестартиране на РС-то, вирусът шифрира и главния зареждащ запис MBR (Master Boot Record), като добавя и собствен код.

 

информация

Редактирано 8 юли 20169 г. от AntiAlGor (преглед на промените)

преди 4 минути, AntiAlGor написа:

Дупка в сигурността на Windows. Поредната.

 

1.  https://kaldata.com/article-92274.html

И нов криптиращ бацил. Подобен на Петя и сие, 'зачуква' целия диск и прави компютъра неизползваем. За сега е още бета версия, но се очаква да стане много опесен.
 

2. https://kaldata.com/article-92151.html

№2 не мисля, че е кой знае каква заплаха, за тези, които имат резервно копие на всички файлове и/ или пък ако направо образ на целият диск. За половин- един час и си готов, "чисто нов". Изобщо тия "заключващи" вируси, искащи "откуп" - за мен са отживелица, като заплаха.

Обаче №1 е много кофти, мнооого кофти, защото не "иска нищо", а си стои кротко и ти предава данните.

току що, T-50 написа:

№2 не мисля, че е кой знае каква заплаха, за тези, които имат резервно копие на всички файлове и/ или пък ако направо образ на целият диск. За половин- един час и си готов, "чисто нов". Изобщо тия "заключващи" вируси, искащи "откуп" - за мен са отживелица, като заплаха.

Обаче №1 е много кофти, мнооого кофти, защото не "иска нищо", а си стои кротко и ти предава данните.

Ако имаш бекъп. Колко хора, си правят архив?

 

току що, AntiAlGor написа:

Ако имаш бекъп. Колко хора, си правят архив?

И колко от тях могат да качат цялата си информация на някой сървър или преносим диск. В работата например ми се налага да работя със стотици гига байта информация. Качват се на сървар и докато се качват и актуализират данните ми трепери под лъжичката да не вземе някой баш шеФ да забрави сутринта да изключи синхронизацията.

преди 23 минути, AntiAlGor написа:

Прониквайки в компютъра, вирусът шифрира файловете с определени разширения, вкл. .bak, .doc, .jpg, .txt, .db, .xls, .pdf, .mdb, .mdf, .rar, .zip, .7z и др. При рестартиране на РС-то, вирусът шифрира и главния зареждащ запис MBR (Master Boot Record), като добавя и собствен код.

Мисля, че имаше една жертва наскоро тук в този форум на този зловреден код. Коварна работа! 

преди 9 минути, nikssi написа:

И колко от тях могат да качат цялата си информация на някой сървър или преносим диск. В работата например ми се налага да работя със стотици гига байта информация. Качват се на сървар и докато се качват и актуализират данните ми трепери под лъжичката да не вземе някой баш шеФ да забрави сутринта да изключи синхронизацията.

Ти си лесен. Имаш легална AV. Нали вече има и сървърна версия, тази програма?

Фалшиво Firefox обновление инфектира с изнудвачи

Новата модификация на вируса Kovter има легитимен сертификат

Цитат

Злонамерен софтуер се разпространява като фалшиво обновление за браузъра Firefox и помага на киберпрестъпниците да инсталират троянци и програми-изнудвачи на компютрите на жертвите.

Вирусът прониква в компютрите при посещение на вредоносен уеб сайт, алармира компанията за сигурност Barkly Protects. На риск са изложени потребителите на браузъра Firefox, който по последни данни на Net Applications има около 8% пазарен дял.

Новооткритата заплаха се явява модификация на добре познатия вирус Kovter. След зареждане и пускане, вредителят записва в различни части на Windows регистъра криптиран скрипт, който стартира PowerShell.exe.
 

След дешифриране е установено, че в вирусът съдържа в себе си друга криптирана програма Powershell, предназначена за внедряване на шел код в системата – а това е код, който има достъп на ниско ниво до операционната система.

Ситуацията се усложнява от факта, че новата модификация на Kovter е подписана с легитимен сертификат от разработчика на антивируси Comodo. Повечето антивируси пропускат да проверят приложенията с легитимни сертификати, считайки ги за безопасни.

Експертите препоръчват на потребителите на Firefox да избягват приемането на предложения за обновяване на браузъра извън стандартния процес и да правят ъпдейтите от менюто „About Firefox”. При наличие на обновление, информацията за него се показва именно в прозореца на това меню.

 

Редактирано 11 юли 20169 г. от NIKISHARK (преглед на промените)

Изследователи са разработили метод,които спира всеки рансъмуер преди да  криптира всички файлове

http://www.theregister.co.uk/2016/07/12/ransomware_defeated/

преди 2 часа, BreakPoint написа:

Изследователи са разработили метод,които спира всеки рансъмуер преди да  криптира всички файлове

http://www.theregister.co.uk/2016/07/12/ransomware_defeated/

Дано да пуснат демо за тест. Но иначе някои от методите ги има и в CryptoMonitor вече част от Malwarebytes Anti-Ransomware и в новата версия на CryptoPrevent като Entropy.

Иначе аз чистих система поразена от последната версия на CryptXXX 3.0, която не променя разширението на файловете

http://www.bleepingcomputer.com/forums/t/609690/ultracrypter-cryptxxx-ultradecrypter-ransomware-help-topic-crypt-cryp1/page-70

Изчистих вируса и тествах декрипторите - RakhniDecryptor и инструмента на Trend Micro Ransomware File Decryptor Tool и двата безуспешно. Понеже системата бе с Windows XP нямаше и Volume Shadow Copies...Пуснах и Recuva и нищо...Обаче една от най-мощните програми за възстановяване на файловете се справи...поне със снимковите формати...Но тъй като това бе заразено фото студио точно снимките ми трябваха, та не съм пробвал да възстановявам други типове файлове. За мое учудване програмата успя да се справи. Предполагам, че става и за другите криптори и ако е така досега сме можели да спасим десетки системи...Но по-добре късно, отколкото никога. Не искам обаче публично да казвам името на програмата. Позната е на всички и не е нещо революционно ново, но поне се доказа в реални условия. Който иска да знае името и, нека да ме пита на ЛС. но програмата е платена (макар чат-пат да пускат промоции).

Поздрави!