«Лаборатория Касперского»: неосторожность сотрудников и кибератаки одинаково опасны для бизнеса
Согласно выводам исследования «Лаборатории Касперского», одной из наиболее серьезных угроз для бизнеса сегодня становится потеря данных. Согласно результатам опроса по теме «Информационная безопасность бизнеса», проведенного «Лабораторией Касперского» совместно с компанией B2B International весной 2016 года среди более 4000 IT-специалистов из 25 стран мира, включая Россию, 42% российских компаний хотя бы один раз за последний год теряли важную информацию из-за взломов или утечек информации. Треть компаний сообщила, что это происходило неоднократно.
Потеря информации обходится организациям недешево, причем средний ущерб в результате инцидента растет пропорционально размеру предприятия. Если для малого и среднего бизнеса он составляет 1,6 миллиона рублей, то для представителей крупного бизнеса сумма потерь увеличивается до 11 миллионов. Тем не менее далеко не все компании готовы работать над улучшением защиты. Меньше половины опрошенных (42%) согласились с утверждением, что им следует направлять больше ресурсов на усиление мер информационной безопасности и противодействие угрозам.
Между установками бизнеса и реальностью есть расхождения и по другим вопросам. В первую очередь различается оценка компанией своих наиболее уязвимых мест и реальные причины потери данных. Проще говоря, бизнес боится одного, а страдает зачастую от другого.
Среди главных угроз большинство российских организаций называют физическую потерю устройств с важными данными и инциденты, связанные с человеческим фактором. Однако согласно результатам исследования, в реальности потеря данных часто происходит по другим причинам. Лидирует среди них вредоносное ПО: две трети опрошенных признались, что теряли информацию из-за вирусов или троянцев. Довольно высокие места заняли и такие угрозы для бизнеса, как инциденты с программами-вымогателями (происходили у 32% компаний) и целевые атаки (25%). Но некоторые опасения бизнеса были подкреплены реальными фактами: неосторожность/неосведомленность работников стала причиной потери данных у 58% пострадавших.
«Киберугрозы постоянно становятся более комплексными. Причем происходит это не обязательно из-за усложнения атак, а в первую очередь из-за роста числа потенциально уязвимых мест. Борьба с этой тенденцией требует все более разнообразных методов защиты, — сказал Сергей Земков, управляющий директор «Лаборатории Касперского» в России и странах СНГ. — От таких рисков, как неосторожность сотрудников, невозможно защититься с помощью одних только алгоритмов. По-настоящему эффективная стратегия безопасности сегодня сочетает традиционные технологии, анализ киберугроз, постоянный мониторинг и применение самых эффективных методов реагирования на инциденты».
В целях повышения осведомленности сотрудников в области кибербезопасности «Лаборатория Касперского» разработала программу Kaspersky Cybersecurity Awareness, включающую в себя тренинги для всех уровней организационной структуры компании. Обезопасить компанию от целенаправленных атак поможет решениеKaspersky Anti Targeted Attack Platform (KATA), которое противостоит нападениям на всех этапах и способно как обнаружить уже начавшуюся атаку, так и защитить предприятие от потенциальных угроз. Решение Kaspersky Security для мобильных устройств предоставляет целый ряд функций управления подключенными к сети устройствами (Mobile Device Management, MDM) с помощью единой консоли управления, что обеспечивает безопасность мобильного доступа к корпоративным системам.
«Лаборатория Касперского»: кибервымогатели переключились с обычных пользователей на банки и бизнес
Согласно наблюдениям специалистов «Лаборатории Касперского», жертвами программ-вымогателей все чаще становятся не частные пользователи, а компании и финансовые учреждения: на сегодня компании известны по меньшей мере восемь кибергруппировок, занимающихся разработкой троянцев-вымогателей для проведения целевых атак на бизнес. В ряде случаев требуемый выкуп достигает полумиллиона долларов.
По словам экспертов, причина трансформации проста: целевые атаки потенциально более прибыльны, чем массовые нападения на частных пользователей. Успешная атака на компанию может парализовать ее деятельность на несколько часов или даже дней – владельцы бизнеса оказываются просто вынуждены заплатить выкуп.
Схемы и инструменты злоумышленников довольно универсальны. Все кибергруппировки сначала заражают сеть компании вредоносным ПО через уязвимости в серверах или фишинговые письма. Затем атакующие укрепляют свои позиции в сети и определяют наиболее ценные корпоративные ресурсы, за «захват» которых можно получить самый большой выкуп.
Однако у групп есть и уникальные черты: например, троянец Mamba использует свободное ПО для шифрования, которое устанавливается на компьютерах жертв посредством легальной утилиты для удаленного управления системой Windows. А авторы троянца PetrWrap отличаются особенно тщательным выбором жертв и долгой подготовкой к атаке: их скрытое присутствие в сети достигает шести месяцев.
«Риск целевых атак на коммерческие компании растет, а сами нападения приносят все более ощутимые убытки. Тенденция тревожная, потому что хакеры сейчас ищут новых, более прибыльных жертв. И надо сказать, есть много потенциальных мишеней, атаки на которые могут привести к катастрофическим последствиям», — сказал Антон Иванов, старший антивирусный аналитик «Лаборатории Касперского».
Для защиты от целевых атак с использованием программ-вымогателей эксперты «Лаборатории Касперского» рекомендуют предпринять следующие действия.
Сделайте резервную копию данных, которую можно будет использовать для восстановления файлов в случае атаки. Используйте защитное решение с технологией детектирования по поведению. Она определяет троянцев любого типа, анализируя их действия в атакованной системе. Это позволяет обнаруживать даже ранее неизвестные зловреды. Ознакомьтесь с сайтом международной инициативы No More Ransom, созданной с целью помочь жертвам целевых атак восстановить файлы без необходимости уплаты выкупа. Проведите аудит установленного ПО: не только на рабочих станциях, но также на всех сетевых узлах и серверах. Вовремя обновляйте ПО. Проведите комплексную оценку информационной безопасности сети (аудит, тестирование на проникновение, GAP-анализ), чтобы обнаружить и закрыть все лазейки, которыми могут воспользоваться злоумышленники. Пользуйтесь внешней экспертной оценкой: консультация авторитетных вендоров поможет предвидеть вектор будущих атак. Проведите тренинг по кибербезопасности для сотрудников. Особое внимание стоит уделить инженерно-техническому персоналу, его осведомленности об атаках и угрозах. Обеспечьте защиту как внутри периметра корпоративной сети, так и снаружи. В правильной стратегии безопасности значительные ресурсы выделяются на обнаружение атак и реагирование на них до того, как они достигнут критически важных объектов.
В случае, если ваши данные зашифровали, «Лаборатория Касперского» рекомендует воспользоваться сервисом No Ransom, где представлены инструменты, разработанные компанией для помощи жертвам вымогателей.
"Доктор Веб" рассказывает, как защитить себя от ненужных платных подписок
Наверняка каждый сталкивался лично или просто слышал о платных подписках на различные услуги и сервисы от операторов мобильной связи. Многие пользователи лишь со временем узнают, что у них подключены такие подписки, - когда со счёта начинают исчезать средства. Для решения этой проблемы компания "Доктор Веб" опубликовала отчёт с подробным описанием работы таких подписок и способами уберечь себя от них, сохранив деньги.
В большинстве случаев операторы мобильной связи используют технологию WAP-click, позволяющую по упрощённой схеме подписывать абонентов на различные платные услуги. Зачастую пользователи по неосторожности оформляют подписки на ненужные им услуги и впоследствии теряют деньги. Технологию WAP-click активно используют также и многочисленные партнёрские программы, позволяющие владельцам веб-сайтов монетизировать мобильный трафик.
В качестве примера сотрудники "Доктор Веб" приводят запущенную в 2012 году компанией "МегаФон" технологию WAP-click. Оператор позиционировал её как сервис, позволяющий абонентам покупать на сайтах партнёров "МегаФона" в упрощённом режиме аудио-, видео- и графические файлы, а также пользоваться услугами без необходимости их загрузки.
Принцип работы технологии от "МегаФона" предельно прост: пользователь мобильного устройства перенаправляется на веб-страницу с сообщением о том, что доступ к запрошенному контенту предоставляется за деньги. На странице размещается кнопка, при нажатии на которую пользователь автоматически оказывается подписанным на услугу с постоянной абонентской платой.
Сотрудники "Доктор Веб" на примере сервисов оператора "МегаФона" решили наглядно продемонстрировать работу технологии WAP-click. Как пример, кто-то впреддверии дачного сезона решил посадить у себя на участке лук-порей. Так как соответствующих знаний у этого человека нет, он отправляется за инструкцией в поисковую систему Google. По запросу "как и когда сажать лук" система сразу же предлагает ссылку, на первый взгляд полностью соответствующую его вопросу.
Однако оказывается, что в HTML-код открывающегося по ссылке сайта встроен специальный скрипт, идентифицирующий оператора, к сети которого подключён пользователь. После этого выполняется цепочка автоматических перенаправлений, состоящая как минимум из 5-7 промежуточных звеньев. Эта цепочка заканчивается на одном из сайтов с предоставлением платной подписки.
На открытом сайте в самом верху указана информация, предупреждающая пользователя о том, что доступ к данному ресурсу платный и стоит 30 рублей в день. Это объясняется наличием на сайте статей и новостей, предназначенных для личного использования. Данный текст можно увидеть на экране смартфона, а вот при просмотре сайта с планшета или компьютера, подключённого к USB-модему, шрифт становится слишком мелким, и пользователь в большинстве случаев его не замечает, соглашаясь на платную подписку, нажав кнопку "Продолжить". Далее человека перенаправит ещё на несколько сайтов, но искомой информации о выращивании лука он так и не получит. Более того, в случае использования USB-модема пользователь даже не получит SMS об оформлении платной подписки, а с его счёта будет ежедневно списываться по 30 рублей. Отключить эти подписки не так просто, так как несколько дней они и вовсе не отображаются в личном кабинете, но деньги при этом списываются.
Чтобы по неосторожности не подписаться на платные услуги сама компания "МегаФон" предлагает своим абонентам оформить специальный контентный счёт, с которого и будут списываться средства на оплату подписок. Также можно оформить запрос на временное блокирование всех платных подписок.
Если вы заметили, что с вашего мобильного счета регулярно списываются деньги, обязательно проверьте наличие платных подписок. Также рекомендуется подключить контентный счет, чтобы обезопасить денежные средства на основном счете мобильного оператора. Компания "Доктор Веб" призывает к внимательности при использовании мобильного Интернета и в случае обнаружения случайных подписок на платные услуги рекомендует как можно раньше их отменять - самостоятельно или путём обращения в службу поддержки оператора связи.
Компания Касперской стала жертвой «порочащей информационной атаки»
Компания Infowatch, специализирующаяюся на борьбе с информационными утечками и атаками, сама стала жертвой атаки и утечки. Неизвестные распространили файлы с сотнями контактов, принадлежащих якобы сотрудникам и клиентам компании.
«Слив» про InfoWatch
Неизвестные лица осуществили рассылки файлов, якобы полученных в результате утечки из компании Infowatch. Копия рассылки оказалась в распоряжении CNews.
Рассылка состоит из нескольких Excel-файлов. В них приведены различные коммерческие предложения на покупку лицензий на ПО Infowatch Traffic Monitor, цены на которые варьируются от 1 млн руб. до 7 млн руб.
Traffic Monitor - это DLP-решение, то есть ПО, предназначенное для выявления конфиденциальных документов в потоке данных и предотвращения их утечки.
Помимо Traffic Monitor, Infowatch выпускает целый ряд других продуктов в области информационной безопасности. Attack Killer предназначен для безопасной веб-разработки, Kribrum отслеживает неправомерное распространение корпоративной информации, Vision анализирует корпоративные информационные потоки, Person Monitor предназначена для непрерывного мониторинга рабочих процессов и т.д.
Контакты клиентов InfoWatch
Один из разосланных файлов представляет из себя список из нескольких сотен лиц, якобы являющихся сотрудниками и клиентами Infowatch. В файле приведены адреса электронной почты, мобильные и рабочие телефоны. Наталья Касперская, глава InfoWatch, соосновательница «Лаборатории Касперского»
Утверждается, что лица, упомянутые в файле, работают в различных органах государственной и муниципальной власти, силовых структурах, органах власти постсоветских республик, банках, инвестиционных и сырьевых компаниях, образовательных учреждениях, сотовых операторов и других структурах. Большинство лиц якобы занимают должности руководителей ИТ-отделов либо отделов информационной безопасности.
Издание Securenews утверждает, что данная рассылка была осуществлена по основным конкурентам компании Infowatch: Falcongaze, Solar Security, Zecurion и др.
Файл с контактами содержит более 5 тыс. строк.
Компания Infowatch работает в сфере информационной безопасности и специализируется как раз на борьбе с информационными утечками и атаками. В 2007 г. компания выделилась из состава «Лаборатории Касперского» и сейчас принадлежит соосновательнице «Лаборатории» Наталье Касперской.
Недавно в Infowatch инвестировал государственный Российский фонд прямых инвестиций, сумма сделки и размер приобретенного пакета не разглашаются.
В Infowatch отрицают подлинность данных из «утечки»
В заявлении Infowatch говорится, что компания стала жертвой «информационной атаки», целью которой было нанести распространение сведений, порочащих ее деловую репутацию. Атака является «типичным примером недобросовестной конкуренции».
В Infowatch уверяют, что файлы в рассылке не содержат «актуальных персональных данных» ее сотрудников и клиентов, а данные из них «являются итогом компиляции не принадлежащих данных компании». В Infowatch обещают расследовать данный инцидент и принять все предусмотренные законодательством процессуальные меры.
«Всеядный» троян перехватывает пароли от мобильного банка, Facebook и Instagram
ESET обнаружила на Google Play новую вредоносную программу. Троян Android/Charger.B крадет пароли от мобильных приложений банков и социальных сетей, с его помощью можно атаковать почти любое приложение.
Троян маскируется под приложение-фонарик Flashlight LED Widget. После установки и запуска программа запрашивает права администратора устройства и разрешение открывать окна поверх других приложений.
Далее троян отправляет на командный сервер злоумышленников информацию об устройстве, включая список установленных приложений, и фотографию владельца, сделанную фронтальной камерой.
Если зараженное устройство находится в России, Украине или Беларуси, троян деактивируется. В ESET предполагают, что атакующие таким образом пытаются избежать уголовного преследования в своей стране.
Когда жертва запускает интересующее злоумышленников приложение (например, мобильный банк или соцсеть), на экране появится поддельное окно для ввода данных. Логины, пароли или данные банковских карт, введенные в фишинговом окне, будут отправлены злоумышленникам.
В ходе исследования специалисты ESET наблюдали перехват паролей Commbank, NAB и Westpac Mobile Banking, а также Facebook, Instagram и Google Play. Опасность трояна в том, что атакующие могут перенацелить его почти на любое приложение.
Троян может блокировать экран устройства, выводя сообщение о загрузке обновлений. В ESET предполагают, что эта функция используется при краже средств со счета. Злоумышленники удаленно блокируют смартфон, чтобы жертва не заметила подозрительную активность и не смогла принять меры.
Для профилактики заражения ESET рекомендует загружать приложения только на официальных площадках, предварительно изучив оценки и отзывы пользователей. Подозрительные запросы разрешений (например, права администратора для приложения-фонарика) – повод отказаться от установки софта.
Яндекс запускает Коннект — платформу для совместной работы и общения
Яндекс запустил Коннект — комплекс сервисов для совместной работы. В его состав входят Почта для домена, Диск, мессенджер Ямб, общая база документов Вики и адресная книга, отражающая структуру организации. Все сервисы Коннекта связаны между собой. Такая инфраструктура делает коммуникацию внутри компании проще и эффективнее.
Например, общий адрес отдела можно использовать не только в почтовой переписке или чате, но и для того, чтобы поделиться сразу со всеми коллегами папкой на Диске или описанием нового проекта на Вики. Для людей из разных отделов, временно работающих над одной задачей, тоже можно создать общий, командный адрес — причём без помощи администратора. Если в описании проекта на Вики появятся новые детали, все, кто работает над ним, сразу узнают об изменениях. Если в отдел или команду придёт новый человек, он автоматически будет добавлен во все нужные переписки и чаты, а также получит доступ к общим файлам и документам.
Коннект подойдёт и маленькой компании, и большому бизнесу. Инфраструктура Яндекс.Облака, обеспечивающая его работу, гарантирует высокую стабильность и безопасность коммуникации как в команде из пары десятков человек, так и в корпорации с тысячами сотрудников. В Яндексе инструменты Коннекта успешно помогают координировать работу почти шести тысяч человек в 16 офисах. Общее число входящих сообщений, которые внутренняя Почта компании обрабатывает за неделю, приближается к 27 миллионам. А в Вики Яндекса примерно 830 тысяч страниц, что сопоставимо с объёмом русскоязычной Википедии.
Коннект ориентирован не только на российский, но и на международный рынок. Им можно пользоваться на двух языках — русском и английском. Подключить организацию к Коннекту можно на сайте connect.yandex.ru. Сейчас сервис предоставляет только бесплатный пакет базовых услуг, но в скором времени станет доступен пакет «Премиум» — с более широким набором функций и возможностью интеграции Коннекта с другими системами клиента. Стоимость его использования составит 190 рублей в месяц за каждого пользователя.
«Лаборатория Касперского» рассказала об активности зловреда Hajime, который в настоящее время активно заражает устройства интернета вещей и создает из них ботнет.
На данный момент под контролем Hajime находятся почти 300 тыс. гаджетов по всему миру — потенциально все они готовы выполнять команды злоумышленников, однако реальная цель Hajime до сих остается неизвестной, сообщили CNews в «Лаборатории Касперского».
В переводе с японского Hajime означает «начало». Первые признаки активности этого зловреда были замечены в октябре 2016 г. Наибольшее число зараженных устройств сейчас зафиксировано в Иране — около 20%. Следом идут Бразилия (9%) и Вьетнам (8%). Россия также оказалась одной из привлекательных стран для злоумышленников — 7,5% устройств ботнета расположены в России.
По словам исследователей, в Hajime нет функций, позволяющих осуществлять атаки; на данный момент зловред содержит только модуль, отвечающий за его распространение. Для заражения устройств Hajime использует разные техники, но чаще отдает предпочтение брутфорс-атакам, то есть методу подбора пароля через перебирание возможных комбинаций. После успешного заражения зловред предпринимает меры для сокрытия своего присутствия на устройстве.
Hajime не слишком избирателен — он готов заразить любой гаджет, подключенный к интернету. Однако в числе его жертв все же преобладают видеозаписывающие устройства, веб-камеры и роутеры. Примечательно, что зловред избегает некоторых сетей, среди них, в частности, сети General Electric, Hewlett-Packard, почтовой службы США и Министерства обороны США.
«Самая большая интрига Hajime — это его цель. Ботнет быстро растет, а для чего — до сих пор неизвестно. Мы не заметили присутствия Hajime в каких-либо атаках или другой вредоносной активности. Тем не менее, не стоит недооценивать угрозу, — подчеркнул Константин Зыков, старший аналитик «Лаборатории Касперского». — Мы рекомендуем всем владельцам устройств интернета вещей сменить пароли на гаджетах, при этом выбирать сложные комбинации, которые нелегко угадать, а также по возможности обновить ПО от производителя».
Эпидемия Wcry 2.0: за сутки заражены десятки тысяч компьютеров. Как защититься?
В пятницу 12 мая началось глобальное распространение нового вируса-вымогателя WannaCry 2.0. По данным "Лаборатории Касперского", за сутки вирус заразил десятки тысяч компьютеров под управлением Windows в 74 странах. Жертвами стали телекоммуникационные компании Испании и Португалии, больницы в Англии, российские "Мегафон", "Сбербанк" и даже МВД РФ. После попадания на ПК WannaCry шифрует все файлы пользователя и для их разблокировки требует $300.
Создатели вируса воспользовались хакерскими инструментами американской спецслужбы АНБ, которые некоторое время назад утекли в сеть усилиями хакерской группировки ShadowBrokers. Первые сообщения о вымогателе Wcry 2.0 поступили из больниц в Великобритании. Но по мере распространения вируса наибольшее количество заражений отмечено в России, Украине и Тайване.
Как распространяется вирус?
Вирус распространяется по сети несколькими способами. Одни компьютеры были заражены после открытия полученного электронного письма, а другие - после посещения поддельных сайтов. При этом содержание сайтов и писем могут быть самыми разными. Для заражения Wcry 2.0 использует уязвимость операционной системы Windows, которую компания Microsoift закрыла обновлением безопасности еще 14 марта этого года. По всей видимости, зараженные компьютеры просто не обновлялись.
На момент выхода этой публикации распространение вируса было приостановлено благодаря случайности. Специалист по безопасности, автор блога MalwareTech изучил код вируса и обнаружил, что Wcry 2.0 обращается к несуществующему домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Эксперт зарегистрировал этот домен - и распространение вируса прекратилось. Прямое указание прекратить распространение при регистрации домена содержится в коде Wcry. "Теперь я могу добавить в своё резюме пункт "случайно остановил международную кибератаку," - пишет в своем твиттере MalwareTech.
Как защитить себя от Wcry?
Распространение вымогателя было очень успешным, и повторные волны эпидемии весьма вероятны. Чтобы защитить свой компьютер, пользователям Windows необходимо предпринять следующие действия:
Установить все обновления операционной системы Скачать и установить патч безопасности с официального сайта Microsoft Дополнительно рекомендуется проверить компьютер антивирусной програмой. Известно, что WannaCry распознается антивирусами Касперского и Avast с актуальными базами данных.
Дата: Понедельник, 22.05.2017, 16:41 | Сообщение # 39
Модератор
Группа: Модераторы
Сообщений: 29272
Статус: Оффлайн
Энтузиасты создали файл-дешифратор для вируса WannaCry
Благодаря слаженным действиям Microsoft, производителей антивирусного ПО и обеспокоенных пользователей распространение злостного вируса-вымогателя WannaCry удалось существенно замедлить, а число пострадавших увеличивается значительно медленнее, чем в первые дни атаки. Из Франции и вовсе подоспели хорошие новости: специалист лаборатории Quarkslab Адриен Гине нашёл способ извлечь ключ для расшифровки файлов без необходимости платить выкуп в $300 злоумышленникам. Более того, утилита уже доступна для бесплатного скачивания, но прежде чем запустить её на своем компьютере, вам необходимо узнать главную особенность работы программы.
Дело в том, что приложение Адриена Гине сканирует память пострадавшего компьютера и извлекает ключ непосредственно из системы. Данный ключ хранится лишь до момента первой перезагрузки, а значит эффективная работа утилиты возможна лишь в промежуток между заражением компьютера до его первого отключения или ребута.
Изначально утилита могла быть запущена лишь на Windows XP, однако силами разработчика Мэтта Сюиша была адаптирована к Windows 7, на которую приходится 97% случаев заражения, Windows 2003 (x86), Windows Vista, Windows 2008 и 2008 R2. Будет ли найден способ расшифровки файлов после перезагрузки системы - неизвестно.
Скачать утилиту для расшифровки можно бесплатно на GitHub.
"Лаборатория Касперского" предупредила о возможной эпидемии вирусов для смартфонов
Глава отдела стратегических проектов компании Андрей Ярных посоветовал пользователям "проводить постоянное обновление информационных систем и программ на операционных системах"
Количество вредоносного кода для мобильных устройств стало расти, что может привести к эпидемии распространения вирусов на смартфонах. Об этом заявил руководитель отдела стратегических проектов компании "Лаборатория Касперского" Андрей Ярных на полях 26-й сессии Комиссии по предупреждению преступности и уголовному правосудию.
"Статистика прошлого года показывает, что в значительной степени растет количество вредоносного кода для мобильных устройств. Если традиционные масштабные эпидемии заражения персональных компьютеров уже давно не случайность, то на мобильных устройствах в перспективе эпидемии еще возможны с распространением устройств, их усложнением и переходом от простого телефона в разряд смартфонов", - предупредил Ярных на презентации российского проекта Конвенции ООН о сотрудничестве в сфере противодействия информационной преступности.
По его словам, количество кибернетических угроз растет для операционных систем Windows и Android, в настоящее время их число самое максимальное, и они начинают охватывать банковский сектор. "Отдельный тренд - это шифровальщики, с которыми мы столкнулись недавно. Программы-шифровальщики опасны не только тем, что они проникают на компьютеры и крадут данные, но и тем, что шифруют содержимое компьютера", - сказал Ярных и привел в пример атаки вируса-шифровальщика WannaCry. "Мы предполагаем, что финансовые цели (вируса WannaCry - прим. ТАСС) не были достигнуты, выкуп платили единицы", - отметил он.
"Лаборатория Касперского" в этой связи призывает не только иметь "программное обеспечение, защищающее от вирусов, но и необходимо проводить постоянное обновление информационных систем и программ на операционных системах", добавил он.
12 мая хакеры попытались атаковать компьютеры с операционной системой Windows с использованием вируса- шифровальщика WannaCry - для снятия блокировки с зараженных компьютеров злоумышленники требовали перечислить деньги. По данным Европейского полицейского агентства, жертвами этой атаки стали не менее 200 тыс. физических и юридических лиц в 150 государствах.
Ошибки кода вымогателя WannaCry дают надежду на бесплатное возвращение файлов
Исходный код приложения-вымогателя WannaCry, которое несколько недель назад сумело распространиться на сотни тысяч компьютеров по всему миру, оказался очень низкого качества. Это даёт надежду на то, что зашифрованные файлы можно будет вернуть без необходимости платить выкуп.
Анализ кода провела лаборатория Касперского и было обнаружено, что ошибки в коде делают возможным восстановление файлов при помощи доступных программных инструментов и даже простых команд. Например, ошибка в механизме обработки файлов только для чтения означает, что программа не может зашифровать подобные файлы. Вместо этого WannaCry создаёт зашифрованные копии пользовательских файлов, тогда как оригинальные файлы остаются нетронутыми, но при этом делаются скрытыми. Достаточно только включить опцию отображения скрытых файлов, чтобы получить доступ к ним.
Если пользовательские файлы считаются неважными, они отправляются во временную папку. Данные в этих файлах не перезаписываются, а удаляются, поэтому их можно восстановить при помощи специальных программ. Если же файлы находятся в важных папках, вроде «Рабочий стол» или «Мои документы», WannaCry перезаписывает оригинальный файл и восстановить их невозможно.
За три недели авторы вымогателя получили сумму всего в $120 тысяч, что с учётом масштаба инфицирования является крайне скромным показателем. Недавно появилась информация о том, что компьютеры на Windows XP пострадали меньше других, поскольку вымогатель приводил к появлению синего экрана смерти вместо шифрования файлов, что также говорит о низком качестве кода.
Лаборатория Касперского обвинила Microsoft в отключении своего антивируса
В конце прошлого года Лаборатория Касперского подала жалобу в Российскую Федеральную Антимонопольную Службу (ФАС) на компанию Microsoft. Теперь она переносит поле боя в Европу, где также подала антимонопольную жалобу в Еврокомиссию и Федеральное картельное ведомство Германии. Microsoft обвиняется в использовании доминирующего положения операционной системы Windows для продвижения собственного антивируса Защитник Windows за счёт антивирусов сторонних производителей.
Российская компания утверждает, что после появления операционной системы Windows 10 Microsoft создаёт преграды производителям антивирусов и использует новые способы распространения среди пользователей собственного защитника Windows. Его нельзя отключить полностью или удалить из системы, периодически он выполняет сканирование файлов. Утверждается, что при обновлении до Windows 10 антивирус Касперского отключается и вместо него начинает работать защитник Windows. В качестве причины называется несовместимость антивируса Касперского с новой версией Windows. Приложение остаётся установленным на компьютере, но часть файлов удаляется и программа не запускается.
В своём блоге Евгений Касперский пишет, что иногда обновления лишают операционную систему совместимости с программами сторонних производителей. По его словам, Microsoft даёт независимым разработчикам всего пару недель для тестирования последних обновлений Windows 10 с целью обеспечения совместимости. Если изменения, которые вредят совместимости, не удаётся исправить до выпуска обновления, программа считается несовместимой и удаляется с компьютеров пользователей.
Microsoft уже успела привыкнуть к антимонопольным сражениям на территории Европы, в результате которых она потеряла миллиарды долларов. В частности, раньше речь шла о предустановленных в системе Windows браузерах и мультимедийных плеерах.
В заявлении для информационного агентства Bloomberg Microsoft утверждает, что главной задачей является обеспечение защиты пользователей и компания уверена, что механизмы безопасности Windows 10 отвечают требованиям антимонопольного законодательства. Также в заявлении говорится, что несколько месяцев назад Microsoft предлагала представителям лаборатории Касперского провести встречу на уровне высшего руководства с целью урегулирования разногласий, но эта встреча до сих пор не состоялась.
Дата: Воскресенье, 18.06.2017, 15:31 | Сообщение # 43
Модератор
Группа: Модераторы
Сообщений: 29272
Статус: Оффлайн
Новый троян атакует пользователей Windows-компьютеров
«Доктор Веб» сообщает о распространении новой вредоносной программы, предназначенной для добычи криптовалюты — майнинга.
Зловред получил обозначение Trojan.BtcMine.1259. Он атакует компьютеры под управлением операционных систем Windows.
Основное предназначение трояна — использование вычислительных ресурсов инфицированного устройства для добычи криптовалюты Monero (XMR). Кроме того, вредоносная программа устанавливает в систему компонент Gh0st RAT с функциональностью бэкдора.
Сразу после старта троян проверяет, не запущена ли на инфицированном компьютере его копия. Затем он определяет количество ядер процессора, и, если оно больше или равно указанному в конфигурации числу потоков, расшифровывает и загружает в память хранящуюся в его теле библиотеку. Эта библиотека представляет собой модифицированную версию системы удалённого администрирования с открытым исходным кодом, известной под наименованием Gh0st RAT.
Основной модуль, предназначенный для добычи криптовалюты Monero, также реализован в виде библиотеки. Причём вредоносная программа может задействовать как 32-разрядную, так и 64-разрядную версию модуля для добычи криптовалюты.
Зловред способен использовать определённое количество ядер и вычислительных ресурсов. При этом троян отслеживает работающие на заражённом компьютере процессы и при попытке запустить диспетчер задач завершает свою работу.
Dr.Web сообщил о новом шифровальщике, атакующем компании России и Украины
«Доктор Веб» сообщила о о новой эпидемии шифровальщика, которой подверглись нефтяные, телекоммуникационные и финансовые компании России и Украины. Как рассказали CNews в компании, новый энкодер детектируется продуктами Dr.Web.
По имеющейся у специалистов Dr.Web информации, троянец распространяется самостоятельно, как и нашумевший WannaCry. Точных данных о том, используется ли тот же самый механизм распространения, пока нет.
В настоящее время аналитики исследуют нового троянца. Некоторые источники в СМИ проводят параллели с вымогателем Petya (детектируется Dr.Web в частности как Trojan.Ransom.369) в связи с внешними проявлениями работы вымогателя, однако способ распространения новой угрозы отличается от использовавшейся Petya стандартной схемы.
Сегодня, 27 июня, в 16:30 по московскому времени, этот шифровальщик был добавлен в вирусные базы Dr.Web как Trojan.Encoder.12544.
«Доктор Веб» призывает всех пользователей быть внимательными и не открывать подозрительные письма (эта мера необходима, но не достаточна). Следует также создавать резервные копии критически важных данных и устанавливать все обновления безопасности для ПО. Наличие антивируса в системе также обязательно.
"Касперский": Petya не атаковал сети России и Украины, это был другой вирус. В Microsoft начали расследование
Компьютеры крупнейших российских и украинских компаний, а также сеть правительства Украины атаковал не вирус-вымогатель Petya, а другой шифровальщик, заявили в "Лаборатории Касперского". Эксперты компании полагают, что это не была разновидность Petya, но какой это был шифровальщик, они не сообщают.
"Пока не до конца понятно, что это за шифровальщик: существуют предположения о том, что это какая-то вариация Petya (Petya.A или Petya.D или PetrWrap), а некоторые считают, что это все тот же WannaCry (это не так)", - написано в блоге компании.
"Вирус, который сегодня атаковал организации в России и на Украине, а также еще в ряде стран, это абсолютно новый вирус-шифровальщик, с которым до этого специалисты не сталкивались", - сказал "Эху Москвы" руководитель отдела антивирусных исследований "Лаборатории Касперского" Вячеслав Закоржевский.
Так или иначе вирус блокировал компьютеры и не давал запустить операционную систему. За возобновление работы и расшифровку файлов он требовал выкуп в размере 300 долларов в биткоинах.
Этим вирусом 27 июня были заражены сотни компьютеров. Больше всего пострадали Украина и Россия. На Украине атаке подверглась сеть правительства, крупнейших банков, почти, аэпропортов, коммерческих компаний. Более того, власти были вынуждены перевести Чернобольскую АЭС на ручной режим работы, поскольку компьютеры на станции были заблокированы вирусом.
В России была аналогичная ситуация, только повреждений правительственной сети удалось избежать, говорили в Кремле. Кроме Украины и России, вирус распростанился на страны Европы. В частности, зоны поражения были зафиксированы в Литве, Великобритании, Германии, Франции. В итоге, как сообщаетTJournal, авторам вируса перевели более 2,5 тысяч долларов.
Шифровальщик использовал поддельную электронную подпись Microsoft. Технология электронной подписи используется для того, чтобы показать пользователям, что программа разработана надежным автором и гарантирует, что не нанесет вреда.
Теперь Microsoft проводит расследование ситуации с вирусом-вымогателем. "Мы знаем о ситуации и проводим расследование", - сказала ТАСС представитель Microsoft.
