По сути, программа-блоктровщик представляет собой самый обычный вирус, который не дает компьютеру запуститься, даже в безопасном режиме. Обычные меры антивирусной защиты, антивирусное обслуживание компьютеров и серверов, практически полностью предотвращают эту проблему.
Если компьютер заражен, при запуске на экране появляется окно примерно следующего содержания:Читать полностью »
Месяц назад портал на моей новой работе был взломан. Руководство задалось вопросом «Как?». В ходе недолгих поисков и анализу подключений к серверам, был найден ПК сотрудника, с которого устанавливалось подключение примерно в то самое время. Сотрудник ничего о взломе не знал, но в ходе беседы вспомнил один случай, ему незадолго до взлома пришёл документ от «сотрудника фирмы», который не открылся. Файл был в формате exe, с этого и началась вся история.
Читать полностью »
От редакции: Автор этого поста — Виктор Яблоков, руководитель отдела разработки мобильных решений «Лаборатории Касперского».
Совсем недавно мы отмечали 10-летие первой вредоносной программы для смартфонов. Обнаружение Cabir привело к интересным изменениям в «Лаборатории Касперского», в частности, приобретенные тогда для натурного тестирования червя смартфоны Nokia стали первыми в коллекции, ныне насчитывающей более 250 устройств.
Антивирус для смартфонов Symbian появился уже после Cabir, хотя мы в течение нескольких дней сделали утилиту для удаления DeCabir именно этого червя. Но это не значит, что мобильных продуктов у нас до 2004 года не было. Еще в 2001 году первой программой подобного типа стал антивирус для КПК на базе Palm OS.
Откопать в архивах старый карманный компьютер, дистрибутивы нашего софта, ключи и документацию к ним было непросто. Еще сложнее оказалось вспомнить, как это все настраивается и работает. Зато стало понятнее, что ждет современные мобильники лет через 15. Современные железо, софт, средства разработки, багтрекеры, да и сетевые сервисы к тому времени безнадежно устареют. А вот опыт, возможность предвидеть развитие индустрии в целом и киберугроз в частности — останутся. Об этом всем и поговорим.
Читать полностью »
Недавно у меня состоялся показательный разговор с Алексеем Малановым, сотрудником «Лаборатории» и опытным исследователем вредоносных программ, о том, может ли, например, сотрудник отдела по связям с общественностью (=не технарь) стать вирусным аналитиком? Ответ был простой и сложный одновременно: основы программирования, архитектура процессоров, особенности операционных систем, сетевые протоколы… В общем, «купи книжку по Ассемблеру и приходи лет через пять».
А что, если подняться на уровень выше? От анализа конкретных экземпляров вредоносных программ (что само по себе непросто) перейти к комплексному исследованию компьютерных инцидентов? Этим у нас занимается подразделение Global Research and Analysis Team (GReaT). К ним я недавно обратился с похожим вопросом: какие книги они могут порекомендовать другим специалистам по компьютерной безопасности (имея в виду, что азы программирования и прочие базовые вещи уже освоены)? В результате получился список из пяти книг — а на самом деле из десяти :-), — с которым можно ознакомиться под катом.
Читать полностью »
Представляю вашему вниманию перевод статьи Everything is Broken, опубликованной в мае 2014 года на The Medium американской журналисткой Quinn Norton, которая специализируется на проблемах информационной безопасности. Статья рассматривает современный мир информационных технологий и место вопросов безопасности и конфиденциальности данных в нем. Статья местами содержит довольно резкую критику, тем не менее, поднимаемые в ней проблемы актуальны и не решены по сей день. В конечном счете, в этом, отчасти, и заключается работа журналиста — задавать неудобные вопросы.
Однажды, один мой знакомый получил контроль над тысячами компьютеров. Он нашел уязвимость в программном обеспечении и принялся испытывать ее. В процессе, он понял что, теоретически, может получить полный административный контроль над всей сетью, где используется данное программное обеспечение. Он загрузил скрипт на удаленный сервер и запустил его, чтобы посмотреть что произойдет, а сам отправился спать. На следующее утро он решил проверить результат работы, и каково же было его удивление, когда он обнаружил, что имеет полный доступ на 50 000 компьютерах. Испугавшись ответственности за содеянное, он тут же остановил процесс и принялся удалять свои скрипты. В конечном счете, как он мне сказал, он даже уничтожил жесткий диск, бросив его в огонь. Я не могу выдать вам личность этого человека, потому что не хочу чтобы он оказался в Федеральной тюрьме, что и произошло бы, если бы он сообщил о найденной уязвимости и своем эксперименте кому то еще. Вам наверное интересно, пофикшен ли сейчас это баг? Возможно да, но точно не благодаря моему знакомому. Это история не так уж и удивительна. Проводите время на хакерской сцене и вы услышите истории и похуже.
Трудно объяснить обычным людям, какое большое количество технологий работает весьма посредственно и что их жизни уже давно тесно переплетены с IT-инфраструктурой, подобно прессованной проволоке.
Компьютеры и компьютерные технологии — все сломано.
Тайбэй, Тайвань – 8 августа 2014 года – компания Synology занимается расследованием всех обстоятельств недавнего возникновения программы-вымогателя SynoLocker и работает с пострадавшими от нее пользователями. Было установлено, что эта программа влияет на NAS-сервера со старыми версиями ОС DSM, используя уязвимость, устраненную в декабре 2013 года с выходом новой версии. После чего компания Synology через различные каналы информировала пользователей о необходимости обновления системы.
Пострадавшие пользователи могут столкнуться со следующими симптомами:
При попытке войти в DSM появляется окно, сообщающее пользователю, что его данные были зашифрованы, а за их восстановление необходимо заплатить;
Чрезвычайно высокая загруженность процессора или выполняющийся процесс под названием “synosync” (смотрите: Главное меню > Мониторинг Ресурсов);
На устройстве с установленной ОС:
— DSM 4.3-3810 или более ранней версией;
— DSM 4.2-3236 или более ранней версией;
— DSM 4.1-2851 или более ранней версией;
— DSM 4.0-2257 или более ранней версией;
при входе в Панель Управления > Обновление DSM система не отображает наличие доступных обновлений.
Пользователям, обнаружившим у себя эти симптомы, необходимо немедленно отключить систему, чтобы избежать повреждения большего количества файлов, и связаться с нашей службой технической поддержки по ссылке:
https://myds.synology.com/support/support_form.php
Читать полностью »
Тайбэй, Тайвань – 8 августа 2014 года – компания Synology занимается расследованием всех обстоятельств недавнего возникновения программы-вымогателя SynoLocker и работает с пострадавшими от нее пользователями. Было установлено, что эта программа влияет на NAS-сервера со старыми версиями ОС DSM, используя уязвимость, устраненную в декабре 2013 года с выходом новой версии. После чего компания Synology через различные каналы информировала пользователей о необходимости обновления системы.
Пострадавшие пользователи могут столкнуться со следующими симптомами:
При попытке войти в DSM появляется окно, сообщающее пользователю, что его данные были зашифрованы, а за их восстановление необходимо заплатить;
Чрезвычайно высокая загруженность процессора или выполняющийся процесс под названием “synosync” (смотрите: Главное меню > Мониторинг Ресурсов);
На устройстве с установленной ОС:
— DSM 4.3-3810 или более ранней версией;
— DSM 4.2-3236 или более ранней версией;
— DSM 4.1-2851 или более ранней версией;
— DSM 4.0-2257 или более ранней версией;
при входе в Панель Управления > Обновление DSM система не отображает наличие доступных обновлений.
Пользователям, обнаружившим у себя эти симптомы, необходимо немедленно отключить систему, чтобы избежать повреждения большего количества файлов, и связаться с нашей службой технической поддержки по ссылке:
https://myds.synology.com/support/support_form.php
Читать полностью »
Слежка за гражданами со стороны правительства и тайная установка вредоносных программ на телефоны пользователей — это уже не научная фантастика и не какие-то теории заговора, а обычная практика в повседневной деятельности правоохранительных органов.
Микко Хиппонен (Mikko Hypponen), директор по исследованиям финской антивирусной компании F-Secure выступил с докладом на хакерской конференции Black Hat, которая проходит в эти дни в Лас-Вегасе. В своём выступлении он сказал, что шпионское ПО официально использует полиция как минимум в 30 странах.
Собственно, история вредоносных программ, созданных для государственных нужд, ведётся с момента обнаружения Stuxnet — вероятно, первого вируса, сделанного под непосредственным присмотром президента в рамках операции под кодовым названием «Олимпийские игры».
«Ещё недавно мысль о том, что демократическое западное правительство будет вовлечено в написание вредоносных программ казалась смешной, — говорит Хиппонен. — Мысль о том, что одно демократическое западное государство разработает шпионскую программу для слежки за другим демократическим государством? Именно это мы наблюдаем сейчас».
Читать полностью »
Троянская программа Win32/Aibatook известна с конца прошлого года и специализируется на краже персональных данных пользователя, а также данных онлайн-банкинга. Код первых версий Aibatook был написан на Delphi, затем авторы переключились на C++. Наши аналитики осуществили анализ одной из версий этого трояна, которая появилась в апреле 2014 г. Эта версия имеет следующие особенности:
Всем привет! Обычно мы стараемся поздравлять с годовщинами каких-то важных памятных событий. Сегодня один из таких дней, но события, с ним связанные, очень неоднозначные. Поздравлять с ними как-то язык не поворачивается. Но не упомянуть о них мы посчитали неправильным.
Читать полностью »
