Улан-Удэ
г. Улан-Удэ, ул. Хахолова 2Д,
Режим работы: 8:00 до 17:00
Новости компании
19-09-2017
Dlink
19-09-2017

 

На прошлой неделе южнокорейский ИБ-специалист Пирр Ким (Pierre Kim) опубликовалподробное описание ряда уязвимостей, обнаруженных им в прошивке роутеров D-Link DIR 850L. Исследователь даже не попытался предварительно уведомить производителя о проблемах, так как он в начале 2017 года уже обнаруживал похожие баги в других продуктах D-Link, и тогда компания проигнорировала все его попытки выйти на связь. В результате патчей для найденных Кимом проблем пока нет.

Теперь по примеру Кима поступили и специалисты компании Embedi. Исследователи раскрыли информацию о трех уязвимостях в маршрутизаторах D-Link, причем две из трех проблем пока не были исправлены. Специалисты пишут, что пытались связаться с представителями D-Link три месяца, но «взаимодействие с разработчиками не принесло никаких плодов».

Эксперты обнаружили проблемы в моделях DIR890L, DIR885L и DIR895L, а также подозревают, что другие устройства из серии DIR8xx D-Link тоже могут быть уязвимы.

  • Первая уязвимость позволяет атакующему адресовать специальный HTTP-запрос встроенному веб-серверу устройства, что в итоге поможет узнать учетные данные жертвы (эксплоит).
  • Вторая уязвимость представляет собой переполнение стека в HNAP и позволяет злоумышленнику выполнить на устройстве произвольный код, а также получить root-привилегии посредством простого HTTP-запроса (эксплоит).
  • Третья проблема помогает атакующему обновить фреймворк уязвимого роутера (эксплоит).

Согласно официальному отчету специалистов, инженеры D-Link все же выпустили исправление для одной из перечисленных проблем, однако исследователи не сообщают, для какой именно. Специалисты Embedi лишь подчеркивают, что все три проблемы представляют большую опасность и выражают опасение, что уязвимые роутеры могут стать частью IoT-ботнетов. В качестве доказательства своих слов специалисты модифицировали известного IoT-вредоноса Mirai, без труда «научив» его атаковать уязвимые маршрутизаторы.

С выводами специалистов согласен и известный ИБ-эксперт, глава GDI Fondation Виктор Геверс (Victor Gevers). Он сообщает, что при помощи Shodan удалось обнаружить 98 513 уязвимых роутеров D-Link. Большинство проблемных устройств находятся в Южной Корее (25 000), Сингапуре (15 600) и Канаде (11 600).

13-04-2016
ВЫМОГАТЕЛЬ «ПЕТЯ» БЛОКИРУЕТ ЗАГРУЗКУ ОС И ТРЕБУЕТ ВЫКУП ЗА РАСШИФРОВКУ ДАННЫХ
13-04-2016

 

Эксперты компании G DATA сообщают об обнаружении необычной вымогательской малвари. Вымогатель Petya – это старый добрый локер, на смену которым в последнее время пришли шифровальщики. Но Petya блокирует не только рабочий стол или окно браузера, он вообще предотвращает загрузку операционной системы. Сообщение с требование выкупа при этом гласит, что малварь использует «военный алгоритм шифрования» и шифрует весь жесткий диск сразу.

 

 

В недавнем прошлом локеры (они же блокировщики) были очень распространенным типом малвари. Некоторые из них блокировали рабочий стол, другие только окно браузера, но все они требовали от жертвы выкуп за восстановление доступа. На смену локерам пришли шифровальщики, которые не просто блокируют данные, но и шифруют их, что значительно повышает вероятность оплаты выкупа.

Тем не менее, специалисты компании G DATA обнаружили свежий образчик локера, который называет себя Petya. В сообщении с требованием выкупа малварь заявляет, что сочетает в себе функции блокировщика и шифровальщика разом.

 Petya преимущественно атакует специалистов по кадрам. Для этого злоумышленники рассылают фишинговые письма узконаправленного характера. Послания якобы являются резюме от кандидатов на какую-либо должность. К письмам прилагается ссылка на полное портфолио соискателя, файл которого размещается на Dropbox. Разумеется, вместо портофлио по ссылке располагается малварь – файл application_portfolio-packed.exe (в переводе с немецкого).

Запуск этого .exe файла приводит к падению системы в «синий экран смерти» и последующей перезагрузке. Эксперты G DATA полагают, что перед ребутом вредонос вмешивается в работу MBR, с целью перехвата управления процессом загрузки.

После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается вовсе не операционная система, а экран блокировки Petya. Вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи «военного алгоритма шифрования», и восстановить их невозможно.

 

 Для восстановления доступа к системе и расшифровки данных, жертве нужно заплатить выкуп, перейдя на сайт злоумышленника в зоне .onion. Если оплата не была произведена в течение 7 дней, сумма выкупа удваивается. «Купить» у атакующего предлагается специальный «код расшифровки», вводить который нужно прямо на экране локера.

Специалисты G DATA пишут, что пока не разобрались в механизме работы Petya до конца, но подозревают, что вредонос попросту врет о шифровании данных. Вероятнее всего, малварь просто блокирует доступ к файлам и не дает операционной системе загрузиться. Эксперты настоятельно не рекомендуют платить злоумышленникам выкуп и обещают в скором будущем опубликовать обновленную информацию об угрозе.

30-03-2016
Новость дня
30-03-2016

С 1 Апреля прекращают работу договорники,это значит что время подключения и устранение аварий будет производиться своими силами!!!

 

Показать все
02-03-2015

ВНИМАНИЕ ВИРУС!!!

02-03-2015

 

 

ВНИМАНИЕ БУДЬ БДИТЕЛЕН!!!

 

Trojan.Encoder.398

 

Троянец-шифровальщик, написанный на языке Delphi, является, по всей видимости, развитием вредоносной программы Trojan.Encoder.225. Ключи для шифрования получает с сервера злоумышленников.

При первом запуске копирует себя в папку \ID\ с именем ID.exe, где ID — серийный номер жесткого диска. Затем демонстрирует на экране сообщение о том, что архив поврежден, и запускает скопированный файл с каталогом по умолчанию C:\, после чего завершается.

Второй запущенный экземпляр троянца проверяет наличие каталога \ID, получает серийный номер жесткого диска и отправляет его на сервер при помощи функции InternetOpenUrlA. В ответ троянец получает от сервера конфигурационные данные в формате XML, содержащие параметры шифрования: e-mail для связи со злоумышленниками, ключ шифрования и номер алгоритма, который будет выбран для шифрования, а также часть расширения зашифрованных файлов (параметр ext).

После инициализации переменных начинается шифрование файлов. Шифрует только фиксированные диски (DRIVE_FIXED). Не шифрует файлы в следующих каталогах:

$RECYCLE.BIN, Windows,Program Files (x86), Program Files, Games, ProgramData, UpdatusUser, AppData, Application Data, Cookies, Local Settings, NetHood, PrintHood, Recent, SendTo, Главное меню, Поиски, Ссылки, System Volume Information, Recovery, NVIDIA, Intel, DrWeb Quarantine, Config.Msi, All Users, Все пользователи.

 

 

 

Сохраняет в каждом каталоге файл 'КАК_PАЗБЛOКИРOВАТЬ_ВАШИ_ФAЙЛЫ.txt' со следующим содержимым:

Все ваши файлы были зашифрована криптостойким алгоритмом.

Расшифровать файлы можно только имея дешифратор и уникальный для вашего ПК пароль для расшифровки.

Приобрести дешифратор вы можете в течение 7 дней после прочтения этого сообщения. В дальнейшем пароль удаляется из базы и расшифровать ваши файлы будет невозможно.

Для покупки дешфратора напишите на наш email - mrcrtools@aol.com

Если хотите убедится, что у нас действительно есть дешифратор для расшифровки ваших файлов, приложите к письму любой зашифрованный файл (кроме баз данных) и мы вышлем его расшифрованную версию.

Стоимость дешифратора 5000 рублей. Варианты оплаты вышлем также в ответе на ваше письмо.

 

Троянец содержит в себе обширный список расширений файлов, которые подвергаются шифрованию:

ak|.BAK|.rtf|.RTF|.pdf|.PDF|.mdb|.MDB|.b2|.B2|.mdf|.MDF|.accdb|.ACCDB|.eap|.EAP|.swf|.SWF|
.svg|.SVG|.odt|.ODT|.ppt|.PPT|.pptx|.PPTX|.xps|.XPS|.xls|.XLS|.cvs|.CVS|.dmg|.DMG|.dwg|.DWG|
.md|.MD|.elf|.ELF|.1CD|.1cd|.DBF|.dbf|.jpg|.JPG|.jpeg|.JPEG|.psd|.PSD|.rtf|.RTF|.MD|.dt|.DT|
.cf|.CF|.max|.MAX|.dxf|.DXF|.dwg|.DWG|.dds|.DDS|.3ds|.3DS|.ai|.AI|.cdr|.CDR|.svg|.SVG|
.txt|.TXT|.csv|.CSV|.7z|.7Z|.tar|.TAR|.gz|.GZ|.bakup|.BAKUP|.djvu|.DJVU|

Вредоносная программа может использовать следующие алгоритмы шифрования (в указанном порядке):

  1. DES
  2. RC2
  3. RC4
  4. RC5
  5. RC6
  6. 3DES
  7. Blowfish
  8. AES (Rijndael)
  9. ГОСТ 28147-89
  10. IDEA
  11. Tea
  12. CAST-128
  13. CAST-256
  14. ICE
  15. Twofish
  16. Serpent
  17. MARS
  18. MISTY1

Способ шифрования выбирается исходя из значения параметра, получаемого в конфигурационном XML-файле.

После первоначального цикла шифрования всех дисков запускает второй цикл, в котором шифрует базы данных 1С в каталогах Program Files и Program Files (x86).

Список расширений шифруемых файлов:

|.dbf|.DBF|.1cd|.1CD|.dt|.DT|.md|.MD|.dds|.DDS|

 

    Добавить комментарий
    Необходимо согласие на обработку персональных данных
    Повторная отправка формы через:

    Сайт создан на 1C-UMI

    Работает на UMI.CMS

    Политика конфиденциальности

    Поделиться с друзьями: