Новый метод фишинга. Будьте осторожны получая электронную почту

Последнюю неделю по электронной почте начали поступать сообщения от якобы службы голосовой почты с приложенным архивом якобы голосового сообщения. При попытке открыть такой архив активизируется вредоносная программа, осуществляющая взлом вашего устройства.

Важно отметить, что злоумышленники пишут, что отправитель проверен вашим почтовым сервисом и включен в список безопасных отправителей. У email-сервисов нет таких списков, следовательно, это прямое и неприкрытое вранье. Ну а обмануть вас может пытаться только злоумышленник.

Для того, чтобы не стать жертвой компьютерных злоумышленников, рекомендуем сразу же удалять такие письма и помечать их отправителя как спам, чтобы в будущем таких писем не получать. Если же вы по незнанию или невнимательности открыли приложенный к письму архив и подверглись атаке вредоносного ПО (вирус, троян, майнер или шифровальщик), за помощью можно обратиться к нам.

Минимизируем ущерб от вирусов-шифровальщиков средствами Windows 10

Ущерб от вирусов-шифровальщиков в настоящее время исчисляется миллиардами долларов — атака только одного вируса, WannaCry, по экспертным оценкам стоила пользователям около 4 000 000 000 долларов. Такой ущерб, естественно, не складывается из выплат вымогателям — это прямые потери пользователей (в том числе и бизнеса) от частичной или полной остановки процессов, зависящих от зашифрованных данных, и других связанных с потерей доступа к данным причин.

Мало кто знает, но частично обезопасить себя от полной потери информации в результате атаки вируса-шифровальщика можно средствами самой операционной системы, если у вас установлена ОС Windows 10.

Сделать это можно четырьмя способами:

1. Создание теневых копий

Теневые копии (или слепки) операционной системы позволяют восстановить удаленные файлы (а вирус-шифровальщик после того, как сделал свое черное дело, оригинальные файлы, естественно, удаляет). У этого метода есть два слабых места: первое — для того, чтобы им воспользоваться, требуется создать точку восстановления системы (это делается легко через меню свойств системы — защита системы; при этом для дисков должна быть включена функция защиты системы); второе — продвинутые вирусы-шифровальщики могут шифровать или стирать файлы теневых копий.

Исходя из перечисленных выше слабых мест, создание теневых копий в борьбе с последствиями вирусов-шифровальщиков можно считать недостаточно действенным средством, которое следует применять в качестве слабой подстраховки других методов.

2. Создание автосохранения документов

Как правило, при атаках вирусов-шифровальщиков больше всего страдают пользователи, имеющие большое количество документов (документы шифруются). Для того, чтобы обезопасить себя от потери наиболее свежих версий файлов, достаточно правильно настроить автосохранение в пакете программ Microsoft Office. Шифровальщики крайне редко сканируют всю файловую систему на предмет наличия файлов того или иного типа; файлы автосохранений имеют формат *.tmp и, как правило, не попадают в приоритетные задачи для зашифровки. Выше я привожу скриншот с настройками автосохранения в ПО Microsoft Word (доступ к этому пункту можно получить из меню «Файл»). Для того, чтобы обмануть вирус, следует изменить папку для автосохраняемых копий — например, «закопать» ее в Program Files.

Слабых мест у этого метода, как и у предыдущего, тоже два. Первое — автосохранения будут не самими файлами, а их копиями на момент последнего активного автосохранения. Второе — если автосохранения настроены в той же папке, где хранятся ваши документы (а по умоланию это именно так), практически наверняка они будут зашифрованы, так как вирусы-шифровальщики обрабатывают папки с документами полностью.

Таким образом, метод создания автосохранений является средним по надежности, и лишь в том случае, если он правильно настроен.

3. Использование Windows Backup

Служба Windows Backup (архивация и восстановление) — по большому счету, то же самое, что и любая другая программа для резервного копирования данных; единственное, что ее отличает — то, что она поставляется непосредственно с операционной системой. Доступ к ней можно получить в Панели управления операционной системы (обычно она называется «Архивация и восстановление»).

Очевидно, что при резервировании данных на накопитель, не подключенный постоянно к вашей системе (скажем, на внешний жесткий диск) степень надежности такой защиты от вредоносного воздействия вируса-шифровальщика очень велика. Но даже и у этого метода есть минус — эффективность его напрямую зависит от частоты создания резервных копий. Другими словами, если вы резервируете данные один раз в неделю, вы можете оказаться в ситуации недельной актуальности данных. Ну а если раз в месяц… Ну, вы понимаете =).

4. Контролируемый доступ к папкам как наиболее действенный метод защиты

Четвертый метод защиты, реализованный в Windows 10 (остальные перечисленные можно найти и в более ранних версиях Windows) — контролируемый доступ к папкам. Был специально разработан как защита от вирусов, шифрующих или модифицирующих данные.

Суть защиты крайне проста. Никакие модификации данных, кроме тех, которые делает сам пользователь, в защищенных папках не допускаются. По умолчанию защищаются стандартные папки пользователя (документы, рабочий стол, фоторафии, видео), но в программу защиты можно включить в принципе любые папки.

Попасть в меню настройки контролируемого доступа очень просто. Нажмите кнопку «Пуск» и в строку поиска введите «контролируемый доступ к папкам». Когда у вас откроется меню, обратите внимание, что для осуществления защиты должна быть обязательно включена защита в реальном времени в брандмауэре (защитнике) Windows. Если она включена, вам достаточно перевести ползунок, включающий защиту папок, в положение «ВКЛ», а затем настроить папки, которые будут защищаться (пункт меню «Защищенные папки») и приложения, которым разрешено модифицировать данные в защищенных папках («Разрешить работу приложения через контролируемый доступ к папкам»).

Все. Теперь никакое приложение, кроме доверенных, не сможет производить несанкционированные действия с Вашими файлами. Ну а уж сами то вы наверняка не предоставите вирусу доступ к контролируемым папкам, ведь так?

Очередная ловушка злоумышленников: несуществующий трекинг

Письмо с фишинговой ссылкой; ссылка частично прикрыта для безопасности

Очередное изобретение злоумышленников, желающих получить доступ к вашему компьютеру — рассылка фишинговых писем с предложением отследить некую посылку.

Люди часто пользуются службами доставки или почтой, поэтому для многих такое предложение не покажется подозрительным. Не ожидая ничего плохого, они пройдут по имеющейся в письме ссылке, в результате чего загрузят на свой компьютер вредоносное ПО. Чем это чревато?

Наиболее распространенная возможная проблема — включение вашего компьютера в ботсеть для осуществления распределенных вычислений. Следующая по степени распространенности — троянская программа для кражи персональных данных (включая данные банковских карт или реквизиты интернет-банкинга). Наконец, вам могут просто зашифровать файлы с последующим требованием выкупа за их расшифровку.

Поэтому, получая любое электронное письмо с неизвестного вам адреса, тем более — содержащее внутреннюю ссылку — не нажимайте на ссылку сразу, проверьте ссылку, обращались ли вы в службу, которая ссылается за ссылкой, ранее, взвесьте все «за» и «против», и только после этого принимайте решение — посещать эту ссылку или удалить письмо.

Forbes: взломано облачное хранилище Canon, украдено 10 Тбайт данных

Вчера на сайте журнала Forbes появилась весьма тревожная статья: объявлено, что облачный сервис Canon подвергся хакерской атаке и с него было украдено около 10 Тбайт данных пользователей.

Новость эта тревожна по двум причинам. Во-первых, уж если такие крупные гиганты IT-индустрии, как Canon, не могут обеспечить безопасность своих онлайн-сервисов, то что говорить о нас, простых смертных? И, во-вторых, а если в следующий раз злоумышленники не станут красть чужие данные, а зашифруют их? Как известно, современные вирусы-шифровальщики весьма тяжело поддаются расшифровке.

Что известно на настоящий момент? 5 августа 2020 года хакеры из группировки Maze (разработчика одноименного зловреда) взломали защиту серверов Canon и украли около 10 Тбайт данных, включая персональную информацию. Что именно было украдено, не раскрывается — но, надо думать, хакеры вряд ли стали бы тянуть с серверов фоточки и видосики пользователей. Всего пострадало 24 домена Canon — случай беспрецедентный по своему размаху. Скорее всего, злоумышленники получили полный доступ к корневым директориям главных серверов компании.

В настоящее время компания Canon проводит расследование данного инцидента. Самое неприятное, что мне, как пользователю сервисов Canon, не поступало никаких предупреждений о том, что требуется мое внимание к безопасности моего аккаунта.

В свете всего этого я бы посоветовал тем, кто пользовался облачными сервисами Canon, озаботиться обновлением защиты: как минимум, поменять пароли. Оевидно, что корпорации сейчас не до оповещения пользователей о возможных проблемах и рисках. А зря.

Внимание! Фишинг под прикрытием федеральных выплат

Как только Президент РФ Владимир Путин объявил о том, что в связи с коронавирусом из бюджета России будут совершены выплаты на несовершеннолетних детей — единовременно по 10 000 рублей на ребенка — тут же активизировались разного рода цифровые мошенники. На почтовые ящики пользователей начали приходить письма идентичного или очень похожего содержания: для получения компенсации требуется пройти некую процедуру регистрации на сайте.

Пример фишингового письма
Адрес сайта, где нужно «пройти регистрацию».

На скриншотах выше только один такой сайт; их было 5 разных за три дня активной «бомбежки» нашего специального почтового ящика для спама (некоторое время назад мы зарегистрировали специальный электронный ящик на mail.ru, который постоянно «засвечивается» в Интернете, и на котороый по этой причине приходят тонны спама, фишинга и пр.; это нужно нам для того, чтобы отслеживать тренды, в которых в настоящий момент работает мысль злоумышленников).

Переход на эти сайты чреват серьезными проблемами (именно поэтому название сайта я заблюрил). Проверка на виртуальной машине показала, что два из пяти сайтов загружают на ваш компьютер вредоносное ПО (вирус), начинающее зашифровывать ваши данные с целью в дальнейшем вымогать средства за их расшифровку. На трех из пяти сайтов вас попросят пройти регистрацию, одним из пунктов которой будет указание реквизитов вашей банковской карты (кардерство — воровство данных банковских карт для последующего снятия с них денег).

Не ведитесь на подобное завлекалово, помните, что получить федеральные выплаты можно только через сайт Госуслуги.

*Настоящее сообщение адресовано прежде всего жителям России, Кыргызстана и Казахстана, среди которых достаточно много людей с двойным (Россия — страна рождения) гражданством, на коорых и направлена эта атака.

Новый полиморфный вирус атаковал компьютеры по всему миру

26 ноября 2019 г. на сайте компании Microsoft появилась пугающая новость: специалисты компании около года назад обнаружили заражение вирусами нового типа; на текущий момент заражено более 80 000 компьютеров по всему миру. Это новый вирус-майнер, который очень сложно обнаружить и еще сложнее уничтожить в силу того, что он имеет полиморфную структуру — то есть массу видоизменений.

Мы уже писали про вирусы-майнеры, поэтому остановимся на них лишь кратко. Вирус-майнер, в отличие от любого другого, имеет, как правило, всего одну цель: использовать ресурсы вашего компьютера для добычи криптовалюты. При этом вы оплачиваете весь банкет злоумышленника: при добыче криптовалют тратятся электроэнергия (это основной внешний ресурс, необходимый для процедуры майнинга) и вычислительные мощности вашей машины (ваша система может начать работать медленнее). Один такой вирус не заработает много денег, однако при создании сетей из майнинговых компьютеров доходы злоумышленника могут быть вполне осязаемыми.

Очевидно, что при заражении 80 000 машин, даже если одна машина будет майнить количество криптовалюты, эквивалентное 10 центам в день, общий доход злоумышленника составит не менее 8 000 долларов. Ежедневно. Очевидно, что овчинка вполне себе стоит выделки.

Эволюция полиморфного вируса Dexphot; кредит: Microsoft.com

Новый вирус получил название Dexphot. Заражение компьютеров производится в виде последовательности из нескольких этапов, описанных на сайте Microsoft следующим образом:

  1. При осуществлении атаки вирус записывает на диск файл-инсталлятор, содержащий две ссылки, с которых впоследствии будет скачиваться основной код.
  2. С одного из этих URL скачитвается инсталляционный пакет.
  3. После этого на диск разворачивается защищенный паролем и зашифрованный архив в формате zip.
  4. Из этого архива разворачивается загрузочная библиотека.
  5. Загружается зашифрованный файл, в котором содержатся три исполняемых файла, которые загружаются в системные процессы посредством process hollowing (осуществляется инъекция).

Блок-схема методов заражения содержится на сайте Microsoft и приводится здесь:

Блок-схема атаки компьютера вирусом Dexphot

Как отмечают специалисты Microsoft, в силу того, что заражение и работа вируса происходят разными способами, его надежная идентификация затруднена. Кроме того, после заражения исполнение вируса происходит по невидимой безфайловой технологии: легитимный системный процесс заменяется на вредоносное содержание и затем запускается из легитимного системного источника (библиотеки или исполняемого файла). При таком методе запуска, когда все изменения кода производятся «на лету» в памяти машины, идентифицировать источник заражения практически невозможно.

Полиморфизм вируса заключается прежде всего в том, каким образом он атакует компьютер. Инсталляционный пакет, загружаемый на компьютер-жертву, на текущий момент существует в 22 разных вариациях (и вовсе не факт, что это окончательное число), в которые входят файлы разных названий, размеров и т.п. Кроме того, количество URL, используемых вирусом для загрузки своего кода, на текущий момент составляет 18 (и, вполне вероятно, это число также может быть занижено). Таким образом, вирус может комбинировать огромное количество комбинаций для заражения: учесть их все стандартный антивирус не в состоянии.

Что же делать? Следовать советам Microsoft, конечно. Они первыми обнаружили эту угрозу, детально ее исследовали — ими же и разработаны методы борьбы. Эти методы — Microsoft Defender Advanced Threat Protection. Вы можете скачать пробную версию этого продукта с сайта Microsoft (ссылка выше), и если вам она понравится — купить ее.

Срочная новость!

В интернете получил довольно широкое распространение новый компьютерный вирус-шифровальщик Troldesh (Shade). Этот вирус распространяется через электронную почту в виде вложения. Вложением является зашифрованный архив (rar- или zip-файл). Пароль приходит вместе с письмом.

Злоумышленники представляют архив как некий «заказ», подробности которого находятся в том самом зашифрованном файле. После того, как вы откроете этот файл, вирус заражает ваш компьютер и приступает к зашифровке файлов. Для шифрования используется стойкий алгоритм, взлом которого без знания ключа невозможен.

Электронные письма, содержащие вирус, приходят с поддельных электронных адресов авиакомпаний, автодилеров и новостных ресурсов, очевидно, с расчетом на то, что начинается период отпусков и многие люди действительно заказывают авиабилеты, аренду автомобилей и следят за новостями в тех местах, куда собираются в отпуск.

Обращайте внимание на приходящие к вам электронные письма, внимательно относитесь к вложениям для того, чтобы не оказаться в числе пострадавших от этого вируса.



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries