Перейти к содержанию
AM_Bot

Эксперты ESET поймали авторов шифратора на плагиате

Recommended Posts

AM_Bot

1397138%5B1%5D.jpgСпециалисты международной антивирусной компании ESET проанализировали троян-шифратор CryptoFortress. Вредоносная программа CryptoFortress распространяется с помощью набора эксплойтов Nuclear Pack. Троян шифрует документы, изображения и некоторые другие файлы в популярных форматах.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

рекомендуется игнорировать подозрительные письма и ссылки и пользоваться современным антивирусным ПО.

Кому хотя бы раз пришел exe-файл на почту?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Если у вас почта незасвечена, то это один разговор. А если вы работаете в крупной компании и ваша почта известна даже собаке, то туда валятся не только ехе-файлы, но вообще все что только существует в природе десятками (а кому-то может и больше) в сутки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

По-моему exe файлы давно никому не валятся. Не помню в каком далеком году Microsoft сделал защиту от слуйного запуска атача в Outlook. Это плохо работает. В публичных сервисах такие письма почти на 100% попадут в спам или подозрительные. Поэтому шлют какой-нибудь xls или doc с эксплойтом http://virusinfo.info/showthread.php?t=142195Или же вообще ссылку дают на сайт, где якобы можно узнать детали.

 

Хотя есть недавние примеры работы по старинке http://virusinfo.info/showthread.php?t=158955
 

Исковое заявление подано в суд.exe – самораспаковывающийся rar-архив
Исковое заявление PDF.cmd - просто переименованный самораспаковывающийся архив

 

 

Были рассылки файла JS http://virusinfo.info/showthread.php?t=162092

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

По-моему exe файлы давно никому не валятся.

 

 

валятся и тупо аттачем, и в архиве, и переименованные в .scr, и в архиве под паролем smile.png

это если говорить про корпоративные почты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Как-то уже совсем тупо в лоб пытаются пробить ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Валятся. Мне только что такое свалилось в zip-архиве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Все же это тип архив, а не исполняемый. Но даже такие к тебе прилетают  потому, что ты юзаешь свой мыльный сервер без встроенной защиты. :)  На Gmail я такое даже не помню когда видел последний раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Так вроде вопрос не в том пропускают фильтры на шлюзе такое, а в том делаются ли вообще в природе такие рассылки :)

Вон Илью протроянить хотят, а он не поддается...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

что ты юзаешь свой мыльный сервер без встроенной защиты

Mail.ru, Yandex - они не дадут отправить прямо исполняемый файл, его просканирует Касперский.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

 в том делаются ли вообще в природе такие рассылки :)

Именно. Мне в последнее время достаточно регулярно прилетают в почту всякие разные зипованные бинарные исполняемые файлы. С расчётом "на лоха", точнее, на социальную инженерию: текст подбирают так, чтобы увеличить вероятность открытия вложения и запуска бинарника.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

что ты юзаешь свой мыльный сервер без встроенной защиты

Mail.ru, Yandex - они не дадут отправить прямо исполняемый файл, его просканирует Касперский.

Яндекс использует Др.Веб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Значит буду слать на Яндекс то, что Др. Веб не посчитал опасным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

У ДоХтера кстате сканер не хуже, чем у каспера ! (ИМХО)

 

Особенно если говорить про почтовые сервера...;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Содня на почту своего сайта пришло, ухахатался:

 

Безымянный.png

 

В файле 947vipiska.scr был бэкдур, обратите внимание на расширение файлика...

 

Разумеется тот юзер получил тоже письмецо с подарочком в ответ, гы-гы... :)

post-21429-0-32682800-1427375845_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Все же не стоит путать два вариант: 1. когда в атаче zip с exe внутри 2. когда exe в чистом виде в атаче.

 

Я писал про вариант 2. Такого я не помню с бородатых времен. Или не дадут отправить exe, или он почти наверняка порежется на стороне получателя. Если упаковали в zip, то это для почтовика  MIME application/zip и тут уже грубые фильтры по типу файлов работать не будут, только антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Хе, интересно написал тому товарищу, от имени "Ванесса" такое письмо:

 

 

Указом Сбербанка о принятия мер по обеспечению соблюдения федерального закона № 115-ФЗ "О противодействии терроризму и отмыванию доходов" необходимо проверить соответствие соблюдаемых норм и правил для дальнейшего правомерного функцианирования !

Вы обязаны ознакомится с указанным документом и в течении двух недель ответить на данное письмо !

 

 

Во вложении положил сборку РМС, через пару часов отклик пришёл, правда подцепится неполучилось, блин жалко я поприкалываться хотел... :(

 

Даже не думал что он на свой-же развод попадётся, хотя может ради интереса запустил на виртуалке, или ещё где ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Все же это тип архив, а не исполняемый

zip архив, начиная с XP, можно считать исполняемым в Windows. Он без проблем откроется в Explorer и без проблем можно запустить этот файл привычным домохозяйке способом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Он без проблем откроется в Explorer

Это норма в Win 7, но все же зависит от сборки. У кого-то может стоять по умолчанию открытие в WinRar.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Это норма начиная с XP, в котором встроена работа с zip-ами на уровень Проводника..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
    • PR55.RP55
      В теме к сожалению работали с устаревшими версиями uVS .4.0 В uVS  запись: C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE C:\WINDOWS\SYSTEM32\TASKS\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} ------------ В FRST запись: Task: {0EA205A7-5227-418F-A262-BBF8FD9349B0} - System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://nbsallastar.com/cl/?guid=y92wjhgqs5boj6xi0hl7thkb6nfjreyg&prid=1&pid=4_1106_0 {0EA205A7-5227-418F-A262-BBF8FD9349B0}  - нет {B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}  - есть Да, актуальная версия должна бы это увидеть. Из Fixlog "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0EA205A7-5227-418F-A262-BBF8FD9349B0}" => removed successfully
      C:\Windows\System32\Tasks\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A} => moved successfully
      "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B3F8DFD8-6BC7-3786-4E00-E03FE910D91A}" => removed successfully
×