Перейти к содержанию
AM_Bot

Эксперты ESET поймали авторов шифратора на плагиате

Recommended Posts

AM_Bot

1397138%5B1%5D.jpgСпециалисты международной антивирусной компании ESET проанализировали троян-шифратор CryptoFortress. Вредоносная программа CryptoFortress распространяется с помощью набора эксплойтов Nuclear Pack. Троян шифрует документы, изображения и некоторые другие файлы в популярных форматах.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

рекомендуется игнорировать подозрительные письма и ссылки и пользоваться современным антивирусным ПО.

Кому хотя бы раз пришел exe-файл на почту?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Если у вас почта незасвечена, то это один разговор. А если вы работаете в крупной компании и ваша почта известна даже собаке, то туда валятся не только ехе-файлы, но вообще все что только существует в природе десятками (а кому-то может и больше) в сутки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

По-моему exe файлы давно никому не валятся. Не помню в каком далеком году Microsoft сделал защиту от слуйного запуска атача в Outlook. Это плохо работает. В публичных сервисах такие письма почти на 100% попадут в спам или подозрительные. Поэтому шлют какой-нибудь xls или doc с эксплойтом http://virusinfo.info/showthread.php?t=142195Или же вообще ссылку дают на сайт, где якобы можно узнать детали.

 

Хотя есть недавние примеры работы по старинке http://virusinfo.info/showthread.php?t=158955
 

Исковое заявление подано в суд.exe – самораспаковывающийся rar-архив
Исковое заявление PDF.cmd - просто переименованный самораспаковывающийся архив

 

 

Были рассылки файла JS http://virusinfo.info/showthread.php?t=162092

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

По-моему exe файлы давно никому не валятся.

 

 

валятся и тупо аттачем, и в архиве, и переименованные в .scr, и в архиве под паролем smile.png

это если говорить про корпоративные почты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Как-то уже совсем тупо в лоб пытаются пробить ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Валятся. Мне только что такое свалилось в zip-архиве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Все же это тип архив, а не исполняемый. Но даже такие к тебе прилетают  потому, что ты юзаешь свой мыльный сервер без встроенной защиты. :)  На Gmail я такое даже не помню когда видел последний раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Так вроде вопрос не в том пропускают фильтры на шлюзе такое, а в том делаются ли вообще в природе такие рассылки :)

Вон Илью протроянить хотят, а он не поддается...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

что ты юзаешь свой мыльный сервер без встроенной защиты

Mail.ru, Yandex - они не дадут отправить прямо исполняемый файл, его просканирует Касперский.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

 в том делаются ли вообще в природе такие рассылки :)

Именно. Мне в последнее время достаточно регулярно прилетают в почту всякие разные зипованные бинарные исполняемые файлы. С расчётом "на лоха", точнее, на социальную инженерию: текст подбирают так, чтобы увеличить вероятность открытия вложения и запуска бинарника.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

что ты юзаешь свой мыльный сервер без встроенной защиты

Mail.ru, Yandex - они не дадут отправить прямо исполняемый файл, его просканирует Касперский.

Яндекс использует Др.Веб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Значит буду слать на Яндекс то, что Др. Веб не посчитал опасным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

У ДоХтера кстате сканер не хуже, чем у каспера ! (ИМХО)

 

Особенно если говорить про почтовые сервера...;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Содня на почту своего сайта пришло, ухахатался:

 

Безымянный.png

 

В файле 947vipiska.scr был бэкдур, обратите внимание на расширение файлика...

 

Разумеется тот юзер получил тоже письмецо с подарочком в ответ, гы-гы... :)

post-21429-0-32682800-1427375845_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Все же не стоит путать два вариант: 1. когда в атаче zip с exe внутри 2. когда exe в чистом виде в атаче.

 

Я писал про вариант 2. Такого я не помню с бородатых времен. Или не дадут отправить exe, или он почти наверняка порежется на стороне получателя. Если упаковали в zip, то это для почтовика  MIME application/zip и тут уже грубые фильтры по типу файлов работать не будут, только антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Хе, интересно написал тому товарищу, от имени "Ванесса" такое письмо:

 

 

Указом Сбербанка о принятия мер по обеспечению соблюдения федерального закона № 115-ФЗ "О противодействии терроризму и отмыванию доходов" необходимо проверить соответствие соблюдаемых норм и правил для дальнейшего правомерного функцианирования !

Вы обязаны ознакомится с указанным документом и в течении двух недель ответить на данное письмо !

 

 

Во вложении положил сборку РМС, через пару часов отклик пришёл, правда подцепится неполучилось, блин жалко я поприкалываться хотел... :(

 

Даже не думал что он на свой-же развод попадётся, хотя может ради интереса запустил на виртуалке, или ещё где ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Все же это тип архив, а не исполняемый

zip архив, начиная с XP, можно считать исполняемым в Windows. Он без проблем откроется в Explorer и без проблем можно запустить этот файл привычным домохозяйке способом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Он без проблем откроется в Explorer

Это норма в Win 7, но все же зависит от сборки. У кого-то может стоять по умолчанию открытие в WinRar.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Это норма начиная с XP, в котором встроена работа с zip-ами на уровень Проводника..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      На мой взгляд то, что Process Hacker выгружает антивирусы - явление нормальное, потому что Process Hacker - легитимная программа (по мнению некоторых вендоров -  потенциально опасная), а не троянская, и  команду на выгрузку антивируса даёт сам пользователь ( выбрав процесс в списке и нажимая "Terminate"), то есть это действие (завершение процесса, отвечающего за работу антивируса) санкционировано самим пользователем.
    • rownong
      Здравствуйте. Есть следующая инфраструктура (VPS куплены у хостинг-провайдера).  VPS сервер 1.
      На нем:
      - Несколько баз данных MySQL 
      - Папки (с сайтами, веб-приложениями, скриптами)
      - Установленные программы
      > Панель управления Vesta
      > MySQL-сервер
      > PhpMyAdmin
      > FTP-сервер
      - Задачи крона VPS сервер 2.
      На нем:
      - Asterisk (с конфигурациями) В перспективе VPS сервер 3.
      На нем будет располагаться ERP организации (база данных, бекенд Laravel, фронтенд Vue.js).  Нужно обеспечить безопасность данной IT инфраструктуры, закрыть максимум уязвимостей.
      Чтобы злоумышленники не могли, просмотреть / украсть: пароли в конфигах PHP скриптов, данные БД Таблиц MySQL, не имели доступ к  Asterisk, данным ERP, защита от sql инъекций, DDoS-атак и т.д. Вопросы: 1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT? 2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
      - аудит (когда будут выписаны замечания)
      - реализация мер по устранению замечаний
      ?? 3. Как выбрать аудиторов?
      Достаточно фрилансеров или нужно обращаться в организацию? 4. Как определить компетенции аудиторов в обеспечении безопасности в IT? 5. Имеет смысл  нанимать сразу 2-х аудиторов?
      Потом реализовывать замечания обоих аудитов? 6. В какой формате проводятся аудиты по безопасности?
      Нужно будет прислать специалистам доступы ко всем системам? 7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
      Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.  
    • Draft
      К Сереге лысому, моему другу, приходят и жалуются, мол разводят их как лохов
    • Quincy
      К тебе именно приходит и на сайт жалуется?)))) 
    • PR55.RP55
      https://github.com/dragokas/hijackthis/blob/devel/src/_ChangeLog_ru.txt Стоит прочесть и найти полезное. Типа: Добавлена зачистка зависимостей легитимных служб от удаляемой службы.
      Добавлен запрет программе на перезагрузку серверных ОС с запросом к пользователю сделать это вручную.
      Добавлена проверка типа виртуализации ключей реестра.
×