Перейти к содержанию
AM_Bot

Эксперты ESET поймали авторов шифратора на плагиате

Recommended Posts

AM_Bot

1397138%5B1%5D.jpgСпециалисты международной антивирусной компании ESET проанализировали троян-шифратор CryptoFortress. Вредоносная программа CryptoFortress распространяется с помощью набора эксплойтов Nuclear Pack. Троян шифрует документы, изображения и некоторые другие файлы в популярных форматах.

подробнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

рекомендуется игнорировать подозрительные письма и ссылки и пользоваться современным антивирусным ПО.

Кому хотя бы раз пришел exe-файл на почту?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Если у вас почта незасвечена, то это один разговор. А если вы работаете в крупной компании и ваша почта известна даже собаке, то туда валятся не только ехе-файлы, но вообще все что только существует в природе десятками (а кому-то может и больше) в сутки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

По-моему exe файлы давно никому не валятся. Не помню в каком далеком году Microsoft сделал защиту от слуйного запуска атача в Outlook. Это плохо работает. В публичных сервисах такие письма почти на 100% попадут в спам или подозрительные. Поэтому шлют какой-нибудь xls или doc с эксплойтом http://virusinfo.info/showthread.php?t=142195Или же вообще ссылку дают на сайт, где якобы можно узнать детали.

 

Хотя есть недавние примеры работы по старинке http://virusinfo.info/showthread.php?t=158955
 

Исковое заявление подано в суд.exe – самораспаковывающийся rar-архив
Исковое заявление PDF.cmd - просто переименованный самораспаковывающийся архив

 

 

Были рассылки файла JS http://virusinfo.info/showthread.php?t=162092

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

По-моему exe файлы давно никому не валятся.

 

 

валятся и тупо аттачем, и в архиве, и переименованные в .scr, и в архиве под паролем smile.png

это если говорить про корпоративные почты

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Как-то уже совсем тупо в лоб пытаются пробить ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Валятся. Мне только что такое свалилось в zip-архиве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Все же это тип архив, а не исполняемый. Но даже такие к тебе прилетают  потому, что ты юзаешь свой мыльный сервер без встроенной защиты. :)  На Gmail я такое даже не помню когда видел последний раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Так вроде вопрос не в том пропускают фильтры на шлюзе такое, а в том делаются ли вообще в природе такие рассылки :)

Вон Илью протроянить хотят, а он не поддается...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

что ты юзаешь свой мыльный сервер без встроенной защиты

Mail.ru, Yandex - они не дадут отправить прямо исполняемый файл, его просканирует Касперский.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

 в том делаются ли вообще в природе такие рассылки :)

Именно. Мне в последнее время достаточно регулярно прилетают в почту всякие разные зипованные бинарные исполняемые файлы. С расчётом "на лоха", точнее, на социальную инженерию: текст подбирают так, чтобы увеличить вероятность открытия вложения и запуска бинарника.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

что ты юзаешь свой мыльный сервер без встроенной защиты

Mail.ru, Yandex - они не дадут отправить прямо исполняемый файл, его просканирует Касперский.

Яндекс использует Др.Веб.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Значит буду слать на Яндекс то, что Др. Веб не посчитал опасным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

У ДоХтера кстате сканер не хуже, чем у каспера ! (ИМХО)

 

Особенно если говорить про почтовые сервера...;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Содня на почту своего сайта пришло, ухахатался:

 

Безымянный.png

 

В файле 947vipiska.scr был бэкдур, обратите внимание на расширение файлика...

 

Разумеется тот юзер получил тоже письмецо с подарочком в ответ, гы-гы... :)

post-21429-0-32682800-1427375845_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Все же не стоит путать два вариант: 1. когда в атаче zip с exe внутри 2. когда exe в чистом виде в атаче.

 

Я писал про вариант 2. Такого я не помню с бородатых времен. Или не дадут отправить exe, или он почти наверняка порежется на стороне получателя. Если упаковали в zip, то это для почтовика  MIME application/zip и тут уже грубые фильтры по типу файлов работать не будут, только антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Хе, интересно написал тому товарищу, от имени "Ванесса" такое письмо:

 

 

Указом Сбербанка о принятия мер по обеспечению соблюдения федерального закона № 115-ФЗ "О противодействии терроризму и отмыванию доходов" необходимо проверить соответствие соблюдаемых норм и правил для дальнейшего правомерного функцианирования !

Вы обязаны ознакомится с указанным документом и в течении двух недель ответить на данное письмо !

 

 

Во вложении положил сборку РМС, через пару часов отклик пришёл, правда подцепится неполучилось, блин жалко я поприкалываться хотел... :(

 

Даже не думал что он на свой-же развод попадётся, хотя может ради интереса запустил на виртуалке, или ещё где ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Все же это тип архив, а не исполняемый

zip архив, начиная с XP, можно считать исполняемым в Windows. Он без проблем откроется в Explorer и без проблем можно запустить этот файл привычным домохозяйке способом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виктор Коляденко

Он без проблем откроется в Explorer

Это норма в Win 7, но все же зависит от сборки. У кого-то может стоять по умолчанию открытие в WinRar.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

Это норма начиная с XP, в котором встроена работа с zip-ами на уровень Проводника..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • zakazvzlomax
      Предлагаем Вашему вниманию ПРОФЕССИОНАЛЬНЫЕ УСЛУГИ ВЗЛОМА ПОЧТОВЫХ ЯЩИКОВ. Ломаем почти все почтовики, процент удачного взлома 30%. Вы спросите почему именно мы? Все просто: - Индивидуальный подход к каждому клиенту и каждому заказу.
      - Короткие сроки выполнения заказа, от нескольких минут до 5 дней.
      - Пароль от почты не меняем, он останется прежним.
      - Оплата после взлома почтового ящика по факту.
      - Предоставим любые доказательства (сделаем скриншоты, процитируем ваше письмо, а так же любые ваши варианты).
      - Постоянным и оптовым заказчикам хорошие скидки.
      - Принимаем различные способы оплаты (Яндекс.Деньги, Qiwi, Bitcoin).
      - Большой опыт взлома почты. Цена взлома почты на данный момент составляет - 3000 рублей.
      Цена на взлом почты намерено установлена ниже рыночной, т.к. на данный момент ведется набор клиентской базы, в дальнейшем планируется повышение. Как сделать заказ?
      Просто напишите нам на почту [email protected] почтовый ящик жертвы и мы начнем работу.
      После успешного взлома мы с Вами связываемся, предоставляем все доказательства взлома, Вы переводите оплату и получаете пароль от взломанного ящика.
      Согласны на любые проверки и гаранта! Наши контакты для заказа:
      почта: [email protected]
    • Ego Dekker
      Антивирусы были обновлены до версии 13.0.24.
    • PR55.RP55
      1) В uVS есть:  известные файлы. А если известный файл проявляет сетевую активность этому файлу не свойственную... т.е. это нужно обязательно учитывать. 2) Если сетевую активность проявляет файл с нестандартным расширением. 3) Файл на данный момент не проявляет сетевой активности... Но есть ли у него такая возможность в принципе ? по возможности это должно быть отражено в Инфо. ( для стандартных случаев ) - только для ( объектов автозапуска )  
    • Momo
      На сколько я знаю, то по цене не очень то отличаются, даже там подороже будет. Это первое. И если телефон не б\у брать, а новый, то и у нас гарантия предоставляется, даже в интернет-магазинах. Я вот брал себе Iphone Xs https://gorbushka-market.ru/telefony/apple-iphone/iphone-xs/ и всё в норме. И телефон не китайская копия, а настоящий, и гарантия есть. Так что, не понимаю, зачем себе лишние проблемы создавать. 
    • Lavrans
      Не скажу, что я постоянный игрок,  но раз  в несколько месяцев могу сделать ставку,  особенно в период Олимпийских игр или футбольных  кубков. 
      Так вот,  у меня на телефоне есть такое приложение, https://otstavka.net/1xbet-app-android-ios/ через него обычное делаю ставки. А то искать рабочие зеркала или новых букмекеров нет времени никогда
×