Новый вымогатель Djvu распространяется через кряки и адваре

Новый вымогатель Djvu распространяется через кряки и адваре

В прошлом месяце появился новый вымогатель, который получил имя Djvu, эксперты полагают, что этот вредонос может быть вариантом другого зловреда — STOP. Способ распространения в этом случае довольно прост — через загрузки всевозможных «кряков» и адваре.

Знаменитый эксперт в области безопасности Лоуренс Абрамс проанализировал новый вид шифровальщика. Специалист выяснил, что к зашифрованным файлам вредоносная программа добавляет расширение .tro.

Изначально Абрамс не знал, как подступиться к вредоносу — способ его распространения был неизвестен, а семпл главного установщика еще не был обнаружен. В итоге после многочисленных обсуждений на разных форумах, где жертвы описывали процесс заражения, удалось выяснить — большинство пользователей заразились этим вымогателем после того, как скачали «кряк» для софта.

Вредоносная кампания оказалась крайне успешна, сообщалось о ежедневных многочисленных эпизодах заражения.

«К сожалению, в настоящий момент нет способа расшифровать пострадавшие файлы бесплатно. Эксперты работают над решением этой задачи, будем надеяться, что вскоре им удастся разработать дешифровщик», — пишет Абрамс.

В ходе заражения вымогатель прописывает в файле HOSTS на компьютерах Windows ресурсы, к которым пользователь не сможет обратиться. Одним из таких ресурсов оказался BleepingComputer, создателем которого является как раз Лоуренс Абрамс.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Защита банкоматов Diebold Nixdorf от атак black box оказалась ненадежной

Исследователи из Positive Technologies выявили уязвимости в банкоматах Wincor линейки Cineo (торговая марка принадлежит концерну Diebold Nixdorf). Как оказалось, их можно заставить выдать наличные, подав команду с внешнего устройства, — невзирая на защиту от подобных атак.

Проверка показала, что встроенную защиту от атак типа black box (сквозное шифрование управляющего трафика) можно обойти, подменив прошивку контроллера диспенсера. При наличии доступа к USB-порту искомый результат — принудительную выдачу наличных — можно получить за несколько минут.

Пробная атака, проведенная в лабораторных условиях, состояла из трех этапов: подключение стороннего устройства к банкомату, загрузка устаревшей и уязвимой прошивки, эксплуатация уязвимостей для получения доступа к содержимому кассет.

«На популярном сайте объявлений был куплен такой же контроллер, управляющий выдачей, какой установлен в серийных ATM Wincor, — рассказывает Владимир Кононович, старший специалист отдела PT по безопасности промышленных систем управления. — Найденные в контроллере ошибки в коде и старые ключи шифрования дали возможность подключиться к ATM с помощью собственного компьютера (как в случае с классической атакой black box), обойти шифрование и произвести выдачу наличных».

Проблема актуальна для Wincor Cineo с диспенсерами RM3/CRS и CMD v5 (CVE-2018-9100 и CVE-2018-9099 соответственно). Избавиться от нее можно обновлением прошивки, запросив последнюю версию у производителя банкоматов. Вендорам также рекомендуется включить физическую аутентификацию для оператора во время установки встроенного ПО.

Обе уязвимости были обнаружены и поставлены производителю на вид более трех лет назад. Компания Diebold Nixdorf заявила, что проблема уже устранена, поэтому авторы находок решили опубликовать свое исследование. Результаты будут также представлены 29 октября на конференции по безопасности аппаратных решений Hardwear.io, проходящей на этой неделе в Нидерландах.

В 2018 году специалисты Positive Technologies помогли избавиться от похожей уязвимости другому крупному производителю банкоматов — NCR. Этот вендор проявил большую оперативность и залатал брешь в сжатые сроки.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru