Перейти к содержанию




gregus

Пользователи
  • Публикаций

    93
  • Зарегистрирован

  • Посещение

Посетители профиля

49 просмотров профиля
  1. Исследователями в области информационной безопасности был обнаружен новый тип ransomwave — вредоносной программы, шифрующей пользовательские файлы и требующей выкуп в bitcoin. Новый криптовымогатель, который сами создатели назвали «locky», распространяется не совсем стандартным для подобного ПО способом — при помощи макроса в Word-документах. По словам специалиста по информационной безопасности Лоуренса Абрамса, криптовымогатель маскируется под выставленный пользователю счет и приходит жертве по почте: Прикрепленный файл имеет имя вида invoice_J-17105013.doc, а при его открытии пользователь увидит только фарш из символов и сообщение о том, что «если текст не читабелен, включите макросы». При включении макросов начинается загрузка исполняемого файла зловреда с удаленного сервера и его установка на компьютер жертвы. Изначально загруженный файл, из которого и производится дальнейшая установка Locky, хранится в папке %Temp%, однако, после старта шифрования пользовательских данных он удаляется. В начале своей работы Locky присваивает жертве уникальный шестнадцатеричный номер и после начинает сканировать все локальные диски, а также скрытые и сетевые папки. Для шифрования пользовательских данных зловред использует AES-шифрование. Под удар подпадают файлы следующих расширений (и только они): .mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat Locky игнорирует файлы, путь в которых содержит следующие элементы: tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows При шифровании данных зловред переименовывает файлы по принципу [unique_id] [идентификатор] .locky. В итоге файл test.jpg был переименован в нечто вида F67091F1D24A922B1A7FC27E19A9D9BC.locky. Отдельно следует заметить, что Locky шифрует и сетевые диски, поэтому всем системным администраторам следует обратить внимание на политики доступа и максимально ограничить возможности пользователей. Но и это не все. Locky также удаляет все теневые копии файлов, чтобы пользователь не мог восстановить даже то, с чем он недавно работал. Реализовано это следующей командой: vssadmin.exe Delete Shadows /All /Quiet После того, как все, до чего смог дотянуться зловред, зашифровано, он создает на рабочем столе и в каждой папке файл _Locky_recover_instructions.txt, в котором объясняется, жертвой чего стал пользователь, а также инструкции по выкупу своих данных. image Чтобы пользователь на забывал, что с ним произошло, Locky любезно меняет даже обои рабочего стола на изображение с текстом, дублирующим содержание _Locky_recover_instructions.txt: image В файле _Locky_recover_instructions.txt содержится ссылка на сайт в Tor-сети (6dtxgqam4crv6rr6.onion) под названием Locky Decrypter Page. image Там даются четкие указания, как, сколько и куда биткоинов купить и перевести. После оплаты «услуг» пользователю предоставляется ссылка на дешифровщик, который восстановит все данные. Другой специалист в области информационной безопасности, Кевин Беумонт так же провел исследование Locky. По его данным, зловред уже получил серьезное распространение и это может быть началом «эпидемии»: image Для наглядности Кевин визуализировал сетевую активность Locky (каждая точка — зараженная машина):
  2. Цитата: Сообщение от DarkConnect Обнови флеш, раз уж у тебя стоит - дыра серьезная. Тут парень выкладывал два сайта для чека на днс и все остальное. Грамотные сайты. Под рукой нету чтобы скинуть. Проверяй на разных, одним словом. Нашел: Device Fingerprint IP/DNS Detect - What is your IP, what is your DNS, what informations you send to websites. А с чего ты взял что флеш это дыра как ты без него работать будеш.
  3. Проверь инет от кого береш это у тебя ip не резолвится
  4. Не пойму как эту схему можно обойти
  5. Цитата: Сообщение от panyan все кто принимал участие,почему нет то?)))) ccc,wwh,dm и crdclub P.S. для тех у кого совсем сложно с юмором - ЭТО САРКАЗМ :laugh:
  6. это понятно но он хочет еще и бабло чтобы ему шло на левый мерч
  7. Это не реально и бесмысленно ты хочеш получать бабло за мерч тогда надо его на свой редиректить ты думаеш админ идиот и не просекет эту хрень.Тем более это высекается на раз.
  8. почему не может очень просто делается платежка нахрен убирается через скрипт сохраняется или в базу или просто в файл
  9. gregus

    брут CMS

    Ты пиши подробней что тебе надо если приват софт так и пиши а паблика в гугле море
  10. gregus

    веризон

    Цитата: Сообщение от mr.freeman подскажите как обойти секретные вопросы в веризоне никак
  11. gregus

    веризон

    Селлер тебе акк должен с полным комплектом продавать
  12. На лампе видел локер в топиках поищи только иностраных
×