Шифровальщики и мошенники

На днях помогал знакомому, подхватившему зловред-шифровальщик, платить выкуп через перевод биктойнов и восстанавливать данные. Озадачило то, что при встрече он озвучил сумму восстановления, не связываясь с вымогателем — нашёл в интернете, что от 900 рублей информацию можно восстановить. Меня это конечно несколько озадачило — сумма какая-то смешная за весьма непростую операцию, которую большинство антивирусных производителей не могут себе позволить в связи с использованием стойкой криптографии при шифровании файлов. Да и странно — кто бы мог быть таким продвинутым, чтобы отбирать хлеб у вымогателей?

Оказалось всё просто — поиск выдал сразу же сайт ithcentr.ru, на котором обещают восстановить данные двумя способами — восстановлением из теневых копий (весьма оптимистично верить в то, что теневое копирование было включено и корректно настроено, а также что зловред не произвёл отключение данного механизма перед своей активацией и выводом сообщения на экран) и действительно расшифровка. Авторы утверждают, что в состоянии восстановить удалённый зловредом закрытый ключ шифрования, с помощью которого они легко дешифруют все файлы. 🙂

Складывается впечатление, что это отдельный вид лохотронов, который можно отнести к разновидности «наступи второй раз на грабли». ))) То есть, если человек один раз облажался и не вынес из этого урок, то заплатив деньги подобного рода конторам, он получит ещё одну попытку понять, что «скупой платит дважды», «не надо верить рекламным обещаниям» и «не все йогурты одинаково полезны». 😉

P.S. Кстати, это второй тип лохотронов, которые пришли к нам вместе с шифровальщиками — первым было посредничество, когда некие люди обещают расшифровать файлы, используя свои методы и утилиты. На самом же деле, перед тем как озвучить стоимость своих услуг, они связываются с вымогателем, узнают сумму выкупа, и озвучивают пострадавшему цифру большую (выдавая её за требования вымогателя). После получения денег, они теряются платят вымогателю, получают утилиту расшифровки и отдают её клиенту. Себе же они оставляют  разницу. 🙂

Свежая малварь

Немного пугают результаты проверки уже не самого свежего зловреда (пришёл сегодня на мыло после пяти часов вечера): 2 из 48 — ужасный результат — одна надежда на то, что возможно не  всех вендоров на VirusTotal.com базы были обновлены до самых последних версий. Ну и конечно же вера в то, что «выстрелит» их проактивная защита и облачные сервисы.

Такие разные результаты…

Совершенно случайно наткнулся на сайт http://www.service58.ru/ с абсолютно бесплатным Adobe Flash Player Mobile. 🙂

Интересен не этот сайт и не скачиваемые с него зловреды, а детект различных антивирусов:

Интересно — такой странный детект у различных продуктов связан с тем, что у них очень слабо развито направление по защите мобильных телефонов и планшетов или ещё с чем-то?

P.S. Для всех несведущих — вышеуказанный сайт распространяет вредоносные программы, маскируясь под легальное ПО. Поэтому не надо их себе скачивать и запускать. )))

Коды для удаления баннеров

Большинство мало мальски продвинутых пользователей ПК знает о трёх основных сервисах по разблокировке компьютеров с помощью ввода уже известных кодов от ряда антивирусных вендоров:

  1. Доктор Веб: Dr.Web — Бесплатный разблокировщик Dr.Web от Trojan.Winlock
  2. Kaspersky Lab: Удаление баннера с рабочего стола, разблокировка Windows
  3. ESETРазблокировка Windows, если вирус просит отправить смс (удаление trojan winlock вируса)

Но кроме этих трёх сервисов свою борьбу со зловредами ведёт и Максим Сокульский aka mrbelyash. На днях его проект переехал с блога mrbelyash.blogspot.com на сайт stop-winlock.ru. Поэтому если на трёх вышеперечисленных сервисах вы не нашли кодов для разблокировки, то не поленитесь поискать их и на этом ресурсе. 😉

РПЦ и иже с ними

Тема Русской православной церкви в новостях уже надоела хуже горькой редьки. То тут толстомордые умники из РПЦ рассуждают как жить людям у нас в стране, то там предлагают ввести дресскод, уже внедрили изучение религиозных основ (лоббируя преимущественно свои интересы — иначе бы это был бы предмет одного класса, на котором бы поверхностно рассказывалось бы о ведущих мировых религиях, их учениях и основах), то святоши заявляют, что будут вмешиваться в политику и это нормально, то их клирики попадают в аварии или конфликты, то иметь дорогие машины, квартиры, побрякушки, огромное брюхо и широкую ряху — для служителей РПЦ оказывается нормально и одобряется Богом… Ну сколько уже можно?

Тут ещё на днях некий журналист Михаил Леонтьев заявил, что все кто не идентичны с РПЦ, те должны покинуть страну — им якобы не по пути. так ведь и хочется сказать подобным умникам — «да идите вы в задницу, русские изначально были идолопоклонниками, а в России всегда было, есть и будет много национальностей и религий». Прекратите уже пиариться и постоянно заявлять о том, что у нас 70-80 % всех россиян православных и непосредственно относящих себя к РПЦ, но что-то очень всё это напоминает фарс и махинацию с цифрами. Если верить создателям «Атласа религий России», а это сотрудники Российской Академии наук при поддержке Министерства регионального развития Российской Федерации — то есть не ширь-шавырь и вроде как более-менее правдоподобная информация (в отличии от пустых и ничем не подтверждённым заявлений представителей РПЦ). И вот согласно информации «Атласа религий России» ситуация в РФ выглядит как-то так:

Чтобы было более понятней — приведу процентное соотношение:

  • православные, относящие себя к последователям РПЦ, оказывается — 43 %
  • верующие в высшую силу без причисления себя к каким-то религиям — 25 %
  • атеисты — 13 %
  • мусульмане — 7 %
  • затруднились с ответом — 6 %
  • христиане, не причисляющие себя ни к одной из конфессий — 4 %

Получается что у РПЦ уже сейчас менее 50% последователей среди россиян —  как вам такой расклад? На этом фоне интеграция с властью, агрессивный пиар и насаждение своих ценностей клириками РПЦ очень уж сильно напоминает попытку сделать хорошую мину при плохой игре, а также всеми способами сохранить своё, хотя бы даже и мифическое, лидерство в религиозной сфере.

P.S. Вот опять — христианский вирус удалил запись с видеорегистратора ДПС по делу об аварии клирика РПЦ, некого игумена Тимофея. Ну это уже полный «абзац» — давно ли вирусы стали удалять выборочно видеозаписи с видеорегистраторов ДПС? Да и как они вообще на видеорегистратор-то попадают-то? Удаляют видео без возможности восстановления методом Гутманна путём 35 проходов перезаписи носителя? 🙂

Кибервойны

Сегодня спецслужбы различных стран не скрывают того, что кибервойны ведутся уже сейчас и дальше их размах будет только шириться и их последствия будут становиться всё более и более серьёзными. На прошлой неделе об этом открыто заявили ВВС США, и кто знает сколько ещё стран уже ведут свою виртуальную войну, о которой мало кто догадывается из обывателей. Stuxnet, Duqu, Gauss, Flame, неуловимый Wiper — всё это только вершина айсберга, который наверняка способен не раз удивить страны-«титаники».

Представим гипотетическую ситуацию — некая государственная спецслужба, занимающаяся кибершпионажем, разведкой и диверсиями против недружественно настроенных стран/организаций использует в своей  повседневной деятельности ряд дорогостоящих и «невидимых» антивирусами инструментов. Для того, чтобы не быть скомпрометированными ими используется не только знания и навыки собственных сотрудников, но и привлекаются наёмные лица высокой квалификации, профессионально занимающиеся незаконной деятельностью в ИТ-сфере. Для выявления компрометации используются не только какие-то свои инструменты для наблюдения за деятельностью на скомпрометированных системах, но и мониторинг ресурсов по информационной безопасности (мало ли кто чего найдёт и заявит об этом во всеуслышание). В случае риска компрометации запускается утилита по удалению инструментария и зачистке всех хвостов за ним (что-то типа неуловимого Wiper).

Но как наиболее оперативно узнать о том, что возникла угроза компрометации? Для этого всего-то надо:

  • получить негласный контроль над одной или несколькими известными антивирусными лабораториями. Вы же все помните, что антивирусные компании постоянно обмениваются информацией по зловредам, оповещают о новых серьёзных киберугрозах и привлекают к расследованию «дружественные» вируслабы. Вот и здесь — как только проскользнёт мало-мальский шум среди антивирусных вендоров, касающийся некого инструмента, сразу же происходит его сворачивание.
  • оперативно получать информацию о  файлах, появляющихся в сети и проверяемых на онлайн-сервисах типа VirusTotal.com. Для этого надо тоже не так много — всего-то одной из контролируемых антивирусных компаний заключить договор, на основании которого будут предоставляться не только почасовая статистика по заново проверенным файлам, но и сами файлы, а также запросы по предыдущим проверкам. Т.е. если вдруг какой-то Вася Пупкин внезапно заполучит в руки любой кусок дорогостоящего кибер-оружия, то его владелец сможет в момент это засечь и убрать скомпрометированные компоненты.

Ну и конечно же — контроль за бесплатными почтовыми сервисами (Hotmail, Gmail, Yahoo!, Mail.Ru, Яндекс.Почта), онлайн-мессенджерами (Skype, Jabber, ICQ), SMS/MMS, сайтами/форумами, телефонными звонками и т.п., что уже имеется в наличии у большинства серьёзных спецслужб.

P.S. Что ещё может использоваться спецслужбами для отслеживания безопасности своего кибероружия?

P.P.S. Только написал заметку и сразу же в голову пришли облачные сервисы, которыми пользуются антивирусные компании, и которые мало того, что без спроса собирают информацию, так ещё не стесняются ею делиться с дружественными спецслужбами. Например Лаборатория Касперского весьма успешно использует свой Kaspersky Security Network (KSN) для сбора информации о сотнях тысяч пользователей, и, как я недавно узнал на своём примере, весьма плотно работает с ФСБ, но это уже другая история…

Статистика обнаружения зловредов ЛК # 9

В начале года я забросил заниматься изучением статистики обнаружения ранее неизвестных зловредов Антивирусом Касперского на основании моей подборки, также как и перестал её обновлять. Однако, готовясь к выпуску финальной версии VIRUSort, произвёл перепроверку, которая длилась одиннадцать с половиной часов, в результате чего было обнаружено 30 тысяч заражённых объектов. После облагораживания полученных результатов (удаление эвристики, UDS и прочего) я обновил результат предыдущей записи. Чтобы быть предельно честным и не тратить огромное количество времени на выяснение когда какой зловред из добавленных был найден ЛК, я взял время последней проверки (во время которой сканируемая подборка оказалась «чистой» 🙂 ) и стал отталкиваться от неё, как от времени обнаружения вируслабом ЛК (раньше эти зловреды всё равно не могли добавить — проверка производилась как раз в этот день).

Всего статистика охватила 6 257 уникальных наименований, против 4873 наименований 11 января 2012 года. Краткая же статистика показывает следующее:

P.S.  Полный список зловредов можно скачать отсюда.

noDVD и кейгены к играм # 2

Продолжение заметки «noDVD и кейгены к играм». Благодаря участникам портала SafetyGate.ru (огромное им спасибо за поддержку и оперативные результаты 🙂 ) получилось собрать реальную статистику, согласно которой самыми подозрительными антивирусами стали:

  • Norton IS 2012
  • Twister AntiVirus V7
  • Blink Personal

А самими лояльными антивирусами оказались:

  • avast! Free Antivirus
  • Dr. Web Security Space Pro
  • Kaspersky Crystal / Kaspersky IS 2013

Также оказалось, что результаты, полученные с помощью VirusTotal.com довольно часто расходятся с результатами, полученными в реальной среде, что наводит на размышления.

noDVD и кейгены к играм

Неоднократно сталкивался с тем, что люди ругали какой-то антивирус из-за его нездоровой тенденции к занесению всех noDVD, кейгенов и т.п. вещей в разряд опасного с последующим удалением. Пока появилось немного свободного времени, решил проверить эти утверждения и выяснить — так ли это на самом деле и кто из вендоров грешит этим больше других. Для эксперимента было скачано с одного из популярных сайтов подобной тематики ряд noDVD и keygen. После распаковки пары сотен архивов, была произведена зачистка от различных игровых файлов, которые по определению не могут быть заражёнными. Потом произведено удаление одинаковых файлов и файлов больше 10 мегабайт (как представил потуги VT с их заливкой и проверкой, так сразу решил облегчить себе жизнь 🙂 ). Оставшийся 341 файл был залит на VirusTotal.com и в таблице приведено общее количество детектируемых объектов различными антивирусными продуктами:

Читать дальше

Свежий винлок

Впервые вижу как вымогатель, ориентированный на русскоязычный сегмент сети, обнаруживают два малоизвестных в сегменте антивируса — AhnLab-V3 и Fortinet. Куда катится этот мир, ежели отечественные вендоры проигрывают гонку своим даже далеко не основным конкурентам.