Взлом с помощью веселой картинки: как в Telegram оказался вирус для майнинга критовалют. Вирус-вымогатель атаковал компьютеры по всему миру

На вопрос «Какой антивирус вы используете на своей виндовой машине?» многие безопасники (в том числе и сотрудники нашей редакции) отвечают просто: никакой. Когда эпидемии в сотни тысяч зараженных компьютеров разгораются, невзирая на все самые передовые технологии систем защиты, а антивирусы в наших тестах показывают сомнительные результаты, об отказе от антивируса вполне стоит подумать.

План статьи будет таков: как локализовать заразу, если она все-таки проникла на твою машину, как победить руткиты и как восстановить систему после заражения, если все зашло слишком далеко. В конце статьи мы дадим несколько банальных, но по-прежнему актуальных советов о том, как избежать заражения (с другой стороны, как можно называть банальными советы, соблюдение которых снизило бы количество зараженных машин Сети в десятки раз?).

Что делать в случае заражения?

Итак, если у тебя есть подозрение на то, что машина инфицирована, в первую очередь ты должен выполнить несколько действий:

• отключить хост от сети (вытащить UTP-кабель, погасить Wi-Fi);
• вынуть из портов все внешние девайсы (HDD- и USB-устройства, телефоны и прочее).

Все эти действия связаны с необходимостью изолировать нашего пациента от внешнего мира. Отключать хост нужно обязательно и от доступа во внешний мир через интернет и локалку, поскольку малварь практически со стопроцентной вероятностью будет пытаться себя распространить на весь доступный ей сегмент. К тому же если зловред является частью ботнет-сети или содержит компоненты RAT , то он может бездействовать до того момента, как поступит управляющая команда с из внешней сети. Также это страхует нас и от утечки локальных данных во внешний мир, к примеру через DNS-туннелированные или подобные хакерские фичи. Следуя этой же логике, рекомендуют как можно скорее вытащить все подключенные к пациенту девайсы: к примеру, если это вирус-шифровальщик, то он может просто не успеть добраться до данных на внешних HDD и USB-флешках.

INFO

Ты можешь еще услышать совет сразу выключить зараженный компьютер. Здесь неоднозначно. С одной стороны, это может приостановить разрушительные действия зловреда. Но есть и риск того, что после выключения в следующий раз ОС больше вообще не загрузится, а данные на винтах потрутся. Поэтому действовать нужно по обстоятельствам, многое зависит от того, какая именно малварь была запущена и какие цели она преследует. Ниже при рассмотрении кейсов мы расскажем и о первой, и о второй ситуации.

Ну и конечно, для успешной борьбы с малварью и восстановления системы у тебя должны быть привилегии административной учетной записи, так как многие действия (манипуляции с системными файлами, остановка и перезапуск сетевых служб, восстановление реестра, изменение конфигурации загрузчика и тому подобное) потребуют от нас всей полноты прав на систему. 🙂

WARNING

Неверные и неосмысленные действия могут привести к нарушению нормальной работы ОС, ПО или к потере данных. Ни автор, ни редакция не несут ответственности за ущерб, причиненный неправильным использованием материалов данной статьи. Выполняй только те действия, суть и значение которых ты осознаешь.

Поиск процессов и обезвреживание малвари в памяти

Любая малварь, чтобы выполнять свои действия, должна быть запущена в оперативной памяти. И неважно, как именно бинарный код был загружен в RAM - из exe-файла, вложенного в письмо, скрипта из инфицированной HTML-странички или был собран только из сетевых пакетов, как нашумевший в начале 2000-х годов бестелесный червь Slammer , поразивший тысячи серверов за несколько десятков минут. Поэтому ключевой задачей на первом этапе становится поиск и идентификация процесса зловреда в памяти. И стандартный менеджер задач Windows тут нам не помощник. Почему? Да потому, что даже начинающий кодер на Delphi может использовать функции, позволяющие скрывать из области видимости штатного Task Manager’а запущенный процесс. Я еще молчу о том, что зловред может содержать руткит , который будет скрывать его действия в системе.

Итак, к нам на помощь придут утилиты - самостоятельные и комплексные менеджеры задач. Первая тулза, которую мы рассмотрим, - это Process Monitor , бесплатная утилитка из набора SysInternals Suite . По сути, она объединяет в себе сразу две другие утилиты - FileMon (мониторинг файловой системы) и RegMon (мониторинг реестра). Тулза предоставляет мощный инструмент для мониторинга файловой системы, системного реестра, а также всех процессов в оперативной памяти в реальном времени.

На панели есть несколько интересных кнопок, позволяющих выполнять фильтрацию процессов и действий системы по нужным нам критериям:

• show registry activity - просмотр активности реестра (чтение, запись ключей);
• show file system activity - просмотр действия с файлами (чтение, запись);
• show network process activity - аналогично по процессам, использующим сеть;
• show process and thread - просмотр процессов и нитей.

Вторая, более навороченная тулза - это Process Explorer . Предназначена для мониторинга процессов в системе. Позволяет не только отследить процесс, но и уточнить, какие файлы и папки им используются. Фишка программы в том, что тут же в рабочем окне можно выделить процесс и по щелчку мыши проверить его на VirusTotal.

• - программы, которые запускаются только один раз, когда пользователь входит в систему;
• - программы, которые запускаются при входе текущего пользователя в систему;
• - программы, которые запускаются только единожды при входе текущего пользователя в систему.

Что у нас есть из тулз для этого случая? Первое - это программа Autoruns , которая позволяет управлять автозагрузкой в Windows. С ее помощью можно увидеть все программы, службы, драйверы и командные файлы, которые будут запускаться вместе с системой, а при необходимости - отключить их.

Скажем пару слов об интерфейсе и вкладках:

• Everything - отображает все файлы, которые будут запускаться автоматически при загрузке Windows;
• Logon - содержит все программы, которые будут запускаться автоматически;
• Explorer - автозапуск всех элементов проводника Windows;
• Internet Explorer - все надстройки и дополнения, которые установлены в Internet Explorer;
• Scheduled Tasks - процессы, которые запускаются автоматически из диспетчера задач;
• Services - файлы служб, автоматически запускаемые при загрузке машины;
• Drivers - все файлы, относящиеся к драйверам.

Восстанавливаем реестр

Реестр Windows, начиная с самых первых версий ОС, остается критически важным компонентом системы, по сути представляя собой базу данных для хранения различных параметров и настроек рабочего окружения, установленного ПО и самой Windows. Логично, что нарушение работы реестра или его повреждение грозит неработоспособным состоянием ОС. Сам реестр, который открывается штатной утилитой regedit , физически представлен несколькими файлами, хранящимися по пути %SystemRoot%\System32\config\ . Это файлы с именами SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT без расширений и доступные только для системных процессов NT AUTHORITY\SYSTEM, LocalSystem. Но если реестр открывать через штатный редактор, то эти файлы предстанут в виде большого иерархического дерева.

Первое, что приходит на ум, - это, конечно же, сделать бэкапы этих файлов и при необходимости просто заменить битые на резервные копии. Но из-под загруженной ОС простым копированием выполнить это не удастся, а экспорт данных с использованием regedit может получиться неполноценным. Поэтому рассмотрим инструменты, которые помогут нам в этом деле.

Штатные инструменты Windows для восстановления реестра

«Из коробки» Windows, к сожалению, не имеет отдельного инструмента, позволяющего делать резервные копии реестра. Все, что может дать система, - это функциональность морально устаревшей NTBackUp родом из эпохи Windows XP / 2003 Server или в новых ОС Windows 7, 8, 10 ее реинкарнацию в виде «программы архивирования и восстановления Windows », предлагающей создать целиком образ системы (всей системы - не реестра!). Поэтому рассмотрим лишь небольшой пример действий в консоли восстановления, позволяющих восстановить реестр вручную. По сути это операции замены битых файлов на инфицированной системе оригинальными файлами реестра из заранее сделанной резервной копии.

// Создаем резервные копии реестра системы md tmp copy c:\windows\system32\config\system c:\windows\tmp\system.bak copy c:\windows\system32\config\software c:\windows\tmp\software.bak copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak copy c:\windows\system32\config\security c:\windows\tmp\security.bak copy c:\windows\system32\config\default c:\windows\tmp\default.bak // Удаляем битые файлы из системной директории ОС delete c:\windows\system32\config\system delete c:\windows\system32\config\software delete c:\windows\system32\config\sam delete c:\windows\system32\config\security delete c:\windows\system32\config\default // Копируем работоспособные файлы реестра из теневой копии copy c:\windows\repair\system c:\windows\system32\config\system copy c:\windows\repair\software c:\windows\system32\config\software copy c:\windows\repair\sam c:\windows\system32\config\sam copy c:\windows\repair\security c:\windows\system32\config\security copy c:\windows\repair\default c:\windows\system32\config\default

Все, перезагружаем машину и смотрим на результат!

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов.

Пострадали 74 страны. В России вирус пытался атаковать персональные компьютеры МВД, компаний «МегаФон», «ВымпелКом», Сбербанка. С персональными данными, если не делали резервных копий, можно попрощаться, говорят эксперты

Обновлено 16:38

МВД официально подтвердило вирусную атаку на персональные компьютеры ведомства, находящиеся под управлением операционной системы Windows. Всего было заражено около одной тысячи компьютеров (0,1%), которые были оперативно блокированы, говорится в заявлении на сайте ведомства. В МВД утверждают, что их серверные ресурсы не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором «Эльбрус», и что утечка служебной информации с информационных ресурсов МВД России полностью исключена.

Участники российского финансового рынка не пострадали от масштабных хакерских атак вечером 12 мая, заявил РБК источник, близкий к FinCERT (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере) ЦБ. «Все находится под контролем, все участники рынка предупреждены о совершенной угрозе», — сказал источник РБК .

Позднее Сбербанк сообщил, что зафиксировал попытки хакерской атаки на свою инфраструктуру, однако все они были отражены. «Системы информационной безопасности своевременно зафиксировали попытки проникновения в инфраструктуру банка. Сеть банка предусматривает защиту от подобных атак. Проникновений вирусов в систему не произошло», — сказано в сообщении Сбербанка, поступившем в РБК.

В нем также подчеркивается, что в связи с сообщениями о вирусных атаках, службы банка, отвечающие за кибербезопасность, переведены в режим повышенной готовности.

Вечером 12 мая появилась информация об атаках хакеров на сети российских телекоммуникационных компаний («МегаФон», «ВымпелКом»), а также силовых ведомств. Компания «МегаФон» пострадала от атаки меньше, чем могла бы, из-за быстрой реакции служб компьютерной безопасности, которые отключили значимую часть компьютеров. И из-за того, что она произошла в пятницу вечером, а не в понедельник утром, сообщил Business FM директор по связям с общественностью «МегаФон» Петр Лидов.

Петр Лидов директор по связям с общественностью «МегаФон» «Сейчас уже нормальная ситуация, тишина. У нас во второй половине дня сегодня повреждены были достаточно большое количество компьютеров. Я это увидел в головном офисе, соответственно, наши сотрудники по IT-безопасности быстро локализовали проблему, отключили сети, вынуждены были отключить некоторые внутренние сети, чтобы не было дальнейшего распространения. Что касается абонентов, до того момента, где они могли это почувствовать, первое — это в точках розничной торговли, потому что там нужен доступ к базам и так далее. И второй момент — это при звонке службы поддержки, потому что там тоже во многих колл-центрах не могли операторы получить доступ к своим компьютерам. Связь работала нормально, все хорошо в этом смысле, личный кабинет тоже работает, на этот момент мы восстановили полностью работу колл-центров, все проверили, и дальше занимаемся с точками розничной торговли, хорошо, что это произошло вечером в пятницу».

Хакерская атака затронула практически весь мир — 74 страны. Однако наиболее сильно пострадала Россия, сообщили «Интерфаксу» в «Лаборатории Касперского». Атака была совершена программой-шифровальщиком WannaCry. Мошенники блокировали компьютеры и вымогали за расшифровку данных от 300 до 600 долларов в криптовалюте — биткоин. Их перевод невозможно отследить.

Помимо ведомств, частных компаний, банков хакерская атака угрожает и обычным пользователям. В опасности оказались только компьютеры или смартфоны тоже? И как избежать заражения своего устройства?

Алексей Раевский гендиректор компании Zecurion «Атаке подвержены только настольные операционные системы от Windows, Microsoft, все остальные — Mac и Linux — не подвержены. Этот вирус использует уязвимость в операционной системе Windows. Этот вирус не опасен для владельцев смартфонов. Насколько я знаю, даже Windows mobile здесь не затронут этой уязвимостью. Есть еще масса других всяких вирусов, которые поражают Android и Mac, другие операционные системы. У кого дома Windows, надо установить все последние обновления, потому что на самом деле эта уязвимость была закрыта еще несколько месяцев назад. Был выпущен патч Microsoft, который эту уязвимость устраняет. Заражению данным вирусом подверглись те компьютеры, на которых не было установлено обновление. В принципе, этого достаточно. Если вы не уверены, что у вас установлено обновление последнее, то надежнее всего отключить компьютер от сети или вообще его выключить, потому что данный вирус распространяется не по электронной почте, а он сканирует все компьютеры, до которых может дотянуться и устанавливается на них. Обычная стандартная рекомендация в данном случае — не открывать подозрительные аттачменты к электронным письмам и не кликать по подозрительным ссылкам, в данном случае этого недостаточно. Самый лучший вариант — это восстановить зашифрованные файлы из резервной копии. То есть это еще один момент, на который я хотел бы обратить внимание: резервное копирование — это очень важный аспект в обеспечении информационной безопасности, и сейчас существует очень много сервисов — и платных, и очень дешевых, если бэкапа нет, то здесь высока вероятность того, что данные будут уничтожены, потому что даже если заплатить выкуп автору или распространителю этого вируса, то совершенно нет никакой гарантии, что они пришлют ключ, и можно будет расшифровать файлы. Может получиться такая ситуация, что деньги вы пошлете, а в ответ ничего не получите. После атаки компьютер не умер. Если почистить операционную систему, уничтожить этот вирус, даже не обязательно Windows переустанавливать, то есть достаточно загрузиться с какого-то носителя внешнего, раньше компакт-диски для этого использовались, сейчас флешки, можно загрузиться, почистить операционную систему и дальше пользоваться. Но с данными можно попрощаться».

Корпорация Microsoft выпустила обновления для операционных систем Windows XP, Windows 8 и Windows Server 2003 для защиты пользователей от атак WannaCry. Об этом «Интерфаксу» сообщила представитель компании Кристина Давыдова. По ее словам, пользователи бесплатного антивируса компании и обновленной версии Windows защищены. В России и по всему миру от хакерских атак пострадали самые разные ведомства, государственные учреждения и частные компании. «Российские железные дороги» сообщила о «вирусной атаке» на свою IT-инфраструктуру. «Вирус в настоящее время локализован, проводятся технические работы по его уничтожению и обновлению антивирусной защиты», — заявили в компании.

В Центробанке заявили, что зафиксировали массовые хакерские атаки на банки, но ресурсы кредитных организаций не скомпрометированы. Атаке подверглись компьютеры внутренней сети МВД. Как утверждают источники «Медиазоны», устройства ведомства заражены в нескольких регионах.

Министерство сначала опровергало вирусную атаку, однако позже официально подтвердило ее. Также стало известно, что в ряде регионов России из-за вирусной атаки на компьютеры МВД не работает система выдачи водительских прав. Об этом сегодня ТАСС сообщил источник в правоохранительных органах.

Хакеры затронули и банковский бизнес. На сайте «Пикабу» появилась фотография, которая, как гласит подпись, сделана в одном из отделений Сбербанка в Санкт-Петербурге. В кадре: сенсорная панель с логотипом и дизайном банка, посередине экрана открыто диалоговое окно ярко-красного цвета, где на русском написано, что компьютер заблокирован. Нужно заплатить 300 долларов в биткойнах, либо данные на нем будут уничтожены через шесть часов. Ранее Сбербанк сообщил, что зафиксировал попытки хакерской атаки на свою инфраструктуру, однако все они были отражены.

Во Франции несколько заводов Renault встали из-за кибератаки, сообщает в субботу портал France Info. Остановка стала частью мер защиты, которые были приняты, чтобы избежать распространения вируса, уточнили в компании. Одной из первых жертв вируса стали испанские компании — телекоммуникационная компания Telefonica, газовая Gas Natural, Iberdrola, занимающаяся поставками электричества, а также банк Santander и филиал консалтинговой компании KPMG. В Великобритании хакеры атаковали компьютеры системы здравоохранения, в Португалии — крупнейшего провайдера телекоммуникационных услуг Portugal Telecom.

Британская The Telegraph намекнула на участие России в масштабной хакерской атаке. По мнению издания, о связи злоумышленников с Россией говорят опубликованные предупреждения группировки Shadow Brokers в отношении президента США после того, как он инициировал ракетные удары по Сирии. Некоторые эксперты считают, что последовательность событий указывает на связь Shadow Brokers с российскими властями. Однако председатель правления Института развития Интернета Герман Клименко считает, что масштабная атака хакеров никак не политизирована.

директор и владелец компании Liveinternet, советник президента РФ по проблемам Интернета «Очень сложно сказать, что мы пострадали больше всех. Дело в том, что атаки проявляются, только когда о них заявляют, многие предпочитают молчать по разным причинам. Сама структура вируса связана с вымогательством, люди не очень охотно рассказывают, особенно когда идут навстречу вымогателям. На мой взгляд, это обычная коммерческая история, вряд ли это как-то связано с уровнем компьютерной грамотности. Нужно вам сказать, что за нами охотятся, но этот вирус, классический вирус-вымогатель, который используют обычные преступники, не надо искать смысла в простых убийствах, например, нет там никакой политической подоплеки. Мне кажется, что просто идет очередная волна вирусных технологий, которые проходят испытания, возможно, эти хакеры предпочитают отрабатывать технологии в одном регионе, и потом его уже отработанным использовать в других регионах. Мне кажется, что здесь политических смыслов особых нет, это классическая демонстрация для нас того, как международное криминальное сообщество хакерское может доставлять неудобства, и главное из этого сделать выводы и серьезнее подходить к вопросам обеспечения безопасности, как государственных структур, так и частных».

О чем говорит тот факт, что от вируса в России в большей степени пострадали госучреждения и ведомства?

Роман Ромачев генеральный директор агентства разведывательных технологий «Р-Техно» «Мне кажется, они действительно плохо защищались, поэтому и пострадали. Тут еще вопрос в том, что чем больше будет таких публикаций о том, что пострадали наши правоохранительные органы, какие-то крупные компании, тем, скорее всего, больше вероятность того, что руководство компании задумается об информационной безопасности, и в будущем они будут более тщательно подходить к этому вопросу. Ведомственные компьютеры очень сильно регулируемы, то есть все программное обеспечение, все обновление жестко регулируется. И вполне возможно, что касается обновлений, действительно, ведомства опоздали, затянули, использовали старое антивирусное обеспечение, возможно, какое-то старое программное обеспечение. Возможно, пользователи скачали где-то с Интернета какое-то не лицензионное программное обеспечение, возможно, где-то опять же серфили по Интернету и подхватили тот самый вирус, в связи с чем они очень сильно пострадали. В первую очередь, это бюрократия, она очень сильно и жестко регулирует программное обеспечение ведомственных компьютеров, то есть то нельзя, второе — нельзя. В то же время пользователи очень слабо образованы в сфере информационной безопасности, это надо откровенно сказать. А во-вторых, программное обеспечение, которое когда-то они купили по контракту, скажем, несколько лет назад, просто-напросто не обновляется. Я думаю, это слепая атака, но это достаточно серьезный вызов для нашей правоохранительной системы, то есть если они не найдут виновников, скорее всего, это будет повторяться впредь».

Помимо России, серьезно пострадали Украина, Индия и Япония. Атаке подверглись несколько телефонных компаний в Испании и Португалии, а также основной железнодорожный концерн Германии. Кроме того, были атакованы компьютеры госпиталей в Великобритании. Пациент одной из больниц рассказал BBC, что из-за этого у него сорвалась операция на сердце:

«У меня была запланирована операция на сердце. Я ждал ее много-много месяцев. Теперь они смогут сделать ее только в пятницу. Представьте, меня уже побрили, побрили мне руки, мы уже были готовы начать, я с утра себя настраивал, и вдруг перед самым началом хирург мне сказал: «К сожалению, нас взломали! Мы ничего не можем сделать, не можем прооперировать вас сегодня». Их беспокоило, что, если мне понадобится переливание крови, у них не будет возможности определить нужную группу крови. За все это отвечала компьютерная система. Кто-то сказал, что также взломали банки, я не знаю, правда это или нет, но я читал, что много больниц подверглись атаке по всей стране, их взломали. Кому взбрело в голову взламывать больницы?»

Согласно информации The Financial Times , вирус WannaCry был создан хакерами, которые смогли заполучить коды шпионской программы, разработанной Агентством национальной безопасности США. Использовав ее как основу, они создали более опасную разновидность, направленную на вымогательство. Похожую версию выдвинули экс-сотрудник АНБ Эдвард Сноуден и сайт Wikileaks.

По данным анонимного программиста, который ведет

«Лаборатория Касперского» обнаружила новую возможность для кибератак на Telegram для Windows. Уязвимость позволяет хакерам получить доступ к файлам пользователя и майнить криптовалюту, с помощью вычислительных мощностей компьютера. Жертвами мошенников могли стать около тысячи россиян. «360» разбирался, как вирус‐майнер проникал в ноутбуки, планшеты и персональные компьютеры граждан.

Следующая новость

Специалисты лаборатории нашли уязвимость в мессенджере Telegram. Брешь в защите использовалась хакерами для заражения пользователей версии приложения для Windows и распространения ПО для майнинга. Об этом говорится на страницах официального блога «Лаборатории Касперского». По сведениям экспертов, злоумышленники использовали брешь как минимум с марта 2017 года, распространяя через нее вредоносные программы. В данный момент уязвимость уже закрыта, утверждают создатели мессенджера.

«Популярность мессенджеров сегодня невероятно высока. Мы нашли сразу несколько сценариев использования уязвимости, через которую, помимо шпионского ПО, распространялись и майнеры, ставшие глобальным трендом, который мы наблюдаем в течение всего периода „криптовалютного бума“. Не исключено, что были и другие, более таргетированные сценарии использования этой уязвимости», — приводит РИА «Новости» комментарий антивирусного эксперта компании Алексея Фирша.

Запуская вирус, хакеры преследовали несколько целей. Во-первых, используя уязвимость, преступники устанавливали бэкдор, который позволяет получить удаленный доступ к зараженному ноутбуку или планшету. После установки бэкдор работал в скрытом режиме, а пользователь не мог его засечь. При этом он выполнял различные команды хакеров, такие как установка шпионского оборудования и сбор персональных данных владельца компьютера.

Помимо копирования файлов вирус занимался и майнингом криптовалют, используя вычислительные мощности компьютера. С помощью скрытого вируса-майнера злоумышленники добывали такие популярные монеты, как Monero, Zcash и Fantomcoin. Жертвами кибератаки могли стать около тысячи россиян, подсчитали специалисты «Лаборатории Касперского».

Примечательно, что случай с Telegram не первый в истории майнинговых кибератак. Накануне основатель сайта securityheaders.io и исследователь в области кибербезопасности Скотт Хельм опубликовал расследование на тему того, как хакеры майнят, используя мощности правительств различных стран. Согласно этому отчету, в течение всего 2017 года более четырех тысяч правительственных сайтов США, Австралии и Великобритании оказались заражены скриптами, позволяющими использовать оборудование в целях майнинга криптовалюты Monero.

Вирус вместо картинки

Для отправки вируса через Telegram киберпреступники использовали так называемую атаку right-to-left override (RLO). RLO представляет собой особый печатный символ кодировки Unicode. Этот механизм кодировки зеркально отражает направление знаков. Он используется программистами в текстах, воспроизводимых справа налево, например, на арабском или иврите.

Хакеры использовали RLO, чтобы поменять порядок символов в названии файла и его расширение, объясняет в разговоре с «360» заместитель руководителя лаборатории по компьютерной криминалистике Group IB Сергей Никитин. Таким образом жертвы скачивали вредоносный софт под видом, например, изображения или картинки. Затем пользователи сами запускали его, не подозревая, что впустили в компьютер шпионский вирус. «Атака подобного типа не нова — она используется хакерами уже на протяжении десяти лет. Она заключается в том, что мошенники переименовывают файл, зеркально меняя название для того, чтобы Telegram принял вирус за картинку. При этом пользователь сам может понять, что скачал вирус, так как вместо картинки там появится диалоговое окно, которое попросит запустить дополнительные файлы», — рассказывает собеседник «360».

Для приложения, которое позиционирует себя в качестве самого безопасного в мире мессенждера, такие ошибки непростительны, считает основатель компании DriverPack Solution Артур Кузяков. «Сегодня не существует на 100% защищенных от вирусов приложений, но в случае с Telegram пользователи были уверены, что все их данные зашифрованы и конфиденциальны. Из-за ошибок разработчиков приложения вся персональная информация и личная переписка россиян, чьи компьютеры были взломаны, оказалась в руках хакеров, что для мессенджера такого уровня неприемлемо», — заявил Кузяков «360».

Внимательность и обновление антивируса

Для того чтобы обезопасить себя от кибератак пользователь должен внимательно ко всем сообщениям не только в мессенджерах, но и в электронной почте и SMS-оповещениях, отметил в беседе с редакцией «360» руководитель аналитического центра компании Zecurion Владимир Ульянов.

Если вам приходит сообщение от неизвестного пользователя, то не стоит его читать. Также категорически запрещено переходить по ссылкам от незнакомого отправителя, запускать исполняемые файлы и мультимедийные приложения. Нужно помнить, что антивирус не защищает на 100% от всех опасностей

— Владимир Ульянов.

Эксперт подчеркнул, что скачивать обновление антивируса и другие приложения на компьютер и другие устройства нужно только с официальных сайтов-разработчиков программ. «Массовые прошлогодние атаки вирусов-вымогателей Wanna Cry и Petya показали, что вирус попадал только в те компьютеры, в которых стояли старые антивирусы, а система давно не обновлялась», — замечает Ульянов.

С начала 2017 года от рук хакеров пострадали около шести миллиардов пользователей по всему миру, свидетельствуют результаты исследования американского аналитического агентства Risk Based Security. Чаще всего для кражи персональной информации кибермошенники использовали такие технологические приемы, как скимминг, фишинг и преднамеренный запуск вирусов-похитителей. При этом зачастую в руки преступников попадали не номера их банковских счетов, а личная информация о пользователе (40%), электронные (33%) и физические (30%) адреса, а также пароли от соцсетей и различных приложений (28%).

человек поделились статьей

Следующая новость

Хакеры действуют на просторах интернета беспрестанно. Однако лишь некоторые их атаки становятся действительного крупными и легендарными. Пришло время взглянуть на несколько исторических хаков.

Взлом Ashley Madison 2015 года: 37 миллионов пользователей

Группа хакеров, известная как Impact Team, взломала серверы компании Ashley Madison и украла личные данные 37 миллионов пользователей. После этого хакеры опубликовали полученную информацию на различных веб-сайтах. Очерненная репутация пользователей возымела эффект во всем мире, в том числе появлялись сообщения, что пользователи заканчивали свои жизни самоубийством из-за хака. Этот взлом запомнился не только тем, что этот акт был публичным, но также и тем, что хакеры завоевали себе славу борцов против неверности и лжи.

Вирус Conficker 2008 года: до сих пор инфицирует миллионы компьютеров ежегодно

Несмотря на то что эта мощная вирусная программа не нанесла непоправимого ущерба, она по прежнему отказывается умирать. Она постоянно прячется, а при первой возможности копируется на другие машины. Но еще более пугающим является то, что этот вирус продолжает открывать задние двери на инфицированных компьютерах для дальнейших хакерских атак. Этот вирус размножается и распространяется по различным компьютерам, где он скрывается в тени, параллельно превращая ваш компьютер в бота для рассылки спама или же считывая данные вашей кредитной карты и ваши пароли, затем пересылая эти данные хакерам. Этот вирус является очень умной компьютерной программой. Он деактивирует ваш антивирус, чтобы защитить себя. Он так известен благодаря тому, насколько он настойчиво продолжает существовать и насколько широко он распространился. Спустя восемь лет после того, как он был обнаружен, он до сих пор путешествует по интернету.

Вирус Stuxnet 2010 года: блокирована ядерная программа Ирана

Эта вирусная программа, которая весила менее одного мегабайта, была запущена в сеть иранских ядерных заводов. Когда вирус достиг точки назначения, он взял под контроль всю систему. Затем он приказал пяти тысячам урановых центрифуг вращаться без контроля, внезапно останавливаться, а затем снова начинать вращение, параллельно посылая отчеты о том, что все в порядке. Эта хаотичная манипуляция продолжалась в течение 17 месяцев, заставляя заводы жить своей собственной жизнью, а рабочих и ученых сомневаться в собственном рассудке. И на протяжении всего этого времени никто не знал, что происходит. Коварная и скрытная атака принесла больше вреда, чем если бы эти центрифуги были бы просто уничтожены. Вирус вел тысячи специалистов по неправильному пути в течение полутора лет, потратив тысячи часов работы и урановые ресурсы, оцениваемые миллионами долларов. Этот хак запомнился как размахом, так и хитростью: вирус атаковал ядерную программу страны, которая находилась в состоянии конфликта с США и другими мировыми державами, а также он обманывал тысячи научных работников в течение полутора лет, пока он скрытно выполнял свою грязную задачу.

Взлом Home Depot 2014 года: более 50 миллионов кредитных карт

Используя пароль одного из продавцов сети магазинов, хакеры смогли украсть самое большое количество данных кредитных карт в истории. Используя бреши в операционной системе «Майкрософта», хакеры смогли проникнуть на серверы до того, как «Майкрософт» предпринял попытку закрыть эти бреши. Как только они смогли попасть в первый магазин сети в Майами, хакеры начали действовать по всему континенту. Они наблюдали за транзакциями, проходящими в 7 тысячах кассовых аппаратов этой сети. Они собирали данные о кредитных картах, по мере того как пользователи совершали покупки в этих магазинах. Эта хакреская атака запомнилась тем, что она была направлена против мощной корпорации и миллионов ее доверенных клиентов.

Spamhaus 2013 года: крупнейшая DDOS-атака в истории

DDOS-атака — это, по сути, поток данных. Используя десятки компьютеров, которые повторяют одинаковый сигнал с большой частотой и на высоком уровне шума, хакеры буквально затапливают и перегружают компьютерные системы в интернете. В марте 2013 года эта конкретная DDOS-атака оказалась настолько большой, что она замедлила работу всего интернета во всем мире, а также полностью отключило его в некоторых частях мира на целые часы.

Взлом eBay 2014 года: 145 миллионов пользователей

Многие говорят, что это было самое крупное нарушение общественного доверия в истории онлайн-бизнеса. Однако другие говорят, что это было гораздо менее печально, чем массовые кражи, так как произошла утечка лишь личных данных, а не финансовой информации. Независимо от того, с какой точки зрения вы решите взглянуть на этот инцидент, миллионы покупателей в интернете потеряли свои данные, которые были защищены паролем. Этот хак является особо запоминающимся, так как он оказался невероятно публичным, а также из-за того, что eBay в данной ситуации был описан как сервис, имеющий очень слабую систему безопасности, а также очень медленно и неадекватно реагирующий на ситуацию.

Взлом JPMorgan Chase 2014 года: 83 миллиона банковских счетов

В 2014 году российские хакеры взломали крупнейший банк Соединенных Штатов Америки и украли данные 7 миллионов банковских счетов малого бизнеса и 76 миллионов личных банковских счетов. Хакеры проникли в 90 компьютеров банка и с них просмотрели личную информацию пользователей счетов.

Вирус The Melissa 1999 года: 20 процентов компьютеров в мире было инфицировано

Мужчина из Нью-Джерси выпустил макро-вирус в интернет, где он проникал на компьютеры с операционными системами Windows. Этот вирус был замаскирован под прикрепленный к электронному письму файл Word с заголовком «Важное сообщение от (имя человека)». Как только пользователь нажимал на это прикрепленное сообщение, вирус активировался и приказывал компьютеру скопировать этот вирус в качестве массовой рассылки для первых пятидесяти контактов.

Взлом LinkedIn, раскрытый в 2016 году: 164 миллиона аккаунтов

Этот взлом, который удалось раскрыть только через четыре года после того, как он случился, запомнился тем, что крупнейшей социальной сети для сотрудников пришлось признать утерю данных 117 миллионов пользователей, которые затем были перепроданы на черном рынке. Значительным этот хак является из-за того, какое количество времени потребовалось компании, чтобы понять, что она была взломана. Четыре года — это довольно много времени для осознания того, что вас ограбили.

Взлом Anthem Health Care 2015 года: 78 миллионов пользователей

Базы данных второго по размерам медицинского страховщика в Соединенных Штатах Америки подвергались скрытой атаке в течение нескольких недель. Детали проникновения не разглашаются, однако компания заявляет, что медицинская информация украдена не была. Хакерам удалось украсть только контактную информацию и номера социального страхования.

Взлом сети Sony Playstation 2011 года: 77 миллионов пользователей

В апреле 2011 года группа хакеров под названием Lulzsec взломала базу данных Sony в сети Playstation, выложив в открытый доступ контактную информацию, логины и пароли 77 миллионов игроков. Sony заявляет, что данные кредитных карт украдены не были. Компания приостановила работу сервиса на несколько дней, чтобы улучшить систему безопасности и залатать дыры.

Взлом Global Payments 2012 года: 110 миллионов кредитных карт

Global Payments — это одна из крупнейших компаний, занимающихся транзакциями кредиторов и поставщиков. Она специализируется на малом бизнесе. В 2012 году система этой компании была взломана хакерами, которые украли информацию о кредитных картах. С некоторых карт, данные о которых были украдены, затем были сделаны нелегальные транзакции.

Вирус поразил внутреннюю компьютерную систему МВД России, поражены оказались компьютеры сразу в нескольких регионах страны, сообщили «Варламов.ру» несколько источников, знакомых с ситуацией.

Чуть ранее информация о возможном заражении появилась, в частности, на «Пикабу» и форуме «Касперского . Некоторые пользователи пишут, что, возможно, речь идет о вирусе WCry (также известном как WannaCry или WannaCryptor) – он шифрует файлы пользователя, изменяет их расширение (предположительно на.WNCRY) и просит купить специальный расшифровщик за биткоины, иначе файлы будут удалены.

«Впервые появился в феврале 2017 года, но был обновлен и теперь выглядит иначе, чем предыдущие версии», – пишет один из пользователей на форуме «Касперского».

Началось массовое заражение криптовирусом сети МВД по стране. Точно уже есть в Липецкой, Пензенской, Калужской областях. На рабочем столе просят 300 баксов. Название вируса @wanadecriptor. На некоторых компах идет отчет до 19 мая. Кто что еще слышал – делимся.

Сегодня в 22:04

Скорее всего, о целенаправленной атаке речи не идет. Вирус работает только на Windows - он использует уязвимость в операционной системе и распространяется вслепую: то есть не выбирает жертв, а заражает тех, кто не защищен. Microsoft закрыл эту уязвимость еще в марте: компания выпустила обновление, которое автоматически установилось на компьютеры обычных пользователей. Всем, у кого система обновилась, вирус не угрожает. В некоторых организациях обновления устанавливаются не автоматически, а с одобрения людей, отвечающих за безопасность. Видимо, с проблемами столкнулись те ведомства и компании, в которых обновление не установили.

Сегодня в 22:04

Час назад, если верить экспертам, атака выглядела так.

Сегодня в 22:02

Организовавшие кибератаки по всему миру хакеры воспользовались шпионским программным обеспечением, которое якобы применяло Агентство национальной безопасности США (АНБ). Об этом сообщила американская газета Politico.

По ее данным, злоумышленники, требующие выкуп за восстановление работы компьютерных сетей, использовали шпионское ПО, которое ранее распространила группа хакеров, выступающая под псевдонимом Shadow Brokers. Они утверждали, что получили доступ к якобы разработанным АНБ программам. ПО, согласно заверениям Shadow Brokers, нацелено на взлом компьютеров, работающих под управлением операционной системы (ОС) Windows производства Microsoft. С помощью них любой пользователь, обладающий достаточными техническими знаниями, может нанести ущерб миллионам пользователей этой ОС, утверждают хакеры. Программы также позволяют взламывать межсетевые экраны и похищать электронные данные.

Сегодня в 22:01

Электронная система Регионального суда бразильского штата Сан-Паулу была выведена из строя в результате кибератаки. Об этом сообщила в пятницу на своем сайте газета Folha di Sao Paolo.

По информации издания, сотрудники суда получили от специалистов рекомендацию немедленно выключить свои компьютеры. В 14:45 по местному времени (20:45 мск) сайт учреждения не функционировал.

Сегодня в 21:53

Оператору «Мегафон» пришлось отключить часть компьютерной сети в связи с тем, что компьютеры сотрудников компании подверглись хакерской атаке. Как сказал ТАСС директор «Мегафона» по связям с общественностью Петр Лидов, оператор уже восстановил работу колл-центра, а в ближайшие несколько часов планирует полностью устранить проблемы, возникшие из-за кибератаки.

«Масштаб довольно большой, затронуло большую часть регионов нашей страны. Но мы справляемся, сейчас вместе с «Лабораторией Касперского» (решения которой «Мегафон» использует для защиты) решаем этот вопрос», - сказал Лидов.

По словам Лидова, компьютеры сотрудников стали внезапно перезагружаться, а после перезагрузки появлялось окно с требованием заплатить $300, которое не позволяло продолжить работу. Все компьютеры «Мегафона», подвергшиеся атаке хакеров, работают на операционной системе Windows и объединены в сеть, отметил представитель оператора.

Чтобы предотвратить распространение вируса, «пришлось отключить часть внутренних сетей», отметил Лидов. «Сейчас мы полностью восстановили работу колл-центра. Важно, что на качестве связи это (кибератака) никак не сказалось», - сказал он. Конкретное число компьютеров, которые были отключены, он не уточнил.

Сегодня в 21:48

В настоящее время эксперты «Лаборатории Касперского» анализируют образцы вредоносного ПО для установления возможности расшифровки данных, отметил представитель компании.

Он пояснил, что атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик.

«Все решения «Лаборатории Касперского» детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen. Решения Лаборатории Касперского также детектируют программы-шифровальщики, которые использовались в этой атаке следующими вердиктами: Trojan-Ransom.Win32.Scatter.uf; Trojan-Ransom.Win32.Fury.fr; PDM:Trojan.Win32.Generic (для детектирования данного зловреда компонент «Мониторинг Системы» должен быть включен)», - отметил он.

По его словам, для снижения рисков заражения компаниям рекомендуется установить специальный патч от Microsoft, убедиться в том, что включены защитные решения на всех узлах сети, а также запустить сканирование критических областей в защитном решении.

«После детектирования MEM:Trojan.Win64.EquationDrug.gen необходимо произвести перезагрузку системы; в дальнейшим для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях», - подчеркнул представитель «Лаборатории Касперского».

(«Интерфакс»)

Сегодня в 21:44

Премьер-министр Великобритании Тереза Мэй: «Мы осведомлены о том, что многие организации Национальной системы здравоохранения (NHS) сообщили о том, что они пострадали от атаки вируса-вымогателя. Но ее целью не была NHS, это – международная атака, от которой пострадали многие страны и организации».

Сегодня в 21:43

Бывший сотрудник Агентства национальной безопасности (АНБ) США Эдвард Сноуден, скрывающийся от американских властей, отметил у себя в твиттере, что из-за разработанных АНБ инструментов теперь страдают пациенты клиник. (а страдают сейчас, как нам известно, не только они)

Сегодня в 21:27

Хакеры, атаковавшие в пятницу медицинские учреждения Великобритании, а также испанскую телекоммуникационную компани Telefónica, использовали модифицированную вредоносную программу Агентства национальной безопасности (АНБ) США, пишет издание Financial Times со ссылкой на аналитиков в области кибербезопасности.

По словам экспертов, инструмент американских разведслужб, известный как eternal blue («неисчерпаемая синева») был совмещен с «программой-вымогателем» WannaCry.

Программа, разработанная АНБ позволяет вирусу распространиться через протоколы обмена файлами, которые установлены на компьютерах многих организаций.

С этой оценкой согласны несколько чиновников в органах безопасности западных стран, отмечает газета.

(РИА «Новости»)

Сегодня в 21:20

По данным влиятельной группы экспертов по кибербезопасности MalwareHunterTeam, больше всех в результате атаки вируса пострадали серверы на территории России и Тайваня.

Под сильным ударом оказались также компьютерные системы Великобритании, Испании, Италии, Германии, Португалии, Турции, Украины, Казахстана, Индонезии, Вьетнама, Японии и Филиппин.

«Новый вирус распространяется с адской скоростью», - сообщают исследователи MalwareHunterTeam.

Сегодня в 21:19

Специалисты «Лаборатории Касперского» установили, что активно распространяющийся вирус-шифровальщик WannaCry использует известную сетевую уязвимость ОС Windows, закрытую специалистами Microsoft в марте. Об этом говорится в заявлении, поступившем в редакцию «Медиазоны».

«Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который злоумышленники запускали программу-шифровальщик», - говорится в документе.

«На данный момент «Лаборатория Касперского» зафиксировала порядка 45 000 попыток атак в 74 странах по всему миру. Наибольшее число попыток заражений наблюдается в России», - отмечают в компании.

Сегодня в 21:17

В «Лаборатории Касперского» зафиксировали более 45 тысяч атак, почти все они – на Россию.

Сегодня в 21:15

Совет от «Варламов.ру»:

Как вы знаете, сейчас идет массовая атака на компьютеры по всему миру. Если вы работаете на Windows - вы находитесь в потенциальной группе риска. Но не паникуйте и не пытайтесь перезагрузить компьютер! Лучше сохраните важные данные на внешний диск или в облако, пока все работает. И идите отдыхать. Если потом обнаружится, что ваш компьютер все-таки заражен, вы просто переустановите систему и восстановите данные из бэкапа.

Сегодня в 21:13