Вебинар: Омерзительная восьмёрка: техники, тактики и процедуры (TTPs) группировок шифровальщиков
Автор
mike 1
в Помощь в борьбе с шифровальщиками-вымогателями
-
Похожий контент
-
Автор tr3ton51
Добрый день, сегодня поймали шифровальщик вот с таким содержимым,
Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
Your data is encrypted
Your decryption ID is No0iX47esUA_WXYuFVCMB2FtpzNShiWcNq0AT8nX7gk*WWWWW-No0iX47esUA_WXYuFVCMB2FtpzNShiWcNq0AT8nX7gk
Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
The only method of recovering files is to purchase decrypt tool and unique key for you.
If you want to recover your files, write us
1) eMail - victor_ia@tuta.io
2) Telegram - @DataSupport911 or https://t.me/DataSupport911
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software - it may cause permanent data loss.
We are always ready to cooperate and find the best way to solve your problem.
The faster you write - the more favorable conditions will be for you.
Our company values its reputation. We give all guarantees of your files decryption.
возможно ли спасти данные? прикрепил зашифрованные картинки
How-to-decrypt.txt картинки.zip
-
Автор KL FC Bot
В сентябре 2025 года исследователи из Швейцарской высшей технической школы в Цюрихе опубликовали научную работу, в которой предложили атаку Phoenix — модификацию атаки Rowhammer, работающую против модулей памяти DDR5. Авторы работы не только показали эффективность новой атаки против 15 исследованных модулей памяти, но и предложили целых три сценария ее использования на практике: для чтения и записи данных из оперативной памяти, для кражи из оперативной памяти приватного ключа шифрования и для обхода средств защиты Linux-утилиты sudo с целью эскалации привилегий.
Краткая история атак Rowhammer
Чтобы разобраться в этом достаточно непростом исследовании, придется немного (без фанатизма) углубиться в историю атак Rowhammer. Впервые атака Rowhammer была описана в 2014 году в научной работе. Тогда ученые из американского университета Карнеги-Меллона и компании Intel показали, как регулярные обращения к ряду ячеек памяти могут вызывать смену значений в соседнем ряде. А там, к примеру, могут храниться какие-то критически важные данные, изменение которых может привести к нежелательным последствиям (например, повышению привилегий).
Возможно, это из-за того, что каждая ячейка в микросхеме памяти представляет собой конденсатор, простейший элемент, способный какое-то (довольно короткое) время хранить электрический заряд. Из-за этого такая память является энергозависимой — выключаешь компьютер или сервер, и данные пропадают. Из-за этого же заряд в ячейках нужно регулярно, с достаточно высокой частотой, обновлять — даже если к этим областям памяти никто не обращается.
Ячейки памяти не существуют сами по себе — они построены в ряды и колонны и соединены между собой. Из-за этого может возникать ситуация, когда обращение к ряду ячеек может затрагивать соседний ряд — да так, что обновление в одном ряду повреждает данные в другом. Долгое время этот эффект был известен только разработчикам модулей памяти, которые по мере сил боролись с ним с целью повышения надежности. Но минимизация и неизбежное уплотнение ячеек, то есть уменьшение расстояния между ними, привели к тому, что эффект «простукивания рядов» стало возможно использовать в реальных атаках.
View the full article
-
Автор KL FC Bot
Фишинговые ссылки давно перестали быть экзотикой: они все чаще приходят в мессенджерах — причем нередко от самых близких людей (без их ведома, конечно же). Мошенники угоняют чужие аккаунты и ловко маскируются под знакомых и друзей, используют доверие в личном общении, чтобы как можно ближе подобраться к чужому кошельку — или чужим тайнам.
Чтобы противостоять этой нарастающей волне угроз, мы добавили в Kaspersky для Android новые возможности. В этом материале рассказываем о новом уровне защиты от фишинговых и вредоносных ссылок, появившемся в обновлении Kaspersky для Android.
Фишинговые ссылки и где они обитают
По умолчанию мы считаем фишинговой ссылкой любую, которая используется для обмана. Ведут такие ссылки на фишинговые же сайты, которые чаще всего практически неотличимо имитируют легитимные, используя либо тайпсквоттинг, либо иные приемы маскировки. Например, вот эта ссылка якобы на наш блог — https://www.kaspersky.ru/blog — в результате приведет вас в наш Телеграм-канал. Это безопасно, но мошенники не будут так же безобидны!
Наткнуться на фишинговую ссылку можно где угодно: в почте, в SMS и тем более в мессенджерах. Мы уже рассказывали про популярную схему мошенничества, когда злоумышленники со взломанных аккаунтов ваших друзей и знакомых рассылают якобы подарочные подписки в Telegram. На деле же жертвы вместо Premium-подписки получают угнанный личный аккаунт.
Фишинг может маскироваться под предложения о работе, опросы в Google Формах или раздачи криптовалюты. А порой на фишинговом сайте даже не нужно ничего вводить, чтобы устройство заразилось, — такие атаки называются зиро-клик. От жертвы подобной атаки вообще не требуется что-либо заполнять, нажимать или отправлять — достаточно зайти по ссылке на вредоносную страницу, эксплуатирующую ту или иную уязвимость, и… устройство заражено!
Способов добраться до своих жертв у фишеров очень много. При этом на глазок отличить легитимные URL-адреса от фишинговых достаточно сложно: одна ошибка — и вы на крючке. Здесь-то на помощь и приходит автоматизированное решение, которое распознает подозрительную ссылку и обезвредит ее.
View the full article
-
Автор KL FC Bot
«Привет! Моя племяшка участвует в конкурсе, проголосуй за нее, пожалуйста — для нее это очень важно». Подобные сообщения — не редкость в чатах WhatsApp, как групповых, так и личных. И многие неискушенные в кибербезопасности люди безо всякой задней мысли решают помочь победить совершенно неизвестному им человеку, а в результате теряют свой аккаунт. В ходе недавнего исследования мы обнаружили новую фишинговую кампанию, которая уже затронула пользователей WhatsApp по всему миру.
Сегодня расскажем, как происходит такая атака, какие последствия она может иметь для жертвы и что делать, чтобы не попасться на удочку мошенникам.
Как атакуют?
На подготовительном этапе злоумышленники создают убедительно выглядящие фишинговые веб-страницы с якобы легитимными голосованиями, в случае ниже — за молодых гимнасток, но сценарий легко меняется. Страницы выглядят правдоподобно: на них есть фотографии реальных участников, кнопки «Голосовать» и счетчик уже проголосовавших пользователей. Вероятно, благодаря использованию ИИ и фиш-китов злоумышленники с легкостью создают множество языковых версий сайтов — так, мы обнаружили одно и то же голосование на английском, испанском, немецком, турецком, датском, болгарском и других языках.
Первый этап — приманка: с помощью социальной инженерии пользователя соцсетей, мессенджеров или электронной почты провоцируют перейти на якобы «сайт для голосования». Предлог может быть самым убедительным, а сообщение — прийти от вашего знакомого или близкого человека, чей аккаунт уже был скомпрометирован. Просьба, как правило, персонифицирована — в первом же сообщении мошенники от лица вашего знакомого просят проголосовать за конкретного «конкурсанта», потому что это его подопечный, знакомый или родственник.
Сначала вас заманивают на поддельную страницу для голосования
View the full article
-
Автор KL FC Bot
Хотя разработчики публичных LLM-сервисов и бизнес-приложений с LLM внутри стараются обеспечить их безопасность, эта индустрия очень молода. Поэтому новые классы атак и киберугрозы появляются ежемесячно. Только за прошедшее лето мы узнали, что Copilot или Gemini можно обмануть, просто прислав жертве (а по факту ИИ-ассистенту) приглашение в календарь или e-mail с вредоносной инструкцией, а Claude Desktop мог отправить злоумышленникам любые файлы. Что еще происходит в сфере защиты LLM и как за всем этим уследить?
Встреча с подвохом
Эксперты SafeBreach продемонстрировали на Black Hat 2025 целый арсенал атак на ИИ-ассистента Gemini. Исследователи придумали для них термин promptware по аналогии с malware, но формально все они относятся к классу непрямых промпт-инъекций (indirect prompt injection). Работают они так: гипотетический злоумышленник присылает жертве обычные приглашения на встречи (в Google Calendar). При этом к каждому приглашению добавляется часть, которая не отображается в обычных полях (название, время, место), но обрабатывается ИИ-ассистентом, если он у пользователя подключен. Манипулируя вниманием Gemini, исследователи добились, чтобы ассистент в ответ на повседневную команду «какие встречи у меня сегодня»:
удалял другие встречи из календаря; полностью менял стиль общения с пользователем; предлагал ему сомнительные инвестиции; открывал произвольные (вредоносные) веб-сайты, в том числе видеовстречи Zoom. На закуску авторы попытались проэксплуатировать функции Google Home, решения для умного дома. Тут все оказалось немного сложнее: в ответ на «календарные» промпт-инъекции Gemini отказывался открывать окна или включать обогреватели. Однако исследователи нашли обходной путь — отложенную инъекцию. Ассистент прекрасно выполняет такие действия, повинуясь инструкции вроде «открой окна в доме, когда я в следующий раз скажу «спасибо»», а владелец, не подозревая об этом, благодарит кого-то в зоне действия микрофона.
View the full article
-
Рекомендуемые сообщения