Нас тоже атаковал тот же самый вирус benjamin_jack2811 ransomware.
Автор
elemag
в Помощь в борьбе с шифровальщиками-вымогателями
-
Похожий контент
-
Автор Warlocktv
Добрый день,
Через RDP словили шифровальщик Phobos (на основании ID Ransomware https://id-ransomware.malwarehunterteam.com/identify.php?case=52c4281ece07330467137e30a150ae4130e52132).
Отчеты Recorded Future Triangle https://tria.ge/241216-tdxdrsvpek и Joe Sand Cloud https://www.joesandbox.com/analysis/1576226/1/executive.
Зараженные системы удалены. Остались зараженные файлы которые требуется дешифровать. Необходима помощь. В архиве два зараженных файла и сообщения от шифровальщиков.Encrypted.zip
-
-
Автор KL FC Bot
Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
Как Interlock использует ClickFix для распространения вредоносного ПО
Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
View the full article
-
Автор KL FC Bot
Вы, скорее всего, уже видели свежие новости с заголовками «Самая масштабная утечка в истории человечества». Весь мир переполошился из-за журналистов Cybernews, которые обнаружили в свободном доступе логины и пароли к 16 млрд учетных записей — по две на каждого жителя Земли. Что это за утечка и что нужно сделать прямо сейчас?
Что за утечка? Там есть мои данные?
В оригинальном исследовании сказано, что команда Cybernews занималась этой историей с начала года. За шесть месяцев удалось собрать 30 незащищенных наборов данных, которые суммарно и превращаются в 16 млрд паролей. Самый большой набор данных, 3,5 млрд записей, связан с португалоговорящим населением планеты; еще 455 млн записей имеют отношение к России, а 60 млн — «скорее всего», к Telegram.
База данных построена по такому принципу: URL сайта, логин и пароль. Все, ничего лишнего. При этом сказано, что слиты были данные пользователей всех гигантских сервисов: Apple, Google, Facebook*, Telegram, GitHub и т. д. Удивительно, что в руках журналистов оказались именно пароли, а не хеши. В нашем исследовании Как хакеры могут взломать пароль за час мы подробно останавливались на том, как именно компании хранят пароли. Спойлер: почти всегда в закрытом виде с использованием алгоритмов хеширования.
Особое внимание в этой истории уделено свежести данных: журналисты утверждают, что в 16 млрд не входят самые крупные утечки, про которые мы писали в блоге Kaspersky Daily. За кадром остаются важные вопросы: «откуда появились 16 млрд свежеутекших паролей и почему, кроме Cybernews, их никто не видел?». К большому сожалению, журналисты не предоставили ни одного доказательства реального существования этой базы. Поэтому ни экспертам «Лаборатории Касперского», ни любым другим не удалось проанализировать эту утечку. А значит, и утверждать, есть ли там именно ваши данные, да и вообще чьи-либо, — мы не можем.
По словам Cybernews, весь сбор базы данных был возможен в результате работы стилеров. Это и в самом деле набирающая силы угроза. По нашим данным, количество обнаруженных по всему миру атак, связанных с кражей паролей, выросло с 2023 по 2024 год на 21%. Злоумышленники нацелены как на частных, так и на корпоративных пользователей.
View the full article
-
Автор KL FC Bot
12 мая — Всемирный день борьбы с шифровальщиками. В 2025 году в этот памятный день, учрежденный Интерполом и «Лабораторией Касперского», мы хотим обсудить тенденции, которые прослеживаются в ransomware-инцидентах и служат доказательством того, что с каждым годом идея вести переговоры со злоумышленниками и совершать переводы в криптовалюте становится все хуже.
Низкое качество расшифровщиков
Когда инфраструктура компании зашифрована в результате атаки, бизнес в первую очередь хочет вернуться к нормальной деятельности, как можно быстрее восстановив данные на рабочих станциях и серверах. Из записок вымогателей может сложиться впечатление, что после оплаты компания получит приложение, которое быстро вернет всю информацию на свои места и можно будет практически безболезненно продолжить работу. На практике этого почти никогда не случается.
Во-первых, часть вымогателей просто обманывает своих жертв и вообще не присылает расшифровщик. Такие случаи стали широко известны, например благодаря утечке внутренней переписки вымогателей Black Basta.
Во-вторых, бизнес вымогателей — это шифрование, а не расшифровка, поэтому написанию декрипторов уделяется минимум внимания: они плохо и медленно работают. Может оказаться, что восстановление данных из резервной копии пройдет значительно быстрее, чем восстановление при помощи утилиты злоумышленников. Часто присланные вымогателями расшифровщики сбоят при встрече с экзотическими именами файлов, из-за конфликтов прав доступа или просто без видимой причины и при этом не имеют механизма продолжения расшифровки с того места, где она прервалась. Иногда, из-за некорректной обработки, они просто портят файлы.
В результате образовался целый сегмент ИТ-бизнеса — нормальная расшифровка. Легитимные компании берут полученный от вымогателей сырой расшифровщик и переписывают его так, чтобы он работал нормально. Но быстро найти такую компанию и дождаться улучшенную версию утилиты — опять потери денег и времени.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти