-
Похожий контент
-
Автор Николай НИК
Приветствую!
После шифрования файлов в домене, контроллер домена работает не адекватно.
некоторые оснастки не открываются.
управление сервером не работает.
повершел не работает.
Addition.txt FRST.txt
-
Автор KL FC Bot
Программы-архиваторы, упрощающие хранение и пересылку файлов, стали привычным инструментом не только для пользователей, но и для злоумышленников. Вредоносные архивы систематически находят как в целевых атаках, так и в инцидентах с шифровальщиками-вымогателями. Злоумышленники в основном применяют их для обхода средств защиты информации, обмана пользователей и, конечно, для извлечения украденных данных. А значит, ИБ- и ИТ- отделам следует уделять особое внимание тому, как архивы обрабатываются в ОС, бизнес-приложениях и защитных инструментах. Рассказываем, для чего злоумышленники могут использовать архивы.
Доставка вредоносного ПО с обходом предупреждений Mark-of-the-Web
Благодаря логическим особенностям и уязвимостям конкретных архиваторов, при распаковке под Windows у извлеченного файла иногда не устанавливаются атрибуты «загружен из Интернета» (Mark-of-the-Web, MOTW). Технически эти атрибуты сохраняются в альтернативном потоке данных (NTFS alternative data stream) Zone.Identifier. Если идентификатор указывает на внешний источник файла (ZoneID = 3, 4), то при попытке запуска исполняемого файла появляется предупреждение Windows, а Office автоматически открывает потенциально небезопасный документ в защищенном режиме.
Эксплуатируя дефекты архиваторов, атакующие обходят этот слой защиты. Самой свежей уязвимостью, приводящей к инцидентам такого рода, стала CVE-2025-31334 в WinRAR, но этот случай не единичный: известны CVE-2025-0411 в 7-Zip, CVE-2024-8811 в WinZip и другие. Важно учитывать, что некоторые архиваторы вообще не поддерживают MOTW, устанавливают ее только для некоторых расширений файла либо только при определенных способах распаковки. Сводная таблица по поддержке MOTW архиваторами доступна на GitHub.
View the full article
-
Автор KL FC Bot
В популярном архиваторе 7-Zip была обнаружена уязвимость CVE-2025-0411, позволяющая злоумышленникам обходить защитный механизм Mark-of-the-Web. CVE-2025-0411 имеет рейтинг 7.0 по шкале CVSS. Уязвимость была оперативно исправлена, однако, поскольку в программе отсутствует механизм автоматического обновления, у некоторых пользователей могла остаться уязвимая версия. В связи с чем мы рекомендуем незамедлительно обновить архиватор.
Что такое Mark-of-the-Web?
Механизм Mark-of-the-Web (MOTW) заключается в проставлении специальной отметки в метаданных файлов, полученных из Интернета. При наличии такой отметки операционная система Windows считает такой файл потенциально опасным. Соответственно, если файл исполняемый, то при попытке его запуска пользователь увидит предупреждение о том, что он может причинить вред. Кроме того, ряд программ ограничивают функциональность файла (например, офисные приложения блокируют выполнение макросов). Подразумевается, что если из Интернета скачан архив, то при его распаковке все находившиеся внутри файлы также унаследуют отметку MOTW.
Злоумышленники неоднократно были замечены за попытками избавиться от отметки MOTW для того, чтобы ввести пользователя в заблуждение. В частности, несколько лет назад мы писали о том, как это делает группировка BlueNoroff. По классификации матрицы MITRE ATT&CK обход механизма MOTW относится к подтехнике T1553.005: Subvert Trust Controls: Mark-of-the-Web Bypass.
View the full article
-
Автор MaximLem
При заходе в различные игры на игровом фпс держится нормально минут 5-10 , а после резко падает, вирусов вроде как нет, прочитал что нужно сбросить биос до заводских , после сброса фпс держался нормально примерно 15 минут и потом снова снова сильно падал и не возвращался, эту проблему можно как то решить?
-
Автор Vladisla543
Похоже поймал вирус майнинг, не дает нормально работать, не могу запустить ни одну программу, выскакивает что запрещено системным администратором, проверил в безопасном режиме Dr.Web Cureit, нашёл какие-то зараженные файлы но проблема не ушла.
CollectionLog-2024.02.01-13.43.zip
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти