«Доктор Веб» сообщает: M.E.Doc содержит бэкдор

вэб      По сообщениям независимых исследователей, источником недавней эпидемии червя-шифровальщика Trojan.Encoder.12544, также известного под именами NePetya, Petya.A, ExPetya и WannaCry-2, стал модуль обновления популярной на территории Украины программы для ведения налоговой отчетности M.E.Doc. Аналитики компании «Доктор Веб» исследовали модуль обновления M.E.Doc и обнаружили его причастность к распространению как минимум еще одной вредоносной программы.
     В процессе исследования аналитики пришли к выводу, что модуль обновления программы M.E.Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. Дальнейшее изучение показало, что этот бэкдор может выполнять в инфицированной системе следующие действия:
     -сбор данных для доступа к почтовым серверам;
     -выполнение произвольных команд в инфицированной системе;
     -загрузка на зараженный компьютер произвольных файлов;
     -загрузка, сохранение и запуск любых исполняемых файлов;
     -выгрузка произвольных файлов на удаленный сервер.
     Принимая во внимание то, что в одном из своих интервью, которое было опубликовано на сайте агентства Reuters, разработчики программы M.E.Doc утверждали, что созданное ими приложение не содержит вредоносных функций, а также учитывая данные статического анализа кода, вирусные аналитики «Доктор Веб» пришли к выводу, что некие неустановленные злоумышленники инфицировали один из компонентов M.E.Doc вредоносной программой. Этот компонент был добавлен в вирусные базы Dr.Web под именем BackDoor.Medoc.

Рубрика: Без рубрики | Оставить комментарий

Изъяты серверы возможно распространявшие вирус Petya

пиратка     Украинская киберполиция изъяла серверы киевской компании M.E.Doc, производящей системы отчетности и документооборота, в рамках расследования кибератаки вируса Petya, произошедшей на прошлой неделе. Об этом сообщает Reuters со ссылкой на руководителя киберполиции Сергея Демедюка.​ Хотя ещё в понедельник, 3 июля, в M.E.Doc говорили агентству, что их серверы не были подвержены кибератаке.
     Однако, во вторник Microsoft представила доклад, в котором говорится, что во время хакерской атаки на Украине вирус Petya распространялся с помощью бухгалтерского программного обеспечения MEDoc (производится компанией M.E.Doc). О причастности софта компании к распространению вируса заявила и украинская киберполиция.
     Microsoft утверждает, что есть доказательства того, что несколько заражений компьютерных сетей вирусом произошли после очередного обновления MEDoc.
     Данные телеметрии показали, что процесс обновления MEDoc (EzVit.exe) «по непонятным причинам» в один момент привел в действие команду, которая совпадает с кодом начала кибератаки утром 27 июня.
     В американской компании назвали атаки с помощью программного обеспечения «опасной тенденцией», для защиты от которых требуется «передовая оборона».
     В «Лаборатории Касперского» рассказали, что M.E.Doc распространяла вирус только по Украине, но, поскольку в этой стране расположены офисы глобальных компаний, оказались заражены сети других стран.

Рубрика: Без рубрики | Оставить комментарий

У жертв ExPetr нет шансов расшифровать файлы

Petya     Как сообщает РИА «Новости», эксперты лаборатории Касперского предупреждают, что жертвы нового вируса-шифровальщика не смогут вернуть свои файлы после заражения.
     По предварительным данным, этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью. «Лаборатория Касперского» назвала новый шифровальщик ExPetr.
     «Проведенный нашими экспертами анализ показал, что у жертв изначально не было шансов вернуть свои файлы. Исследователи «Лаборатории Касперского» проанализировали ту часть кода зловреда, которая связана с шифрованием файлов, и выяснили, что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно», — сообщает лаборатория.

Рубрика: Без рубрики | Оставить комментарий

Атака вируса Petya

1497396847     Украинские госорганы, банки, государственные и коммерческие компании, аэропорты и СМИ сегодня подверглись массированной кибератаке. Департамент киберполиции Украины получил 22 сообщения о вмешательстве в работу персональных компьютеров от государственных и частных учреждений. Сообщения поступают как из Киева, так и из регионов.
     В компании Group-IB, специализирующейся на решениях по раннему выявлению киберугроз, сообщили, что атаке вируса-вымогателя Petya на Украине подверглись компании «Запорожьеоблэнерго», «Днепроэнерго» и «Днепровская электроэнергетическая система», Mondelez International, Mars, «Новая Почта», Nivea, TESA, а также магазины «Ашан» и украинские операторы — «Киевстар» и LifeCell.
     Также,  из-за атаки хакеров, прекратил телевещание украинский «24 канал». В настоящее время на канале транслируется только заставка. На сайте «24 канала» сообщили, что пострадали ресурсы украинского медиахолдинга «Люкс». Как отмечается, атаке подверглись редакции медиахолдинга в Киеве и Львове. Специалисты пытаются восстановить работу медиаресурсов.

Рубрика: Без рубрики | Оставить комментарий

Intel представила Core i9

     Сегодня на выставке Computex Intel объявила о выпуске нового семейства процессоров Core X, построеных на обновленной версии платформы Intel 6-го поколения Skylake X, которые ориентированы в первую очередь на геймеров, которые, хотят иметь возможность играть в новейшие игры в самом высоком разрешении, а параллельно запустить потоковую передачу видео и чат со зрителями. Либо для тех, кто планирует существенно загрузить свой компьютер различными «тяжелыми» задачами, типа обработки видео, трехмерной графики и тому подобное. Для таких пользователей компания предлагает процессор Core i9 Extreme, который Intel назвала «первым потребительским настольным процессором с 18 ядрами и 36 потоками».

1238309
     Все новые процессоры Core X предназначены для работы с новым чипсетом для материнских плат Intel X299, который, как отмечает компания, должен появиться в ближайшие недели вместе с новыми процессорами.
     В конце презентации компания вновь намекнула на грядущую линейку процессоров под названием Coffee Lake, которая должна работать на 30 процентов быстрее, чем Kaby Lake.

Рубрика: Без рубрики | Оставить комментарий

Выпуск Windows 10 для Китая и новый Surface Pro

2fcfbea8e9738e7df8b5824c57c33a22-1024x576     Терри Майерсон, исполнительный вице-президент группы  Windows и устройств, сообщил в блоге Windows о том, что сегодня в Шанхае Microsoft объявила о выпуске издания Windows 10 для правительственных и государственных учреждений Китая, которое основано на Windows 10 Enterprise Edition, уже включающей в себя многие из функций развертывания, управления безопасностью и администрирования в которых нуждаются государственные учреждения и предприятия. В издании Windows 10 для правительственных и государственных учреждений Китая эти функции будут использоваться для удаления компонентов, которые не нужны сотрудниками китайского правительства таких, например, как OneDrive, чтобы управлять всеми параметрами телеметрии и обновления и для предоставления правительству возможности использовать свои собственные алгоритмы шифрования в пределах своих компьютерных систем.
     Кроме того, так же были представлены новый Surface Pro, HoloLens для разработчиков в Китае и анонс ожидаемого в этом году проекта Скорпион.
Полностью материал Терри Майерсона можно прочесть в блоге Windows: https://blogs.windows.com/windowsexperience/2017/05/23/announcing-windows-10-china-government-edition-new-surface-pro/#zxxfJEZLsyJ1KaD2.97

Рубрика: Без рубрики | Оставить комментарий

WannaCrypt атакует!

1237361     Конец рабочего дня пятницы 12 стал настоящим киберкошмаром для множества пользователей по всему миру. Одновременно начавшаяся масштабная кибератака вируса WannyCrypt коснулась как обычных пользователей, так и организаций, в том числе крупных. Среди пострадавших оказались, например, —российское Министерство внутренних дел и сотовый оператор «МегаФон», немецкий оператор пригородных электричек, британский Минздрав и многие другие.
     WannyCrypt — это червь-шифровальщик, отличительной особенностью которого является функция саморазмножения, обычно отсутствующая у классических шифровальщиков. Это значит, что для заражения не требуется никуда кликать, ничего нажимать и ничего открывать. Достаточно просто иметь уязвимый, непропатченный и подключенный к Интернет (в том числе и через другие компьютеры, например, в локальной сети) компьютер на базе платформы Windows, чтобы стать жертвой WannaCrypt.
     Вирус блокирует все данные на компьютере и требует выкуп за их разблокировку.
По мнению аналитиков, авторы WannaCrypt воспользовались утечкой из ShadowBrokers, в результате которой миру стали известны множество ранее неизвестных уязвимостей и способов проведения атак, в частности уязвимость ETERNALBLUE присутствующую на всех версиях Windows, кроме Windows 10, которая позволяла через уязвимый SMB получать удаленный доступ к компьютеру и незаметно устанавливать на него программное обеспечение.
     Компания Microsoft еще в марте, как только стало известно об утечке из ShadowBrokers, выпустила соответствующий патч закрывающий эту уязвимость, но, как оказалось, многие администраторы по разным причинам не удосужились его установить на свои компьютеры.
     Учитывая масштабы и опасность данного инцидента,  Microsoft пошла на беспрецедентный шаг и выпустила патчи даже для уже неподдерживаемых компанией операционных систем семейства Windows (Windows XP, Windows 8, Windows Server 2003).
     Оценить маштабы атаки WannaCrypt можно на странице мониторинга активности заражений: https://intel.malwaretech.com/botnet/wcrypt .

Рубрика: Без рубрики | Оставить комментарий