Double pulsar как убрать


Устранение атаке DoublePulsar в системах с ОС Windows

На ПК в вашей сети обнаружена следующая проблема:

в памяти присутствует резидент кода лазейки DoublePulsar


Серьезность: Высокая

Ссылка: MS17-010 | CVE-2017-0143

Описание
Ваш ПК заражен, так как в его памяти присутствует резидент кода лазейки DoublePulsar. Он оказался там в результате действий злоумышленников или программы-червя. Теперь эта лазейка воспринимает команды, в числе которых может быть установка вредоносного ПО (включая печально известную программу-вымогатель WannaCry) или кража важной информации. Код этой атаки-лазейки стал доступен после утечки из Агентства национальной безопасности США в апреле 2017 года и был использован для создания множества видов вредоносного ПО, заразившего по всему миру системы, которые не получили нужных исправлений.

Рекомендуем немедленно выполнить указанные выше шаги для удаления угрозы. Важно перезапустить устройство, отключив его перед этим от сети. При перезапуске код лазейки выпадает из памяти, а отсутствие подключения к сети предотвращает повторное заражение ПК до установки исправлений.

Причиной заражения стала работа компьютера с устаревшей версией службы общего доступа к файлам и принтерам (SMB) ОС Windows, которая содержит уязвимость EternalBlue, получившую обозначение CVE-2017-0143. Эта уязвимость делает возможным удаленное исполнение кода при посредстве сети. Это означает, что при включенном общем доступе к файлам и при отсутствии блокировки порта 445 TCP брандмауэром вредоносный объект получает возможность использовать код эксплойта для получения удаленного контроля над ПК и установки вредоносного ПО. На обнаруженном при сканировании сети компьютере уже присутствует этот код эксплойта.

Компания Microsoft выпустила исправление для уязвимости EternalBlue для Windows 10, Windows 8.1, Windows 7 и Windows Vista в бюллетене по безопасности MS17-010, выпущенном в марте 2017 года. Для Windows 8 и Windows XP оно стало доступным в мае 2017 года. Правильная установка этого исправления при перезапуске ПК для удаления имеющегося заражения устранит уязвимость и предотвратит заражения этого рода в будущем.

Масштабная атака DoublePulsar произошла 12 мая 2017 года: червь-вымогатель WannaCry (WanaCrypt0r) воспользовался уязвимостью и заразил тысячи компьютеров по всему миру. В нашем блоге вы можете найти более подробную информацию об этой атаке программы-вымогателя.

»  Программа-вымогатель, жертвами которой стали компания Telefonica и больницы NHS, агрессивно распространяется: на данный момент произошло уже более 50 000 атак

Если говорить о технических подробностях, уязвимость EternalBlue распространяется на реализациях первой версии протокола SMB (общеизвестной под обозначением SMBv1), не получивших исправления. SMBv2 и более новые версии, доступные для Windows 7 и более новых операционных систем, не пострадали. Однако и новые системы имеют поддержку SMBv1, поэтому их стоит немедленно обновить или, по крайней мере, отключить протокол SMBv1.

Потенциальными жертвами могут стать все версии операционных систем Microsoft Windows от Windows XP до юбилейного обновления Windows 10. Другие операционные системы, использующие иные способы реализации протокола SMB (включая Samba в ОС Linux), не подвержены этой атаке.

Рекомендация
Выполните обновление системы безопасности MS17-010, которое решает эту проблему. Делать это следует только после отключения от сети и перезапуска.

Если заражен другой компьютер в вашей сети, на котором не установлена программа Avast, лазейка DoublePulsar могла установить на него вредоносное ПО. Не исключено, что была установлена и сама печально известная программа-вымогатель WannaCry. Установите на него программу Avast Free Antivirus и запустите Сканирование при загрузке, чтобы удалить все возможные угрозы.

Продукты Avast Premier и Avast Internet Security оснащены встроенным Firewall. Использование этих версий программы Avast и установка для брандмауэра профиля Интернет предотвращают заражение в данной сети.

help.avast.com

Удалить Doublepulsar-1.3.1.exe процесса в несколько этапов

Ваш браузер может внезапно показать вам Doublepulsar-1.3.1.exe процесс в диспетчере задач. Это, безусловно, плохая идея, чтобы принять это как совпадение. нет, это была спланированная акция, чтобы проникнуть в ваш компьютер. Ваш компьютер может быть недавно загрязнено рискованными вредоносными программами. К сожалению, вам придется иметь дело с этой бедой прямо сейчас. И это в ваших интересах, чтобы найти его как можно быстрее и устранить Doublepulsar-1.3.1.exe рекламное.

Doublepulsar-1.3.1.exe

Вы можете увидеть процесс Doublepulsar-1.3.1.exe в диспетчере задач, простой щелчок правой кнопкой мыши покажет вам С:\Windows System32 инфицированное местоположение папки. Однако, это не значит, что проблема решена, и теперь вы можете удалить этот вопрос. Наоборот! Вы не сможете удалить угрозы вручную, поскольку источник постоянных объявлений скрывается под многими другими службами и процессы действуют на вашем компьютере. Рекламное что у вас в системе работает с навыком самозащиты, Сам по себе это маске и остается в системе в течение длительного времени.

Проникновение процесса Doublepulsar-1.3.1.exe может произойти из-за личные действия пользователя или проблемы с защитой. В первом случае определенных пользователей’ действия, связанные с бездумной и глупой установкой могут вызвать появление вредоносных программ. Они должны быть бдительными и внимательными все время они находятся в оперативном режиме, и особенно осторожны с загрузкой. Во втором случае люди полагаются на антивирусное программное обеспечение и не знаю, что иногда это может не поддерживать отслеживание всех угроз и предотвращения их установки. Это всегда хорошая идея для переключения для надежного программного обеспечения, которое может проводить свои основные функции.

Doublepulsar-1.3.1.exe

Удаление процесса Doublepulsar-1.3.1.exe можно с помощью всего нескольких щелчков мыши. Руководство ниже может помочь вам с основными шагами, которые нужно сделать с нашими GridinSoft Anti-Malware инструмент. Автоматическое удаление не оставляет никаких шансов для всех вариантов вредоносных программ. Следуйте учебники ниже, чтобы сбросить зараженный браузер, что является обязательным.


Скачать надежный инструмент для удаления Doublepulsar-1.3.1.exe:

Подробная инструкция о том, как удалить Doublepulsar-1.3.1.exe инфекции.

  1. Прежде всего, вам необходимо скачать и установить GridinSoft Anti-Malware.
  2. Откройте программу и выберите “Быстрое сканирование” или “Полное сканирование“. Рекомендуется полное сканирование системы , но из-за наличия вирусов, ваш компьютер может страдать от проблем с производительностью, в таком случае используйте Быструю проверку.
  3. Просканируйте свою систему и посмотрите на результат.
  4. После завершения сканирования, вам нужно нажать на “Clean Now” Кнопка для удаления Doublepulsar-1.3.1.exe вирус:
  5. (необязательный пункт) Закройте все доступные браузеры, если это возможно.
  6. В GridinSoft Anti-Malware выберете пункт “Инструменты (tools)” а затем на “Сбросить настройки браузера (Reset browser settings)“:
  7. Следуйте следующим инструкциям:, выберите браузеры которые должны быть сброшены, нажмите на кнопку “Сброс (Reset)” .. В заключении, перезагрузите компьютер, чтобы применить все внесенные изменения:

Профилактические советы для вашего ПК от быть с Doublepulsar повторного заражения-1.3.1.exe в будущем:

GridinSoft Anti-Malware предлагает отличное решение, которое может помочь предотвратить заражение вашей системы вредоносным программным обеспечением в будущем. Эта функция называется “On-run Protection”. По умолчанию, она отключена после установки программного обеспечения. Чтобы включить её, пожалуйста, нажмите на “Защищать (Protect)” и нажмите на кнопку “Начать (Start)

Эта полезная функция может позволить людям предотвратить установку вредоносного программного обеспечения. Это означает, когда вы будете пытаться установить некоторые подозрительные приложения, "On-run Protection" будет блокировать эту попытку установки. ПРИМЕЧАНИЕ! Если пользователи хотят, чтобы потенциально опасные программы были установлены, Кнопка они могут выбрать «Игнорировать всегда». В случае, если вы хотите заблокировать вредоносную программу, вы должны выбрать "Блокировать всегда (Block always)".

free-antimalware.com

Удалить DKOM.DoublePulsar (шаг к удалению) – Чистота ПК Руководство вредоносных программ

Вы заметили заражение DKOM.DoublePulsar на вашем ПК, но не смогли удалить i? Работает ли ваша рабочая станция совершенно ненормально? Если да, то это не очень хороший знак, потому что на ПК существует опасная троянская инфекция. Это создает хаос и препятствия при работе в Интернете, а также в автономном режиме. Важные реестры и системные файлы полностью разрушены и уничтожены. DKOM.DoublePulsar может появиться на ПК через различные источники, такие как связывание, в котором связанные с ним полезные файлы и файлы имеют вложение с законными программами, особенно бесплатными. С другой стороны, кампании рассылки спама часто используются киберпреступниками для распространения вредоносного ПО.

DKOM.DoublePulsar изменяет настройки загрузки ПК и распространяет свои файлы и полезные данные в нескольких местах. Это помогает запускать файлы запуска, как только компьютер загружается. Вредоносные файлы распространяются в разных местах, поэтому их очень сложно удалить вручную. Он также изменяет важные настройки браузера, такие как домашняя страница по умолчанию, URL-адрес новой вкладки, поставщик поисковых систем и т. Д., Поэтому опыт работы в Интернете также сильно нарушается. Каждый законный URL-адрес и веб-страница начинают перенаправляться на опасные веб-сайты. Параметры безопасности используются и подвергаются дополнительной вредоносной инфекции. Очень быстро ПК становится центром стольких заражений программ-шпионов и ransomware.

Как DKOM.DoublePulsar получает внутри ПК?

Как и любая троянская инфекция, эта опасная вредоносная программа также поступает на ПК в тайне без предварительного уведомления или разрешения. Таким образом, вы должны быть очень осторожны относительно загружаемой программы. Всегда выбирайте предварительный / пользовательский процесс установки, чтобы вы могли остановить установку дополнительных файлов. Важно внимательно ознакомиться с условиями и соглашением, чтобы вы не загружали приложение, которое могло бы изменить настройки других программ.

Удалить DKOM.DoublePulsar, используя мощный Windows сканер
Скачать автоматический утилиту для устранения угрозы инфекционных

Инструкции по удалению DKOM.DoublePulsar

План а: избавиться от DKOM.DoublePulsar с ручным процессом (рекомендуется кибер экспертов и топ техников только)

План б: удалить DKOM.DoublePulsar с ПК Windows, используя средство автоматического удаления (сейф и легко для всех пользователей ПК)

Windows OS план а: избавиться от DKOM.DoublePulsar с ручным

Перед выполнением ручного процесса, есть несколько вещей, которые должны быть подтверждены. Во-первых, это,

ru.cleanpc-malware.com

DoublePulsar вырвался на волю, в сотне тысяч Linksys нашли дыры, SMSVova изгнан из Google Play / «Лаборатория Касперского» corporate blog / Habr

Пока безопасники охали и ахали над архивом хакерских инструментов АНБ, который слили в Сеть ShadowBrokers, серьезные дяди с темной стороны запустили новые госэксплойты в дело. И, как выяснилось, не только эксплойты – поверхностное сканирование Интернета выявило большое число машин, зараженных свежеслитым бэкдором DoublePulsar.

Положение серьезнее некуда. DoublePulsar представляет собой хитрый бесфайловый бэкдор и позволяет удаленно запускать код, который сделает с системой все, что изволит пожелать господин хакер. Вот тут можно посмотреть подробный анализ работы DoublePulsar, мы же поговорим немного не об этом.

Для заражения используются эксплойты для уязвимостей в Windows SMB Server. Microsoft еще в марте запатчила эти дыры в обновлении MS17-010. Но давайте-ка вспомним похожую историю девятилетней давности, когда обновление MS08-067 прикрыло дыру, через которую шастал червь Conflicker. И знаете что? Прошло почти десять лет, а до сих пор можно найти уязвимые для него Windows-серверы. Потому, что «работает – не трогай». Вот и не трогают, и трогать не будут.

Дэн Тентлер, основатель Phobos Group, решил просканировать Интернет на предмет уязвимостей из утечки. Конечно, он нашел миллионы дырявых серверов – патч всего-то полтора месяца назад вышел, админы суетиться не любят. А потом «опросил» найденные системы, стукнувшись в порт 445. Изнутри 65 тысяч машин (около 3,1% из уязвимых) откликнулся живой DoublePulsar. ¯\_(ツ)_/¯

Вряд ли АНБ так широко раскинуло свои щупальца. Скорее, это результат бенефиса ShadowBrokers. Они выложили готовый киберарсенал, простой для использования и очень опасный, и результат не заставил себя долго ждать. И даже то, что на новых версиях Windows DoublePulsar не работает, не особо вдохновляет. Ящик Пандоры открыт, число скомпрометированных серверов в Интернете будет множиться. Накатывайте патчи, господа админы!

20 моделей роутеров Linksys содержат уязвимости
Помните Linksys? В стародавние времена так звались сетевые устройства, которые Cisco делала для простых SOHO-пользователей. Четыре года назад их купили Belkin, известные своими USB-кабелями и сетевыми фильтрами. Впрочем, это ничего особо не изменило, под маркой Linksys продолжают выходить вполне приличные домашние свитчи и роутеры. К чему это я? А, IOActive нашли в них кучу дыр.

Новость. Исследование. Уязвимости в сетевых устройствах этого класса находят часто. В этот раз IOActive прошлась по свежим моделям Linksys, в которых обнаружила десяток уязвимостей. Дыры позволяют удаленно «вешать» и перезагружать устройство, сливать с него прошивку (да кому она нужна?), и красть WPS PIN-код, что уже более интересно. И еще более интересна возможность организовать бэкдор в роутере, чтобы выполнять любые команды с root-правами. Правда, для этого надо сначала аутентифицироваться на устройстве.

IOActive назвала уязвимые модели – это новые девайсы серий EA и WRT, общим числом 20 штук. Просканировав Интернет с помощью любимого безопасниками Shodun, они нашли 7000 уязвимых роутеров. Столь скромная цифра их не устроила, поэтому аналитики IOActive умозрительно посчитали количество устройств, спрятанных за файрволами – и насчитали СТО ТЫЩ! 70% из них работают в США, 10% в Канаде, а вот у нас их почти нет – меньше 1%. Даже Чили обогнала нас по использованию уязвимых Linksys, как теперь жить?

Как водится, вендору об уязвимостях рассказали давно – еще в январе, – но он все еще работает над подготовкой обновления. Пока же рекомендации стандартные: отключить гостевую WiFi-сеть, включить автоматическую установку обновления, сменить пароль админа.

Троянец-шпион SMSVova удален из Google Play
Новость. В Google Play еще недавно было отличное приложение System Update для поддержания операционки в обновленном состоянии. Вроде как бы ставишь, и оно твой Android патчит, патчит, патчит без устали. Это же решение всех проблем с мобильными уязвимостями. Не будем ждать милостей от вендора, возьмем их сами из Google Play! И таки вы будете смеяться, но несколько миллионов пользователей на это купились.

При запуске System Update показывало грустное сообщение, что сервис остановлен, и якобы закрывалось. На самом деле спрятанный в его недрах троянец-шпион SMSVova (снова эти русские!) продолжал работать и слал куда-то SMS-ками все данные о местоположении пользователя. Кроме того, SMSVova умеет получать команды извне, тоже по SMS.

Полезная утилитка гужевалась в Google Play с 2014 года, VirusTotal не детектилась, а все усиливающиеся проверки со стороны Google обходила просто – ее не обновляли, и повода проверять не было. Теперь-то, конечно, из магазина System Update убран. Хватит ему за нами следить!

Древности


«GoodBye-839»

Резидентный неопасный вирус, стандартно поражает загружаемые в память COM-, EXE- и OVL-файлы. В воскресенье исполняет мелодию «Goodbye America» рок-группы «Наутилус Помпилиус». Перехватывает int 1Ch, 21h.

Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 68.

Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.

habr.com

Устранение атаке DoublePulsar в системах с ОС Windows 7

Важно!

Систему необходимо перезапустить до выполнения обновления; во время перезапуска и обновления она должна быть отключена от сети. Так как эксплойт DoublePulsar уже присутствует в системе, попытка установить исправление при игнорировании указанного выше замечания может помешать запуску ПК.

Обновление Windows 7


  1. Скачайте средство исправления с сайта Microsoft и сохраните его на своем компьютере.

    »  Переход к скачиванию для Windows 7

  2. Отключите ПК от сети (отключите сетевой кабель, выключите Wi-Fi).
  3. Перезагрузите компьютер.
  4. Запустите установщик, сохраненный на ПК при выполнении шага 1.
  5. Перезагрузите компьютер, чтобы завершить процесс установки исправления.
  6. Подключите ПК к сети.
  7. Запустите сканирование средства Avast Wi-Fi Inspector (Protection ▸ Wi-Fi Inspector ▸ Network Scan), чтобы убедиться, что система избавилась от уязвимости.

Альтернативный способ


  1. Перезагрузите компьютер.
  2. Войдите в Центр обновления Windows и проверьте наличие обновлений (меню «Пуск» ▸ Панель управления ▸ Система и безопасность ▸ Центр обновления Windows ▸ Проверить наличие обновлений).
  3. Установите все доступные обновления и перезагрузите ПК.
  4. Запустите сканирование средства Avast Wi-Fi Inspector (Protection ▸ Wi-Fi Inspector ▸ Network Scan), чтобы убедиться, что система избавилась от уязвимости.
Примечание.

Если вам не удается установить обновление, единственным альтернативным способом избавиться от этой уязвимости является отключение службы общего доступа к файлам Windows, а именно — версии 1 протокола SMB.

Чтобы отключить протокол SMBv1, воспользуйтесь руководством Microsoft.

»  Включение и отключение протоколов SMBv1, SMBv2 и SMBv3 в ОС Windows и Windows Server

help.avast.com

Эксплоит АНБ DoublePulsar модифицировали для работы с Windows Embedded — «Хакер»

Название хакерского инструмента DoublePulsar знакомо не только ИБ-экспертам, но даже обычным пользователям. Дело в том, что инструменты EternalBlue и DoublePulsar использовались для распространения шифровальщика WannaCry, в ходе массовых атак в мае 2017 года, о чем специалисты и СМИ рассказывали неоднократно.

Исходно DoublePulsar принадлежал спецслужбам, однако в 2016 году группировка The Shadow Brokers сумела похитить хакерский инструментарий АНБ, а в апреле прошлого года тот были опубликован в интернете совершенно бесплатно.

С тех пор специалисты по информационной безопасности и преступники пристально изучили решения спецслужб и нашли им самые разные применения. Так, эксплоиты DoublePulsar и EternalBlue взяли на вооружение авторы разнообразной малвари, а ИБ-эксперты еще в прошлом году адаптировали некоторые хакерские решения для работы на Windows 8, Windows 8.1, Windows Server 2012 и Windows 10, хотя изначально те предназначались исключительно для атак на Windows XP, Windows Vista, Windows 7, Windows Server 2003 и Windows Server 2008.

Теперь независимый ИБ-специалист, известный в сети под псевдонимом Capt. Meelo, модифицировал инструмент DoublePulsar таким образом, чтобы тот мог работать и на устройствах под управлением Windows Embedded (сейчас ОС носит имя Windows IoT вследствие недавнего ребрендинга). Данная версия Windows используется в IoT- и PoS-устройствах, банкоматах и так далее.

Capt. Meelo обнаружил, что Windows Embedded уязвима перед эксплоитами АНБ, однако использование соответствующих модулей Metasploit успеха не приносило.

Стоит отметить, что DoublePulsar вообще не предназначен для самостоятельного использования. Обычно его применяют в сочетании с другими решениями, в частности, необходим фреймворк FuzzBunch, а также другие эксплоиты (EternalBlue, EternalSynergy, EternalRomance и так далее). Именно перечисленные инструменты используются для «закрепления» в целевой системе, а DoublePulsar устанавливается на одном из последних этапов и работает как бэкдор.

Как оказалось, в случае Windows Embedded, модуль EternalBlue срабатывал как должно, однако установка DoublePulsar оканчивалась неудачей. В итоге исследователь провел детальный аудит кода, пытаясь найти причину этих неудач, и обнаружил, что камнем преткновения являлась всего одна строка кода. Дело в том, что DoublePulsar был создан таким образом, чтобы перед заражением проверять версию Windows на машине жертвы, а затем использовать один путь для установки на Windows 7  и другой для прочих платформ. Windows Embedded в этой схеме вообще не предусматривалась, что и приводило к возникновению ошибки.

Capt. Meelo устранил этот мелкий огрех, и теперь эксплоит использует для установки правильный путь, работая как нужно.

Стоит отметить, что в сети, к сожалению, по-прежнему можно найти множество девайсов, на которых активен протокол SMBv1, который не рекомендуют использовать даже сами разработчики Microsoft. Более того, далеко не везде установлен критически важный патч, закрывающий уязвимости, которые ранее эксплуатировало АНБ. Это исправление было выпущено еще в марте 2017 года (MS17-010). Более того, в мае 2017 года, когда при помощи эксплоитов спецслужб начал распространяться вымогатель WannaCry, компания Microsoft также представила экстренные патчи для давно неподдерживаемых ОС: Windows XP, Windows 8 и Windows Server 2003.

xakep.ru

Что советует эксперт для борьбы с WannaCry

ПО Безопасность

, Текст: Михаил Левкевич

Злоумышленники начали глобальную атаку с помощью софта WannaCry. Она вызвала множество вопросов по поводу надежности современных информационных технологий. Алексей Андрияшин, руководитель системных инженеров компании Fortinet, в своей статье для CNews отвечает на главный: как защититься от подобной атаки.

12 мая 2017 г. программное обеспечение (ПО) WannaCry успешно атаковало сотни организаций по всему миру, заразив, по приблизительным оценкам, более 300 тыс. компьютеров. От атаки пострадали в том числе и крупные организации по всему миру, например, МВД России, Национальная служба здравоохранения Великобритании, китайские университеты, европейские телекоммуникационные компании.

WannaCry относится к типу ransomware, то есть ПО для вымогательства. Злоумышленники зашифровали данные на компьютерах жертв и требовали выкуп в $300 на счет в Bitcoin за расшифровку данных, разумеется, без гарантий. К сожалению, расшифровать данные нельзя, и многие компании вынуждены были остановить бизнес-процессы, а некоторые представители малого бизнеса — вовсе прекратить деятельность. Крупные компании также несут значительный ущерб, так как вредоносное ПО поражает сразу множество корпоративных компьютеров.

Атака WannaCry все еще продолжается, и в будущем подобный софт почти наверняка будет широко использоваться киберпреступниками. По данным компании Fortinet, с 1 января 2016 г. в мире каждый день совершается в среднем более 4000 кибератак с целью вымогательства.

Механизм действия WannaCry

Специалисты Fortinet с первого дня отслеживали атаку и детально изучили принцип действия WannaCry. Как известно, это эксплойт Eternalblue (код, использующий уязвимости ПО), похищенный хакерской группой TheShadowBrokers у Агентства национальной безопасности США. Eternalblue использует уязвимость в протоколе MessageBlock 1.0 (SMBv1) сервера Microsoft.

Страны, которые подверглись атаке WannaCry в первый день

Источник: Fortinet, 2017

WannaCry распространяется по принципу сетевого червя: опрашивает ПК по протоколу SMBv1 и порту 445, пытаясь найти уязвимость под названием Backdoor.Double.Pulsar и использовать ее для загрузки и запуска шифровальщика. Вредоносное ПО загружается на ПК-жертву в виде зашифрованного ключом AESDLL файла. После запуска вредоносное ПО создает файл «t.wry.» и использует встроенный ключ AES для расшифровки DLL в буфер оперативной памяти. После расшифровки DLL загружается в родительский процесс, то есть расшифрованный DLL файл не сохраняется на диск, из-за чего некоторые антивирусные продукты не могут обнаружить атаку.

В одном из случаев, расследованных Fortinet, вредоносный софт использовал уязвимость CVE-2017-0144 для получения доступа к системе. Причиной этой уязвимости является переполнение буфера при разборе некорректно сформированного запроса Trans2 сервисом SMBv1. Успешная эксплуатация приводит к запуску кода в контексте приложения. Для эксплуатации не требуется аутентификации по SMB, именно это явилось основной причиной массового распространения WannaCry в локальных сетях.

Как только уязвимость обнаружена, вредоносное ПО WannaCry получает администраторские права и запускает модуль-шифровальщик, который, в свою очередь, ищет файлы 179 типов и генерирует ключ для каждого файла. Интересно, что у WannaCry предусмотрен механизм выключения атаки с помощью обращения к определенному домену. Как только домен был зарегистрирован в сети, количество случаев заражения начало снижаться. Однако надо помнить, что авторы WannaCry могут сменить адрес домена в коде вредоносного ПО для запуска новой волны атаки.

Как защититься от атаки

Инструменты блокировки WannaCry:
  • FortiGateIPS блокирует эксплойт;
  • FortiSandbox выявляет вредоносное поведение;
  • Антивирус Fortinet выявляет Wannacry в различных вариантах;
  • Веб-фильтр FortiGuard классифицирует веб-сайты, к которым обращается WannaCry, как вредоносные, кроме домена-«выключателя»;
  • Межсегментный сетевой экран (ISFW) FortiGate может остановить распространение вредоносного ПО.

Также рекомендуется применить на всех уязвимых узлах сети специальный патч Microsoft, выпущенный 14 марта для защиты от эксплойта Eternalblue. Тогда же Fortinet выпустила сигнатуру IPS для обнаружения и блокирования этой уязвимости, а 12 мая были выпущены новые сигнатуры AV для выявления и блокирования атаки WannaCry. Нужно убедиться, что эти сигнатуры и веб-фильтрация включены. Также рекомендуется изолировать связь с портами UDP 137/138 и TCP 139/445. Стороннее тестирование подтверждает, что Fortinet Anti-Virus и FortiSandbox эффективно блокируют вредоносное ПО WannaCry.Решения компании Fortinet успешно блокируют атаку WannaCry с помощью разных инструментов. До обновления ИТ-систем Fortinet рекомендует временно заблокировать от соединений извне порт 445 и протокол SMB. Если организация стала жертвой вымогательства, надо немедленно изолировать зараженные устройства и проверить резервные копии – нет ли там вредоносного ПО. Также следует обратиться в правоохранительные органы и сообщить о факте вымогательства.

Меры профилактики

Fortinet рекомендует:
  • Обновить и использовать технологии IPS, AV и WebFiltering;
  • регулярно создавать резервные копии данных, шифровать их, контролировать их целостность и пригодность для восстановления;
  • проверять всю электронную почту на предмет угроз и фильтровать исполняемые файлы от конечных пользователей;
  • установить автоматическую регулярную проверку антивирусами;
  • отключить макроскрипты в файлах, передаваемых по электронной почте;
  • создать стратегию обеспечения непрерывности бизнеса и реагирования на инциденты, проводить регулярные оценки уязвимости.

Для снижения риска стать жертвой кибератаки необходимо регулярно обновлять операционные системы, программное обеспечение и прошивки на всех устройствах. Для крупных организаций с большим количеством устройств, возможно, понадобится централизованная система управления обновлением ПО.

Безопасность можно обеспечить

Компания Fortinet следит за угрозами и оперативно реагирует на них. Сегодня существуют эффективные способы защиты от кибератак. Кибербезопасность крайне важна, но она не может опираться только на технологии. Необходим централизованный подход к анализу проблем и применение передовых средств защиты. Только так сегодня можно бороться на равных с киберпреступностью, которой доступны ресурсы публичных облачных систем и совершенные инструменты, используемые спецслужбами.

safe.cnews.ru

Как защитить свой сервер от WannaCry

12 мая 2017 г. вирус WannaCry успешно атаковал сотни организаций по всему миру, заразив  более 300 тыс. компьютеров.

12 мая 2017 г. вирус WannaCry успешно атаковал сотни организаций по всему миру, заразив  более 300 тыс. компьютеров. От атаки пострадали серверы крупных организаций по всему миру: МВД России, служба здравоохранения Великобритании, телекоммуникационные компании.

WannaCry относится к типу ПО для вымогательства. С помощью вируса злоумышленники зашифровали данные на серверах и компьютерах и за расшифровку данных требовали выкуп.

Принцип действия WannaCry

WannaCry опасен только для платформ на базе Windows, он использует уязвимость в протоколе MessageBlock 1.0 (SMBv1) сервера Microsoft. Вирус распространяется по принципу сетевого червя. WannaCry сканирует сеть, находит компьютеры с открытым портом 445, пытаясь найти уязвимость под названием Backdoor.Double.Pulsar и использовать ее для загрузки и запуска вредоносного ПО. Вирус загружается на компьютер в виде зашифрованного файла. После запуска, вирус использует встроенный ключ AES для расшифровки DLL в буфер оперативной памяти, то есть расшифрованный DLL файл не сохраняется на диск, из-за чего некоторые антивирусы не могут обнаружить атаку.

После проникновения, WannaCry получает администраторские права и запускает шифровальщик, который ищет файлы и кодирует их с отдельным ключом для каждого файла.

Защита от вируса

1. Проверить свой компьютер/сервер на уязвимость от эксплойта EternalBlue. Для этого можно  скачать утилиту с сайта: https://help.eset.com/eset_tools/ESETEternalBlueChecker.exe

2. Если проблема есть, нужно установить обновления на систему.

Если на вашем компьютере установлена Windows 10, самый простой способ - установить обновление с центра обновления Microsoft по адресу:
http://www.catalog.update.microsoft.com
В строке поиска ввести «KB3213986»

Если в защите нуждается Microsoft Server 2008 или Windows 7 ищите «KB4012212»



3. Устанавливаем обновление, перезагружаем компьютер. Проверяем уязвимость.


Вроде как спать можно спокойно, но…
На просторах интернета появилась новая угроза, уязвимость в популярных проигрывателях видео. Злоумышленники могут получить доступ к вашему компьютеру через файл с субтитрами, будьте осторожны!

    dicom.spb.ru

    Пошаговая инструкция: Как удалить вирус WannaCry

    Вирус WannaCry представляет собой вымогатель, который сумел поразить огромное количество компьютеров. География охвата превысила 70 стран. Троянское ПО поражало компьютеры, на которых не были установлены своевременные обновления для антивирусов. Эксперты в области информационной защиты рекомендуют регулярно обновлять операционную систему и выполнять защиту всех узлов сети.

    1. Есть 3 основные версии вируса WannaCry, поражающие операционную систему Windows 7. Первая представляет собой расширение WCRY. Данным вирусом используется алгоритм AES–128. Это приводит к блокировке файлов, а в дальнейшем вымогатель запрашивает крупную сумму. В дальнейшем разработчики решили усовершенствовать данную версию и создали Kript0R. Данный вирус не дает возможности восстановить информацию без наличия резервных копий. Примечательно, что вымогатель требует уже меньшую сумму, но повышает ее вдвое, если пользователь не вышлет оплату в течение трех дней.
    2. Вирус WannaDicript0R действует еще более коварным образом, показывая таймер обратного отсчета. С каждой секундой сумма растет, а вирус уничтожает файлы.
    3. Теперь рассмотрим, каким образом можно удалить WannaCry.
    • Скачиваем утилиту RKill и выполняем ее запуск.

      Утилита RKill

    • Позволяем программе завершить все выявленные опасные процессы.
    • Предотвращаем любые события, способные привести к перезагрузке компьютера, иначе вредоносные процессы автоматически перезапустятся.
    • Загружаем антивирус Avira, устанавливаем и обязательно отказываемся от перезапуска ОС.
    • Запускаем полную проверку системы компьютера, ждем результатов сканирования.
    • Все найденные вирусы требуется переместить в зону карантина.
    • Загружаем утилиту Malwarebytes Anti-Malware. Запрещаем перезагрузку и вносим изменения в настройки, включая проверку руткитов.
    • Выполняем полную проверку операционной системы.
    • Если были найдены подозрительные объекты, помещаем их в карантин.

    4. Выполнить дешифровку данных довольно сложно, однако вы можете воспользоваться различным программным обеспечением, чтобы получить доступ к информации. Увы, но большинство дешифровщиков данных не могут полностью справиться с восстановлением — информация остается нечитаемой. Поэтому важно следить за регулярным обновлением баз антивирусного ПО и избегать посещения подозрительных ресурсов.

    Видео: Как удалить вирус Wana Decrypt0r, WannaCry и восстановить файлы

    besthard.ru

    Важная информация о шифровальщике WannaCry

    16 Мая, 2017 14:59

    По материалам Fortinet

    12 мая вредоносное ПО - шифровальщик WannaCry, нанесло ущерб сотням организаций в разных странах. Вредоносное ПО зашифровывает персональные и критичные документы и файлы, и требует от жертвы выкуп размером ~ $300 USD в BitCoin для предоставления ключа расшифровки файлов.

    Следует заметить, что решения Fortinet успешно блокируют эту атаку

    1. FortiGate IPS блокирует эксплойт

    2. FortiSandbox выявляет вредоносное поведение

    3. Антивирус Fortinet выявляет Wannacry в различных вариантах

    4. Веб-фильтр FortiGuard классифицирует веб-сайты, к которым обращается Wannacry, как вредоносные (за исключением домена "kill switch")

    5. Межсегментный сетевой экран (ISFW) FortiGate может остановить распространение вредоносного ПО

    Wannacry распространяется по принципу сетевого червя, за счёт активного опроса ПК в сети по протоколу SMBv1 и порту 445 с целью выявления ПК, подверженных уязвимости Backdoor.Double.Pulsar. Если уязвимость присутствует на ПК-жертве, она используется для доставки и запуска образца вредоносного ПО. Если нет, используется менее результативный способ эксплуатации.

    По этой причине, мы рекомендуем организациям временно (до обновления всех подверженных систем) заблокировать порт 445 от соединений извне, а также, при наличии технической возможности, использовать функциональность NGFW для полного блокирования протокола SMB.

    Вредоносное ПО является модульным. Это значит, что оно позволяет злоумышленнику получить административные привилегии на ПК-жертве, что в свою очередь может быть использовано для загрузки дополнительных модулей вредоносного ПО. В одном из случаев, расследованных Fortinet, вредоносное ПО использовало уязвимость CVE-2017-0144 для получения доступа к системе. После этого, был запущен загрузчик (dropper) для загрузки и запуска ПО шифровальщика.

    Причиной этой уязвимости является переполнение буфера при разборе некорректно сформированного запроса Trans2 сервисом SMBv1. Успешная эксплуатация приводит к запуску кода в контексте приложения. Для эксплуатации не требуется аутентификация по SMB, именно это явилось основной причиной столь массового распространения Wannacry в локальных сетях.

    Backdoor.Double.Pulsar

    Если вредоносное ПО определяет, что в системе присутствует Backdoor.Double.Pulsar, оно пытается использовать его для загрузки и выполнения ПО шифровальщика. Что интересно, в некоторых проанализированных образцах присутствовал флаг для отключения DoublePulsar.

    Вредоносное ПО загружается на ПК-жертву в виде зашифрованного ключом AES DLL файла. После запуска, вредоносное ПО создаёт файл “t.wry." и использует встроенный ключ AES для расшифрования DLL в буфер оперативной памяти, после расшифровки DLL загружается в родительский процесс - таким образом, расшифрованный DLL файл не сохраняется на диск.

    Это позволяет избежать детектирования некоторыми антивирусными решениями.

    Шифровальщик ищет файлы 179 типов, для каждого файла генерируется ключ.

    В субботу, 13 мая, исследователь в области ИБ обнаружил "kill switch" - способ дистанционно выключить вредоносное ПО. Это - DNS проверка и обращение к определенному домену, не зарегистрированному на тот момент. После регистрации, темп заражений сошел на нет, т.к. в большинстве новых случаем заражения вредоносное ПО детектировало доступность созданного домена.

    Исходящий TOR

    Вредоносное ПО загружает клиент сети анонимизации TOR и использует его для анонимной, зашифрованной коммуникации с серверами управления. Мы рекомендуем блокировать исходящий трафик TOR. Это легко реализовать на FotiGate посредством сигнатур AppControl.

    Для настройки перейдите в security profiles -> application control и нажмите add signature в секции Application Overrides.

    Добавьте протокол Tor:

    Теперь трафик Tor блокируется профилем.

    Убедитесь, что профиль используется в релевантных правилах контроля доступа. 

    Входящий TOR

    Несмотря на то что это не обязательно, также может быть предпринято блокирование трафика, исходящего из сети TOR. Входящий трафик из сети TOR не отличается от обычного Интернет трафика. Тем не менее, трафик исходит от "внешних" узлов TOR - exit nodes. Список известных exit nodes содержится и поддерживается в базе Fortinet Internet Service Database. Этот список может быть использован в правиле контроля доступа.

    Если вредоносному ПО разрешен сетевой доступ, оно также попытается установить связь с несколькими доменами с плохой репутацией. Веб-фильтр FortiGuard определяет эти домены как вредоносные (malicious) и, при корректной настройке, должен блокировать коммуникацию с этими доменами в рамках правил контроля доступа.

    Kill Switch

    Вредоносное ПО останавливает свою активность, если удаётся установить связь с доменом “www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com”. Изначально в момент выявления этот домен не был зарегистрирован, теперь он зарегистрирован исследователем в области ИБ из Великобритании.

    Примечание: Организациям использующим прокси следует учесть, что вредоносное ПО выполняет обращение напрямую. Следовательно, в среде с прокси, вредоносное ПО может не иметь возможности установить связь с указанным доменом, и следовательно, не остановит вредоносную активность.

    Чтобы kill switch сработал, у вредоносного ПО должна быть возможность установить соединение с доменом kill switch. В интересах остановки вредоносного ПО, Fortinet не категоризует домен kill switch как malicious (чтобы предотвратить его блокировку). Следует заметить, что 14 мая появилась информация о новой версии вредоносного ПО, не использующей kill switch - поэтому эту меру не стоит считать панацеей.

    По сути, kill switch следует считать временной и более не действующей мерой, т.к. распространение вредоносного ПО продолжается, и в новых образцах либо используются другие DNS-имена kill switch, либо kill switch отсутствует.

    Меры защиты Fortinet, доступные на момент инцидента.

    Лаборатория FortiGuard активно работает с партнерами по Cyber Threat Alliance в рамках обмена информацией threat intelligence и генерации актуальных обновлений мер защиты. 

    Fortinet предоставляет две IPS сигнатуры, применение которых позволяет выявить и заблокировать Wannacry и его варианты. Это - следующие сигнатуры:

    MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution

    (добавлена 14 марта 2017, обновлена 10 мая 2017)

    Backdoor.Double.Pulsar

    (добавлена 27 февраля, обновлена 1 мая 2017)

    Антивирус

    Антивирус Fortinet содержит комплексные сигнатуры и модели поведения, позволяющие выявить и заблокировать существующие и новые образцы вредоносного ПО.

    Это - следующие сигнатуры:

    W32/Agent.AAPW!tr

    W32/CVE_2017_0147.A!tr

    W32/Farfli.ATVE!tr.bdr

    W32/Filecoder_WannaCryptor.B!tr

    W32/Filecoder_WannaCryptor.D!tr

    W32/Gen.DKT!tr

    W32/Gen.DLG!tr

    W32/GenKryptik.1C25!tr

    W32/Generic.AC.3EF991!tr

    W32/Scatter.B!tr

    W32/Wanna.A!tr

    W32/Wanna.D!tr

    W32/WannaCryptor.B!tr

    W32/WannaCryptor.D!tr

    W32/Zapchast.D!tr

    Следует убедиться, что на FortiGate включена расширенная база сигнатур антивируса (настройка по умолчанию). Для этого в интерфейсе управления FortiGate требуется перейти в меню system -> FortiGuard и выбрать "enable extended AV and Extended IPS" Не следует волноваться по этой причине. На большей части устройств это - настройка по умолчанию.

    Если вредоносному ПО разрешен запуск, оно запустит команду icacls . /grant Everyone:F /T /C /Q , предоставляющую полный доступ ко всем файлам и папкам на ПК. Дополнительно, вредоносное ПО удаляет теневые копии Windows, отключает функцию восстановления при запуске и очищает историю Windows Server Backup.

    После чего запускается и приступает к работешифровальщик. После выполнения шифрования, пользователи получают сообщение, похожее на указанное на скриншоте ниже.

    Вредоносное ПО также оставляет файл !Please Read Me!.txt с дополнительными инструкциями. Имя файла может различаться в разных образцах вредоносного ПО.

    Быстрый и легкий заработок, обеспечиваемый оплатой выкупа за расшифровку файлов, позволяет понять, почему этот вид вредоносного ПО столь распространён. Сколько пользователей уже заплатили выкуп? Сложно сказать, т.к. различные варианты вредоносного ПО используют разные кошельки Bitcoin для скрытия транзакций и постоянно перемещают средства между этими кошельками.

    После заражения, жертвы могут попытаться восстановить файлы из резервных копий или другими методами (в настоящее время активно ведется поиск методов расшифровки), либо заплатить выкуп. Ниже представлено несколько ссылок, позволяющих понять, сколько средств уже перечислено в качестве выкупа. На момент написания статьи, стоимость 1 Bitcoin эквивалентна $1,784.90 USD.

    12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

    Всего получено: 9.41458497 BTC

    115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

    Всего получено: 5.17934856 BTC

    13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

    Всего получено: 7.1629281 BTC

    15zGqZCTcys6eCjDkE3DypCjXi6QWRV6V1

    Всего получено: 1.09469717 BTC

    Это - всего лишь несколько кошельков, относящихся к Wannacry, на момент написания статьи в них перечислено более $38, 833.82 USD.

    Выявление вредоносного ПО

    Фабрика безопасности Fortinet может существенно облегчить выявление и блокирование этого и других вариантов вредоносного ПО, а также понять, на каких ПК функционирует Wannacry.

    Индикаторы компрометации:

    Зафиксированные IP-адреса центров управления (C&C):

    188[.]166[.]23[.]127:443

    193[.]23[.]244[.]244:443

    2[.]3[.]69[.]209:9001

    146[.]0[.]32[.]144:9001

    50[.]7[.]161[.]218:9001

    217.79.179[.]77

    128.31.0[.]39

    213.61.66[.]116

    212.47.232[.]237

    81.30.158[.]223

    79.172.193[.]32

    89.45.235[.]21

    38.229.72[.]16

    188.138.33[.]220

    Зафиксированные хеш-суммы образцов (SHA-256): 0a73291ab5607aef7db23863cf8e72f55bcb3c273bb47f00edf011515aeb5894

    2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d

    4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79

    b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25

    ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

    f7c7b5e4b051ea5bd0017803f40af13bed224c4b0fd60b890b6784df5bd63494

    593bbcc8f34047da9960b8456094c0eaf69caaf16f1626b813484207df8bd8af

    5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec

    5d26835be2cf4f08f2beeff301c06d05035d0a9ec3afacc71dff22813595c0b9

    6bf1839a7e72a92a2bb18fbedf1873e4892b00ea4b122e48ae80fac5048db1a7

    7108d6793a003695ee8107401cfb17af305fa82ff6c16b7a5db45f15e5c9e12d

    76a3666ce9119295104bb69ee7af3f2845d23f40ba48ace7987f79b06312bbdf

    78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df

    7c465ea7bcccf4f94147add808f24629644be11c0ba4823f16e8c19e0090f0ff

    7e369022da51937781b3efe6c57f824f05cf43cbd66b4a24367a19488d2939e4

    9b60c622546dc45cca64df935b71c26dcf4886d6fa811944dbc4e23db9335640

    9cc32c94ce7dc6e48f86704625b6cdc0fda0d2cd7ad769e4d0bb1776903e5a13

    9fb39f162c1e1eb55fbf38e670d5e329d84542d3dfcdc341a99f5d07c4b50977

    a3900daf137c81ca37a4bf10e9857526d3978be085be265393f98cb075795740

    aee20f9188a5c3954623583c6b0e6623ec90d5cd3fdec4e1001646e27664002c

    b3c39aeb14425f137b5bd0fd7654f1d6a45c0e8518ef7e209ad63d8dc6d0bac7

    b47e281bfbeeb0758f8c625bed5c5a0d27ee8e0065ceeadd76b0010d226206f0

    b66db13d17ae8bcaf586180e3dcd1e2e0a084b6bc987ac829bbff18c3be7f8b4

    b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25

    be22645c61949ad6a077373a7d6cd85e3fae44315632f161adc4c99d5a8e6844

    c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9

    ca29de1dc8817868c93e54b09f557fe14e40083c0955294df5bd91f52ba469c8

    d8a9879a99ac7b12e63e6bcae7f965fbf1b63d892a8649ab1d6b08ce711f7127

    dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696

    e14f1a655d54254d06d51cd23a2fa57b6ffdf371cf6b828ee483b1b1d6d21079

    e8450dd6f908b23c9cbd6011fe3d940b24c0420a208d6924e2d920f92c894a96

    ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

    eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb

    f7c7b5e4b051ea5bd0017803f40af13bed224c4b0fd60b890b6784df5bd63494

    channel4it.com


    Смотрите также



© 2010- GutenBlog.ru Карта сайта, XML.