В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

Вопросы и обсуждение различных средств удаления вирусов

13»

Комментарии

  • L0phtCrack теперь с открытым исходным кодом

    L0phtCrack 7.2.0 был выпущен как проект с открытым исходным кодом и ищет как сопровождающих, так и участников. Не стесняйтесь обращаться к @dildog в Twitter или по электронной почте admin@l0phtcrack.com, если вы хотите присоединиться к команде.

    Репозитории находятся здесь: https://gitlab.com/l0phtcrack
    Релизы доступны здесь: https://gitlab.com/l0phtcrack/l0phtcrack/-/releases

    Последняя загрузка Win64 с открытым исходным кодом находится здесь: → https://l0phtcrack.gitlab.io/releases/7.2.0/lc7setup_v7.2.0_Win64.exe


    26 июля 2021 г.
    Изменения для L0phtCrack

    С 1 июля 2021 года программное обеспечение L0phtCrack больше не принадлежит Terahash, LLC. Он был возвращен во владение предыдущими владельцами, ранее известными как L0pht Holdings, LLC из-за дефолта Terahash по ссуде на продажу в рассрочку.


    L0phtCrack больше не продается. Текущие владельцы не планируют продавать лицензии или подписки на поддержку программного обеспечения L0phtCrack. Все продажи прекратились с 1 июля 2021 года.

    Планы с открытым исходным кодом

    Текущие владельцы изучают открытый исходный код и другие варианты программного обеспечения L0phtCrack. Открытие исходного кода займет некоторое время, поскольку в продукт включены коммерчески лицензированные библиотеки, которые необходимо удалить и / или заменить. Активация лицензий для существующих лицензий была повторно активирована и должна работать должным образом, пока не станет доступна версия с открытым исходным кодом.

    Служба поддержки

    Текущие владельцы программного обеспечения L0phtCrack не будут поддерживать продукт. За любые продажи лицензий L0phtCrack, а также подписки на новую и продленную поддержку, проданные до 30 июня 2021 года, несет ответственность Terahash, LLC.
    Скачать последнюю версию
    Финальная коммерческая версия L0phtCrack 7 доступна здесь
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Microsoft анонсирует новое решение для обеспечения безопасности конечных точек для малого и среднего бизнеса

    Сегодня Microsoft анонсировала новое решение безопасности конечных точек, получившее название Microsoft Defender for Business, специально разработанное для малого и среднего бизнеса.

    Microsoft Defender для бизнеса - это решение для обеспечения безопасности конечных точек, которое помогает компаниям со штатом до 300 сотрудников защищаться от угроз кибербезопасности, включая вредоносное ПО и программы-вымогатели, в удобном и экономичном пакете.
    Defender for Business помогает предприятиям малого и среднего бизнеса защищаться от угроз кибербезопасности, включая, помимо прочего, вредоносное ПО и программы-вымогатели на устройствах Windows, macOS, iOS и Android.

    Он также поставляется с упрощенной конфигурацией клиента с помощью мастера настройки и рекомендованных политик безопасности, активируемых прямо из коробки, чтобы упростить управление даже для предприятий, не имеющих специальной группы безопасности.

    «Microsoft Defender for Business специально создан для обеспечения безопасности конечных точек корпоративного уровня для предприятий с численностью сотрудников до 300 человек в виде простого в использовании и экономичного решения».

    Ключевые функции, входящие в Defender for Business, включают:

    Упрощенное развертывание и управление для ИТ-администраторов, у которых может не быть опыта, необходимого для борьбы с постоянно меняющимся ландшафтом угроз.
    Антивирусная защита нового поколения и обнаружение конечных точек и реагирование для обнаружения сложных атак и реагирования на них с помощью поведенческого мониторинга.
    Автоматизированное расследование и исправление, чтобы помочь клиентам быстро реагировать на угрозы.
    Управление угрозами и уязвимостями заблаговременно предупреждает пользователей о слабых местах и неправильных настройках программного обеспечения.
    Интеграция Microsoft 365 Lighthouse с Microsoft Defender for Business для поставщиков ИТ-услуг для просмотра событий безопасности среди клиентов с появлением дополнительных возможностей.

    Microsoft сообщает, что новое решение для обеспечения безопасности конечных точек скоро будет доступно для ознакомления для клиентов и ИТ-партнеров.

    https://www.bleepingcomputer.com/news/microsoft/microsoft-announces-new-endpoint-security-solution-for-smbs/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 18 мар PM
    Microsoft создает инструмент для сканирования маршрутизаторов MikroTik на предмет заражения TrickBot
    Microsoft выпустила сканер, который обнаруживает маршрутизаторы MikroTik, взломанные группой TrickBot, для использования в качестве прокси-серверов для серверов управления и контроля.

    TrickBot — это вредоносный ботнет, распространяемый через фишинговые электронные письма или сбрасываемый другими вредоносными программами, которые уже заразили устройство. После запуска TrickBot подключается к удаленному серверу управления и контроля, чтобы получать команды и загружать дополнительные полезные данные для запуска на зараженной машине.

    В течение многих лет TrickBot использовал устройства Интернета вещей, такие как маршрутизаторы, в качестве прокси-сервера между зараженным устройством и серверами управления и контроля (C2). Эти прокси-серверы используются, чтобы не дать исследователям и правоохранительным органам найти и нарушить их инфраструктуру управления и контроля.

    В новом отчете Microsoft исследователи объясняют, как TrickBot нацелилась на уязвимые маршрутизаторы MikroTik, используя различные методы, чтобы использовать их в качестве прокси-серверов для связи C2.

    Маршрутизация вредоносного трафика

    В операциях TrickBot использовались различные методы взлома маршрутизаторов MikroTik, начиная с использования учетных данных по умолчанию и заканчивая атаками грубой силы для подбора пароля.

    Если бы эти первоначальные методы не предоставили доступ к маршрутизатору, злоумышленники попытались бы использовать CVE-2018-14847, критическую уязвимость обхода каталога, которая позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, читать произвольные файлы. Используя эту уязвимость, злоумышленники могут украсть файл user.dat, содержащий учетные данные пользователя для маршрутизатора.

    Получив доступ к устройству, злоумышленники использовали встроенные команды «/ip», «/system» или «/tool» для создания правила преобразования сетевых адресов (NAT), которое перенаправляло трафик, отправляемый на порт 449 на маршрутизатор к порту 80 на удаленном сервере управления и контроля.

    /ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses=[зараженное устройство] dst-address=[реальный адрес C2]

    Используя это правило IP NAT, серверы C2 не подвергаются непосредственному анализу угроз, но по-прежнему разрешают обмен данными для зараженных устройств.

    diagram(6).jpg

    Как подчеркивает Microsoft, участники, похоже, хорошо знакомы с ограниченными функциями ОС на базе Linux в устройствах MikroTik, используя пользовательские команды SSH, которые не имеют особого смысла на других устройствах.
    Проблема с микротиком

    В отчете Eclypsium в декабре прошлого года было подчеркнуто, что сотни тысяч маршрутизаторов MikroTik по-прежнему уязвимы для вредоносных бот-сетей, спустя несколько лет после того, как поставщик предупредил о наличии критических недостатков.

    Поскольку эти устройства оснащены необычно мощным оборудованием, злоумышленники считают их важными целями, особенно теми, кто заинтересован в ресурсоемких операциях, таких как DDoS-атаки.

    Хотя обновления безопасности доступны уже много лет, многие из них остаются уязвимыми для атак ботнетами, используя недостатки без проверки подлинности, удаленного доступа и выполнения кода.

    Владельцев устройств MikroTik неоднократно призывали перейти на версии RouterOS новее 6.45.6 и избегать раскрытия протокола WinBox.

    «Этот анализ подчеркивает важность обеспечения безопасности устройств IoT в современной постоянно развивающейся среде угроз», — предупреждает Microsoft в своем отчете.

    Microsoft выпустила криминалистический инструмент под названием «routeros-scanner», который сетевые администраторы могут использовать для сканирования устройств MikroTik на наличие признаков того, что они были скомпрометированы TrickBot.

    Этот скрипт будет сканировать устройства MikroTik на наличие следующей информации:

    Получите версию устройства и сопоставьте ее с CVE.
    Проверить запланированные задачи
    Ищите правила перенаправления трафика
    Ищите отравление кеша DNS
    Ищите изменение портов по умолчанию
    Ищите пользователей не по умолчанию
    Ищите подозрительные файлы
    Ищите правила proxy, socks и FW

    Кроме того, Microsoft рекомендует выполнить следующие шаги на устройствах MikroTik для их дополнительной защиты:

    Измените пароль по умолчанию на надежный
    Заблокировать порт 8291 от внешнего доступа
    Измените порт SSH на другой, отличный от порта по умолчанию (22)
    Убедитесь, что маршрутизаторы обновлены до последней версии прошивки и исправлений.
    Используйте службу безопасной виртуальной частной сети (VPN) для удаленного доступа и ограничьте удаленный доступ к маршрутизатору.

    https://www.bleepingcomputer.com/news/security/microsoft-creates-tool-to-scan-mikrotik-routers-for-trickbot-infections/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано 29 апр PM
    EmoCheck теперь обнаруживает новые 64-битные версии вредоносного ПО Emotet

    Japan CERT выпустил новую версию своей утилиты EmoCheck для обнаружения новых 64-битных версий вредоносного ПО Emotet, которое начало заражать пользователей в этом месяце.

    Emotet — одно из наиболее активно распространяемых вредоносных программ, распространяемых через электронные письма с использованием фишинговых писем с вредоносными вложениями, включая документы Word/Excel, ярлыки Windows, файлы ISO и защищенные паролем zip-файлы.

    Фишинговые электронные письма используют творческие приманки, чтобы заставить пользователей открывать вложения, включая электронные письма с ответами, уведомления о доставке, налоговые документы, бухгалтерские отчеты или даже приглашения на праздничные вечеринки.

    Как только устройство заражено, Emotet похищает электронные письма пользователей, чтобы использовать их в будущих фишинговых атаках с цепочкой ответов, и загружает на компьютер дополнительные полезные нагрузки вредоносного ПО.

    Поскольку дальнейшие вредоносные программы обычно приводят к краже данных и атакам программ-вымогателей, крайне важно быстро обнаруживать заражение Emotet вредоносным ПО, прежде чем будет нанесен дальнейший ущерб.

    EmoCheck обновлен для 64-битных версий

    В 2020 году Japan CERT (группа реагирования на компьютерные чрезвычайные ситуации) выпустила бесплатный инструмент под названием EmoCheck для сканирования компьютера на предмет заражения Emotet.

    Если он обнаружен, он отобразит полный путь к заражению вредоносным ПО, чтобы его можно было удалить.

    Однако ранее в этом месяце Emotet перешла на 64-битные версии своего загрузчика и стилеров, что сделало существующие обнаружения менее полезными. Кроме того, с этим переключателем инструмент EmoCheck больше не мог обнаруживать новые 64-битные версии Emotet.

    На этой неделе JPCERT выпустила EmoCheck 2.2 для поддержки новых 64-разрядных версий и теперь может обнаруживать их, как показано ниже.

    emocheck.jpg

    Чтобы проверить, заражены ли вы Emotet, вы можете загрузить утилиту EmoCheck из репозитория GitHub Japan CERT.

    После загрузки дважды щелкните файл emocheck_x64.exe (64-разрядная версия) или emocheck_x86.exe (32-разрядная версия), в зависимости от того, что вы загрузили.

    EmoCheck выполнит поиск трояна Emotet и, если вредоносная программа будет обнаружена, отобразит идентификатор процесса, под которым он работает, и расположение вредоносной DLL.

    В настоящее время Emotet устанавливается в случайную папку C:\Users\[имя пользователя]\AppData\Local. Хотя вредоносное ПО Emotet представляет собой DLL, оно не будет иметь расширения DLL, а будет случайным трехбуквенным расширением, например .bbo или .qvp.

    EmoCheck также создаст журнал в той же папке, что и программа, которая содержит обнаруженную информацию, что позволит вам ссылаться на нее по мере необходимости.

    Если вы запустите EmoCheck и обнаружите, что заражены, вам следует немедленно открыть Диспетчер задач и завершить указанный процесс, обычно это regsvr32.exe.

    Затем вы должны просканировать свой компьютер с помощью надежного антивирусного программного обеспечения, чтобы убедиться, что на вашем устройстве еще не установлено другое вредоносное ПО.

    Этот инструмент может быть удобен для администраторов Windows, которые могут запускать его при входе в систему для обнаружения заражений Emotet в своей сети.

    https://www.bleepingcomputer.com/news/security/emocheck-now-detects-new-64-bit-versions-of-emotet-malware/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.