Обычно приложения-вымогатели требуют выкуп в биткоинах за возвращение доступа к файлам пользователя. Однако находящийся в процессе разработки новый вариант просит от пользователей распространять приложение и инфицировать компьютеры других пользователей для возвращения доступа к своим файлам.
Вымогатель называется Popcorn Time и был обнаружен специалистами компании MalwareHunterTeam. Эта программа предоставляет своим жертвам два выбора: заплатить выкуп в 1 биткоин ($780) или заразить компьютеры двух других пользователей и заставить их заплатить выкуп. Если пользователь введёт неправильный ключ дешифрования четыре раза, программа начинает удалять зашифрованные файлы.
Программа шифрует файлы с разными расширениями, а также содержимое папок Документы, Изображения, Музыка и Рабочий стол. Специалисты считают, что авторами приложения является группа студентов компьютерных наук из Сирии, где вот уже пять лет идёт война. Разработчики уверяют, что полученные деньги будут израсходованы на еду, медикаменты и убежище для пострадавших от войны людей.
Разработка приложения пока продолжается и оно не успело широко распространиться по интернету. Того же самого нельзя сказать о многих других приложениях-вымогателях, которых в уходящем году стало много как никогда, особенно в корпоративном сегменте.
Браузер Microsoft Edge доступен пользователям почти два года, однако поддержка расширений в финальной версии Windows 10 появилась только в августе. Первыми расширениями стали популярные на всех браузерах LastPass, AdBlock и AdBlock Plus и ряд других, остальные выходят не столь оперативно.
Одним из популярных блокираторов рекламы является расширение uBlock Origin, которое вскоре также может появиться на Edge, а пока вышла его предварительная версия. Она появилась благодаря автору Нику Роллсу и открытому проекту на GitHub.
Работа над проектом ведётся не первый день, однако до сих пор пользовательский интерфейс был недоработанным, расширение требовало обновлений вручную и постоянного повторного подключения. Ситуация изменилась после анонса команды разработчиков Microsoft Edge Dev, которая обещала помочь донести это расширение до своего браузера.
Прошло три месяца и uBlock Origin появляется в магазине Windows Top, где можно установить расширение одним нажатием и получать обновления для него в фоновом режиме. 95% кода позаимствовано у расширения uBlock Origin для браузеров Chrome и Firefox.
Пока ещё остаётся ряд проблемных мест и разработчики предлагают пользователям оставлять отзывы посредством Windows 10 Feedback Hub и на страницах GitHub. Скачать расширение можно здесь.
Количество атак приложений-вымогателей на компании и организации с января по сентябрь 2016 года выросло в три раза, их жертвами стало каждое пятое предприятие по всему миру. Доклад лаборатории Касперского показывает, что частота атак вымогателей на организации выросла с одной каждые 2 минуты до одной каждые 40 секунд. У потребителей дела обстоят ещё хуже, поскольку их в сентябре атаковали каждые 10 секунд.
В 3-м квартале года специалисты обнаружил 32091 новых вариантов приложений-вымогателей по сравнению с 2900 в 1-м квартале. Всего за год появилось 62 новых семейства вымогателей. Это показывает интерес киберпреступников к данному типу вредоносного программного обеспечения и объясняет рост его популярности, которому не мешают действия правоохранительных органов и бесплатные инструменты дешифрования, выпускаемые энтузиастами и компаниями из сферы информационной безопасности. Самый сильный удар приходится на организации малого и среднего бизнеса, из них за последние 12 месяцев жертвами стали 42%. Каждая третья компания платила выкуп, из них каждая пятая так и не получила свои файлы обратно.
67% пострадавших от вымогателей компаний потеряли свои корпоративные данные частично или полностью, каждая четвёртая пострадавшая организация потратила несколько недель на восстановление информации. Самым популярным вымогателем 2016 года является CTB-Locker, на который пришлось 25% случаев заражения устройств. Далее в списке идёт Locky с долей 7%, у TeslaCrypt 6,5%, хотя последний был активен только до мая.
Атаки становятся всё более целенаправленными, хакеры задействуют фишинговые методы и социальную инженерию для конкретных организаций и отраслей промышленности, которые больше всех могут пострадать от потери файлов. Для предотвращения подобных случаев важную роль играет обучение персонала. Каждый пятый повлекший за собой значительные потери данных случай был вызван беспечностью или отсутствием знаний у сотрудников компаний.
Лаборатория Касперского советует не платить выкуп, в противном случае компании становятся более привлекательной целью для следующих атак и требования выкупа могут возрасти. Пострадавшим организациям рекомендуется посетить сайт No More Ransom в поисках инструментов бесплатного дешифрования.
Ряд пользователей из Великобритании сообщают о проблемах с выходом в Интернет после установки обновлений Microsoft для операционных систем Windows 8 и Windows 10. Жалобы появились между пятницей и субботой, причиной могут быть настройки DHCP. Судя по всему, компьютеры на этих версиях Windows не могут получить от своих маршрутизаторов IP-адреса и серверы DNS.
Microsoft уже подтвердила, что ей известно о проблеме и компания ведёт расследование, а пользователям пока рекомендуется просто перезагрузить компьютер, что якобы может помочь. Также признаёт наличие проблемы британский провайдер Plusnet. Его решением является переход на статичный IP-адрес и фиксированные настройки DNS, для чего пользователям предлагается перейти на страницу помощи.
К сожалению, пока неясно, какие именно обновления вызвали эти проблемы, так что пользователи не имеют возможности удалить их и придётся ждать выхода патча от Microsoft, если таковой появится. Через пару дней выходят вторничные патчи и есть надежда, что он войдет в их состав.
Также пока неизвестно, насколько эта проблема распространена и существует ли она за пределами Великобритании у пользователей других провайдеров, помимо Plusnet и BT.
Оболочка Microsoft PowerShell является мощным инструментом для опытных пользователей и профессионалов на операционной системе Windows. В последних сборках Windows 10 разработчики сделали её оболочкой по умолчанию, однако эксперты по информационной безопасности говорят, что и киберпреступники также используют её всё чаще.
Компания Symantec проанализировала вредоносные скрипты PowerShell и сообщает, что число угроз растёт быстрыми темпами, особенно это относится к предприятиям, где она широко используется. Большинство скриптов PowerShell применяют с целью выполнять код на компьютере и распространять вредоносные скрипты по сети.
Есть три популярных семейства вредоносных приложений, распространяющихся посредством скриптов PowerShell: W97M.Downloader (9,4% из рассмотренных примеров), Trojan.Kotver (4,5%) и Downloader (4%). За последние шесть месяцев Symantec блокировала в среднем по 466028 писем с вредоносным кодом JavaScript в день и это число растёт. Не все файлы JavaScript используют PowerShell для скачивания файлов, но популярность оболочки у хакеров увеличивается.
Создаются всё более сложные скрипты PowerShell, способные работать в несколько этапов. Вместо взлома компьютера напрямую они запускают другие скрипты, которые занимаются распространением вредоносных приложений. Это позволяет обойти определённые меры защиты, некоторые скрипты могут даже удалять антивирусные программы и красть пароли.
Специалисты рекомендуют пользоваться последними версиями приложений и последней версией PowerShell. Поскольку большинство скриптов распространяются по электронной почте, не следует открывать вложенные файлы и переходить по ссылкам в письмах от неизвестных адресатов.