Специалисты обнаружили новое семейство приложений-вымогателей, которое нацелено на главную загрузочную запись жёсткого диска (MBR) и не позволяет компьютерам загружаться, зашифровывая их файлы. Приложение HDDCryptor (другое название - Mamba) функционирует с нынешнего января, о чём сказано на форуме компании Bleeping Computer.

Вымогатель HDDCryptor появился раньше более известных вымогателей Petya и Satana, работая примерно так же. Недавняя кампания по распространению вымогателя пользователям по всему миру доставляла новую версию программы. Первым её заметил исследователь Ренато Мариньо из Morphus Labs, зафиксировав случаи распространения в США, Бразилии и Индии. Далее сходный технический анализ выпустила компания Trend Micro.

В отчётах сказано, что пользователи заходят на определённый веб-сайт и скачивают содержащий вредоносный код файлы. Файлы содержат HDDCryptor или промежуточное ПО, которое скачает вымогатель позднее. Когда запускается основной исполняемый файл, на компьютер устанавливается ряд других файлов и запускаются в определённом порядке.

Для начала HDDCryptor сканирует локальную сеть на наличие сетевых дисков. Затем бесплатный инструмент Network Password Recovery ищет и собирает данные общих папок. Ещё один бесплатный инструмент (DiskCryptor) шифрует пользовательские файлы на жёстком диске и на сетевых дисках. Напоследок HDDCrypter перезаписывает MBR и перезапускает компьютер, показывая записку с требованием выкупа. Выкуп составляет 1 биткоин (около $610).

Компания Apple, выйдя в 2007 году на рынок телефонов, использовала для своих iPhone модемы от компании Infineon Technologies. Начиная с iPhone 4 компания начала переход на модемы от Qualcomm, и вот в 2016 году Apple, судя по всему, готовится начать новый переход, но на этот раз на модемы от Intel.

Выпущенный в 2010 году iPhone 4 стал последней моделью, в которой Apple использовала сетевые модемы от Infineon, начав выпуск CDMA-версий на базе модемов Qualcomm. Примерно в то же время корпорация Intel завершила поглощение модемного бизнеса Infineon, но не получила Apple в качестве надёжного клиента, так как уже с iPhone 4S до iPhone 6S/SE во всех iPhone использовались модемы Qualcomm Snapdragon/Gobi. Но как показали первые разборы новых iPhone 7 и 7 Plus от iFixIt и Chipworks, в разных версиях этих смартфонов используются два разных модема — Intel XMM7360 и Qualcomm Snapdragon X12. Первый используется в моделях для международного рынка, тогда как наличие модема Qualcomm подтверждено только в версиях смартфона для стандарта связи CDMA (например, для американского оператора Verizon Wireless).

Intel XMM7360 в iPhone 7

Таким образом, это первая крупная победа для Intel Mobile Communications в войне с Qualcomm, чьи модемы по большому счёту, несмотря на развитие, оставались без внимания производителей смартфонов в премиальном сегменте. Apple, несмотря на то, что в последнее время теряет свою рыночную долю как в относительных, так и в абсолютных показателях, остаётся важным игроком на рынке смартфонов, собирая большую часть прибыли в сегменте.

Портал iFixit провёл анализ недавно представленных компанией Apple устройств iPhone 7, iPhone 7 Plus и часов Apple Watch 2, показав внутренние изменения и оценку ремонтопригодности. При рассмотрении iPhone 7 Plus замечено, что аппарат теперь открывается сбоку, а не сверху. Запечатывающая корпус полоса стала прочнее прежней, что должно быть связано с наличием водонепроницаемой защиты.

Убрав разъём 3,5 мм для наушников, разработчики говорили, что освобождают место для других компонентов. В результате увеличился размер батареи и движок Taptic Engine. Последний отвечает за взаимодействие с пользователем вибрациями, именно на него и пришлась большая часть освободившегося места. Кнопка Home в этом аппарате не щёлкает, как раньше, а вибрирует при нажатии на неё.

Ёмкость аккумулятора выросла до 2900 мАч с прежних 2750 мАч, обещано увеличение продолжительность времени работы на час. Двойная задняя камера выполнена в одном модуле, что также должно способствовать лучшей защите от воды.

В Apple Watch Series 2 размером 38 мм ёмкость батареи равна 273 мАч, что на 33% больше по сравнению с оригинальными Apple Watch. Появление GPS и рост яркости экрана могут означать, что продолжительность автономной работы не выросла, зато и здесь вырос размер Taptic Engine.

Главным минусом iPhone 7 Plus названа необходимость использовать четыре разных отвёртки. Оценка ремонтопригодности - 7 баллов. Тот же самый недостаток выявлен у стандартной модели, оценка также 7 баллов. У часов оценка составила 6 баллов.

Google убрала четыре приложения из магазина Play Store после того, как специалисты компании Lookout обнаружили в них троян, собиравший информацию об устройствах и пользователях. Целями становились предприниматели и туристы в Россию и из неё. Три приложения связаны с новостями, их разработчиком является RSS News, Inc. Два из них показывают связанные с Россией новости, третье европейские темы. Четвёртое приложение предназначено для поиска посольств по всему миру.

Анализ позволил обнаружить шпионский троян Overseer, который взаимодействует с сервером на Amazon AWS. Общение происходит по HTTPS, но исследователи нашли в исходном коде доказательства вредоносного поведения.

Получая команды, приложение собирает данные об устройстве и отсылает на сервер. В их число входят идентификаторы IMEI, IMSI, MCC и MNC, тип телефона, сотовый оператор, производитель устройства, идентификатор, модель, версия Android, SDK и сборка. Собираются сведения о списке контактов, учётных записях, установленных приложениях, их разрешениях, сторонних загрузках, руте, идентификаторе базовой станции, широте и долготе, идентификаторе сети. Троян записывает даже, сколько раз пользователь связывался со своими контактами.

Поскольку не видно попыток использовать эти сведения в коммерческих целях, для поддельных кликов или установки рекламы, речь может идти о кибершпионаже в экономических или политических интересах.

Недавнее исследование американской компании из сферы кибербезопасности CyberArk рассказало о разных сценариях атак с применением безопасного режима загрузки системы Windows. Он позволяет проводить атаки незамеченными, собирать логины и пароли и отключать приложения безопасности, если получить права администратора. Это возможно при использовании множества вредоносных приложений для Windows.

Система Windows позволяет приложениям выдавать запрос на перезагрузку и загружаться в безопасном режиме. Здесь не запускаются все сторонние приложения, в том числе антивирусы. Хакеры могут изменить значение ключей реестра для антивирусов, что в обычном режиме работы вызовет появление предупреждения.

Остаётся только заставить пользователей перезагрузить компьютер и не удивляться тому, что он загружается в безопасном режиме, что сделать тоже непросто. Однако, существует достаточно пользователей с низким уровнем компьютерной подготовки, с которыми этот трюк может сработать. После выполнения вредоносных команд компьютер снова загрузится в обычном режиме.

Используя атаку типа Pass-the-Hash и специальные инструменты, можно получить доступ к логинам и паролям. Эти инструменты могут быть установлены внутри сервисов и объектов COM. Далее можно собирать хеши паролей NTLM и превращать их в текст. Эти атаки не считаются проблемой в системе безопасности и Microsoft вряд ли может что-то сделать по их поводу.