Пользователи операционной системы Windows 7 сообщают, что ставшее уже знаменитым обновление KB3035583 снова появилось на их устройствах. Знаменито оно тем, что без ведома пользователей скачивает файлы обновления до Windows 10. KB3035583 впервые появилось летом 2015 года при подготовке перехода систем Windows 7 и Windows 8.1 на Windows 10. С ним появилось приложение Get Windows 10, проверяющее аппаратную совместимость компьютеров и позволявшее зарезервировать Windows 10.

Не желающие обновляться до Windows 10 могут удалить и скрыть обновление или же воспользоваться приложениями сторонних разработчиков, блокирующие обновление. Однако периодически обновление активируется и его приходится удалять заново.

KB3035583 появилось в центре обновления в виде рекомендуемого, устанавливаясь автоматически со всеми прочими. Об этом многочисленные пользователи сообщают на страницах портала Reddit. Однако у других обладателей Windows 7 это обновление не замечено, так что неизвестно, насколько оно распространено на этот раз.

Напомним, что возможность бесплатного обновления с Windows 7 и 8.1 предлагается до 29 июля.

Одно из выпущенных компанией Microsoft ещё в марте обновлений операционной системы Windows 7 стало причиной проблем на компьютерах с материнскими платами производства компании Asus. Причиной считается несовместимость с настройками функции безопасной загрузки Secure Boot.

В большинстве случаев пострадавшие компьютеры внезапно зависают без видимых причин, а другие выдают ошибку с упоминанием Secure Boot Violation. Сообщение гласит о внесении несанкционированных изменений в прошивку, операционную систему или драйверы UEFI.

Источником проблемы стало обновление KB3133977, выпущенное в рамках вторничных патчей в марте. Сначала оно было опциональным, и несмотря на жалобы в апреле Microsoft сделала его рекомендованным, так что при соответствующих настройках оно устанавливается автоматически.

До сих пор патч не убран из центра обновлений Windows, поэтому число жалоб на проблемы с компьютерами Asus продолжает расти. Сама Asus опубликована инструкции по отключению UEFI Secure Boot. Эта функция по умолчанию включена на материнских платах этой компании. Другим вариантом решения проблемы является удаление обновления, однако для этого потребуется загрузиться с другой операционной системы, чтобы обойти защиту Windows 7.

Развивая тему предыдущей новости, речь снова пойдёт о приложениях-вымогателях. В апреле число зафиксированных атак с их стороны оказалось в США максимальным за всё время наблюдений, рост с марта составил 158,87%.

Доклад от выпускающей антивирусы для ПК компании Enigma Software говорит, что для анализа рассматривались более 65 млн. случаев инфицирования приложений, зафиксированных в США с апреля 2013 года. Страдают от вымогателей не только организации, но и обычные пользователи.

Приложения-вымогатели в последние годы становятся всё распространённее. В нынешнем марте впервые приложение такого рода появилось на платформе Apple Mac OS X. Неоднократно жертвами атак становились больницы и другие учреждения, работа которых зависит от доступа к файлам.

Enigma Software пишет, что пользователи никогда не должны платить вымогателям или передавать им свои персональные данные. Также даётся ряд подсказок для защиты от инфицирования: регулярно выполнять резервное копирование данных, обновлять программное обеспечение, не переходить по ссылкам и не открывать файлы из неизвестных источников.

Новое приложение-вымогатель от группы под названием Charity Team пытается убедить пользователей заплатить выкуп за зашифрованные файлы, обещая пожертвовать часть денег на детскую благотворительность. Исследователи из компании Heimdal Security обнаружили данное приложение на прошлой неделе, однако MalwareHunterTeam говорит о его появлении более месяца назад. Колумбийский исследователь под ником Nyxbone рассмотрел программу более пристально и увидел сочетание других семейств вымогателей, таких как CryptoWall 3.0, CryptoWall 4.0 и CryptXXX. По этой причине новинка получила название CryptMix.

Заражение происходит через спам со ссылкой на вредоносные сайты. На них находятся эксплоиты, задействующие уязвимости браузеров и их плагинов для установки CryptMix. Когда вымогатель попадает на компьютер, процесс шифрования файлов начинается автоматически. Приложение отличается большим размахом, шифруя файлы 862 типов, после к их имени добавляется расширение .code. Затем отображается текстовое сообщение с информацией относительно выкупа. Там говорится об использовании алгоритма шифрования RSA-2048 и даётся два адреса электронной почты для связи -xoomx[@]dr.com и xoomx[@]usa.com.

В ответ на письмо пользователь получает ссылку и пароль к сервису One Time Secret, который отображает защищённые паролями сообщения. Здесь находится сообщение от автора CryptMix, который за восстановление файлов просит «скромную» сумму в 5 биткоинов (что на данный момент примерно равно $2200 или 145 тысяч рублей).

Помимо «пряника» в виде детской благотворительности есть и «кнут» - через 24 часа сумму выкупа обещается увеличить вдвое. Далее автор обещает «три года бесплатной техподдержки». На данный момент методы расшифровать зашифрованные CryptMix файлы отсутствуют.

Специалисты из компании McAfee сообщают, что обнаружили в магазине приложений Google Play Store десятки инфицированных вредоносным кодом приложений. Приложения стали жертвами Android/Clicker.G, а целью являются исключительно российские пользователи.

У наиболее популярного из пострадавших приложений число скачиваний не превышало пяти тысяч, при этом программы обладали работающим интерфейсом и положительными отзывами. Все приложения выложены пользователем с ником goasez. Попав на Android-устройства, через шесть часов приложения начинали проявлять актвиность. McAfee классифицирует Android/Clicker.G как рекламное ПО (adware). Каждые две минуты выскакивает окно с рекламой или с предложением скачать обновление системы или другие приложения с сервиса update-sys-android[.]com. Авторы не слишком стараются скрывать свою деятельность, не шифруя и не усложняя код.

McAfee не сообщает, как удалось обойти механизмы безопасности Google и автоматический сканнер Bouncer. К настоящему времени описываемые приложения удалёны из магазина.

Это не первый раз, когда вредоносное ПО обходит механизмы защиты магазина Google. Доклад безопасности Google Android 2015 говорит, что 0,15% приложений магазина содержали вредоносный код. В конце апреля компания PhishLabs нашла в магазине Play Store одиннадцать охотящихся за финансовой информацией пользователей приложений. Чуть ранее компания Dr.Web обнаружила 104 программы типа spyware с Android.Spy.277.