Zlonamerno koda File Spider, ki ogroža predvsem uporabnike držav bivše Jugoslavije

Zlonamerna koda, imenovana File Spider, trenutno najbolj ogroža države bivše Jugoslavije, in sicer Bosno in Hercegovino, Srbijo in Hrvaško. Jezik, ki ga zlonamerna koda uporablja, je prilagojen državi, kjer se uporabnik nahaja.

Izsiljevalska koda ( ransomware) File Spider se širi preko elektronske pošte, in sicer v obliki Wordovega dokumenta. Skrita je v makro, ki ga uporabnik aktivira z odprtjem Word dokumenta. Nato pa se zlonamerna koda shrani v mapo »% AppData% \ Spider« in samodejno zažene. Ob zagonu izsiljevalske kode se začnejo šifrirati mape na računalniku, kot so: tmp, Videos, winnt, Application Data, Spider, PrefLogs, Program Files (x86), Program Files, ProgramData, Temp, Recycle, System Volume Information, Boot in Windows. Pri tem pa se ob vsaki šifrirani mapi pojavi nešifrirana datoteka HOW TO DECRYPT FILES.url, ki pravzaprav vsebuje navodila, kako povrniti datoteke v zameno za plačilo odkupnine.

Na HP prenosnikih je nameščena zlonamerna koda

Podjetje HP je sedaj tudi uradno potrdilo, da je bilo na veliko število HP prenosnikov nameščen program za beleženje tipk (keylogger), in to na vseh HP prenosnikih, ki so bili prodani po letu 2012. Z zlonamernim programom keylogger naj bi bili opremljeni vsi HP prenosniki iz družin  EliteBookProBookPavilionZBookCompaqOmen in Envy.

To računalniško ranljivost je odkril strokovnjak za računalniško varnost Michael Myng po naključju, ko je preverjal gonilnik tipkovnice SynTP.sys, da bi pridobil nadzor nad njeno osvetlitvijo. Na srečo je “keylogger” privzeto onemogočen, skrbi pa dejstvo, da ga omogoči preprost vnos v registru, kar je voda na mlin spletnim nepridipravom vseh vrst.

Čeprav je podjetje HP sporno kodo takoj onemogočilo, bi jo lahko napadalec s fizičnim dostopom do računalnika enostavno aktiviral s spremembo vrednosti v registru. Če uporabljate prenosne računalnike HP družin EliteBook, ProBook, Pavilion, ZBook, Compaq, Omen in Envy, vam priporočamo, da odstranite gonilnike in namestite nove, saj naj bi bili ti brez zlonamerne kode. To boste najenostavneje naredili tako, da boste ponovno namestili operacijski sistem.

 

Lažna spletna stran avto.net – phishing

Vsi uporabniki avto.net bodite pozorni, da vam spletni goljufi ne ukradejo vaših gesel za avto.net. Spletni goljufi so namreč postavili lažno phishing stran, ki je na izgled natanko enaka spletni strani avto.net. Hekerji najprej uporabnika spletne strani avto.net kontaktirajo preko WhatsApp in jih nato preusmerijo na lažno spletno stran, ki se nahaja na domeni avtonet.ml. Uporabnik se nato na tej strani registrira in s tem posreduje svoje uporabniško ime in geslo spletnim goljufom.

Ordinypt wiper ransomware pustoši po Nemčiji


GUTE-URLS

Wordpress is loading infos from scmagazine

Please wait for API server guteurls.de to collect data from
www.scmagazine.com/ordinypt-wiper...

Ordinypt wiper ransomware

Novi izsiljevalski virus Ordinypt, ki tudi briše datoteke, se širi po Nemčiji, in sicer kot lažna prijava na delovno mesto. Zlonamerna koda je skrita v dveh priponkah, ki sta imenovani “Viktoria Henschel – Bewerbungsfoto.jpg” in “Viktoria Henschel – Bewerbungsunterlagen.zip”. Elektronsko sporočilo torej izgleda tako kot da bi Viktoria Henschel poslala svojo prijavo na delovno mesto s svojo sliko in življenjepisom. Zip datoteka vsebuje dve .exe datoteki, ki imata dvojno končnico, tako se na hitro ti dve izgledata kot povsem navadni .pdf datoteki, v resnici pa sta .exe datoteki.

Bad Rabbit Ransomware

Letos sta v IT svetu povzročila veliko škode že dva izsiljevalska programa, WannaCry in Petya. V Rusiji, kjer je okuženih največ računalnikov, in Ukrajini pa se sedaj širi nov napad z izsiljevalskim virusom ( ransomware), imenovan  Bad Rabbit, ki se sedaj iz vzhodne Evrope širi tudi že v Turčijo in Nemčijo. Tako poročajo, da so okužene večje ruske medijske organizacije (tudi ruska neodvisna zasebna tiskovna agencija Interfax), letališče v Odessi in sistem podzemne železnice v ukrajinski prestolnici Kijev. Ukrajinske oblasti so napade v svoji državi potrdile.

Zlonamerna programska oprema ( ransomware) se širi z lažnim namestitvenim programom za posodobitev za Flash.

Bad Rabbit, tako kot vsi izsiljevalski programi, po svoji namestitvi kriptira vse podatke na napadenem računalniku in za dešifriranje podatkov zahteva odkupnino. V tem primeru ta trenutno znaša 0,05 bitcoina, kar je po zdajšnjih vrednostih bitcoina okoli 250 evrov, verjetno pa je, da se bo ta znesek v bližnji prihodnosti še zvišal.

Lahko se okužite preko LinkedIn Messenger

Raziskovalci Chekpoint so odkrili, da se lahko okužite tudi preko LinkedIn Messengerja. LinkedIn sicer preverja datoteke, ki jih uporabniki pripnejo in pošljejo preko messengerja, toda napadalci znajo tudi zaobiti varnostno preverjanje datotek, ki se pošiljajo preko LinkedIn Messenger. Napadalci to naredijo tako, da skreirajo Power Shell script, ki ga nato shranijo kot .pdf datoteko in jo naložijo na LinkedIn. Naslednja možnost, ki jo imajo hekerji, je, da kreirajo Windows registry datoteko, ki vsebuje PowerShell script, in vse skupaj sranijo kot .pdf datoteko. Tretja možnost je kreiranje XLSM datoteke, ki ima vključen Macro, kar nato shranijo kot XLSX datoteko. In zadnja možnost je, da kreirajo DOCX datoteko z zunanjim objektom.

Poslanih je bilo kar 23 milijonov elektronskih sporočil, okuženih z Locky ransomware, v 24 urah

Locky ransomware se vrača nazaj; v prejšnjem tednu je bilo uporabnikom kot nezaželena pošta poslanih kar 24 milijonov elektronskih sporočil, ki so bila okužena z izsiljevalsko kodo Locky ransomware. Ta napad je zaenkrat eden od največjih napadov v drugi polovici leta 2017. Elektronska pošta, ki so jo dobili uporabniki, je vsebovala ZIP datoteko, v kateri je bila Visual Basic Script (VBS) datoteka. Ko je uporabnik kliknil na datoteko, je VNS skripta z interneta potegnila zadnjo verzijo Locky ransomware. Nato je Locky zakodiral datoteke na uporabnikovem računalniku s končnico [.]lukitus. Od okuženega uporabnika Locky zahteva plačilo 0,5 Bitcoins, kar je trenutno približno 1.900 €.

Windows 10 z vgradno zaščito pred večino izsiljevalskih virusev

Microsoft ima sedaj v Windows 10 preprosto rešitev za težave, ki skrbijo na milijone uporabnikov Windows 10 po svetu. Dva množična napada z izsiljevalskimi virusi  WannaCry in Petya sta v prejšnjem mesecu povzročila kaos in motnje po celem svetu, ki so bolnišnice, bankomate, ladjarske družbe, vlade, letališča in avtomobilska podjetja prisilila k zaustavitvi dela za nekaj časa. In prav Microsoftu se sedaj najbolj očita, da ne zna preprečiti teh napadov in da so njegovi sistemi Windows zelo ranljivi. Po nedavnih uničujočih svetovnih izbruhih izsiljevalskega virusa je Microsoft sedaj končno potrdil, da je njegov operacijski sistem Windows ranljiv za take izsiljevalske viruse. Zato je za reševanje teh resnih težav Microsoft včeraj zvečer uvedel novo protivirusno funkcijo v najnovejšem Windows 10 Insider Preview Build (16232).

Anit- ransomware funkcija je poimenovana Controlled Folder Access in je del programa Windows Defender, ki blokira nepooblaščene programe, da ne spreminjajo pomembnih datotek v določenih “zaščitenih” mapah. Do zaščitenih map lahko dostopajo le aplikacije iz tako imenovanega belega seznama. Nekateri programi bodo avtomatsko na belem seznamu, saj jih bo tja dodal že Microsoft.

Kako vključiti Controlled Folder Access

  • Pojdi na Start menu in odpri Windows Defender Security Center.
  • Pojdi na Virus & Threat Protection nastavitev.
  • Vklopi stikalo.