最近、ユーザーとランサムウェアを奪ったTorのプロキシサービス所有者が情報セキュリティ研究者の注目を集めています。 実際、このTorプロキシサービスは、クリプトウイルスの被害者によって使用されることが多く、Torブラウザのインストールに対処できない、または対処する準備ができていません。 このサービスを通じて、攻撃者の.onionサイトを訪問しました。 身代金メモには、このプロキシサービスを介した直接アクセスのリンクが記載されているランサムウェアもあります。彼らが言うように、すべてはクライアント向けです。 しかし、ページを読み込むときにのみ、ランサムウェアウォレットのアドレスが静かに部外者に変更されました。
Onion.topのオペレータは、Bitcoinウォレットアドレスを検索するためにポータルからダウンロードしたダークWebページを密かにコームし、それらを置き換えました。 異なるページでは置換ルールが異なるという事実から判断すると、それらは暗号化者ごとに個別に手動で設定されました。 サービスの所有者は、少なくとも2.2ビットコイン以上を盗むことができました。
最も興味深いのは、このスキームがランサムウェア自体の発表のおかげで実現したことです。ランサムウェアは、信頼できないOnion.topサービスのサービスを使用しないように被害者に促しました。 現在、気分を害する恐mail者は、この比類のない欺againstに対して他の手段を講じています。たとえば、Torブラウザーを排他的に使用することを強くお勧めするか、タグでウォレットアドレスを壊すことで、ページで自動的に見つけるのがより困難になります。
あなたのトロイの木馬がここにいる可能性があります
ロシア語のニュース、 英語の詳細
犯罪組織のZirconiumは、28の偽のメディア代理店のネットワークを作成し、通常の広告プラットフォームでスペースを完全に合法的に購入し、疑いを持たないユーザーに広告を表示します。 2017年、Zirconium広告はデスクトップブラウザーから少なくとも100万ビューを購入しました。
リダイレクトの結果としてのZirconiumのトラフィックは、あらゆる種類の詐欺のためのさまざまな不virus慎な性格に転売されました(主に、バイヤーは偽のウイルスメッセージ、一部のプレーヤーを更新するための呼び出し、マルウェアを配布するためのその他の標準的なトリック、および人口からお金を奪うためのその他の形式)。 会社自体は、コストとリスクを最小限に抑えて作成することに重点を置いています。 強制検出テクノロジーは、検出を回避するのに長い間役立ってきました。常に機能しないように設定されていますが、多くの兆候によると、メカニズムは情報セキュリティ研究者を計算し、リダイレクトを実行しませんでした。
グループは創造的にコスト削減の問題に取り組みました。独自の広告ネットワークとシェル企業からの複雑な法的構造を作成し、それ自体とその悪人を支援しました。一般に、半合法的なビジネスモデル全体を編成しました。 そして、それは行きました!
すべての企業は、ソーシャルネットワークのページにのみ存在していました。 彼らはシンプルだが双方にメリットのあるテンプレートに従って作成されました:それぞれが独自のドメイン、デスクトップ上のストックフォトを含むLinkedInの各ディレクターのプロファイル、およびサポート、企業哲学、顧客重視についての典型的なバニラ引用を含む何らかの種類のブログまたはTwitterを持っています... 研究者は、28のシェル企業を発見しました。そのうち20が犯罪現場で自分自身を証明し、他の8は予備として待機していました。
ジルコニウムのシェル企業は、16の大規模メディアプラットフォームとのビジネス関係を確立することができました。 攻撃者の収益は、他のネットワーク犯罪に関連するセイシェルのアドレスを持つ企業に送られます。 これがデジタルソプラノクランです。 これは、組織化されたビジネスのように、マルウェア配布の未来がどのように見えるかという可能性があります。
NotPetyaの後に生活はありますか
ニュース
NotPetyaマルウェアは、2017年6月に攻撃を聞いた耳の聞こえない人を除いて、長い間ニュースではありません。 しかし、半年後でも、企業は損害を計算し、在庫を取り、同僚や一般の人々と危機をどのように生き延びたかを共有し続けています。 一部の組織では、自社のセキュリティへの十分な注意がITインフラストラクチャのほぼ全体にかかっています。 最近、世界のすべての出荷のほぼ20%が通過する物流会社Maerskが痛みを共有しました。 彼女のゼネラルディレクターによると、4,000台のサーバー、25,000台のコンピューター、2.5万台のアプリケーションを復元する必要がありました。
合計で、Maerskはこの作業に10日かかりました。 そして、この会社での10日間は、電子会計はまったくありませんでした。 同時に、船は15分ごとに港を呼び出し続け、それぞれから1万から2万個のコンテナを降ろさなければなりませんでした。 さらに、すべてのコンテナは受け入れられ、チェックされ、考慮され、それらの場所を見つける必要がありました-コンピュータの助けなしで。 当時の会社にはどんなスモークロッカーが立っていたのか想像できます! しかし、彼らは素晴らしい仕事をしました:生産性はたった1/5低下しました。 まともな結果以上。 このヒロイズムが一般的に必要だったのは残念です。
一方、マースクの歴史は勇気づけられる例です。デンマーク人がコンピューターなしでやることができたら、人類の残りの部分にとって、すべてが失われることはないでしょう。 私たちの電子奴隷が立ち上がって、交通渋滞をなくさなければならないかもしれませんが、世界はごく短時間で混乱に陥ります。 そして、電卓、納屋の本、スライドのルールを備えた控えめなヒーローが助けになります。
古物
家族「石」
このファミリーのウイルスは非常に危険で、ディスクの最初の物理セクター、つまりフロッピーディスクのブートセクターとハードドライブのMBRに感染します。 2つの部分で構成されます。 最初の部分はウイルスの本体を含み、ディスクの最初の物理セクターに格納され、2番目は感染したディスクの初期セクターを含み、めったに使用されないセクターの1つを占有します:ハードドライブ、MBRと最初のBOOTセクターの間のセクター、フロッピーディスクに割り当てられたセクターの1つルートディレクトリの下。 たとえば、Stone-aウイルスは360Kフロッピーディスクのルートディレクトリの最後のセクタに書き込まれます。
初期バージョンのウイルスは、2番目の部分を固定アドレスのディスクに保存します。フロッピーディスク1/0/3(ヘッド/トラック/セクター)、ハードドライブ-0/0/7。 この場合、チェックは実行されないため、ウイルスはディスク上の情報の一部を破壊する可能性があります(フロッピーディスク-FATセクタの1つまたはハードドライブ上のルートディレクトリ-FATセクタの1つ)。
フロッピーディスクは、読み取り(int 13h、ah = 2)、ハードドライブ-感染したフロッピーディスクからDOSを読み込むときに感染します。 このファミリーのウイルスはint 13hをインターセプトします。
免責事項:このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。