Злоумышленники активно эксплуатируют уязвимости в ms exchange

Google — корпорация зла

В противовес шуткам про корпорациюю зла, Google вначале часто называли корпорацией добра.
Забавная игра слов. Как бы тоже корпорация, уже что-то зловещее в этом есть, но при этом добро.
Собственно, и я долгое время был поклонником Google. Мол собирают нащи данные, но только все это не так страшно,
потому что единственная цель этих сборов — показывать более подходящуюю рекламу.

Итак, договорились. Google знаен о нас очень много, возможно, существенно больше, чем Apple и Microsoft вместе взятые.
И что с того, скажете вы? Там же все действительно для рекламы. И сервисы работают, и все прекрасно.
Прекрасно, да не совсем. Как выяснилось в последнее время, Google может в любой момент поменять правила игры,
и вы ничего с этим не поделаете. Смотрите:

Сейчас многие в курсе о печально предстоящем закрытии Google Reader.
Google подтверждает, что получил великое множество просьб отменить этот шаг, но ничего менять не собирается.
Раз — и все

И неважно, что это был самый удобный клиент чтения rss. Просто Google это невыгодно.
То ли на серверах перегрузка (это шутка), то ли «плюс» свой развивают, то ли они вообще решили, что надо
как-то убить технологию rss.

С недавних пор Google закрыл входящие запросы на авторизацию к своему Google Talk со сторонних
jabber-серверов

Еще немного, и полностью перекроют канал.
А раньше как раз я пропогандировал джаббер за открытость — сидишь, например, под google talk и общаешься
с человеком, у которого аська из-под QIP. Но Google больше не нужна открытость, пусть лучше переходят
все на внутренние сервисы.

В декабре 12 года Google закрыт бесплатный Google Apps для сайтов.
Например, почта на домене sander.su у меня обслуживается гуглом. У меня все так и останется,
но больше так зарегистрироваться нельзя.

Была закрыта не очень популярная, но все же хорошая технология внешней авторизации Google Friend Connect.
Мне, например, из-за этого пришлось потратить довольно много времени и поменять систему комментирования.

Еще один момент, коснувшийся меня. Прошлым летом мой приятель затащил меня помогать с разработкой интеренсого проекта.
По сути, проект представлял собой большой rss-аггрегатор анонсов лент из blogger (тоже купленного Google).
При этом, список блога пользователя тоже добывался из rss-ленты, отвечающей его профилю.
Начали работать, как раз просидели над эти неделю (использовали модуль feeds на drupal), и тут Google прикрыл
возможность добывать список блогов из профиля. Диалоги на специальных форумах ничего не дали — представители
Google ответили, что так больше работать не будет, а как-то будет, но когда — неизвестно. С тех пор ничего не изменилось.

Этот список можно продолжать и продолжать. Но главное в нем — Google, как и другие компании,
играет по своим правилам. И может изменить правила для нас в любой момент. И изменяет.
Что, например, вы скажете, если узнаете в один прекрасный день, что через месяц почта GMail
закрывается, и у вас только лишь есть время, чтобы сохранить свои письма и контакты?

Не прикрепляйте незнакомые съемные диски

Некоторые типы вредоносных программ распространяются путем копирования на usb-накопители или другие съемные диски. Есть злоумышленники, которые намеренно готовят и распространяют зараженные диски, оставляя их в общественных местах для ничего не подозревающих людей.

Используйте только съемные диски, с которые вы знакомы или которые приходят из надежного источника. Если диск был использован на общедоступных устройствах, например компьютерах в кафе или библиотеке, перед использованием диска убедитесь, что на компьютере работает антивирусное программное обеспечение. Избегайте открытия незнакомых файлов, которые находятся на подозрительных дисках, Office и PDF-документах и исполняемых файлах.

Использование учетной записи без администратора

Во время запуска, непреднамеренно или автоматически, большинство вредоносных программ запускаются в тех же привилегиях, что и активный пользователь. Это означает, что, ограничив привилегии учетной записи, можно предотвратить внесение вредоносными программами последующих изменений на любые устройства.

По умолчанию Windows использует управление учетной записью пользователя (UAC) для автоматического, гранулированного управления привилегиями, временно ограничивает привилегии и побуждает активного пользователя каждый раз, когда приложение пытается внести потенциально последующие изменения в систему. Хотя UAC помогает ограничить привилегии пользователей администратора, пользователи могут переопрестить это ограничение при запросе. В результате пользователю администратора довольно легко непреднамеренно разрешить запуск вредоносных программ.

Для обеспечения того, чтобы повседневные действия не привели к заражению вредоносными программами и другим потенциально катастрофическим изменениям, рекомендуется использовать учетную запись без администратора для регулярного использования. С помощью учетной записи без администратора можно предотвратить установку несанкционированных приложений и предотвратить непреднамеренное изменение параметров системы. Избегайте просмотра веб-страницы или проверки электронной почты с помощью учетной записи с привилегиями администратора.

При необходимости войдите в систему в качестве администратора для установки приложений или внесения изменений конфигурации, которые требуют привилегий администратора.

BlueLeaks — самая громкая утечка данных из госорганов

Когда: июнь 2020 года.

Кого или что атаковали: правоохранительные органы и спецслужбы США.

Что произошло:

Хакеры из группировки Anonymous получили доступ к 269 Гб секретных данных правоохранительных органов и спецслужб США в виде более 1 млн файлов: видеоролики, электронные письма, аудиофайлы, а также документы по планированию и разведке за последние десять лет — включая те, что подтверждают слежку за активистами Black Lives Matter. Файлы передали группе хакеров-активистов DDoSecrets , которая опубликовала полученную информацию.

В ответ на это Twitter заблокировал аккаунт DDoSecrets, а в Германии заблокировали сервер , на котором хранились данные BlueLeaks — по запросу от американских властей.

Кстати, в январе 2019 года та же группировка опубликовала 175 Гб данных о тайных сделках Кремля, Русской православной церкви и участии России в войне на Донбассе .

Последствия: Опубликованные документы вызвали громкий скандал и обвинения в адрес американских спецслужб, которые завели уголовное дело в ответ на это. Их действия в отношении хакеров сравнили с преследованием WikiLeaks .

Кибератака на Tesla: как тебе такое, Илон Маск?

В 2016 году китайская хакерская группа Whitehat Keen Security Lab взломала Tesla Model S через точку доступа Wi-Fi . Tesla быстро устранила уязвимость, но потом хакеры проделали это снова. Они предлагали водителям подключиться к Wi-Fi, а потом устанавливали вредоносное ПО и получали полный доступ к системам управления.

В последующие годы обнаруживались все новые уязвимости . Например, можно было подключить свой ноутбук к сетевому кабелю за приборной панелью, запустить автомобиль с помощью специальной программы и управлять им. По счастливой случайности никто из водителей не пострадал, хотя у злоумышленников был доступ, в том числе, к тормозной системе. Это вызывает, в свою очередь, много вопросов к беспилотникам, где контроль со стороны водителя минимален.

В августе 2020 года русский хакер Егор Крючков попытался внедрить вредоносное ПО в систему управления Tesla . Для этого он предложил сотруднику компании взятку в $1 млн. Однако затея провалилась, а самого хакера осудили на пять лет.

10. Самая скандальная кибератака российских хакеров

Когда: май 2020 года.

Кого или что атаковали: Агентство национальной безопасности США.

Что произошло:

Хакеры попытались взломать почтовые серверы АНБ . Злоумышленники использовали уязвимость в агенте пересылки сообщений Exim, обнаруженную в июне 2019 года. Она позволяет преступнику отправлять вредоносное письмо на сервер и сразу же получать возможность удаленно запускать там же свой код.

АНБ обвинила в атаке хакерскую группировку Sandworm (она же — Telebots, Voodoo Bear, Iron Viking и BlackEnergy), связанную с Россией — ту самую, которая предположительно запустила вирус NotPetya. Ее же Минюст США позже обвинил в причастности к политическим событиям в Грузии и на Украине, а также во вмешательстве в выборы во Франции и атаке на компьютерную сеть Зимних Олимпийских игр в Пхенчхане в 2018 году .

Кибератака на звезд

В 2014 году, в результате нескольких кибератак, хакеры получили доступ к фото и видео знаменитостей, которые хранились в облаке iCloud. Многие из них — включая интимные — попали в сеть: их опубликовали на ресурсе 4chan. В числе пострадавших оказались Ким Кардашьян, Аврил Лавин, Кейли Куоко, Дженнифер Лоуренс, Кирстен Данст, Рианна, Скарлетт Йоханссон, Вайнона Райдер.

Ролик блогера Wylsacom об утечках 2014 года

Некоторые поспешили заявить, что фото и видео поддельные:

Кибератаки могут убивать?

К сожалению, да. В 2015 году хакеры взломали сайт Ashley Madison , предназначенный для знакомств замужних женщин и женатых мужчин. В результате атаки утекли данные 40 млн пользователей. Некоторым из них начали рассылать угрозы с требованием выкупа в $1 тыс. Некоторые из пострадавших испугались, что их супруг узнает об измене, и покончили с собой.

Второй случай произошел в сентябре 2020 года. Злоумышленники атаковали ИТ-систему университетской клиники в Дюссельдорфе. В результате 30 серверов и все подключенные устройства — в том числе аппараты жизнеобеспечения — на некоторое время вышли из строя. Этого оказалось достаточно, чтобы одна из пациенток скончалась . Полиция завела уголовное дело по факту убийства. Правда, позже в одном из изданий появилось опровержение: якобы смерть пациентки не была связана с кибератакой .

Предотвращение

Чтобы предотвратить заражение компьютера этим вирусом, выполните следующие действия:

  1. Включим функцию брандмауэра подключения к Интернету (ICF) в Windows XP, Windows Server 2003, выпуск Standard и Windows Server 2003 выпуск Enterprise; или используйте базовый брандмауэр, Microsoft Internet Security and Acceleration (ISA) Server 2000 или сторонний брандмауэр для блокировки портов TCP 135, 139, 445 и 593; порты UDP 69 (TFTP), 135, 137 и 138; и TCP-порт 4444 для удаленной командной оболочки.

    Чтобы включить ICF в Windows XP или Windows Server 2003, выполните следующие действия:

    1. Нажмите кнопку Пуск и выберите Панель управления.
    2. В панели управления дважды нажмите кнопку «Подключение к сети» и «Подключение к Интернету», а затем нажмите кнопку Подключение к сети.
    3. Щелкните правой кнопкой мыши подключение, в котором необходимо включить брандмауэр подключения к Интернету, а затем нажмите кнопку Свойства.
    4. Щелкните вкладку Advanced, а затем нажмите кнопку «Защитите мой компьютер или сеть», ограничив или предотвращая доступ к этому компьютеру из интернет-окна.

    Примечание

    Некоторые соединения с подключением к сети могут не отображаться в папках сетевого подключения. Например, может не отображаться подключение к диалогу AOL и MSN. В некоторых случаях можно использовать следующие действия, чтобы включить ICF для подключения, которое не появляется в папке Сетевое подключение. Если эти действия не работают, обратитесь к поставщику интернет-служб (ISP) для получения сведений о том, как брандмауэр подключения к Интернету.

    1. Запуск Internet Explorer.
    2. В меню Сервис выберите пункт Свойства обозревателя.
    3. Щелкните вкладку Подключения, щелкните подключение, используемое для подключения к Интернету, а затем нажмите кнопку Параметры.
    4. В области параметров dial-up нажмите кнопку Свойства.
    5. Щелкните вкладку Advanced, а затем нажмите кнопку «Защитите мой компьютер или сеть», ограничив или предотвращая доступ к этому компьютеру из интернет-окна.

    Дополнительные сведения о том, как включить брандмауэр подключения к Интернету в Windows XP или в Windows Server 2003, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

    Как включить или отключить брандмауэр в Windows XP

    Примечание

    ICF доступен только на Windows XP, Windows Server 2003, выпуск Standard и Windows Server 2003 выпуск Enterprise. Базовый брандмауэр является компонентом маршрутного и удаленного доступа, который можно включить для любого общего интерфейса на компьютере, который работает как маршруты, так и удаленный доступ, а также член семейства Windows Server 2003.

  2. Этот червь использует ранее объявленную уязвимость в качестве части метода заражения. В связи с этим необходимо убедиться, что на всех компьютерах установлено исправление безопасности 823980 для устранения уязвимости, обнаруженной в microsoft Security Bulletin MS03-026. Исправление 824146 заменяет исправление безопасности 823980. Корпорация Майкрософт рекомендует установить исправление 824146 безопасности, которое также включает исправления проблем, которые устраняются в Microsoft Security Bulletin MS03-026 (823980).

  3. Для обнаружения новых вирусов и их вариантов используйте последнюю подпись антивирусного поставщика.

Отключение sppsvc.exe

При необходимости, можно отключить запуск службы «Защита программного обеспечения» sppsvc.exe. Безопасный метод (но не всегда срабатывающий), который легко «откатить» при необходимости, состоит из следующих шагов:

  1. Запустите планировщик заданий Windows 10, 8.1 или Windows Для этого можно использовать поиск в меню Пуск (панели задач) или нажать клавиши Win+R и ввести taskschd.msc
  2. В планировщике заданий перейдите к разделу Библиотека планировщика заданий — Microsoft — Windows — SoftwareProtectionPlatform.
  3. В правой части планировщика вы увидите несколько заданий SvcRestartTask, нажмите правой кнопкой мыши по каждому заданию и выберите пункт «Отключить».
  4. Закройте планировщик заданий и перезагрузите компьютер.

В дальнейшем, если потребуется вновь включить запуск Защиты программного обеспечения, просто включите отключенные задание тем же способом.

Есть и более радикальный метод, позволяющий отключить службу «Защита программного обеспечения». Сделать это через системную утилиту «Службы» не получится, но можно использовать редактор реестра:

  1. Запустите редактор реестра (Win+R, ввести regedit и нажать Enter).
  2. Перейдите к разделу
  3. В правой части редактора реестра найдите параметр Start, нажмите по нему дважды мышью и измените значение на 4.
  4. Закройте редактор реестра и перезагрузите компьютер.
  5. Служба Защита программного обеспечения будет отключена.

Если потребуется вновь включить службу, измените тот же параметр на 2. Некоторые отзывы сообщают, что при использовании данного метода может перестать работать некоторый софт Майкрософт: в моем тесте этого не произошло, но имейте в виду.

Что такое защита программного обеспечения и почему sppsvc.exe при загрузке компьютера грузит процессор

Служба «Защита программного обеспечения» следит за состоянием ПО от Microsoft — как самой Windows, так и прикладных программ, с целью защиты его от взлома или подмены.

Стандартно, sppsvc.exe запускается через короткий промежуток времени после входа в систему, выполняет проверку и отключается. Если и у вас нагрузка кратковременная — не стоит чего-либо предпринимать, это нормальное поведение данной службы.

Если же sppsvc.exe продолжает «висеть» в диспетчере задач и отъедать значительное количество ресурсов процессора, возможно, есть какие-то проблемы, мешающие работе защиты программного обеспечения, чаще всего — нелицензионная система, программы Майкрософт или какие-либо установленные патчи.

Простые способы решить проблему, не затрагивая работу службы

  1. Первое, что рекомендую сделать — выполнить обновление системы, особенно если у вас Windows 10 и уже старая версия системы (к примеру, на момент написания статьи, актуальными версиями можно считать 1809 и 1803, а на более старых может «самопроизвольно» возникать описываемая проблема).
  2. Если проблема с высокой нагрузкой от sppsvc.exe возникла «только что», можно попробовать использовать точки восстановления системы. Также, если в последнее время производилась установка каких-то программ, может иметь смысл временно удалить их и проверить, решена ли проблема.
  3. Выполните проверку целостности системных файлов Windows, запустив командную строку от имени администратора и используя команду sfc /scannow

Если описываемые простые методы не помогли, переходим к следующим вариантам.

Кибератака на Tesla: как тебе такое, Илон Маск?

В 2016 году китайская хакерская группа Whitehat Keen Security Lab взломала Tesla Model S через точку доступа Wi-Fi . Tesla быстро устранила уязвимость, но потом хакеры проделали это снова. Они предлагали водителям подключиться к Wi-Fi, а потом устанавливали вредоносное ПО и получали полный доступ к системам управления.

В последующие годы обнаруживались все новые уязвимости . Например, можно было подключить свой ноутбук к сетевому кабелю за приборной панелью, запустить автомобиль с помощью специальной программы и управлять им. По счастливой случайности никто из водителей не пострадал, хотя у злоумышленников был доступ, в том числе, к тормозной системе. Это вызывает, в свою очередь, много вопросов к беспилотникам, где контроль со стороны водителя минимален.

В августе 2020 года русский хакер Егор Крючков попытался внедрить вредоносное ПО в систему управления Tesla . Для этого он предложил сотруднику компании взятку в $1 млн. Однако затея провалилась, а самого хакера осудили на пять лет.

Следите за вредоносными или скомпрометирован веб-сайтов

Когда вы посещаете вредоносные или скомпрометированы сайты, ваше устройство может быть заражено вредоносными программами автоматически или вы можете получить обманным в загрузке и установке вредоносных программ. В качестве примера того, как некоторые из этих сайтов могут автоматически устанавливать вредоносные программы на посещаемые компьютеры, см. в примере эксплойтов и наборов эксплойтов.

Чтобы определить потенциально опасные веб-сайты, помните следующее:

  • Начальная часть (домен) веб-сайта должна представлять компанию, которая владеет сайтом, который вы посещаете. Проверьте домен на предмет опечаток. Например, вредоносные сайты обычно используют доменные имена, которые заменяют букву O на ноль (0) или буквы L и I с одним (1). Если в примере .com написан examp1e.com, сайт, который вы посещаете, является подозрительным.

  • Сайты, которые агрессивно открывают всплывающие узлы и отображают вводящие в заблуждение кнопки, часто обманывают пользователей принимать контент с помощью постоянных всплывающих или неправильных кнопок.

Чтобы блокировать вредоносные веб-сайты, используйте современный веб-браузер Microsoft Edge, который идентифицирует веб-сайты фишинга и вредоносных программ и проверяет загрузки на наличие вредоносных программ.

Если вы столкнулись с небезопасным сайтом, нажмите кнопку Больше > Отправить отзывы по Microsoft Edge. Вы также можете сообщать о небезопасных сайтах непосредственно в Корпорацию Майкрософт.

Пиратские материалы на скомпрометированных веб-сайтах

Использование пиратского контента не только незаконно, но и может подвергать ваше устройство вредоносным программам. Сайты, предлагающие пиратское программное обеспечение и средства массовой информации, также часто используются для распространения вредоносных программ при посещении сайта. Иногда пиратское программное обеспечение в комплекте с вредоносными программами и другими нежелательными программами при скачии, в том числе навязчивыми плагинами браузера и adware.

Пользователи открыто не обсуждают посещения этих сайтов, поэтому любые нежелательные впечатления, скорее всего, останутся неохваченными.

Чтобы оставаться в безопасности, скачайте фильмы, музыку и приложения с официальных веб-сайтов или магазинов издателя. Рассмотрите возможность запуска упрощенной ОС, например Windows 10 Pro SKU S Mode,которая гарантирует установку только Windows магазина.

Stuxnet — самое первое кибероружие

Когда: 2009-10 годы.

Кого или что атаковали: компьютеры на ОС Windows.

Что произошло:

Сетевой вирус Win32/Stuxnet поразил личные компьютеры, а также целые автоматизированные системы управления производством. Он использовал четыре уязвимости «нулевого дня» в ОС Windows, перехватывая и изменяя поток данных промышленных предприятий, электростанций и аэропортов.

Как распространялся Stuxnet

В коде специалисты нашли следы программы уязвимости «нулевого дня», явно написанной профессионалами. Появились версии , что Stuxnet был запущен с конкретной целью — атаковать блоки управления газовыми центрифугами для получения обогащенного урана на стратегических объектах. Именно заводы, которые их выпускали, стали еще одной мишенью вредоносного ПО. Злоумышленники рассчитывали, что от них вирус распространится на заводы по производству обогащенного урана в Иране, чтобы нанести удар по всему ядерному проекту. Их план сработал.

В итоге главными подозреваемыми в кибератаке стали спецслужбы Израиля и США. The New York Times писала , что перед запуском Stuxnet был успешно испытан в израильском городе Димона в пустыне Негев. Журналистка Ким Зеттер посвятила этому событию книгу «Обратный отсчет до нулевого времени» (Countdown to zero day) .

Ущерб: Всего вирус успел заразить 200 тыс. устройств. Иранцам пришлось избавиться от 1 тыс. центрифуг для обогащения уранового топлива, пораженных Stuxnet. Остальные блоки не пострадали, но ядерная программа Ирана была отброшена на несколько лет назад.

Выборы в США — главный политический скандал

Когда: июль 2016 года.

Кого или что атаковали: серверы Национального комитета Демократической партии США (DNC) и комитета Демократической партии по выборам в Конгресс (DCCC).

Что произошло:

Хакеры использовали вредоносное ПО для удаленного управления серверами и передачи файлов, а также слежки за всеми действиями пользователей в рамках сети. После кибератаки хакеры вычистили все следы своей активности.

Хакерам удалось получить доступ к электронной почте кандидата в президенты от демократов Хилари Клинтон и ее команды. В итоге 30 тыс. электронных писем были опубликованы на WikiLeaks , включая 7,5 тыс. документов, отправленных самой Клинтон. Многие документы были секретными и касались террористических атак на консульство США в Бенгази в 2012 году. Остальные содержали персональные данные членов и спонсоров демократической партии, включая номера их кредитных карт.

Американские эксперты по интернет-безопасности обвинили в этих атаках действующие из России хакерские группировки под названием Cozy Bear и Fancy Bear .

Ущерб: История с перепиской вызвала раскол внутри демократов и сильно пошатнула их позиции накануне выборов. Скандал негативно повлиял на рейтинги Клинтон и помешал ей победить Дональда Трампа на президентских выборах. Она же положила начало Пиццагейту — одной из самых масштабных теорий заговора в США .

Накануне новых американских выборов в 2020 году вышел доклад Microsoft . В нем сообщается о 200 хакерских атаках, связанных с выборами. И вновь в числе главных виновных называют Россию .

Симптомы инфекции

Если ваш компьютер заражен этим червем, у вас могут не возникнуть какие-либо симптомы, или вы можете испытывать какие-либо из следующих симптомов:

  • Вы можете получать следующие сообщения об ошибках:

  • Компьютер может отключиться или повторно перезапуститься через случайные промежутки времени.

  • На Windows xp или на компьютере Windows Server 2003 может появиться диалоговое окно, которое дает возможность сообщить о проблеме в Корпорацию Майкрософт.

  • Если вы используете Windows 2000 или Windows NT, вы можете получить сообщение об ошибке Stop.

  • Файл с именем Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll в папке Windows \ System32.

  • На компьютере могут находиться необычные * TFTP-файлы.

Охапься ссылок и вложений

Электронная почта и другие средства обмена сообщениями — это несколько наиболее распространенных способов заражения устройства. Вложения или ссылки в сообщениях могут открывать вредоносные программы напрямую или могут незаметно запускать скачивание. В некоторых сообщениях электронной почты указаны инструкции, позволяющие макросам или другому исполняемому контенту упростить заражение устройств вредоносными программами.

Используйте службу электронной почты, которая обеспечивает защиту от вредоносных вложений, ссылок и оскорбительных отправителей. Microsoft Office 365 встроенное антивирусное программное обеспечение, защита ссылок и фильтрация нежелательной почты.

Дополнительные сведения см. в фишинге.

Petya/NotPetya/ExPetr — самый большой ущерб от кибератаки

Когда: июнь 2017 года.

Кого или что атаковали: крупные корпоративные сети компаний и госслужб по всему миру

Что произошло:

Первая версия вируса появилась еще в марте 2016 года, но серьезные кибератаки начались в 2017-м. Не все согласны с тем, что в обоих случаях это был один и тот же вирус, но значительная часть кода действительно совпадала. По поводу названия тоже возникли споры: исследователи из «Лаборатории Касперского» предпочитают называть вирус New Petya, NotPetya или ExPetr .

Так же, как и WannaCry, Petya и его поздние версии поражали компьютеры на ОС Microsoft Windows. Они зашифровывали файлы — точнее, базу данных с информацией обо всех файлах на диске — и данные для загрузки ОС. Затем вирус требовал выкуп в биткоинах.

Экран пораженного вирусом NotPetya компьютера

Но коды для расшифровки не помогали, а, наоборот, уничтожали все данные на жестком диске. При этом вирус получал полный контроль над всей инфраструктурой компании, и защита от WannaCry против него уже не действовала.

Для создания NotPetya использовали коды хакерской группировки Equation, выложенные в открытый доступ. В октябре 2020 власти США обвинили хакерскую группировку Sandworm , состоящую из сотрудников российского ГУ ГШ, в причастности к вирусу NotPetya и другим кибератакам.

Больше всего от вируса пострадала Украина. Позднее пришли к выводу , что именно отсюда началось заражение. Причина — в автоматическом обновлении бухгалтерской программы M.T.doc, которой пользуется большинство компаний и госорганов в стране.

Ущерб: Вирус затронул компании и госорганы Европы, США, Австралии, России, Украины, Индии, Китая. Среди пострадавших — российские компании «Роснефть» и «Башнефть», международные корпорации Merck, Maersk, TNT Express, Saint-Gobain, Mondelez, Reckitt Benckiser. На Украине пострадало более 300 компаний, включая «Запорожьеоблэнерго», «Днепроэнерго», Киевский метрополитен, украинские мобильные операторы «Киевстар», LifeCell и «Укртелеком», магазин «Ашан», Приватбанк, аэропорт Борисполь. 10% памяти всех компьютеров в стране оказалось стерто. Общая сумма ущерба от деятельности хакеров составила более $10 млрд .

Сводка

11 августа 2003 г. корпорация Майкрософт начала расследование червя, о чем сообщили службы поддержки продуктов Майкрософт (PSS), и группа безопасности Microsoft PSS выпустила оповещение о новом черве. Червь — это тип компьютерного вируса, который обычно распространяется без действий пользователя и распространяет полные копии (возможно, измененные) самого себя по сетям (например, в Интернете). Известный как «Бластер», этот новый червь использует уязвимость, которая была устранена в Microsoft Security Bulletin MS03-026 (823980) для распространения по сетям с помощью открытых портов удаленного вызова процедуры (RPC) на компьютерах, которые работают любой из продуктов, перечисленных в начале этой статьи.

В этой статье содержатся сведения для сетевых администраторов и ИТ-специалистов о том, как предотвратить и как восстановиться после заражения от червя Blaster и его вариантов. Червь и его варианты также называются W32. Blaster.Worm, W32. Blaster.C.Worm, W32. Blaster.B.Worm, W32. Randex.E (Symantec), W32/Lovsan.worm (McAfee), WORM_MSBLAST. A (Trendmicro) и Win32.Posa.Worm (Computer Associates). Дополнительные сведения о восстановлении от этого червя обратитесь к поставщику антивирусного программного обеспечения.

Дополнительные сведения о поставщиках антивирусного программного обеспечения щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

Список поставщиков антивирусного программного обеспечения

Если вы домашний пользователь, посетите следующий веб-сайт Microsoft для действий по защите компьютера и восстановлению, если компьютер заражен червем Blaster:

Примечание

  • Ваш компьютер не уязвим для червя Blaster, если вы установили исправление безопасности 823980 (MS03-026) до 11 августа 2003 г. (дата обнаружения этого червя). Больше ничего не нужно делать, если установлено исправление безопасности 823980 (MS03-026) до 11 августа 2003 г.

  • Корпорация Майкрософт протестировали Windows NT Workstation 4.0, Windows NT Server 4.0, Windows NT Server 4.0, Terminal Server Edition, Windows 2000, Windows XP и Windows Server 2003, чтобы оценить, затронуты ли они уязвимостями, которые устранены в Microsoft Security Bulletin MS03-026 ( 823980). Windows Издание Millennium Не включает функции, связанные с этими уязвимостями. Предыдущие версии больше не поддерживаются, и эти уязвимости могут быть затронуты или не затронуты. Дополнительные сведения о жизненном цикле поддержки Майкрософт можно получить на следующем веб-сайте Майкрософт:

    Сведения о жизненномцикле продуктов и служб поиска.

    Функции, связанные с этими уязвимостями, также не включаются в Windows 95, Windows 98 или Windows 98 Second Edition, даже если установлен DCOM. Вам не нужно ничего делать, если вы используете какие-либо из этих версий Windows.

  • Компьютер не уязвим для червя Blaster, если установлен Windows XP Пакет обновления 2 или обновление 1 для Windows 2000 Пакет обновления 4. Обновления безопасности 824146 включены в эти пакеты служб. Если вы установили эти пакеты служб, вам не нужно ничего делать.
    Дополнительные сведения можно получить по следующему номеру статьи, чтобы просмотреть статью в базе знаний Майкрософт:

    Получение последнего пакета Windows XP.

Другие советы по безопасности

Чтобы обеспечить защиту данных от вредоносных программ и других угроз:

  • Файлы резервного копирования. Следуйте правилу 3-2-1: сделайте 3копии, храните как минимум в 2расположениях, не менее 1 автономной копии. Используйте OneDrive для надежных облачных копий, которые позволяют получать доступ к файлам с нескольких устройств и помогают восстанавливать поврежденные или потерянные файлы, в том числе файлы, заблокированные программой-вымогателями.

  • Будьте начеку при подключении к общедоступным точкам доступа, особенно к тем, которые не требуют проверки подлинности.

  • Используйте надежные пароли и внося многофакторную проверку подлинности.

  • Не используйте ненарушимые устройства для входа в учетные записи электронной почты, социальных сетей и корпоративных учетных записей.

  • Избегайте скачивания или запуска старых приложений. Некоторые из этих приложений могут иметь уязвимости. Кроме того, старые форматы файлов Office 2003 г. (.doc, pps и .xls) позволяют макросы или запускаться. Это может быть риском для безопасности.

Технические подробности

Технические сведения об изменениях, которые этот червь вносит на компьютер, обратитесь к поставщику антивирусного программного обеспечения.

Чтобы обнаружить этот вирус, найди файл с именем Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll в папке Windows System32 или скачайте последнюю подпись антивирусного программного обеспечения от поставщика антивирусных программ, а затем сканируйте \ компьютер.

Для поиска этих файлов:

  1. Нажмите кнопку Начните, нажмите кнопку Выполнить, введите cmd в поле Открыть, а затем нажмите кнопку ОК.

  2. В командной подсказке введите и нажмите кнопку ENTER, где filename.ext Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll или Yuetyutr.dll.

    Примечание

    Повторите шаг 2 для каждого из этих имен файлов: Msblast.exe, Nstask32.exe, Penis32.exe, Teekids.exe, Winlogin.exe, Win32sockdrv.dll и Yuetyutr.dll. Если вы найдете любой из этих файлов, компьютер может быть заражен червем. Если вы найдете один из этих файлов, удалите файл и выполните действия в разделе «Восстановление» этой статьи. Чтобы удалить файл, введите в командной подсказке и нажмите кнопку ENTER.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Советчик
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: