VIRY.CZ

Syndikovat obsah
Když se havěť stává obětí
Aktualizace: 2 min 14 sek zpět

Ransomware v Garminu: výkupné bylo 10 milionů dolarů. Zaplatili ho?

2 Srpen, 2020 - 11:39

Ze společnosti Garmin prosakují informace, že minimálně u části infrastruktury nedošlo ke „klasickému“ postupu, kdy se zašifrované stroje kompletně smažou, přeinstalují a data obnoví ze záloh. Společnost Garmin měla patrně již od 25.7. dešifrovací klíč pro ransomware WastedLocker

Jak se k němu dostala? Zaplatila alespoň část výkupného? To se asi nikdy nedozvíme. Nicméně pokud není v ransomware WastedLocker vysloveně programátorská chyba, je nereálné vytvořit dekryptor bez „spolupráce“ s útočníky. Do procesu dešifrování jsou podle indícií zapojeny i společnosti Emsisoft a Coveware. První je známá řadou nástrojů pro dešifrování ransomware a druhá nabízí pomoc po řádění ransomware.

Tohle zůstalo na stanicích po útoku ransomware WastedLocker ve společnosti Garmin…

Více v tomhle článku – https://www.bleepingcomputer.com/news/security/confirmed-garmin-received-decryptor-for-wastedlocker-ransomware/

Současný stav služeb Garmin: https://connect.garmin.com/status/

The post Ransomware v Garminu: výkupné bylo 10 milionů dolarů. Zaplatili ho? appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Garmin & útok Ransomware

28 Červenec, 2020 - 19:02

Ve zkratce: Společnost Garmin postihl útok ransomware. Kdo používá služby jako Garmin Connect, Strava, může doteď pozorovat jejich výpadky a omezenou funkčnost. Pěkný rozhovor na toto téma lze najít na DVTV s Martinem Hallerem. Současné rozpoložení služeb je sepsáno na této adrese.

The post Garmin & útok Ransomware appeared first on VIRY.CZ.

Kategorie: Viry a Červi

Havěť co se brání pitvě

21 Červenec, 2020 - 11:14

Havěť se zcela běžně brání „pitvě“, tedy bližšímu zkoumání. A dalo by se říci, že se brání ve dvou rovinách…

  • Analytikům antivirových společností díky přítomnosti různých ochranných „slupek“ okolo stěžejního programového kódu havěti, díky čemuž lze pak hůře popsat chování havěti.
  • Běžným, hlavně pak pokročilým uživatelům, kterým něco říkají pojmy jako sandboxing či virtualizace a snaží se tak vlastními silami zjistit, zda daný soubor, který jim přistál v e-mailu či na něj koukají na pochybném webu, je opravdu svinstvo nebo je OK.
Havěť jako laboratorní myš

Pokud vytvářím obrázky / screenshoty z havěti (pokud se teda vůbec vizuálně projevuje) pro článek na viry.cz, pochopitelně si havěť nespustím na vlastním PC (ač uznávám, že doba mezi články by mě bohatě stačila ke kompletní reinstalaci počítače a obnově ze záloh), ale ve virtuálním prostředí, například v Oracle VirtualBox. No a zde lze stále častěji narazit na situaci, kdy havěť, kterou v tomto virtuálním prostředí pustíte, dělá mrtvého brouka. Ten hajzlík prostě pozná, že neběží na počítači oběti, ale na nějakém testovacím, kde ze sebe laboratorní myš dělat nenechá!

Rozpoznat to může jednoduše. Havěť z poslední novinky o mrtvých schránkách (Win32/Spy.Ursnif) se spustila jen pokud měl procesor minimálně 3 jádra. Testovacímu prostředí obvykle vyčleníte menší množství prostředků. Havěť z rodiny TrickBot pro změnu sleduje rozlišení monitoru. Pokud jde o základních 800 x 600 či 1024 x 768, svoji činnosti ukončí. Toto je totiž obvyklé rozlišení virtuálních strojů bez nějakých dalších SW rozšíření.

Pochopitelně lze přítomnost virtualizace určovat i podle názvů některých ovladačů atd. Konkrétněji je zaměřena i havěť popsána zde (anglicky), která detekuje přítomnost konkrétní online služby any.run, kam můžete nahrát libovolný soubor k analýze. Jakmile je havěť spuštěna ve virtuálním izolovaném prostředí této služby, vypíše rovnou „Any.run detected!“ a o dalším chování se nic nedozvíte.

The post Havěť co se brání pitvě appeared first on VIRY.CZ.

Kategorie: Viry a Červi