¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Cifrarlo todo

Закодировать всё

Otras ediciones de este tema (27)
  • añadir a favoritos
    Añadir a marcadores

Piensan en global, pero actúan en local

Consultas: 1248 Comentarios: 2 Ranking: 9

viernes 16 de junio de 2017

¡Cuidado! Al actualizar el software de contabilidad «Medok” aparece un troyano que cifra los datos.

Al parecer, en este caso todo está claro: es un hackeo del sitio web y la publicación del software nocivo, o un ataque de tipo «man in the middle», o un empleado enfadado de la empresa. Pero en realidad todo es mucho más interesante. Vamos a verlo en detalle.

Se trata de centenares de víctimas, 96% de las cuales son empresas ucranianas.

https://ain.ua/2017/05/24/vse-pro-xdata-poka

https://ain.ua/2017/05/22/ukraincev-atakuet-novyj-virus-xdata

Con mucha frecuencia, en la descripción de programas nocivos vemos una frase diciendo que los mismos no funcionan en algunos países. Muchos piensan que se trata de la nobleza de los hackers. Pero no es así.

  1. Para beneficiarse de programas nocivos, en primer lugar, es importante la posibilidad de sacar dinero. ¿Cómo y dónde se puede organizar una red de droppers – la gente que voluntariamente saca el dinero robado?
  2. Las transferencias del dinero al extranjero normalmente están vigiladas por los organismos y departamentos correspondientes que luchan contra la corrupción y el blanqueo del dinero.
  3. La organización de una investigación involucrando varios países es un asunto bastante aburrido y mucho más complicado que una investigación en un solo país.
  4. La reducción del listado de los países atacados minimiza la posibilidad de detección de un programa nocivo. Y un listado detallado de los países atacados reducirá aún más la posibilidad de detección y el interés de los medios de comunicación.

En todos los casos conocidos, los contables eran víctimas. Es decir, el objetivo de este virus es el segmento corporativo.

#drweb

Los malintencionados crean este mensaje en el disco duro cifrado.

Vamos a ver cómo influye el modo de difusión del programa nocivo a la popularidad en los medios de comunicación.

A fecha de 19 de mayo, viernes, se confirmaron 135 casos únicos de infección, el 95% de los usuarios afectados son ucranianos. Para comparar, en MalwareHunter confirman que en nuestro país detectaron solo 30 víctimas de WannaCry que atacó a más de 200 000 usuarios en todo el mundo. De esta forma, la velocidad de difusión de XData es 4 veces más rápida.

4 veces más infecciones – ¿y por qué no hay pánico en los medios de comunicación? Hay un detalle. WannaCry (Trojan.Encoder.11432) infectaba sobre todo las grandes empresas y los usuarios particulares sin prestar mucha atención a la pequeña empresa. Pero Trojan.Encoder.11526 descrito en esta edición afectó a otras empresas, y por eso el resultado es distinto.

Como vemos, muchos troyanos están destinados para los bancos de un solo país, de cuyos cajeros sacarán el dinero los droppers. Por supuesto, por ejemplo, en Rusia también hay troyanos destinados a usuarios chinos que por lo tanto tienen mucho sentido en este país.

La información sobre el virus apareció en la red a partir de 18.05.2017 г., el día siguiente una vez lanzada la actualización del programa «M.E.Doc» - cuando los contables de Ucrania instalaban la última actualización. Como resultado, los usuarios infectados por el virus XData también tenían dañado el programa «M.E.Doc». Esta coincidencia permitió asociar este virus al programa.

http://www.me-doc.com.ua/1111193340-budte-bditelny-virusnaya-ataka-na-korporativnyy-sektor

Un administrador de sistemas de la empresa afectada informó: «No hubo actualización de M.E.Doc. Por la noche el equipo funcionó, y por la mañana ya no se inició ».

https://ain.ua/2017/05/24/vse-pro-xdata-poka

Es muy probable que el éxito del ataque se debe a la selección “correcta” del periodo del mismo. El lanzamiento de la actualización del software ampliamente usado significa la actualización masiva de los usuarios, y por lo tanto, no se nota la actividad de otro programa más. Es muy lógico.

El mayor problema de este virus sigue siendo el modo de su difusión. Seguimos sin saber cómo el mismo penetra en el sistema.

https://ain.ua/2017/05/24/vse-pro-xdata-poka

Uno de los problemas de seguridad básicos es la falta de control de eventos en la red local. Como resultado, no se detecta la penetración, y tampoco se detectan los elementos del conjunto nocivo que proporcionan la misma.

#Trojan.Encoder #Windows #remuneración #rescate #extorsión #protección_contra_la_perdida de datos #descifrado #troyano #cifrador #cifrado #actualizaciones_del antivirus #actualizaciones_de seguridad

El mundo de antivirus recomienda

  1. En primer lugar, actualice el antivirus, y luego otro software.
  2. La descarga de archivos ejecutables debe estar prohibida.
  3. Cualquier usuario debe trabajar con permisos restringidos. Esto reduce el riesgo de la pérdida de datos abiertos para lectura, y los datos de otros usuarios. El inicio de programas y operaciones debe estar permitido solo para algunos usuarios.
  4. Prohíba el uso de scripts (macros) en los documentos, si no es necesario trabajar con los mismos.
  5. Si no es posible separar el sitio de trabajo del contable desde el cual se accede al dinero y el sitio de trabajo con el correo e Internet, use las máquinas virtuales, al separar las tareas correspondientes entre ellas.
  6. El personal de contabilidad debe tener disponible el sistema de verificación de los contratantes– ningún mensajes de remitentes desconocidos con “notificaciones de deudas” deben abrirse sin comprobar si hay contratante.
  7. Las copias de seguridad de las bases de datos importantes a otros equipos y dispositivos deben realizarse con regularidad.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios