28 июня 2017 года

Троянец Trojan.Encoder.12544 распространяется с помощью уязвимости в протоколе SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148), которая была реализована через эксплойт NSA "ETERNAL_BLUE", использует 139 и 445 TCP-порты для распространения. Это уязвимость класса Remote code execution, что означает возможность заражения компьютера удалeнно.

1. Чтобы восстановить возможность входа в операционную систему, необходимо восстановить MBR (в том числе стандартными средствами консоли восстановления Windows, запуском утилиты bootrec.exe /FixMbr).

   Также для этого можно использовать Dr.Web LiveDisk — создайте загрузочный диск или флешку, выполните загрузку с этого съемного устройства, запустите сканер Dr.Web, выполните проверку пострадавшего диска, найденное Обезвредить.

2. После этого: отключите ПК от ЛВС, выполните запуск системы, установите патч MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.

   На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам:

   Windows XP SP3:

   download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

   Windows Server 2003 x86:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

   Windows Server 2003 x64:

   download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

3. Далее установите антивирус Dr.Web, подключите Интернет, выполните обновление вирусных баз, запустите контрольную полную проверку.

Мастер скачивания по серийному номеру Демо для дома Демо для бизнеса

Троянец заменяет MBR (главная загрузочная запись диска) и создает, а затем и выполняет задание в планировщике системы на перезагрузку системы, после которой загрузка ОС уже невозможна из-за подмены загрузочного сектора диска. Сразу после создания задания на перезагрузку запускается процесс шифрования файлов. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования диска. Он шифруется на открытом ключе RSA и удаляется. После перезагрузки, при успешной подмене MBR, также шифруется главная файловая таблица MFT, в которой хранится информация о содержимом диска. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно.

В настоящий момент расшифровки файлов нет, ведется анализ и поиск решений, мы сообщим вам об окончательных результатах.

В случае возникновения затруднений просим вас обращаться в службу технической поддержки «Доктор Веб».

27 июня 2017 года

Появилась информация о новой эпидемии шифровальщика, которой подверглись нефтяные, телекоммуникационные и финансовые компании России и Украины. Компания «Доктор Веб» сообщает, что новый энкодер детектируется продуктами Dr.Web.

По имеющейся у наших специалистов информации, троянец распространяется самостоятельно, как и нашумевший WannaCry. Точных данных о том, используется ли тот же самый механизм распространения, пока нет. В настоящее время аналитики исследуют нового троянца, позднее мы сообщим подробности. Некоторые источники в СМИ проводят параллели с вымогателем Petya (детектируется Dr.Web в частности как Trojan.Ransom.369) в связи с внешними проявлениями работы вымогателя, однако способ распространения новой угрозы отличается от использовавшейся Petya стандартной схемы.

Сегодня, 27 июня, в 16:30 по московскому времени, этот шифровальщик был добавлен в вирусные базы Dr.Web как Trojan.Encoder.12544.

«Доктор Веб» призывает всех пользователей быть внимательными и не открывать подозрительные письма (эта мера необходима, но не достаточна). Следует также создавать резервные копии критически важных данных и устанавливать все обновления безопасности для ПО. Наличие антивируса в системе также обязательно.

26 июня 2017 года

Компания «Доктор Веб» сообщает о выпуске плагина Dr.Web версии 11.0 для интернет-шлюзов Kerio, предназначенного для работы на компьютерах под управлением Linux.

Новая версия поддерживает Kerio Control версий 9.2.1 и 9.2.2, в то время как более ранние версии интернет-шлюза поддерживаются плагином Dr.Web 9.0.

Для установки Dr.Web 11.0 для интернет-шлюзов Kerio необходимо предварительно удалить предыдущую версию плагина.

Подробную информацию о системных требованиях и особенностях установки плагина можно найти в соответствующих «Примечаниях к выпуску».

26 июня 2017 года

Компания «Доктор Веб» сообщает об обновлении модуля защиты от эксплойтов Dr.Web Shellguard (11.01.09.06190) и модуля самозащиты Dr.Web SelfPROtect (11.01.10.06210) в продуктах Dr.Web 11.0 для Windows, Dr.Web KATANA 1.0, Dr.Web Enterprise Security Suite 10.0 и 10.1 и Dr.Web AV-Desk 10.0. Модуль самозащиты также был обновлен в составе лечащей утилиты Dr.Web CureNet! Обновление связано с исправлением выявленных ошибок.

В рамках обновления Dr.Web Shellguard была устранена причина ложного срабатывания системы защиты от эксплойтов при использовании MS Word 2016 совместно с программой Office Tab.

В модуле самозащиты устранена проблема аварийного завершения работы системы (BSOD) на компьютерах под управлением Windows 2008 R2.

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

23 июня 2017 года

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько потенциально опасных приложений, которые несут угрозу главным образом пользователям на территории Украины. Эти программы позволяют обойти блокировку сайтов «ВКонтакте» и «Одноклассники», но делают это небезопасным способом. Они передают через сторонние серверы и в незашифрованном виде логины и пароли от учетных записей, а также весь трафик при работе в социальных сетях, что может привести к утечке конфиденциальной информации.

В мае текущего года на территории Украины указом президента был ограничен доступ к услугам и сервисам ряда российских компаний, среди которых оказались социальные сети «ВКонтакте» и «Одноклассники». Это привело к росту популярности средств обхода блокировки, таких как браузер Tor, VPN и анонимайзеры. Кроме того, стали появляться новые программы, предоставляющие аналогичный функционал, однако далеко не все из этих новинок безопасны.

Вирусные аналитики «Доктор Веб» обнаружили в каталоге Google Play несколько приложений, которые позволяют работать с заблокированными сайтами «ВКонтакте» и «Одноклассники». Для доступа к этим социальным сетям владельцам Android-устройств предлагается указать свой логин и пароль, после чего программы выполняют вход в учетную запись пользователя в обход ограничения. Специалисты «Доктор Веб» выявили 8 таких программ, которые распространяются разработчиками JDX Studio, Soukaina Bousfiha, Zikolabs, Boubakri yassir, affzakanab и simon faiz.

Все эти приложения выглядят очень похожими. Они устанавливаются на мобильные устройства как программы с именами «ВК В Украина», «ВК Украина», «ВК Украина 2», «ОК Украина», «Украина ОК», «ВК VPN Украина.», «ВК Украiна» и «ВК Украина VPN»» и имеют схожие значки. В общей сложности их скачали более 122 000 пользователей, каждый из которых рискует столкнуться с утечкой персональных данных.

Проблема состоит в том, что для обхода блокировки сайтов социальных сетей это ПО перенаправляет трафик через один из онлайн-анонимайзеров. Анонимайзеры – это специализированные серверы, которые пропускают через себя сетевые запросы, а также скрывают информацию о компьютере или мобильном устройстве для обхода ограничения на посещение заблокированных интернет-ресурсов. Такие сервисы востребованы, например, среди пользователей из корпоративных сетей, где системные администраторы на уровне шлюза запретили доступ к доменам социальных сетей.

Введенные в программах логин и пароль передаются серверу-анонимайзеру в незашифрованном виде, поэтому ничто не мешает его владельцам использовать полученную информацию в незаконных целях. Например, они могут зайти в социальную сеть от имени пользователя и без его ведома рассылать сообщения, добавлять друзей, вступать в группы, читать переписку, просматривать фотографии и т. п. При этом пользователь не знает, что авторизуется в социальной сети через сторонний домен, так как в приложениях не отображается адресная строка. Дальнейшая работа с сайтами «ВКонтакте» и «Одноклассники» через это ПО также происходит без шифрования, что позволяет контролировать все выполняемые в этих социальных сетях действия.

Даже если предположить, что такой безответственный подход к защите конфиденциальных сведений со стороны владельцев анонимайзера и авторов приложений продиктован ошибкой или элементарным незнанием основ информационной безопасности, нет никакой гарантии, что незашифрованный сетевой трафик не перехватят злоумышленники.

Поскольку использование указанных программ может привести к утечке персональной информации, антивирус Dr.Web детектирует их как потенциально опасные приложения Program.PWS.1. Вирусные аналитики «Доктор Веб» проинформировали компанию Google о том, что указанное ПО несет угрозу раскрытия конфиденциальных сведений, однако на момент публикации этого материала программы все еще были доступны для загрузки.

Во избежание риска пользователям заблокированных онлайн-ресурсов следует избегать сомнительных приложений и сервисов для обхода ограничений доступа. На рынке существуют более безопасные решения, которые предоставляют достаточный уровень защищенности. Среди них – коммерческие и бесплатные VPN (Virtual Network Provider или частные виртуальные сети), а также Proxy-серверы.

Все известные версии Program.PWS.1 детектируются антивирусными продуктами Dr.Web для Android. Поскольку эти программы являются потенциально опасными, их рекомендуется удалить и не использовать до тех пор, пока разработчики не внесут необходимые изменения в их работу.

Подробнее о Program.PWS.1

21 июня 2017 года

Компания «Доктор Веб» сообщает о переходе к использованию серверных продуктов Dr.Web Департаментом информационных технологий Оренбургской области. Выдачу сублицензий осуществи партнер «Доктор Веб» - ООО «МК Компани Трейд».

Рассматривая варианты организации информационной защиты собственных серверов, специалисты ДИТ Оренбургской области обращали внимание как на отечественные, так и на зарубежные продукты. В итоге выбор был сделан в пользу комплекса Dr.Web Enterprise Security Suite, в состав которого входят нужные Департаменту средства для защиты почтовых и файловых серверов, а также интернет-шлюзов. Важными достоинствами этого выбора ИТ-специалисты предприятия считают очень гибкие настройки Антиспама и возможность получения подробных отчетов о состоянии системы защиты.

«Мы выбрали Dr.Web, потому что среди рассмотренных антивирусных систем только этот продукт обладает декларированным набором инструментов и наиболее полно перекрывает наши потребности. В ряде вопросов настройки системы защиты мы прибегли к помощи специалистов “Доктор Веб”», - говорит Дмитрий Понарин, ведущий специалист ГКУ «ЦИТ» Оренбургской области.

О ДИТ Оренбургской области

Департамент информационных технологий Оренбургской области является органом исполнительной власти Оренбургской области, осуществляющим управление в сфере информационных технологий, связи, телекоммуникаций, информационной безопасности и обеспечения защиты персональных данных, развития информационного общества и формирования электронного правительства с целью повышения качества жизни населения на территории Оренбургской области и координирующим в соответствии с законодательством Российской Федерации деятельность органов исполнительной власти Оренбургской области в данной сфере.

ditoo.orb.ru

О компании «МК Компани Трейд»

ООО «МК Компани Трейд» – динамично развивающаяся компания на рынке информационных технологий Приволжском Федерального Округа. Компания предоставляет широкий спектр услуг в следующих областях: системная интеграция, продажа лицензионного программного обеспечения, продажа торгового оборудования, продажа компьютерной и оргтехники, продажа расходного материала, разработка и проектные внедрения.

mk-company.ru

20 июня 2017 года

Нас долго и настойчиво убеждали в том, что облака — это надежно и удобно, а Linux — это круто. Казалось, что выбор стоит между удобным и еще более удобным интерфейсом. Но вдруг — «получилось как всегда».

С точки зрения специалистов случай совершенно рядовой. Не обновленное ПО, ошибки в настройке и т. д. и т. п. Но это — рекордная сумма выкупа, когда-либо заплаченная вымогателям. И самая успешная атака на ОС Linux.

Кто виноват?

1. Провайдер услуг — он не предложил клиентам услуги резервного копирования и сам не позаботился о «бэкапе» своей инфраструктуры.
2. Клиенты — не резервировавшие свои данные в расчете на надежность инфраструктуры провайдера.

Успешные атаки на провайдеров облачных услуг случались и раньше, но таких громких еще не было.

Мы в «Доктор Веб» ожидаем резкого роста подобных инцидентов.

Потому что любая такая новость порождает подражателей. Возможно, в дальнейшем волна атак на провайдеров сойдет на нет, а возможно — станет новой тенденцией, как стали атаки на системы на основе Linux. Предсказания делать рано.

Dr. Web рекомендует

1. Всем, кто сейчас держит данные в облаках и не использует резервное копирование, начать делать копии и хранить их обязательно у другого провайдера услуг, дома или в ином месте.
2. Если вы арендуете сервер, сайт, услугу в облаке — это не избавляет вас от необходимости защищаться. Безопасность — это ваша забота. Вдобавок к резервированию требуется как минимум антивирус. Причем и в облаке, и на ПК.

Безопасность инфраструктуры провайдеров услуг обеспечивают продукты Dr. Web Server Security Suite (защита серверов провайдера от заражения вредоносными программами) и Dr.Web Gateway Security Suite (проверка входящего трафика на наличие вредоносных программ, а также доступ к потенциально-опасным ресурсам, размещенным в сети Интернет).

Безопасность клиентов провайдеров услуг обеспечивают продукты, входящие в линейку продуктов для защиты бизнеса любого масштаба Dr. Web Enterprise Security Suite. Обращаем особое внимание, что антивирусная защита должна осуществляться как на стороне провайдера услуг, так и на уровне локальной сети компании и компьютеров ее сотрудников. Только это может защитить от атак типа человек-посередине.

19 июня 2017 года

Специалисты компании «Доктор Веб» обнаружили Android-троянца, которым вирусописатели управляют с использованием протокола Telegram. Эта вредоносная программа крадет конфиденциальную информацию и выполняет команды злоумышленников.

Троянец, получивший имя Android.Spy.377.origin, представляет собой утилиту удаленного администрирования (Remote Administation Tool, или RAT), которая распространяется под видом безобидных приложений и атакует иранских пользователей. Она может устанавливаться на смартфоны и планшеты как программа с именем «اینستا پلاس» («Insta Plus»), «پروفایل چکر» («Profile Checker») и «Cleaner Pro».

При запуске троянец предлагает владельцу мобильного устройства проверить, насколько тот популярен среди других пользователей Telegram, для чего просит указать персональный идентификатор. После того как жертва вводит любую информацию в соответствующую форму, Android.Spy.377.origin показывает «количество посетителей» ее профиля. Однако в действительности никакой проверки троянец не выполняет. Он лишь генерирует случайное число, которое и выдает за правдивый результат. Эта функция призвана снять подозрение с вредоносной программы и создать впечатление того, что она не представляет опасности. Через некоторое время после запуска Android.Spy.377.origin удаляет свой значок из списка приложений в меню главного экрана устройства и закрывает свое окно, пытаясь скрыть присутствие в системе.

Android.Spy.377.origin – классическая программа-шпион, способная удаленно выполнять команды злоумышленников. Главное отличие этого вредоносного приложения от других Android-троянцев заключается в том, что для его управления киберпреступники используют протокол обмена сообщениями онлайн-мессенджера Telegram. Это первый известный вирусным аналитикам «Доктор Веб» троянец для ОС Android, в котором реализована такая функция.

После удаления значка программы Android.Spy.377.origin копирует контакты из телефонной книги, входящие и исходящие СМС-сообщения, а также сведения об учетной записи Google владельца мобильного устройства. Затем он сохраняет эти данные в текстовые файлы в своем рабочем каталоге. Кроме того, троянец делает фотоснимок при помощи фронтальной камеры, чтобы запечатлеть лицо пользователя. Далее шпион загружает созданную фотографию и файлы с украденной информацией на управляющий сервер и отправляет Telegram-боту киберпреступников сигнал об успешном заражении устройства.

Ниже показаны примеры файлов, которые Android.Spy.377.origin передает злоумышленникам.

После кражи конфиденциальной информации Android.Spy.377.origin вновь подключается к боту и ожидает от него сообщений, в которых будут содержаться управляющие команды. Троянец может получать следующие директивы:

• call – выполнить телефонный звонок;
• sendmsg – отправить СМС;
• getapps – передать на сервер информацию об установленных приложениях;
• getfiles – передать на сервер информацию обо всех доступных на устройстве файлах;
• getloc – отправить на сервер информацию о местоположении устройства;
• upload – загрузить на сервер указанный в команде файл, который хранится на устройстве;
• removeA – удалить с устройства указанный в команде файл;
• removeB – удалить группу файлов;
• lstmsg – передать на сервер файл с информацией обо всех отправленных и полученных СМС, включая номера отправителей и получателей, а также содержимое сообщений.

При выполнении каждой команды вредоносная программа информирует об этом Telegram-бота вирусописателей.

Помимо сбора конфиденциальных данных по команде киберпреступников Android.Spy.377.origin самостоятельно отслеживает все входящие и исходящие СМС, а также координаты устройства. При поступлении или отправке новых сообщений и изменении местоположения зараженного смартфона или планшета троянец передает эту информацию Telegram-боту злоумышленников.

Специалисты компании «Доктор Веб» предупреждают, что вирусописатели очень часто распространяют вредоносные приложения под видом безобидных программ. Для защиты от Android-троянцев следует устанавливать ПО только от известных разработчиков и загружать его из надежных источников, таких как каталог Google Play. Все известные версии троянца Android.Spy.377.origin детектируются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей этот шпион опасности не представляет.

Подробнее о троянце

19 июня 2017 года

Компания «Доктор Веб» открывает лоты июньского аукциона: в конце этого месяца – не только самые долгие, но и самые многообещающие дни для участников сообщества Dr.Web, которые намерены выиграть наши фирменные призы.

Аукцион июня на ВебIQметре – время повышать ставки!

МР3-плеер, настенные часы, подставка под мобильный, а также «кот в мешке» и кое-что еще – ставки на специальные лоты начинаются от 10 баллов и 10 Dr.Web-ок и уже сегодня начнут повышаться.

Обычные лоты, в числе которых – карточная игра «Мафия», пылесос для клавиатуры, набор для путешествий и лицензии Dr.Web (включая полугодовую на Dr.Web KATANA), также ждут встречи со своими владельцами.

Ставки можно делать до 29 июня включительно – и пусть эти дни станут для вас особенно светлыми!

19 июня 2017 года

Компания «Доктор Веб» предлагает российским и белорусским пользователям бесплатную защиту для 1 ПК: с 19 по 23 июня при покупке годовой лицензии Dr.Web Security Space для защиты 1 или 2 компьютеров антивирус еще для одной машины – в подарок!

Предложение будет действовать всю следующую неделю (за исключением выходных). Напомним, что защита Dr.Web Security Space распространяется и на мобильные устройства, так что в рамках акции вы можете также бесплатно обеспечить безопасность своим смартфонам и планшетам.

Специальное предложение действительно при покупке лицензии в интернет-магазине «Доктор Веб», allsoft.ru и allsoft.by.

Покупатели, которые воспользуются данным предложением, получат один серийный номер, а также Dr.Web-ки за регистрацию в программе лояльности «Я + Dr.Web».

16 июня 2017 года

Компании «Доктор Веб» и «Евросеть» представляют новое предложение для покупателей: с 16 июня по 23 июля 2017 года, покупая годовую лицензию на Dr.Web Mobile Security для одного устройства, можно бесплатно использовать антивирус на втором смартфоне или планшете.

При покупке Dr.Web для 1 мобильного устройства защита для 2-го – в подарок!

Год защиты 2 устройств при помощи Dr.Web Mobile Security обойдется участникам акции всего в 499 рублей – таким образом экономия составит 200 рублей.

Акционная лицензия предназначена для защиты мобильных устройств под управлением Android или BlackBerry в течение одного года. Вы получите один серийный номер, после регистрации которого сформируется один ключевой файл для защиты двух мобильных устройств, который начнет действовать с момента регистрации серийного номера. Если в салоне вам предложат установить Dr.Web и активировать серийный номер к купленной лицензии, пожалуйста, предоставьте продавцу или техническому специалисту, устанавливающему ПО, принадлежащий вам действующий e-mail. Он требуется для регистрации лицензии, а также понадобится вам при обращении в службу технической поддержки и при продлении лицензии. Лицензия должна быть зарегистрирована только на адрес владельца коммерческой лицензии Dr.Web.

Покупатели, которые воспользуются данным предложением, также получат Dr.Web-ки за регистрацию серийного номера в программе лояльности «Я + Dr.Web». Полученные Dr.Web-ки можно потратить в ежемесячных аукционах или обменять на подарочные сертификаты.

Организатор акции — компания «Доктор Веб».
Территория действия акции — Российская Федерация.
Участники акции — покупатели магазинов «Евросети».
Срок действия акции — 16.06–23.07.2017.
Цена действительна на время публикации.

15 июня 2017 года

Троянцы-майнеры – это вредоносные программы, использующие вычислительные ресурсы инфицированного устройства для добычи (майнинга) криптовалют. Вирусные аналитики компании «Доктор Веб» исследовали такого троянца, способного заражать компьютеры под управлением Microsoft Windows.

Эта вредоносная программа, предназначенная для добычи криптовалюты Monero (XMR) и установки бэкдора Gh0st RAT, получила наименование Trojan.BtcMine.1259. Майнер скачивается на компьютер троянцем-загрузчиком Trojan.DownLoader24.64313, который, в свою очередь, распространяется с помощью бэкдора DoublePulsar.

Сразу после старта Trojan.BtcMine.1259 проверяет, не запущена ли на инфицированном компьютере его копия. Затем он определяет количество ядер процессора, и, если оно больше или равно указанному в конфигурации троянца числу потоков, расшифровывает и загружает в память хранящуюся в его теле библиотеку. Эта библиотека представляет собой модифицированную версию системы удаленного администрирования с открытым исходным кодом, известной под наименованием Gh0st RAT (детектируется Антивирусом Dr.Web под именем BackDoor.Farfli.96). Затем Trojan.BtcMine.1259 сохраняет на диск свою копию и запускает ее в качестве системной службы. После успешного запуска троянец пытается скачать с управляющего сервера, адрес которого указан в конфигурационном файле, свое обновление.

Основной модуль, предназначенный для добычи криптовалюты Monero, также реализован в виде библиотеки, при этом троянец содержит как 32-, так и 64-разрядную версию майнера. Соответствующая реализация троянца используется на зараженном компьютере в зависимости от разрядности операционной системы. В конфигурации для этого модуля указано, сколько ядер и вычислительных ресурсов процессора будет задействовано для добычи криптовалюты, с каким интервалом будет автоматически перезапускаться майнер, а также иные параметры. Троянец отслеживает работающие на зараженном компьютере процессы и при попытке запустить Диспетчер задач завершает свою работу.

Несмотря на то, что первые троянцы-майнеры были обнаружены уже более 6 лет назад (запись для троянца Trojan.BtcMine.1 была добавлена в вирусные базы Dr.Web в 2011 году), злоумышленники по-прежнему распространяют вредоносные программы, использующие вычислительные ресурсы компьютера без ведома пользователя. Признаком заражения такой программой может служить замедление работы системы или более интенсивный по сравнению с обычным нагрев процессора. Trojan.BtcMine.1259 и все его компоненты успешно удаляется Антивирусом Dr.Web, поэтому троянец не представляет опасности для наших пользователей.

Подробнее о троянце

13 июня 2017 года

Компания «Доктор Веб» представляет обновленный обучающий курс «Защита рабочих станций и файловых серверов Windows от действий программ-шифровальщиков» (DWCERT-070-6). Материалы были обновлены в связи с массовым распространением троянца WannaCry в мае 2017 года.

Защита от WannaCry: обновлен обучающий курс «Доктор Веб»

Наши специалисты тщательно проанализировали причины и последствия массового заражения шифровальщиком Trojan.Encoder.11432, известным на весь мир как WannaCry. Это позволило выработать дополнительные рекомендации по усилению мер защиты от энкодеров: материалы курса были расширены, снабжены дополнительными описаниями настроек Dr.Web и наглядными иллюстрациями из серии «так делать не надо».

Курс предназначен для системных администраторов и всех желающих повысить уровень своих знаний – и безопасности.

За сдачу экзамена по курсу будут начислены 100 баллов и 10 Dr.Web-ок, которые традиционно можно использовать в ежемесячных аукционах или обменять на сертификаты на покупку антивирусов Dr.Web со скидкой.

13 июня 2017 года

Компания «Доктор Веб» сообщает об обновлении модуля Lua-Updater (11.0.21.06080), антируткитного модуля Dr.Web Anti-rootkit API (11.1.11.201706060), управляющего сервиса Dr.Web Control Service (11.0.13.06051 и 11.0.12.06061) и конфигурационного скрипта Lua-script for scan-engine (11.0.6.06050) в ряде продуктов Dr.Web. Кроме того, в Dr.Web KATANA 1.0 был обновлен модуль katana-service (11.1.7.06051). Обновление связано с исправлением выявленных ошибок и внесением внутренних изменений.

В Lua-Updater внесены изменения для оптимизации взаимодействия с серверами обновлений Dr.Web.

В антируткитном модуле устранена проблема, при которой было невозможно войти в локальный профиль пользователя, и вход в систему осуществлялся с временным профилем.

Обновление пройдет для пользователей автоматически, при использовании Dr.Web KATANA потребуется перезагрузка компьютеров.

13 июня 2017 года

Компания «Доктор Веб» сообщает об обновлении Windows-версии плагина Dr.Web для IBM Lotus Domino до версии 11.0.2. Обновление связано с добавлением новых функциональных возможностей и исправлением выявленных ошибок.

Плагин теперь поддерживает ОС Windows Server 2016.

Также была устранена ошибка, возникавшая при передаче статистики на сервер централизованной защиты; ликвидирована причина «зависания» задачи SMTP и исправлена ошибка при проверке писем в момент запроса доступа к NSF-базам.

Для установки обновленной версии Dr.Web для IBM Lotus Domino необходимо деинсталлировать предыдущую. Для сохранения имеющихся настроек рекомендуется воспользоваться функцией их экспорта/импорта.

6 июня 2017 года

Компания «Доктор Веб» приглашает принять участие в бета-тестировании Dr.Web 11.0 для почтовых серверов UNIX и Антивируса Dr.Web 11.0.3 для Linux. Оба продукта были существенно переработаны и оснащены новыми функциональными возможностями, упрощающими работу с системой защиты и повышающими уровень безопасности.

Изменения в Dr.Web для почтовых серверов UNIX:

• полностью обновлена архитектура продукта – теперь он работает с текущей инфраструктурой почтового сервера, используя стандартные интерфейсы почтовых серверов (Milter, Spamd, Rspamd), а не интегрируясь в сервер;
• добавлена возможность прозрачного для почтового сервера и клиента встраивания непосредственно в каналы обмена данных, использующие стандартные почтовые протоколы SMTP, POP3 и IMAP (данный режим доступен только для GNU/Linux);
• нежелательное содержимое входящих писем теперь сохраняется в архив, защищенный паролем, а не в карантин;
• добавлен собственный веб-интерфейс управления, что избавляет от необходимости использовать Webmin;
• реализована возможность использовать информацию из служб каталогов (OpenLDAP, Active Directory) в правилах проверки писем;
• добавлена отправка статистики о состоянии продукта и нотификации о важных событиях (например, о блокировке писем) через SNMP;
• для проверки писем на почтовых серверах, не имеющих возможности использования Milter/Spamd/Rspamd, доступен модуль Clamd;
• проверка адреса отправителя/получателя письма на серверах служб DNSxL.

Изменения в Антивирусе Dr.Web для Linux:

• добавлена проверка входящих писем по протоколам IMAP(S)/POP3(S);
• добавлена проверка исходящих писем по протоколам SMTP(S).

Приглашаем всех заинтересованных испытать новые возможности Dr.Web 11.0 для почтовых серверов UNIX и Антивируса Dr.Web 11.0.3 для Linux.

5 июня 2017 года

Вирусные аналитики компании «Доктор Веб» исследовали две вредоносные программы для ОС Linux. Одна из них устанавливает на инфицированном устройстве приложение для добычи криптовалют, вторая — запускает прокси-сервер.

Первый из двух исследованных специалистами «Доктор Веб» троянцев был добавлен в вирусные базы Dr.Web под именем Linux.MulDrop.14. Эта вредоносная программа атакует исключительно миникомпьютеры Rasberry Pi. Распространение Linux.MulDrop.14 началось во второй половине мая. Троянец представляет собой скрипт, в теле которого хранится сжатое и зашифрованное приложение-майнер, которое предназначено для добычи криптовалют. Linux.MulDrop.14 меняет пароль на зараженном устройстве, распаковывает и запускает майнер, после чего в бесконечном цикле начинает искать в сетевом окружении узлы с открытым портом 22. Соединившись с ними по протоколу SSH, троянец пытается запустить на них свою копию.

Другой троянец получил название Linux.ProxyM. Атаки с его использованием фиксировались еще с февраля 2017 года, но пика достигли во второй половине мая. График зафиксированного специалистами «Доктор Веб» количества атак троянца Linux.ProxyM представлен ниже.

Значительная часть IP-адресов, с которых осуществляются атаки, расположена на территории России. На втором месте — Китай, на третьем — Тайвань. Распределение источников атак с использованием Linux.ProxyM по географическому признаку показано на следующей иллюстрации:

Троянец использует специальный набор методов для детектирования ханипотов (от англ. honeypot – «горшочек с медом») — специальных серверов-приманок, применяемых специалистами по информационной безопасности для исследования вредоносного ПО. После старта он соединяется с управляющим сервером и, получив от него подтверждение, запускает на инфицированном устройстве SOCKS-прокси-сервер. Злоумышленники могут использовать его для обеспечения собственной анонимности в Интернете.

Оба этих троянца детектируются и удаляются Антивирусом Dr.Web для Linux и потому не представляют опасности для наших пользователей.

• Подробнее о Linux.MulDrop.14
• Подробнее о Linux.ProxyM

2 июня 2017 года

Компания «Доктор Веб» и розничная торговая сеть по продаже бытовой техники и электроники Корпорация «Центр» сообщают о начале совместной акции. В течение июня каждый покупатель годовой лицензии на Dr.Web Security Space для одного ПК/Mac получит в подарок бесплатную защиту для второго компьютера на тот же срок.

По условиям акции, с 1 по 30 июня 2017 года все посетители розничных магазинов Корпорации «Центр» смогут приобрести годовую лицензию на Dr.Web Security Space для 1 ПК за и получить в подарок защиту второго компьютера на тот же срок.

Весь июнь в магазинах Корпорации «Центр» Dr.Web Security Space для второго компьютера на год — в подарок!

Акционные лицензии подходят для продления как электронных, так и коробочных продуктов Dr.Web Security Space и Антивирус Dr.Web. Защита двух мобильных устройств на базе Android или BlackBerry предоставляется бесплатно. Если при регистрации купленной лицензии вы укажете серийный номер предыдущего продукта или его ключевой файл, срок действия новой лицензии будет увеличен на 150 дней.

Покупатели, которые воспользуются данным предложением, получат один серийный номер для защиты двух ПК/Мас, который после регистрации начнет действовать одновременно на обоих компьютерах, а также Dr.Web-ки за регистрацию в программе лояльности «Я + Dr.Web», которые можно обменять на подарочные сертификаты на покупку антивирусов Dr.Web со скидкой или поставить на понравившиеся лоты в ежемесячных аукционах.

Если в магазине вам предложат установить Dr.Web и активировать серийный номер к купленной лицензии, пожалуйста, предоставьте продавцу или техническому специалисту, устанавливающему ПО, принадлежащий вам действующий e-mail. Он требуется для регистрации лицензии, а также понадобится вам при обращении в службу технической поддержки и при продлении лицензии. Лицензия должна быть зарегистрирована только на адрес владельца коммерческой лицензии Dr.Web.

Приходите в магазины Корпорации «Центр» в июне! В акционные дни все покупатели Dr.Web Security Space получат годовую лицензию для двух ПК всего за 1290 рублей, экономия в сравнении с обычной ценой составит 500 рублей.

2 июня 2017 года

Компания «Доктор Веб» сообщает об обновлении модуля самозащиты Dr.Web SelfPROtect (11.01.10.06010) в продуктах Dr.Web Security Space 11.0, Антивирус Dr.Web 11.0, Антивирус Dr.Web 11.0 для файловых серверов Windows, Dr.Web Enterprise Security Suite 10.0, Dr.Web AV-Desk 10.0, Dr.Web KATANA 1.0 и Dr.Web CureNet! . Обновление связано с исправлением выявленной ошибки.

Была устранена причина возможного появления критической ошибки системы (BSOD).

Обновление пройдет автоматически, однако потребует перезагрузки компьютеров.

1 июня 2017 года

Компания «Доктор Веб» сообщает об обновлении серверной части комплекса Dr.Web Enterprise Security Suite 10.1 (201705110), Dr.Web Enterprise Proxy (201705110), агента Dr.Web Enterprise Agent for Windows (11.0.1.05150) и Dr.Web Enterprise Agent for Windows supporting Active Directory (11.00.05180). Обновление связано с добавлением новых функциональных возможностей и исправлением выявленных ошибок. Вместе с тем была обновлена документация.

Изменения в серверной части комплекса:

• добавлена возможность автоматического обновления лицензионных ключевых файлов;
• в Центре управления безопасностью Dr.Web разделены настройки Превентивной защиты и агента;
• добавлены настройки для сортировки защищаемых станций в дереве антивирусной сети;
• реализована возможность частичного экспорта дерева антивирусной сети;
• исправлена ошибка, приводившая к падению производительности сервера при раздаче обновлений большому количеству агентов;
• исправлена ошибка, которая в некоторых случаях могла приводить к проблемам подтверждения новых станций на сервере;
• устранена проблема, приводившая к ошибке при загрузке или выгрузке файлов большого размера через разделы «Содержимое репозитория» и «Карантин» в Центре управления безопасностью Dr.Web;
• исправлена ошибка, возникавшая при подсчете количества станций антивирусной сети по запросу через Web API, - в частности, при передаче данных Мобильному центру управления Dr.Web.

Изменения в Dr.Web Enterprise Proxy:

• исправлена ошибка, при которой агент без ID не устанавливался в условиях большой нагрузки на Dr.Web Enterprise Proxy;
• уменьшено потребление оперативной памяти при запуске;
• устранена проблема, приводившая к невозможности подключения агентов версии 6 через прокси-сервер.

Изменения в компонентах агента:

• реализована совместимость с обновлением Windows 10 Creators Update;
• компоненты обновлены до текущей версии.

Обновленный продукт доступен через веб-интерфейс Центра управления Dr.Web, где будет отображаться как обновление от 11.05.2017. Обновленные дистрибутивы доступны также для скачивания на сайте «Доктор Веб».

1 июня 2017 года

Компания «Доктор Веб» анонсирует свое участие в крымском этапе «Кода информационной безопасности»: конференция состоится 8 июня в Симферополе. На этот раз речь пойдет о защите почтового трафика – с прицелом на троянцев-шифровальщиков.

«Доктор Веб» в Симферополе расскажет о защите почте и шифровальщиках

Тема шифровальщиков в который раз обрела актуальность после атаки нашумевшего WannaCry. Она затронула огромное количество пользователей по всему миру – но только не пользователей Dr.Web.

Менеджер по работе с клиентами «Доктор Веб» Максим Кузнецов в своем докладе расскажет о важности защиты корпоративного почтового сервера и о том, каковы должны быть действия для успешного противостояния троянцам-шифровальщикам.

Конференция начнется 8 июня в 10:00 по адресу: г. Симферополь, ул. Маяковского, д. 14 (БЦ КТС). Организатором конференций «Код информационной безопасности» выступает компания «Экспо-линк».

Как обычно, на встречу с нашим представителем можно записаться заблаговременно — в календаре мероприятий «Доктор Веб».

1 июня 2017 года

Компания «Доктор Веб» сообщает об обновлении антируткитного модуля Dr.Web Anti-rootkit API (11.1.11.201705260), модуля самозащиты Dr.Web SelfPROtect (11.01.10.05180) и конфигурационных скриптов в ряде продуктов Dr.Web. Обновление связано с добавлением новых функциональных возможностей и внесением внутренних изменений.

В антируткитном модуле для всех перечисленных продуктов и в модуле самозащиты для Антивируса Dr.Web, Dr.Web Security Space, Dr.Web Enterprise Security Suite, Dr.Web AV-Desk, Dr.Web KATANA и Dr.Web CureNet! улучшены алгоритмы детектирования угроз, в том числе новейших.

Обновление пройдет для пользователей автоматически, однако потребует перезагрузки компьютеров.

31 мая 2017 года

Компания «Доктор Веб» представляет обзор вирусной активности для мобильных устройств за май 2017 года. В прошедшем месяце в каталоге Google Play был обнаружен троянец, который скачивал другие программы и передавал злоумышленникам информацию о зараженном устройстве. Также в каталоге были выявлены приложения, содержащие рекламного троянца, способного скачивать и запускать дополнительные компоненты. Кроме того, в мае вирусописатели распространяли банкера, крадущего деньги со счетов пользователей.

31 мая 2017 года

Компания «Доктор Веб» представляет майский обзор вирусной обстановки для смартфонов и планшетов на Android. В прошедшем месяце в каталоге Google Play было обнаружено несколько Android-троянцев. Один из них загружал приложения из Интернета и похищал конфиденциальную информацию. Другой мог скачивать и запускать дополнительные программные модули и показывал навязчивую рекламу. Кроме того, в мае злоумышленники распространяли банковского троянца, который крал деньги со счетов пользователей.

Мобильная угроза месяца

В начале мая в каталоге Google Play был обнаружен троянец Android.RemoteCode.28, который был встроен в приложение-аудиоплеер. Он скачивал из Интернета другие программы и передавал на управляющий сервер информацию о зараженном устройстве, а также сведения об установленном на нем ПО.

Особенности Android.RemoteCode.28:

• основной вредоносный функционал троянца находится во вспомогательном программном модуле, который зашифрован;
• Android.RemoteCode.28 начинает вредоносную активность только через 8 часов после своего запуска;
• троянец проверяет наличие эмулятора и средств отладки и при их обнаружении прекращает работу.

По данным антивирусных продуктов Dr.Web для Android

• Android.HiddenAds.83.origin
• Android.HiddenAds.76.origin
• Android.HiddenAds.68.origin

Троянцы, предназначенные для показа навязчивой рекламы. Распространяются под видом популярных приложений другими вредоносными программами, которые в некоторых случаях незаметно устанавливают их в системный каталог.

• Android.Sprovider.9

Троянская программа, предназначенная для показа навязчивой рекламы в панели уведомлений ОС Android, а также загрузки и запуска других приложений, в том числе вредоносных.

• Android.Triada.264.origin

Представитель многофункциональных троянцев, выполняющих разнообразные вредоносные действия.

• Adware.Jiubang.1
• Adware.Batmobi.2.origin
• Adware.Leadbolt.12.origin
• Adware.Airpush.31.origin
• Adware.Appsad.1

Нежелательные программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах.

Троянец в Google Play

В середине прошлого месяца в каталоге Google Play были выявлены приложения со встроенным в них троянцем Android.Spy.308.origin. В частности, они распространялись разработчиком Sumifi Dev. Это не первый случай, когда указанная вредоносная программа проникает в официальный каталог ПО для Android. Об одном из таких инцидентов компания «Доктор Веб» сообщала в июле 2016 года. После обнаружения Android.Spy.308.origin разработчик обновил зараженные приложения, удалив троянский компонент, и теперь они не представляют опасности.

Android.Spy.308.origin показывает надоедливую рекламу, а также незаметно загружает дополнительные программные модули и запускает их. Кроме того, троянец крадет конфиденциальную информацию и передает ее на управляющий сервер.

Банковские троянцы

В мае под видом ММС-сообщений киберпреступники распространяли банковского троянца Android.BankBot.186.origin. Пользователям приходили СМС со ссылкой, при переходе по которой в веб-браузере открывался мошеннический сайт. С него на мобильное устройство загружался apk-файл вредоносного приложения.

Android.BankBot.186.origin запрашивает доступ к функциям администратора мобильного устройства, чтобы усложнить свое удаление. Кроме того, он пытается подменить собой стандартное приложение для работы с СМС. Это необходимо для обхода системы безопасности новых версий ОС Android и получения возможности отправлять и перехватывать сообщения. После этого троянец проверяет баланс доступных банковских счетов пользователя и незаметно переводит деньги киберпреступникам.

Вредоносные программы для мобильных Android-устройств по-прежнему представляют опасность. Троянцы могут распространяться как с использованием мошеннических веб-сайтов, так и через официальный каталог приложений Google Play. Для защиты от опасного и нежелательного ПО владельцам смартфонов и планшетов под управлением ОС Android необходимо установить антивирусные продукты Dr.Web для Android.

31 мая 2017 года

Компания «Доктор Веб» представляет обзор вирусной активности в мае 2017 года. Этот месяц запомнится массовым распространением опасного червя-шифровальщика, получившего известность под именем WannaCry. Также в мае был обнаружен бэкдор для macOS и исследован сложный многокомпонентный троянец для Linux.