Выбрать дату в календареВыбрать дату в календаре

1 2 3 4 5 6 7 8 9 10 11 ... 1711 След.
[ Закрыто] Ошибка при подключении
по правилам форума, мы не консультируем пользователей, которые используют программы для взлома или обхода лицензирования продуктов ESET
TNod User & Password Finder
[ Закрыто] Ошибка при подключении
с какого адреса пытаетесь скачать установочный пакет? сделайте образ автозапуска системы
Win32/GenKryptik.FEYO, Словил вот такую заразу
[QUOTE]Барсуков Василий написал:
Сообщение не доставлено, так как адрес  [URL=mailto:sendvirus2011@gmail.com]sendvirus2011@gmail.com[/URL] не найден или не принимает входящие письма.[/QUOTE]
спасибо, файл отправлен в вирлаб
https://www.virustotal.com/gui/file/6f522cc6adbe791575df40a518ba10c89cb54af0d849be0­841b036b05d441fa9/detection

файл дететируется как:
A Variant Of Win32/GenCBL.AJQ
Win32/GenKryptik.FEYO, Словил вот такую заразу
добавьте образ автозапуска
Как разрешить подключение по RDP только с определенных ip адресов
[QUOTE]Олег Новиков написал:


Попробовал вот так.
Во втором правиле конечно подставлял реальные ip и порт.
При таких правилах подключение не проходит.[/QUOTE]

пробуйте нижнее правило с разрешением передвинуть вверх, а запрещающее оставить внизу
Как разрешить подключение по RDP только с определенных ip адресов
вначале надо создать правило, которое запрещает все входящие TCP на порт 3389 (если служба RDP работает по этому порту) ,
можно добавить регистрацию событий по блокированию подкл, хотя бы на время чтобы оценить, как часто будут пытаться подкл к серверу с нежелательных адресов.
затем создать второе правило, которое разрешает входящие TCP на порт 3389 с указанных локальных и удаленных ip адресов и диапазонов.
Как разрешить подключение по RDP только с определенных ip адресов
[QUOTE]Олег Новиков написал:
Настроил RDP подключение. Для этого создал соответствующее правило.

Все работает.

Но как я могу сделать так, чтобы подключения проходили только с определенных ip адресов?[/QUOTE]
правило каким образом создавали? в брэндмауэре, на сервере? или на роутере?
файлы зашифрованы с расширением .ORAL; .Jessy; .ROG; .biden; .eofyd; .duk; .LAO; .pirat; .liz; .bqd2; .4o4; .ctpl; .error; .zphs; .2122; .HPJ; .bdev; .eye, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

[QUOTE]cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB; .space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx; .data; .homer; HAT; .tcprx; .LOG; .1dec; .xati; .GET; .Back; .Aim; .get; .abc; .rec; .NW24; .gtf; .cl; .gold; .eur; .blm; .chuk; .AHP; .lina; .TEREN; .cve; .WSHLP; .fresh; .FLYU; .gtsc; .dme; .Crypt; .259; .LCK; .kut; .SWP; .zimba; .help; .sss; .dex; .ZIN; .SUKA; .msf; .lock; .gac; .21btc; .mpr; .4help; .aol; .14x; .hub; .yoAD; .NOV; .Avaad; .crypt; .22btc; .TomLe; .word; .con30; .text; .LOTUS; .wcg; .pauq; .four; .urs; .clman; [b].ORAL; .Jessy; .ROG; .biden; .eofyd; .duk; .LAO; .pirat; .liz; .bqd2; .4o4; .ctpl; .error; .zphs; .2122; .HPJ; .bdev; .eye [/b] [/QUOTE]
Ошибка активации Act.33, Не активируется лицензия приобретенная в РФ, в Крыму
добавьте образ автозапуска
BazarCall использует вредоносные центры обработки вызовов для заражения жертв
[B]В течение последних двух месяцев исследователи безопасности вели онлайн-битву против нового вредоносного ПО [B]BazarCall[/B], которое использует центры обработки вызовов для распространения некоторых из наиболее вредоносных вредоносных программ для Windows.[/B]

Новое вредоносное ПО было обнаружено как распространяемое центрами обработки вызовов в конце января и названо BazarCall или BazaCall, поскольку злоумышленники изначально использовали его для установки вредоносного ПО BazarLoader.

Как и многие вредоносные кампании, BazarCall начинается с фишингового электронного письма, но затем переходит к новому методу распространения - использованию телефонных колл-центров для распространения вредоносных документов Excel, которые устанавливают вредоносные программы.

Вместо того, чтобы связывать вложения с электронным письмом, электронные письма BazarCall предлагают пользователям позвонить по номеру телефона, чтобы отменить подписку, прежде чем они будут автоматически списаны. Эти центры обработки вызовов будут затем направлять пользователей на специально созданный веб-сайт для загрузки «формы отмены», устанавливающей вредоносное ПО BazarCall.

От фишинговых писем до колл-центров

[B]Все атаки BazarCall начинаются с фишингового электронного письма, нацеленного на корпоративных пользователей, в котором говорится, что бесплатная пробная версия получателя скоро истечет[/B]. Однако эти электронные письма не содержат никаких подробностей о предполагаемой подписке.

Эти электронные письма затем предлагают пользователю связаться с указанным номером телефона, если он хочет отменить подписку, прежде чем с него будет взиматься плата от 69,99 до 89,99 долларов за продление, как показано в примере фишингового письма BazarCall ниже.

[IMG WIDTH=1246 HEIGHT=757]https://www.bleepstatic.com/images/news/malware/b/bazarcaller/bazarcall-spam-example.jpg[/IMG]

Большая часть электронных писем были отправлены с указанием вымышленной компании, такие как "Medical reminder service, Inc.", 'iMed Service, Inc.', 'Blue Cart Service, Inc. . 'и' iMers, Inc. '

Во всех этих письмах используются похожие темы, такие как «Спасибо за использование бесплатной пробной версии» или «Ваш бесплатный пробный период почти закончился!» Исследователь безопасности ExecuteMalware составил более обширный список тем электронной почты, используемых в этой атаке.

Когда получатель звонит по указанному номеру телефона, он будет переведен на короткое удержание, а затем его встретит живой человек. При запросе дополнительной информации или о том, как отменить подписку, агент центра обработки вызовов запрашивает у жертвы уникальный идентификатор клиента, указанный в электронном письме.

Если указан правильный идентификатор клиента, агент колл-центра направит пользователя на поддельный веб-сайт, который выдает себя за компанию, предоставляющую медицинские услуги. Телефонный агент останется на телефоне с жертвой и направит их на страницу отмены, где им будет предложено ввести свой идентификатор клиента.

Когда пользователь вводит свой идентификационный номер клиента, веб-сайт автоматически предлагает браузеру загрузить документ Excel (xls или xlsb). Затем агент центра обработки вызовов поможет жертве открыть файл и нажать кнопку «Включить контент», чтобы активировать вредоносные макросы.

В некоторых звонках, злоумышленники просили его отключить антивирус, чтобы предотвратить обнаружение вредоносных документов.

[IMG WIDTH=1567 HEIGHT=871]https://www.bleepstatic.com/images/news/malware/b/bazarcaller/malicious-excel-document.jpg[/IMG]

Когда макросы Excel включены, вредоносная программа BazarCall загружается и запускается на компьютере жертвы.

Когда кампания BazarCall только началась, она использовалась для распространения вредоносного ПО BazarLoader, но также начала распространять TrickBot, IcedID, Gozi IFSB и другие вредоносные программы.

Эти заражения Windows особенно опасны, поскольку они обеспечивают удаленный доступ к скомпрометированным корпоративным сетям, где злоумышленники распространяются по сети, чтобы украсть данные или развернуть программы-вымогатели.

Злоумышленники используют BazarLoader и Trickbot для развертывания программ-вымогателей Ryuk или Conti, в то время как IcedID использовался в прошлом для развертывания заражений программ-вымогателей Maze и Egregor.

Благодаря усилиям исследователей служба распространения была вынуждена постоянно менять их номера телефонов и хостинговые сайты, поскольку исследователи их отключили.

К сожалению, даже благодаря совместным усилиям сообщества специалистов по кибербезопасности этот метод распространения оказался очень успешным.

Из-за метода распространения образцы вредоносных программ обычно имеют очень низкий уровень обнаружения на VirusTotal, поскольку они не распространяются публично и не обнаруживаются поставщиками антивирусов.

[B]Кроме того, судя по электронным письмам, люди попадают на эту аферу, поскольку считают, что это законные подписки, которые необходимо отменить. [/B]

https://www.bleepingcomputer.com/news/security/bazarcall-malware-uses-malicious-call-centers-to-infect-victims/
1 2 3 4 5 6 7 8 9 10 11 ... 1711 След.