По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Начиная с 2013 года по планете Земля начали свое победное шествие программы шифровальщики, требующие выкуп. Начал этот злостный хайп шифровальщик Cryptolocker, а затем были слышны такие громкие имена как Petya, NotPetya, WannaCry и иже с ними.
Мы хотели бы показать и объяснить механизмы работы подобного вида зловредного ПО, так как первичный источник заражения в организации обычно одинаковый и являет собой спам письмо – ниже, в последовательных шагах объясним, как, почему и зачем ОНО это делает.
Само заражение, подробно и без приукрас.
Конечный пользователь получает письмо как-будто бы от его начальника, в котором находится ссылка на популярный облачный сервис - Битрикс24, Salesforce, ZenDesk и так далее.
По ссылке открывается окно браузера и направляет пользователя на сайт, который выглядит вполне нормально и являет собой лэндинг для эксплойт кита.
До загрузки страницы, веб-сервер, на котором находится эксплойт-кит, начинает коммуникацию с компьютером жертвы и пытается понять какая версия Java используется для использования эксплойта в уязвимой версии.
Когда кто получает подтверждение уязвимости конкретной версии, эксплойт начинает свою работу и, в случае успеха, он загружает на рабочую станцию некий .EXE файл, и он начинает выполняться.
Экзешник создаёт дочерний процессы, который включает в себя процесс vssadmin.exe (теневую копию). Данный процесс удаляет имеющиеся теневые копии на компьютере жертвы и создаёт новые. Теневые копии, создаваемые самой ОС Windows, позволяют восстановить информацию - и поэтому WannaCry всеми силами пытается снизить вероятность восстановления файлов.
Далее WannaCry использует исполняемый PowerShell файл для распространения своих копий по системе и запускает шифрование файлов с определенными расширениями.
Дочерний процесс powershell.exe создает ещё три копии оригинального зловредного кода - сначала в директории AppData, затем в Start и в корневом каталоге диска C: . Данные копии используются совместно с модификациями регистра для автоматического перезапуска WannaCry после перезагрузки системы и различных событий.
После шифрования файлов на компьютере, малварь отправляет ключ шифрования и другую информацию в командный центр (C2).
Далее жертва получает сообщение, причем это может быть как банальное информирование пользователя о шифровке файлов и инструкций о передаче выкупа, так и установке другого зловредного ПО, например для кражи учётных данных.
Как правило, для усиления эффекта, на экране компьютера появляется таймер обратного отсчёта с указанием дедлайна, когда нужно отправить выкуп. Если не отправить вовремя, ключ для расшифровки будет уничтожен - то есть больше не останется шансов на восстановление вашей информации.
Обычно, оплата выкупа означает то, что вам пришлют ключ для расшифровки - но это совершенно точно не означает, что сам зловредный файл тоже удалится с машины жертвы. Обычно, в таких случаях нужно привлечь вашу службу ИБ или ИТ.
И, как уже было сказано выше, очень часто шифровальщики используются как некая маскировка более глубокой атаки на организацию - то есть кража учётных записей, персональных данных и прочие.
Наш посыл прост – не открывайте подозрительных ссылок! Особенно, если они пришли по электронной почте от людей, от которых не должно подобное приходить – руководитель компании и так далее. Старайтесь более ответственно относится к времяпрепровождению в Интернете, и тогда ИТ-службе (а это скорее всего вы и есть) будет гораздо спокойнее жить.
Всем привет! Спешим рассказать об ещё одном программном телефоне (Softphone), который, по нашему мнению заслуживает внимания - DrayTek
DrayTek – это программный телефон, совместимый с любой версией Windows и разработанный специально для соответствующих PBX – Vigor PBX и сервиса DrayTel, однако, основанный на открытом протоколе SIP, он может быть использован и для других IP-АТС, например – Asterisk.
Краткий обзор
DrayTek поддерживает основные функции, необходимые для комфортной работы, такие как:
Всплывающая карточка при входящем звонке
Постановка на удержание
Перевод звонка (что очень полезно, т.к во многих софтфонах для использования данного функционала требуется покупать расширенную версию)
Переадресация на другой номер (также обычно является платной функцией)
Журнал вызовов и записная книжка
Отображение статусов группы - BLF
Шифрование голосового трафика ZRTP
Организация защищённого PPTP туннеля до PBX
Настройка и использование
Скачать последнюю версию софтфона можно с сайта разработчика.
Установка абсолютно стандартная и занимает секунды. После установки DrayTek автоматически попытается отыскать в сети совместимую Vigor PBX с помощью автопровижининга. Если у Вас такой PBX нет, то отклоните предложение.
Важно! Для того, чтобы DrayTek заработал на Вашем компьютере должны быть звуковая карта.
Добавим SIP-аккаунт. Для этого переходим во вкладку Settings → SIP и нажимаем на плюс.
Заполняем все указанные поля в соответствии с настройками внутреннего номера (Extension), зарегистрированного на нашей IP-АТС. В нашем случае настройки производятся для номера 5011
При настройке SIP-аккаунта в DrayTek не забудьте указать правильный SIP порт.
Если всё было указано верно, то после регистрации вы увидите надпись Ext: registered successfully. Теперь можно совершать вызовы. Приняв вызов, становятся доступны все необходимые функции – постановка/снятие звонка на удержание, перевод звонка, видео-звонок.
Одна из самых полезных функций данного софтфона – это переадресация вызовов. Чтобы её настроить переходим в Settings → General и выбираем Call Forward Settings
В поле To вводим желаемый номер для перевода. Это может быть как городской, так и внутренний номер, зарегистрированный на IP-АТС. Выберите желаемые условия перевода - Always - переводить звонки на указанный номер всегда, On Busy - переводить звонки только когда внутренний номер занят, On Timeout - переводить звонки по тайм-ауту, который указывается ниже.
Чтобы переадресация заработала обязательно нужно сменить свой статус с Available на FWD и нажать OK
Друг, наша предыдущая статья была посвящена рассказу о том, что из себя представляет протокол DHCP (Dynamic Host Configuration Protocol). Сегодня мы расскажем, как его настроить на оборудовании Cisco.
Маршрутизатор Cisco, работающий под управлением программного обеспечения Cisco IOS, может быть настроен на работу в качестве DHCP сервера. Сервер назначает и управляет адресами IPv4 из указанных пулов адресов в маршрутизаторе для DHCP клиентов.
Исключение адресов IPv4
Маршрутизатор, работающий как DHCP сервер, назначает все адреса IPv4 в диапазоне (пуле), если не настроен на исключение определенных адресов. Как правило, некоторые IP адреса из пула принадлежат сетевым устройствам, таким как маршрутизаторы, сервера или принтеры, которым требуются статические адреса, поэтому эти адреса не должны назначаться другим устройствам. Чтобы их исключить, используется команда ip dhcp excluded-address. При помощи этой команды можно исключить как один единственный адрес, так и диапазон адресов, указав из него первый и последний.
Рассмотрим на примере, в котором исключим из раздачи адрес 192.168.1.254 и адреса с 192.168.1.1 по 192.168.1.9
Router(config)# ip dhcp excluded-address 192.168.1.254
Router(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.9
Настройка DHCP пула
Настройка DHCP сервера включает в себя определение пула адресов, которые будут раздаваться. Для создания пула используется команда ip dhcp pool [название_пула]. После этого необходимо ввести две обязательные команды – network [адрес_сети][маска/длина_префикса] для указания сети из которой будут раздаваться адреса и default-router[адрес_default_gateway] для указания шлюза по умолчанию (можно ввести до 8 адресов).
Также можно использовать дополнительные команды – например, указать DNS сервер (команда dns-server [адрес]), доменное имя (команда domain-name [домен]), NetBIOS WINS сервер (команда netbios-name-server[адрес]), а так же время аренды адреса (команда lease [количество_дней_часов_минут], сначала указываются дни, затем через пробел часы, а затем минуты). По умолчанию время аренды выставляется 1 день.
Router(config)# ip dhcp pool POOL-1
Router(dhcp-config)# network 192.168.1.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.1.1
Router(dhcp-config)# dns-server 192.168.1.2
Router(dhcp-config)# domain-name merionet.ru
Router(dhcp-config)# lease 2
Чтобы выполнить проверку можно использовать команду show ip dhcp binding, которая показывает список всех IP адресов и сопоставленных с ними MAC адресов, которые были выданы DHCP сервером. Также есть команда show ip dhcp server statistics, используя которую можно увидеть статистику DHCP сервера, включая информацию об отправленных и полученных DHCP сообщениях. Ну и если клиентом является ПК с ОС Windows, то информацию можно посмотреть через командную строку, введя команду ipconfig /all, а для пользователей Linux подойдет команда ifconfig.
Ретрансляция DHCP (DHCP Relay)
В сложной иерархической сети серверы обычно находятся не в той же сети, что и клиенты. В результате если DHCP сервер находится в другой сети, то до него не смогут доходить запросы от клиентов, поскольку маршрутизаторы не пересылают широковещательные сообщения. Чтобы решить эту проблему нужно воспользоваться командной ip helper-address [адрес_DHCP-сервера], которую нужно ввести на маршрутизаторе в режиме конфигурации интерфейса, чтобы он перенаправлял broadcast сообщения от DHCP клиентов уже в виде unicast к DHCP серверу, находящемуся в другой сети.
Router_2(config)# interface g0/0
Router_2(config-if)# ip helper-address 192.168.1.1
Настройка роутера как DHCP клиента
Иногда роутер сам должен получить IP адрес по DHCP, например от интернет-провайдера. Для этого нужно в режиме конфигурации интерфейса ввести команду ip address dhcp, после чего интерфейс будет пытаться получить адрес от DHCP сервера.
Router_3(config)# interface g0/0
Router_3(config-if)# ip address dhcp