Tuesday, August 9, 2016

RSA-4096 Ransomware virus and what it does to your computer

If you have received a threatening message claiming "All your files were encrypted" or "All your files were protected by a strong encryption with RSA-4096," it means your computer was infected with a malicious PC virus, known as ransomware. This particular type of computer threats takes victim's files hostage by encrypting them and urges the victim to pay up. The mention of the RSA-4096 key indicates that you are dealing withTeslaCrypt virus, one of the most dangerous ransomware variants in the wild.
RSA-4096 Ransomware locks all files including music, videos, documents, photos, and other relevant records stored on the compromised PC. This malicious software is programmed to detect particular file types (judging by file extensions) and encrypt them using the RSA-4096 encryption algorithm. Sadly, the message this virus sends is not a joke. You cannot recover your data so simply after this virus strikes. They are encrypted with unique keys, and unless you have them, you cannot decrypt the encrypted data. Unfortunately, cyber criminals remove these keys from the computer after the malicious encryption procedure is done and store them on their own servers. After that, you will find several ransom notes dropped on the PC in various locations. These notes are titled RECOVER[random symbols].txtHowto_Restore_FILES.txt or How_Recover+(random symbols).txt. They may also come in HTML and PNG formats.
The ransom note RSA-4096 ransomware leaves

What this virus wants you to do?

Of course, the idea of losing all computer files all of sudden is scary, and the developers of TeslaCrypt know this very well. This is exactly what they aim for - they seek to scare the user. The ransom notes RSA-4096 malware leaves inform the user that files were encrypted and that they can be decrypted only with a unique RSA-4096 decryption key, which is hidden in a "secret" server. Crooks even ironically mention that user can have two options to choose from - wait for a miracle to happen or buy the decryption key from them and recover corrupted files. These frauds demand ransom worth 500$, but the price may vary. The user must transfer the payment in Bitcoins for scams using Tor (anonymous communication software) so that cyber criminals could not be tracked and punished by legal authorities.
Crooks urge the victim to pay the ransom as soon as possible; otherwise, the price will double. Unfortunately, in many cases, frauds just take victim's money and leave him/her with encrypted files without helping him/her with the decryption. We also do not recommend you to pay up because this will encourage cyber criminals to continue their fraudulent activities. If you have decided not to pay up, we strongly recommend you to remove RSA-4096 malware from your computer using Reimage anti-malware. Although RSA-4096 bit encryption is very hard to crack and computer experts still cannot find 100% effective antidote for TeslaCrypt, some RSA-4096 decryption tools have already been created - you can find their download links on page 2.

How cyber criminals distribute RSA-4096 ransomware?

To spread this ransomware, cyber criminals render phishing attacks and exploit kits. The majority of victims state that they received a ransom note just a couple of minutes after they opened an email attachment notifying about pre-paid purchases, loans, taxes, and other official information. Spam email infections are well known already, but, nevertheless, people's curiosity is a natural thing that allows such cyber threats as the RSA-4096 encryption virus spread very successfully. Therefore, whenever you receive a doubtful looking email message, do not rush to open it. First of all, verify its sender, theme, presence/absence of mistakes, and other features. If at least a slightest suspect rises, you'd better report the message for spam. Last, but not least, you should also avoid clicking on the pop-up ads offering to update certain software or check the system for viruses online. Such messages are typically fake and may contain Trojan infections that spread RSA-4096 or other cyber infections.

Can you remove RSA-4096 ransomware manually?

Technically, there is a way to remove RSA-4096 virus manually. We will provide the guide at the end of this post. Nevertheless, manual removal of such dangerous cyber threats is recommended to be performed by professional technicians only, because instead of removing infected files, you may delete important system files and cause the system crash. That is why we strongly recommend you to perform RSA-4096 removal with a powerful anti-malware software, such as Reimage.
IMPORTANT. Before you try to decrypt RSA-4096, you must remove the virus and its files from your computer. After that, you can recover your files from a backup (if you had one), but if you didn't, we suggest you to try these RSA-4096 file recovery tools: TeslaCrypt decryption tool or this TeslaCrypt decryptor.
Related link:
http://www.virusresearch.org/how-to-remove-rsa-4096-ransomware/

Powering the Next Generation Big Data Architecture for Data-in-Motion and Data-at-Rest

Every enterprise is becoming a data business. Data is the lifeline that guides intelligent decision making, enabling enterprises to effectively serve their customers. The rise of data has led to the modernization of data infrastructure, with Apache Hadoop as a critical foundational element for data storage and processing. Designed as a multi-workload platform, Apache Hadoop, along with related Apache projects, enables real-time insight, robust interactive analysis, and deep data mining.
In a connected world of Internet of Things (IoT), social networking, and business applications, the capability to capture, monitor, and rapidly process information is becoming essential for modern enterprises. A new model has emerged, the Lambda Architecture, for storing and processing large amounts of data-in-motion and data-at-rest. In many cases, it includes support for complex event processing with applications such as Apache Kafka and Storm, near-real-time analytics with Apache Spark Streaming, interactive SQL with Apache Hive, machine learning with Apache Spark, and data persistence and batch analytics with the Hadoop Distributed File System (HDFS) and MapReduce.
Building a next-generation big data architecture requires simplified and centralized management, high performance, and a linearly scaling infrastructure and software platform. Cisco Unified Computing System™ (Cisco UCS®) for Big Data and Analytics is a proven platform deployed across industry verticals and recognized as a leader in the space by leading analysts.
Cisco and Hortonworks have partnered to create an industry-leading solution with the Cisco UCS and Hortonworks Connected Data Platforms to deliver end-to-end capabilities for data in motion and data at rest. Hortonworks DataFlow (HDF) collects, curates, analyzes, and delivers real-time data from the IoT: sensors, smart devices, clickstreams, log files, and more. Hortonworks Data Platform (HDP), built on Apache Hadoop and Spark, enables the creation of a secure enterprise data lake and delivers the analytics you need to innovate quickly and power real-time business insights. Together, HDF and HDP empower the deployment of modern data applications for data in motion and data at rest within the Lambda Architecture framework. See Figure 1.
UCS LA
Figure 1: Lambda Architecture with Cisco UCS, HDP and HDF
I am delighted to announce the availability of the Cisco® Validated Design for Hortonworks Connected Data Platforms spanning HDP and HDF on Cisco UCS Integrated Infrastructure for Big Data and Analytics. The design represents a close collaboration between Cisco and Hortonworks, providing our joint customers with an industry-leading big data solution.

Sunday, August 7, 2016

آسیب‌پذیری venom

نام این آسیب‌پذیری برگرفته از حروف آغازین عبارت Virtualized Environment Neglected Operations Manipulation بوده و به مفهوم دستکاری بخش مورد غفلت واقع شده‌ای است که در اغلب مجازی‌سازها مورد استفاده قرار می‌گیرد. این بخش، کنترلر دیسک‌های فلاپی مجازی در امولاتور متن باز QEMU است.
این آسیب‌پذیری یکی از جدی‌ترین آسیب‌پذیری‌های کشف شده در نرم‌افزارهای مجازی‌ساز است و با سوء‌استفاده از آن می‌توان به ماشین‌هایی که به‌صورت مجازی پیاده‌سازی شده‌اند، نفوذ کرد.
برای سوء‌استفاده از این آسیب‌پذیری بایستی نفوذگر به یکی از ماشین‌های مجازی دسترسی root داشته باشد. پس از آن نفوذگر می‌تواند با سوء‌استفاده از آسیب‌پذیری، کنترل سایر ماشین‌های مجازی موجود بر روی میزبان اصلی را به‌دست آورد. به‌عنوان مثال، نفوذگر می‌تواند ابتدا سعی در یافتن یک ماشین نا امن نموده و آن را تسخیر نماید. سپس به‌سادگی خواهد توانست سایر ماشین‌های امن موجود بر روی میزبان اصلی را نیز تسخیر نماید. اجاره نمودن یک ماشین مجازی، جالب‌ترین راه برای نفوذ به تعداد زیادی ماشین مجازی است.
مجازی‌سازهای Xen، KVM و Oracle از جمله مجازی‎سازهای آسیب‌پذیر بوده که از کنترلر فوق استفاده نموده‌اند. مجازی‌سازهای VMWare، Microsoft Hyper-V و Bochs hypervisors دارای آسیب‌پذیری فوق نمی‌باشند. فعال بودن یا غیرفعال بودن دیسک فلاپی مجازی در ماشین مجازی، تاثیری بر روند سوء‌استفاده از آسیب‌پذیری ندارد.
راه حل برطرف نمودن آسیب‌پذیری، اعمال به‌روزرسانی و سپس بازنشانی است. البته بایستی توجه نمود که علاوه‌بر به‌روزرسانی و بازنشانی خود مجازی‌سازها، بایستی تمامی سرویس‌دهنده‌های لینوکسی که QEMU بر روی آن‌ها نصب شده است نیز باید به‌روزرسانی و بازنشانی شوند.
شایان ذکر است که انجام بازنشانی پس از به‌روزرسانی الزامی است. این امر برای سرویس‌دهندگان بزرگ که با صرف هزینه بسیار برای مدت زمان طولانی سرورهای خود را بازنشانی ننموده‌اند، ابداً خوشایند نیست و به‌همین دلیل در وب‌سایت http://www.venomfix.comروشی برای دور زدن بازنشانی در حالت‌های خاص پیشنهاد شده است. در این حالت، کل سیستم بازنشانی نمی‌گردد و تنها برای مدت زمانی کمتر از یک دقیقه سیستم قفل شده و سپس به‌حالت عادی برمی‌گردد.
جزئیات آسیب‌پذیری و نحوه سوء‌استفاده از آن در وبلاگ کاشف آسیب‌پذیری با آدرس http://blog.crowdstrike.com/venom-vulnerability-details قابل دسترسی است.
در انتها برای سهولت، وصله‌ها و توصیه‌های منتشر شده مرتبط با آسیب‌پذیری Venom توسط سازندگان مختلف فهرست شده است:

Tuesday, November 3, 2015

ایا تلفن های همراه امن هستند؟

طبق گفته‌های اسنودن کار زیادی از دست کاربران گوشی‌های هوشمند برای جلوگیری از دسترسی سیستم‌های جاسوسی برنمی‌آید و آن‌ها به راحتی می‌توانند کنترل گوشی شما را در دست بگیرند. اسنودن معتقد است که قسمت موسوم به GCHQ در آژانس جاسوسی انگلستان توانایی هک کردن گوشی‌های هوشمند کاربران را بدون اطلاع آن‌ها دارد. او همچنین استفاده از ارسال پیام رمزگذاری شده را راه ورود GCHQ به گوشی شما می‌داند و معتقد است آن‌ها پس از دسترسی به گوشی شما می‌توانند به راحتی به شنود و عکاسی بپرازند. البته دولت انگلستان این ادعاها را رد کرده است.
ادوارد اسنودن این مصاحبه را در مسکو انجام داده است (اسنودن در سال ۲۰۱۳ بعد از افشاگری‌هایش به مسکو رفت). اسنودن این نکته را نیز بیان می‌کند که GCHQ و NSA (آژانس امنیت ملی آمریکا) به صورت گسترده اقدام به کنترل ارتباطات شهروندان نکرده‌اند، اما هر دوی این آژانس‌ها سرمایه‌گذاری عظیمی در تکنولوژی‌های مرتبط با هک گوشی‌های هوشمند انجام داده‌اند.
اسنودن می‌گوید:
آن‌ها می‌خواهند به جای شما مالک تلفن‌های شما شوند.
اسمارف
اسنودن به یکی از برنامه‌های GCHQ با نام "اسمورف سوئیت" در صحبت‌هایش اشاره می‌کند. در حقیقت "اسمورف سوئیت" مجموعه‌ای‌ از قابلیت‌های محرمانه برای نفوذ به شبکه‌های مخابراتی است. اسمورف‌ها شخصیت‌های کوچک یک مجموعه کارتونی هستند.
اسنودن می‌گوید:
اسمورف‌ جادویی می‌تواند یک ابزار مدیریت انرژی برای خاموش و روشن کردن هوشمندانه تلفن‌همراه شما باشد. این اسمورف فضول می‌تواند یک ابزار شنود باشد؛ برای مثال وقتی گوشی در جیب شما باشد GCHQ می‌تواند با روشن کردن میکروفون شما هر آنچه در اطراف شما اتفاق می‌افتد را شنود کند. حتی اگر گوشی شما خاموش باشد باز هم آن‌ها ابزاری برای شنود شما در اختیار دارند. اسمورف ردیاب یک ابزار موقعیت‌یابی است که به GCHQ این امکان را می‌دهد تا با دقت بیشتری شما را ردیابی کنند.
نکات مهمی از فیلم پیتر تیلور با نام  Edward Snowden: Spies and the Law می‌توان استخراج کردکه به برخی از اقدامات جاسوسی دولت انگلستان اشاره شده. در این فیلم به درخواست آژانس‌های اطلاعاتی از رسانه‌های اجتماعی برای همکاری در زمینه‌ی شناسایی محتوای مرتبط با تروریست اشاره شده است. اطلاعات افشا شده توسط اسنودن نشان می‌دهد دولت انگلستان حجم زیادی از اطلاعات ارتباطی در پاکستان را به وسیله هک کردن روتر‌های ساخت شرکت سیسکو به دست آورده است.
اسنودن همچنین در مورد ابزاری به نام اسمورف پارانوید می‌گوید:
این ابزار در حقیقت یک ابزار دفاعی است که به مانند یک زره برای محافظت از GCHQ در زمان دستکاری گوشی شما عمل می‌کند. وقتی شما در زمان استفاده از تلفن‌همراه خود با موارد مشکوک روبرو می‌شوید و آن را برای تعمیر نزدیک تکنسین می‌برید، با وجود این ابزار، فهمیدن سوءاستفاده از گوشی برای این تکنسین‌ها بسیار دشوارتر خواهد بود.
طبق گفته‌های اسنودن وقتی GCHQ به گوشی شما نفوذ می‌کند به اطلاعاتی از قبیل اینکه با چه کسی تماس گرفته‌اید، چه پیام‌های متنی داده‌اید، چه چیزهایی را در مرورگر دیده‌اید، مخاطبان شما چه کسانی هستند، جاهایی که شما قبلا آنجا بودید و شبکه‌های وایرلسی که به آن متصل شده‌اید، دسترسی پیدا می‌کند.
ادوارد اسنودن در مورد پیام ارسالی توسط GCHQ می‌گوید:
این پیام "exploit" نام دارد. این پیام یک پیام خاص است که به مانند بقیه پیام‌ها به شماره شما ارسال می‌شود؛ اما در زمان رسیدن به گوشی شما از دیدتان پنهان خواهد ماند. شما برای گوشی‌ خود هزینه کرده‌اید، ولی افرادی که بر نرم‌افزار آن کنترل دارند صاحبان واقعی آن هستند.
اسنودن در مورد رابطه بین GCHQ و همتای آمریکایی آن می‌گوید:
GCHQ عملا تابع و زیرمجموعه NSA است. در حقیقت این NSA است که تکنولوژی‌ها را فراهم می‌کند، ماموریت‌ها را مشخص می‌کند و آن را برای انجام به GCHQ اطلاع می‌دهد.
به نظر می‌رسد NSA نیز برنامه‌ی شبیه به پروژه‌ی اسمارف را با بودجه‌ای معادل یک میلیارد دلار اجرا می‌کند. اسنودن همچنین می‌افزاید:
ممکن است آن‌ها در بسیاری از موارد به صورت مستقیم ایمیل شما را نخوانند؛ اما آن‌ها قادر به این کار هستند و شما نیز از آن مطلع نخواهید شد.
دولت معتقد است که اسنودن آسیب‌های زیادی به توانایی سازمان‌های اطلاعاتی در مقابله با تهدیدها وارد کرده است. سخنگوی دولت انگستان در بیانه‌ای گفته‌ است:
سیاست ما از گذشته این بوده که در مورد مسائل و اطلاعات امنیتی صحبتی نکنیم. تمام فعالیت‌های GCHQ مطابق یک چارچوب قانونی و مشخص است. این چارچوب به ما اجازه می‌دهد که اقدام متناسب و لازم را انجام دهیم. همچنین نظارت شدیدی از جانب وزارت امور خارجه، کمیسیون‌های مربوط به سرویس‌های اطلاعاتی و کمیته‌ی امنیت و اطلاعات پارلمان بر این فعالیت‌ها انجام می‌شود.

استفاده از تکنیک رمزنگاری ۱۲۰۰ ساله

شاید باور این سخت باشد که یک تکنیک رمز گشایی قدیمی که ۱۲۰۰ سال قدمت دارد، هنوز هم برای رمزگشایی پسوردها می‌تواند کاربرد داشته باشد. مایکروسافت با به کار گیری تکنیک ابویوسف کندی سعی دارد تا عبارات، پسوردها، هَش‌ها و بسیاری از حملات سایبری را رمز گشایی کند

کوچکترین حسگر اثرانگشت دنیا

قرار دادن حسگر اثر انگشت در فریم دور گوشی در اکسپریا زد ۵ یکی از نوآورانه‌ترین پیشرفت‌ها در زمینه‌ی حسگرهای اثر انگشت بود. این فناوری باعث بیشتر شدن ضخامت اکسپریا زد ۵ نسبت به نسل قبل شده بود اما شرکت CrucialTek به تازگی با ساخت حسگری بسیار کوچک به سازندگاه اجازه خواهد داد تا بدون افزایش ضخامت، حسگر را در فریم اطراف گوشی قرار دهند.

هواپیمای اسکریمر

پس از بازنشستگی اجباری هواپیمای کنکورد، خلا وجود چنین پرنده‌ای در ناوگان شرکت‌های هوایی احساس می‌شود؛ چراکه این هواپیما قادر بود با سرعتی دو برابر سرعت صوت پرواز کند. حال طراحان و مهندسان بیکار ننشسته و طرح‌های مفهومی متعددی را در این راستا ارائه کرده‌اند که یکی از جدیدترین نمونه‌ها، اسکریمر با سرعت ۵ برابر کنکورد است