搜索:勒索软件

勒索软件 Locky 出现新型变种:依赖僵尸网络 Necurs 与 DDE 机制展开新一轮攻击浪潮

HackerNews.cc 11 月 12 日消息,网络安全公司 Avira 研究人员近期发现勒索软件 Locky 出现新型变种,不仅可以通过僵尸网络 Necurs 开展大规模钓鱼攻击活动,还可利用动态数据交换(DDE)协议进行数据传输,从而规避安全软件检测的同时窃取用户重要信息。 研究显示,目前黑客主要通过合法的 Libre 与 Office 文件肆意分发恶意软件。一旦用户打开该恶意文件后系统将会自动触发一系列程序,从而最终在受害设备上对用户文件进行加密处理后发送到指定 C&C 服务器。研究人员在分析该恶意文件时还发现其中包含一份 LNK 文档,允许黑客通过粘贴的方式将命令复制到用户文本编辑器中,以便运行 PowerShell 脚本。 研究人员表示,该脚本内容清晰、极易阅读,其目的是从脚本嵌入的链接中下载另一个 PowerShell 脚本并通过 Invoke-Expression 函数运行。然而,第二个脚本所连接的服务器由黑客控制,并在下载该脚本时自动运行一份 Windows 可执行文件,其中包含多个阶段的混淆代码,以致诱导用户认为这是一个安全的文件。目前,研究人员认为勒索软件 Locky 的快速演变在当今的威胁领域中着实令人担忧,因为它还将继续进行深度 “优化”,从而感染更多设备。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全报告:勒索软件 Matrix 卷土重来,掀起新一轮攻击浪潮

据外媒 10 月 29 日报道,网络安全公司 Malwarebytes 研究人员 Jérôme Segura 近期发现勒索软件 Matrix 卷土重来,旨在通过媒体广告肆意传播恶意代码后掀起新一轮攻击浪潮。 勒索软件 Matrix 虽然最早可追溯至 2016 年,但研究人员 Brad Duncan 于 2017 年 4 月才在揭露一起 EITest 恶意广告活动时,发现黑客通过 RIG 漏洞分发这一恶意软件。此后 Matrix 完全隐去踪迹。起初,研究人员以为这是勒索软件研发失败的情景,而就在近期 Matrix 卷土重来且正通过触发 IE 漏洞 (CVE-2016-0189)与 Flash 漏洞(CVE-2015-8651)传播恶意代码。 调查显示,当目标设备感染勒索软件 Matrix 时,其恶意代码将会加密受害机器上的所有文件,并将 .pyongyan001@yahoo.com 扩展名添加至该文件名中。此外,该勒索软件还会删除所有加密文件的浏览记录并在其文件夹中存留一份勒索赎金信函,要求受害用户缴纳赎金后才可解密文件。 目前,由于研究人员尚不了解黑客此次攻击的真正意图,因此他们仍在继续展开调查。另外,他们建议用户要想保护自身系统免遭攻击,则需要将计算机上的所有软件更新至最新版本,同时加强系统安全、及时备份设备重要数据。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

研究发现:勒索软件市场正在呈爆炸式增长

根据最新研究发现,暗网经济正在助推勒索软件蔓延。据悉,在今年十月份发布的一份报告中,反病毒服务提供商 Carbon Black 的研究人员发现,勒索软件在 2016-2017 年期间的销售量增长了 2502%。研究人员表示,这项研究报告监测了全球 21 个顶级暗网平台,然后再将收集到的数据进行推算得出了这个一结果。事实上,目前全球有超过 6300 个平台提供勒索软件交易。然而,随着销售量增长率达到惊人的 2502%,也使得勒索软件的总销售金额达到了 620 万美元,比上一年总销售额多了 25 万美元。 虽然总销售额看上去并不是太多,但是这种增长趋势却令人印象深刻——研究人员支出,如果不是预料之中,这样的增长主要是由供需推动的,该报告指出:“网络犯罪分子越来越多地看到市场机遇,并且希望通过勒索软件来快速获利”。勒索软件市场的不断扩大,一部分原因是由于一些工具让匿名变得更加轻松(比如比特币和 Tor 代理等),另一部分原因是因为勒索软件不断扩散,让许多人都可以轻松发起非法交易,去勒索别人。 报告表示:“随着技术创新日趋成熟,地下勒索软件经济已然成为一个类似于商业软件的行业,甚至包括开发、技术支持、分销、质保和客服等‘一条龙’服务。” 根据 CSO Online 的数据显示,去年勒索软件支付的金额达到了 10 亿美元,相比于去年增长了 4000%。不仅如此,勒索软件的开发人员也获得了不少收益。去年,一些勒索软件开发人员的收入能够超过 10 万美元,而在合法商业软件领域,程序员的中等收入大约为 7 万美元。而且,随着地下供应链的不断成熟,勒索软件开发人员不需要独立研发整套工具包:比如,一个程序员可能会专门从事加密技术研发,去锁定受害者的电子设备;而另一个程序员可能会专门负责如何收取勒索到的钱款。 安全专家认为,这种专业化程度的不断提升,是推动地下勒索软件经济快速增长的关键因素。推出一款 “赚钱” 的勒索软件早已经不是一个人在战斗了,过去,可能需要有一个人非常擅长开发和部署复杂的勒索软件,但现在你只需要知道在哪里购买所有必须的组件,然后把工具包补充完整即可。 Carbon Black 的报告中这样说道:“由于现有勒索软件经济服务层级细化,这个行业本身已经开始变得更加强大。这些细化服务降低了行业准入障碍,想要发起勒索的攻击者不再需要较强的专业技能,甚至你可能是个完全不同技术的‘小白’,只要你有比特币,就可以对任何人发起攻击。” 另一方面,勒索软件的攻击目标范围很广,也是没有止境的,导致这种情况的主要原因是企业普遍缺乏基本的安全控制:企业一直忽略对关键数据的备份,而且也很少测试自己的软件,看看是否过期,或是及时更新安全补丁。研究人员警告说,依靠执法部门来防范攻击基本上是没什么用的,所以企业主要还是需要依靠自身力量来对抗勒索软件。 而阻止勒索软件的关键,就是要说服受害者不去支付 “赎金”。根据 Carbon Black 分析的数据显示,约有 59% 的受访对象表示自己愿意支付低于 100 美元的“赎金”来重新获得自己的数据,但如果攻击者把“赎金”上限提升到 500 美元以上,那么大约只有 12% 的受访对象愿意接受。 报告最后总结说:“ 整套系统只有在受害者愿意支付‘赎金’的前提下才能运转起来,所以只要有人愿意支付,这个问题就会一直延续下去。” 稿源:新浪科技,封面源自网络;

欧洲爆发“坏兔子”勒索软件:俄罗斯与乌克兰成重灾区

据外媒和多家安全企业报道,周二的时候,俄罗斯和东欧地区爆发了名叫“坏兔子”(Bad Rabbit)的新型勒索软件,三家俄媒刊登了头条报道,包括新闻机构“国际文传电讯社”(Interfax)。俄罗斯安全企业 Group-IB 称,一旦计算机被其感染,“坏兔子”就会在一个黑底红字的界面上显示“NotPetya”风格的勒索信息。 该恶意软件会要求受害人登陆“洋葱路由”下隐藏的某个服务网站,向其交付 0.5 个比特币(约合 282 美元)的赎金来解除勒索。此外“坏兔子”还会显示一个倒计时界面,声称不及时支付的话,其勒索金额就会水涨船高。目前暂不清楚“坏兔子”攻击的幕后主使者身份、受害者都有谁、以及该恶意软件是哪里产生和如何传播的。 Interfax 在 Twitter 上表示,由于网络攻击,其服务器已被关闭。此外,乌克兰敖德萨机场也在本周二遭受了破坏性的网络攻击,但不清楚此事是否与“坏兔子”有关。Group IB 发言人表示,这轮大规模网络攻击主要针对以 Interfax 和 Fontanka 为代表的俄罗斯新闻公司。另外还有敖德萨机场、基辅地铁等乌克兰基础设施。 总部位于莫斯科的卡巴斯基实验室则表示,俄罗斯是“坏兔子”的重灾区,其次是乌克兰、土耳其和德国。该公司称该恶意软件的散布“是一场针对企业网络的有意攻击”。 卡巴斯基反恶意软件小组负责人 Vyacheslav Zakorzhevsky 在声明中称: 根据我们的数据,‘坏兔子’袭击的受害者多为在俄罗斯。其通过一些感染的设备,侵入了一些俄罗斯媒体网站。 虽然该恶意软件的攻击手段与 ExPetr [NotPetya] 期间类似,但我们无法证实它们之间的关系。 总部位于捷克的另一家安全企业 ESET 亦证实有一场实时的勒索软件活动。其在一篇博客文章中写到,以基辅地铁为例,新爆发的该勒索软件至少也是 Petya 的一个变种。 NotPetya 本身也是 Petya 的一个变种,ESET 表示该公司已经检测到了“数百起”的感染。另据 Proofpoint 的一位研究人员所述,“坏兔子”是通过一个假装的 Adobe Flash Player 安装器传播的。 卡巴斯基实验室的研究人员也证实了这点,称该恶意软件的启动器是通过被感染的合法网站发布出去的,但是这可能不是“坏兔子”的唯一散播途径。据 ESET 所述,该恶意软件还会尝试感染同一本地网络下的其它计算机,比如借助早就曝光的 Windows 数据共享协议(SMB)和开源的 Mimikatz 漏洞利用工具。 一位迈克菲研究人员指出,“坏兔子”会加密各种各样的文件,包括 .doc 和 .docx 文档、.jpg 图片、以及其它文件类型。最后,有多名研究人员指出,“坏兔子”似乎借用了《权利的游戏》中的许多命名,比如卡丽熙(全名太长不赘述)的三条龙 —— Drogon、Rhaegal、以及 Viserion 。 稿源:cnBeta,原文 [编译自:Motherboard , 来源:SecureList]

Magnitude 漏洞开发工具包卷土重现,新添勒索软件功能针对韩国用户展开攻击

HackerNews.cc 10 月 8 日消息,Magnitude 漏洞开发工具包(EK)在过去的发展规模中一直引人注目并被网络犯罪分子用于亚洲多个国家肆意传播。奇怪的是,该漏洞开发工具包于今年 9 月下旬突然消失,起初研究人员以为这仅仅是 EK 研发失败的情景,但就在近期,该工具包重新出现并新添有效负载–勒索软件 Magniber。 Magnitude 漏洞开发工具包最早可追溯至 2013 年,其主要包含诸如加密类的勒索软件。调查显示,攻击者利用该漏洞开发工具包过滤客户 IP 地址与系统语言的地理位置后传递有效负载。这是一种网络犯罪分子常用的主要技术工具,旨在规避研究人员检测。目前,该工具包只通过漏洞(2016-2016-0189)检索执行有效负载。 据悉,Magniber 是一款针对性较强的勒索软件,可通过多个级别(外部 IP、安装语言等)检测目标系统,以确保受攻击设备仅为韩国用户。此外,勒索软件 Magniber 由 Magnitude 漏洞开发工具包进行分配。 调查显示,勒索软件 Magniber 仅在检测到韩语的系统上才会开始恶意操作,如果恶意软件于非韩系统执行,其研究人员唯一能看到的操作就是通过其运行 ping 命令删除自身程序。 一旦入侵韩国系统,其恶意软件将以 %TEMP% 方式复制设备机密数据,并在任务调度程序的帮助下部署自身。 据悉,研究人员在系统的多个文件夹中除了发现同一勒索赎金信函外,还检测到另一文档,它的名称与为特定用户生成的域名相同、扩展名与加密文件的扩展名相同。此外,每份加密文件都添加了同一个由拉丁文字符组成的扩展名,并且对于特定的 Magniber 样本来说固定不变,这意味着每份文件都使用完全相同的密钥进行加密。 研究人员表示,受害者的页面只显示英文。虽然它的模板与此前勒索软件 Cerber 使用的模板极其相似,但内部完全不同。此外,Magniber 是在 CBC 模式下使用 AES 128 位加密文件并在 Windows Crypto API 的帮助下执行与传播。 目前,虽然攻击者正积极瞄准韩国用户分发勒索软件 Magniber,但研究人员尚不清楚幕后黑手真正意图。对此,他们将持续跟进此次事件并提醒各用户加强防御体系,以抵御大规模攻击事件的发生。 附:Malwarebytes Labs 原文报告《 勒索软件 Magniber:仅感染传播韩国用户 》 稿源:Malwarebytes Labs ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新安卓勒索软件 DoubleLocker 不仅加密数据,还可更改用户 PIN 码锁定设备

据外媒近日报道,安全公司 ESET 研究人员 Lukᚊtefanko 近期发现一款 Android 勒索软件 DoubleLocker,不仅会对用户数据进行加密,还会通过更改用户的 PIN 密码锁定设备、索要赎金。 勒索软件 DoubleLocker 源自一款银行木马程序,其主要传播方式是通过受损网站推送的虚假 Adobe Flash Player 应用更新,诱导用户下载安装后加密或锁定设备。 一旦用户不慎下载并安装,其受损应用将激活恶意软件的无障碍服务 Google Play Service,从而在用户不知情下获取管理员访问权限并将其设置为 Android 手机 Home 主页的应用程序。每当用户点击 Home 主页按钮时,该勒索软件将会立即激活并锁定设备。 此外,研究人员表示,攻击者要求受害人员必须在 24 小时内支付 0.0130 比特币(约 54 美元),否则只有恢复出厂设置才能清除该勒索软件。不过,该做法或将导致受害用户无法挽回自身设备的所有文件。 原作者:John Leyden,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

禁用 Windows 勒索软件卷土重来,黑客索要 50 比特币解锁费用

2016 年的时候,安全研究人员就已披露一款显示 “ 您的计算机已被禁用 ” 的恶意软件。据悉,它会锁住计算机屏幕,并在上面显示几行消息,声称 “ 该 PC 因违反使用条款而被禁用 ”,而且还大言不惭地称此举是为 “ 保护 Windows 服务及其成员 ”、还假借微软之口称其 “ 不会提供有关特定 PC 被禁用的细节 ”。但实际上,它们只是借此向受害者勒索一笔“解锁”费用,否则扬言删除所有信息、并让这台计算机无法再工作。 为了锁住系统,该恶意软件会忽悠受害者联系所谓的来自微软的技术人员,以购买一个解锁屏幕的代码、以及一份新的 Windows 许可证。万幸的是,ID Ransomware 制作人 Michael Gillespie 发现了一串能够免费解锁受感染计算机的神奇数字(只需输入 “ 6666666666666666 ”)和一组代码(XP8BF-F8HPF-PY6BX-K24PJ-RAA00)。 不过,没想到的是,过了一年时间,同类型的软件竟又卷土重来。只是这次,它表现得更加赤裸裸,直接在锁屏界面向受害者索取 50 比特币的系统解锁费用。在该恶意软件 ‘ 锁屏界面 ’ 的 ‘ 错误信息 ’ 一栏中,勒索者给出了两种选择 —— 要么花钱消灾,要么删你文件、毁你系统。当然,这是一种老式而典型的恐吓策略。如果你仔细检查拼写和语法错误,就会发现这很可能是一个骗局。然而,为了避免沾染这种恶意软件,大家最好不要轻易打开可疑的文件、或者点击奇怪的链接。此外你还需要部署一款及时更新的全面型反恶意软件应用程序。 稿源:cnBeta,封面源自网络;

美国政府网站托管 JavaScript 下载器分发 Cerber 勒索软件

据外媒 9 月 3 日报道,网络安全公司 NewSky Security 研究人员 Ankit Anubhav 于近期发现,一个用于传播勒索软件 Cerber 的恶意 JavaScript 下载器被托管在了美国政府网站上。目前尚不清楚有多少访问者系统因此受到感染。 研究人员 Anubhav 经调查表示,受害者可能会在此次攻击活动中接收到一个指向 .zip 文件的页面链接。一旦受害者点击链接将会触发JavaScript 提取内容并启动 PowerShell 从攻击者领域下载恶意软件。实际上,受害者此时将会下载一份与勒索软件 Cerber 可执行文件有关的 gif 文档,其主要包含一款 NSIS 安装程序用于提取 Cerber JSON 文件配置。 知情人士透露,该恶意程序代码于 8 月 30 日被研究人员发现,随后数小时内被黑客删除。目前虽然尚不清楚攻击者如何将该代码安装至政府网站,也不了解有多少受害者已被感染,研究人员表示还将继续展开调查。不过,Anubhav 认为,该网站遭到入侵的另一种情况可能是政府官员接收的电子邮件中附带恶意软件,以感染整个网站内部系统。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型勒索软件 Defray 瞄准教育医疗机构展开针对性网络钓鱼攻击

HackerNews.cc 8 月 27 日消息,网络安全公司 Proofpoint 研究人员近期在受攻击的 C&C 服务器中发现一款新型勒索软件 Defray,允许攻击者通过附带 Microsoft Word 文档的电子邮件发送至教育、医疗机构展开针对性网络钓鱼攻击。 据悉,研究人员于 8 月 15 日及 8 月 22 日分别观察到一起专门针对特定组织展开的网络攻击活动: 8 月 15 日,攻击者瞄准制造业与技术领域以 “ 订单/报价 ” 为主题发送包含嵌入式可执行文件( OLE 对象包装程序)的 Microsoft Word 文档进行恶意软件肆意传播。此外,该附件还引用英国水族馆标志诱导用户点击下载。 8 月 22 日,攻击者主要针对医疗与教育机构展开攻击活动,攻击操作与此前类似,即通过发送包含嵌入式可执行文件( OLE 对象包装程序)的 Microsoft Word 文档感染目标系统。另外,攻击者除了伪造医院信息管理与技术总监的身份发送钓鱼邮件外,还在邮件右上方设有英国医院标志作为诱饵,诱导用户点击查看。 研究人员表示,勒索软件 Defray 幕后黑手虽然要求受害用户支付 5000 美元赎金,但该票据包含多个电子邮件地址,或是为提供给受害用户在进行谈判或提问时使用。然而,值得注意的是,Defray 勒索软件主要针对硬编码的文件类型列表,不会更改文件扩展名。在加密完成后,Defray 勒索软件可能会通过禁用恢复功能或删除快照来对系统造成其他破坏。在 Windows 7 上,它则使用 GUI 来监视和关闭正在运行的程序,例如任务管理器和浏览器等。 目前,仅有两起针对性攻击活动已被证实,研究人员推测勒索软件可能作为一种恶意服务被网络犯罪分子私下使用,尽管它可能继续用于有限的针对性攻击,但短时间内也不会被大规模传播。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

加密货币勒索软件 Miner 可利用 WMI 与 “ 永恒之蓝 ” 肆意传播

据外媒 8 月 21 日报道,趋势科技( Trend Micro )研究人员近期发现加密货币勒索软件 Miner,允许黑客利用 Windows 管理工具 WMI 与安全漏洞 “ 永恒之蓝(EternalBlue)” 进行肆意传播。据悉,该勒索软件首次于今年 7 月发现,受其影响最严重的国家包括日本(43.05%)、印度尼西亚(21.36%)、台湾(13.67%)、泰国(10.07%)等。 图1. 2017 年 7 月至 8 月感染勒索软件 Miner 分布情况 研究人员表示,该勒索软件使用 WMI 作为无文件持久性机制,即由 WMI Standard Event Consumer 脚本应用程序(scrcons.exe)执行。此外,Miner 还使用 EternalBlue 漏洞感染系统网络。研究显示,无文件 WMI 脚本与 EternalBlue 的结合可以使 Miner 隐蔽持久的感染目标设备。 Miner 的感染流程分为多个阶段。首先,Miner 感染目标系统后会通过 EternalBlue 漏洞删除并运行系统后门(BKDR_FORSHARE.A);其次,系统在安装各种 WMI 脚本后,会将其连接到 C&C 服务器并获取指令;最终,目标系统将下载运行该恶意软件与其相关组件进行肆意传播。 图2. 感染流程 目前,安全专家提醒各机构 IT 管理员限制或禁用 WMI 管理工具、仅授予对需要访问 WMI 的特定管理员以降低 WMI 攻击风险。此外,管理员也可选择禁用 SMBv1 以减少设备进一步受到危害。 附:趋势科技原文报告《 Cryptocurrency Miner Uses WMI and EternalBlue To Spread Filelessly 》 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。