搜索:勒索软件

禁用 Windows 勒索软件卷土重来,黑客索要 50 比特币解锁费用

2016 年的时候,安全研究人员就已披露一款显示 “ 您的计算机已被禁用 ” 的恶意软件。据悉,它会锁住计算机屏幕,并在上面显示几行消息,声称 “ 该 PC 因违反使用条款而被禁用 ”,而且还大言不惭地称此举是为 “ 保护 Windows 服务及其成员 ”、还假借微软之口称其 “ 不会提供有关特定 PC 被禁用的细节 ”。但实际上,它们只是借此向受害者勒索一笔“解锁”费用,否则扬言删除所有信息、并让这台计算机无法再工作。 为了锁住系统,该恶意软件会忽悠受害者联系所谓的来自微软的技术人员,以购买一个解锁屏幕的代码、以及一份新的 Windows 许可证。万幸的是,ID Ransomware 制作人 Michael Gillespie 发现了一串能够免费解锁受感染计算机的神奇数字(只需输入 “ 6666666666666666 ”)和一组代码(XP8BF-F8HPF-PY6BX-K24PJ-RAA00)。 不过,没想到的是,过了一年时间,同类型的软件竟又卷土重来。只是这次,它表现得更加赤裸裸,直接在锁屏界面向受害者索取 50 比特币的系统解锁费用。在该恶意软件 ‘ 锁屏界面 ’ 的 ‘ 错误信息 ’ 一栏中,勒索者给出了两种选择 —— 要么花钱消灾,要么删你文件、毁你系统。当然,这是一种老式而典型的恐吓策略。如果你仔细检查拼写和语法错误,就会发现这很可能是一个骗局。然而,为了避免沾染这种恶意软件,大家最好不要轻易打开可疑的文件、或者点击奇怪的链接。此外你还需要部署一款及时更新的全面型反恶意软件应用程序。 稿源:cnBeta,封面源自网络;

美国政府网站托管 JavaScript 下载器分发 Cerber 勒索软件

据外媒 9 月 3 日报道,网络安全公司 NewSky Security 研究人员 Ankit Anubhav 于近期发现,一个用于传播勒索软件 Cerber 的恶意 JavaScript 下载器被托管在了美国政府网站上。目前尚不清楚有多少访问者系统因此受到感染。 研究人员 Anubhav 经调查表示,受害者可能会在此次攻击活动中接收到一个指向 .zip 文件的页面链接。一旦受害者点击链接将会触发JavaScript 提取内容并启动 PowerShell 从攻击者领域下载恶意软件。实际上,受害者此时将会下载一份与勒索软件 Cerber 可执行文件有关的 gif 文档,其主要包含一款 NSIS 安装程序用于提取 Cerber JSON 文件配置。 知情人士透露,该恶意程序代码于 8 月 30 日被研究人员发现,随后数小时内被黑客删除。目前虽然尚不清楚攻击者如何将该代码安装至政府网站,也不了解有多少受害者已被感染,研究人员表示还将继续展开调查。不过,Anubhav 认为,该网站遭到入侵的另一种情况可能是政府官员接收的电子邮件中附带恶意软件,以感染整个网站内部系统。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型勒索软件 Defray 瞄准教育医疗机构展开针对性网络钓鱼攻击

HackerNews.cc 8 月 27 日消息,网络安全公司 Proofpoint 研究人员近期在受攻击的 C&C 服务器中发现一款新型勒索软件 Defray,允许攻击者通过附带 Microsoft Word 文档的电子邮件发送至教育、医疗机构展开针对性网络钓鱼攻击。 据悉,研究人员于 8 月 15 日及 8 月 22 日分别观察到一起专门针对特定组织展开的网络攻击活动: 8 月 15 日,攻击者瞄准制造业与技术领域以 “ 订单/报价 ” 为主题发送包含嵌入式可执行文件( OLE 对象包装程序)的 Microsoft Word 文档进行恶意软件肆意传播。此外,该附件还引用英国水族馆标志诱导用户点击下载。 8 月 22 日,攻击者主要针对医疗与教育机构展开攻击活动,攻击操作与此前类似,即通过发送包含嵌入式可执行文件( OLE 对象包装程序)的 Microsoft Word 文档感染目标系统。另外,攻击者除了伪造医院信息管理与技术总监的身份发送钓鱼邮件外,还在邮件右上方设有英国医院标志作为诱饵,诱导用户点击查看。 研究人员表示,勒索软件 Defray 幕后黑手虽然要求受害用户支付 5000 美元赎金,但该票据包含多个电子邮件地址,或是为提供给受害用户在进行谈判或提问时使用。然而,值得注意的是,Defray 勒索软件主要针对硬编码的文件类型列表,不会更改文件扩展名。在加密完成后,Defray 勒索软件可能会通过禁用恢复功能或删除快照来对系统造成其他破坏。在 Windows 7 上,它则使用 GUI 来监视和关闭正在运行的程序,例如任务管理器和浏览器等。 目前,仅有两起针对性攻击活动已被证实,研究人员推测勒索软件可能作为一种恶意服务被网络犯罪分子私下使用,尽管它可能继续用于有限的针对性攻击,但短时间内也不会被大规模传播。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

加密货币勒索软件 Miner 可利用 WMI 与 “ 永恒之蓝 ” 肆意传播

据外媒 8 月 21 日报道,趋势科技( Trend Micro )研究人员近期发现加密货币勒索软件 Miner,允许黑客利用 Windows 管理工具 WMI 与安全漏洞 “ 永恒之蓝(EternalBlue)” 进行肆意传播。据悉,该勒索软件首次于今年 7 月发现,受其影响最严重的国家包括日本(43.05%)、印度尼西亚(21.36%)、台湾(13.67%)、泰国(10.07%)等。 图1. 2017 年 7 月至 8 月感染勒索软件 Miner 分布情况 研究人员表示,该勒索软件使用 WMI 作为无文件持久性机制,即由 WMI Standard Event Consumer 脚本应用程序(scrcons.exe)执行。此外,Miner 还使用 EternalBlue 漏洞感染系统网络。研究显示,无文件 WMI 脚本与 EternalBlue 的结合可以使 Miner 隐蔽持久的感染目标设备。 Miner 的感染流程分为多个阶段。首先,Miner 感染目标系统后会通过 EternalBlue 漏洞删除并运行系统后门(BKDR_FORSHARE.A);其次,系统在安装各种 WMI 脚本后,会将其连接到 C&C 服务器并获取指令;最终,目标系统将下载运行该恶意软件与其相关组件进行肆意传播。 图2. 感染流程 目前,安全专家提醒各机构 IT 管理员限制或禁用 WMI 管理工具、仅授予对需要访问 WMI 的特定管理员以降低 WMI 攻击风险。此外,管理员也可选择禁用 SMBv1 以减少设备进一步受到危害。 附:趋势科技原文报告《 Cryptocurrency Miner Uses WMI and EternalBlue To Spread Filelessly 》 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

乌克兰央行发布警告:国有与私人银行再度遭受新型勒索软件钓鱼攻击

据外媒报道,乌克兰中央银行于 8 月 18 日发表声明,警示乌克兰国有与私人银行再度遭受新勒索软件攻击,其类型与 6 月袭击全球各企业网络系统的勒索软件 NotPetya 相似。 6 月下旬,NotPetya 勒索软件网络攻击首次袭击乌克兰与俄罗斯公司,旨在加密电脑私人数据并要求受害用户缴纳 300 美元赎金。调查显示,此次攻击活动通过一款广泛使用的会计软件 MeDoc 感染恶意代码并于全球范围内肆意传播,而 TNT 快递、美国默克等知名企业在网络系统运营中普遍使用该款软件。 据悉,安全专家于 8 月 11 日发现新型勒索软件攻击后当即通过邮件迅速向各银行机构通报其恶意代码、特性指标,以及预防措施。经安全专家深入调查后发现,新型勒索软件通过网络钓鱼邮件附带的恶意办公文档进行肆意传播。目前,乌克兰央行正与国家 CERT 及地方当局密切合作,旨在提高其关键基础设施的网络系统防御能力(特别是乌克兰各大银行)。 安全专家表示 ,此勒索软件可能再次导致乌克兰各企业的网络系统面临严重危机,因该恶意代码具备规避杀毒软件功能。另外,由于 8 月 24 日是乌克兰庆祝国家脱离苏联独立的第 26 周年。因此,当局推测黑客极有可能在活动当天针对乌克兰基础设施展开大规模网络攻击。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

韩国 LG 服务中心疑遭 WannaCry 勒索软件攻击

据外媒报道,韩国 LG 电子服务中心于 8 月 14 日疑遭 WannaCry 勒索软件攻击。当局透露,虽然黑客在此次攻击活动期间使用的恶意代码与 WannaCry 极其相似,但安全专家还需更多调查确定真实原因。 5 月中旬,勒索软件 WannaCry 影响全球 150 多个国家/地区逾 30 万台电脑,其中英国国家卫生服务机构 ( NHS )、日本本田汽车集团、美国医疗机构等知名企业普遍遭受影响。本月早期,WannaCry 黑客清理比特币赎金帐户,以便转移资金至匿名加密货币 Monero 以隐藏踪迹。 LG 当即向韩国互联网安全局(KISA)报告后发表声明:“ 此攻击活动由勒索软件引发,我们在检测后当即关闭服务中心网络。目前,虽然尚不清楚攻击过程如何发生,以及所使用的勒索软件是否包含原 WannaCry 代码或其不同变体,但当前并未发生数据加密或索要赎金等实质危害。安全专家表示,尽管微软已推出补丁解决中小企业安全系统漏洞事件,但并非所有机构均能立即更新系统,这意味着仍有多数企业极易遭受此类攻击。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 Cerber 新变种可加密 Canary 文件、规避杀毒软件检测

据外媒 8 月 16 日报道,安全公司 Cybereason 研究人员 Uri Sternfield 近期发现勒索软件 Cerber 出现新型变种,可加密 Canary 文件、规避杀毒软件检测。        Canary 文件是一种安全防御手段,用于早期检测勒索软件威胁。研究人员表示,该文件位于系统特定位置,其附带的杀毒软件可监控任何恶意程序更改文件。如果发现恶意程序存在加密意图,那么它将当即提供必要防御方案。 调查显示,Cerber 新功能允许搜索包括 .png、.bmp、.tiff、.jpg 等在内的所有图像文件并检查是否有效。一旦发现图像格式正确,Cerber 将会对其进行加密并规避杀毒软件检测;如果图像格式不正确,Cerber 将跳过文件所在的整个目录。 研究员 Sternfield 表示,虽然该功能允许 Cerber 规避杀毒软件检测,但同时也会削弱自身价值。对此,研究人员建议用户可通过创建无效图像文件误导 Cerber 加密任何非重要目录。此外,Cybereason 还研发出一款免费应用程序 RansomFree,可保护用户免受恶意软件加密并自动在有价值的文件夹里生成 Canary 文件,然而,该做法极易创建非正常 Canary 文件。例如,将图像文件重命名为 .jpeg。因此,此操作并非永久防御措施,用户需要加强自身系统防御体系,以减少恶意软件攻击。 稿源:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

恶意病毒 IsraBye 伪装勒索软件损毁文件、宣扬反以色列思想

据外媒 8 月 13 日报道,安全公司 Avast 研究人员 Jakub Kroustek 近期发现一款恶意病毒 IsraBye 通过伪装成勒索软件肆意传播并永久损毁系统文件,同时可将用户桌面内容替换成反以色列画面。 以色列政府针对耶路撒冷的阿克萨清真寺采取新安全措施,引发阿克萨危机事件。然而,巴勒斯坦认为这是以色列对伊斯兰教的控制与扩张。调查显示,由于 IsraBye 在阿克萨事件发生不久后被发现,因此研究人员推测该恶意软件的出现并非偶然 。 恶意病毒 IsraBye 由 5 个不同可执行文件组成,其第一个可执行文件名为 IsraBye.exe 。当程序启动时,IsraBye.exe 会自动将以下反以色列字符串消息替换到所有连接驱动器上的文件中: Fuck-israel, [username] You Will never Recover your Files Until Israel disepeare 事实上 IsraBye 并不会对文件进行加密,而是直接毁坏文件本身内容。一旦完成操作,它将从 IsraBye.exe 可执行文件中提取并启动 4 个名为 Cry.exe、Cur.exe、Lock.exe 与 Index.exe 的文件。其中 Cry.exe 可执行文件将以反以色列的图像取代目标设备的桌面墙纸。 另外,Lock.exe 可执行文件运行以下三个功能:首先,它将寻找 procexp64、ProcessHacker、taskmgr、procexp、xns5 进程并在被检测时终止它们。其次,如果它尚未运行,将启动 Index.exe。最后,它将主 Israbye.exe 文件复制到其他驱动器的 root 目录 ClickMe.exe 中,以便传播恶意软件。 研究人员 Ido Naor 注意到,在 %Temp% 文件夹中创建一个名为 ClickMe.exe 的文件,可能会使 IsraBye 在第一次启动时处于崩溃状态。最后,Index.exe 可执行文件将显示锁屏,并提取 wav 文件并进行播放。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

卡巴斯基安全报告:勒索软件 Mamba 卷土重来,掀起新一轮攻击浪潮

据外媒 8 月 9 日报道,卡巴斯基实验室(Kaspersky Lab)研究人员近期发现勒索软件 Mamba 卷土重来,瞄准巴西与沙特阿拉伯各组织机构展开新一轮攻击活动。 Mamba 是一款典型的加密硬盘驱动器的恶意软件,首次于 2016 年 9 月被 Morphus Labs 安全专家在巴西能源公司的机器设备上发现。此外,黑客曾于同年 11 月利用该勒索软件针对旧金山市政交通局展开大规模攻击活动。 调查显示,Mamba 仍使用合法的磁盘加密开源工具 DiskCryptor 锁定目标计算机硬盘,对其进行数据加密处理。一旦感染 Windows 设备,它将强制系统重新启动,然后自定义修改主引导记录( MBR )并使用 DiskCryptor 工具加密磁盘分区。如果整个加密过程顺利完成,计算机系统将再次重新启动。此外,Mamba 感染目标设备后将出现一份不寻常的 “ 赎金票据 (如下图)”,其受害者并不需要缴纳任何费用,只被要求提供两个电子邮件地址与一个 ID 号码即可恢复系统页面。 遗憾的是,研究人员暂时无法解密使用 DiskCryptor 实用程序加密的数据,因为该程序利用了强大的加密算法。目前,卡巴斯基研究人员提醒用户远离恶意网站、安全上网,以降低勒索软件锁定硬盘数据风险。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 Cerber 新变种通过窃取比特币钱包获利

据外媒 8 月 3 日报道,趋势科技( Trend Micro )研究人员近期发现勒索软件 Cerber 历经六个不同版本后再现新变种,旨在窃取比特币钱包进行获利。 研究人员经调查分析后表示,勒索软件 Cerber 新变种与 5 月检测的版本相比结构和传播方式基本相同,但该变种却存在一处细微差异:瞄准比特币钱包进行盗窃活动。据悉,Cerber 新变种通过窃取比特币钱包 Bitcoin Core、Electrum、Multibit 应用程序的相关文件完成这一操作。 此外,Cerber 新变种还尝试从 IE、Google Chrome 与 Mozilla Firefox 浏览器中窃取用户已保存的登录凭证,而这些凭证与所有比特币钱包信息都将通过命令与控制服务器发送给攻击者。值得注意的是,当 Cerber 新变种将相关文件发送至服务器时,它还会自动删除原有数据,以增加受害者损失。目前,研究人员提醒用户不要随意打开未经验证的电子邮件附件以降低感染风险。 稿源:Trend Micro, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接