搜索:勒索软件

联邦快递公司证实:旗下荷兰运输公司 TNT Express 尚未自 NotPetya 勒索软件攻击中恢复

据外媒 7 月 18 日报道,联邦快递公司( FedEx )于近期向美国证券交易委员会( SEC )提交的一份 2017 年度报告中指出,公司自上月遭受 NotPetya 勒索软件攻击后,尚未重新获得总部位于荷兰运输公司 TNT Express 的全面运营控制权限。 联邦快递于 2016 年 5 月以 48 亿美元收购荷兰运输公司 TNT Express。今年 6 月下旬,NotPetya 勒索软件网络攻击首次袭击乌克兰与俄罗斯公司,旨在加密电脑私人数据并要求受害用户缴纳 300 美元赎金。调查显示,此次攻击活动通过一款广泛使用的会计软件 MeDoc 感染恶意代码在全球范围内肆意传播,而 TNT 快递在乌克兰运营中也使用了该款软件。 联邦快递表示,勒索软件能够渗透计算机系统并加密敏感数据。目前,公司无法估计 TNT 快递服务何时完全恢复,但他们已开启网络应急计划,以减少客户损失、恢复关键服务系统。知情人士透露,NotPetya 网络攻击范围最终扩大至 60 多个国家,导致联邦快递面临重大经济损失,因为他们的业务并未制定网络保险政策。不过,该公司坚称,并未泄露任何客户数据。 美国证券交易委员会文件显示,虽然所有 TNT 仓库、设施中心均在运营,但客户仍面临广泛服务与发票延误问题。此外,公司负责人表示,人工操作成为目前保持日常业务正常运转的主要流程。美联社( AP )获悉,FedEx 股票在 7 月 17 日开盘后下跌 3.4%,但交易结束后恢复一半损失。 原作者:Jason Murdock,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

旧金山最大公共广播电台员工与勒索软件抗争了一个月

据《 旧金山纪事报 》报道,旧金山最大公共广播电台 KQED 本周二透露,在过去一个月来旗下员工一直与勒索软件抗争,他们刚刚从大规模的恶意软件攻击中恢复过来。此次恶意软件攻击活动始于 6 月 15 日,但一个多月后,KQED 的许多关键系统仍然离线。 一位资深编辑表示:“我们就像回到了二十年前”。攻击的最初损害是严重的,KQED 的硬盘驱动器被锁定,他们预先录制的片段被删,电台内部的电子邮件服务器也被关闭。虽然 FM 广播持续不间断,但该电台的在线广播已经离线超过 12 小时。KQED 办公室 Wi-Fi 也持续离线几天。当系统恢复时,该电台员工被迫打印并手动分发稿件。 据悉,黑客要求 KQED 为每个加密文件支付数千美元。因此,文件解密总费用将达数千万美元,远远超过了 KQED 所能承受的范围。该电台员工表示,他们没有支付赎金,办公室的技术支持人员已经在处理加密系统。这起攻击事件似乎与 Petya 勒索软件无关。 稿源:cnBeta,封面源自网络

勒索软件 NemucodAES 与 Kovter 新变种通过垃圾邮件感染 Windows 设备

据外媒 7 月 14 日报道,网络安全协会 SANS Institute 研究人员近期发现攻击者利用垃圾邮件通过 .zip 附带的恶意 JavaScript 文件感染 Windows 设备。一旦受害者点击邮件,系统将自动下载并安装勒索软件 NemucodAES 与 Kovter。 NemucodAES 是 Nemucod 木马下载器的新变种,早于 2016 年就已用其传播勒索软件 Locky 与 TeslaCrypt。Kovter 则是一款感染后难以检测与移除的恶意软件,攻击者不仅可用于实施欺诈,还可窃取用户个人信息、下载其他恶意软件或访问目标系统设备。 调查显示,垃圾邮件将恶意 .zip 存档伪装成联合包裹服务通知,以诱导受害者点击查看。目标系统在感染勒索软件 NemucodAES 后解压出恶意 JavaScript 文件并发出 HTTP 请求,从而通过 RSA-2048 与 AES-128 算法加密系统文件。一旦受害者系统文件被攻击者加密,将被要求缴纳约 1,500 美元赎金。不过,由于恶意 JavaScript 文件极易检测识别,因此用户系统的安全软件将会自动筛选过滤,以防系统下载勒索软件。 Kovter 感染目标系统后将会加密端口 80、443 与 8080 上的各种 IP 流量。至于 Kovter 攻击活动,似乎仅限于检查并输出命令与控制流量,与其他恶意软件相关的典型欺诈流量相比截然不同。目前,研究人员尚不清楚攻击者的真正意图。 原作者:Tom Spring,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 Petya 攻击后,北约加强乌克兰网络防御支持

据外媒报道,继乌克兰上月遭受勒索软件 Petya 肆意袭击后,北约加强了对乌克兰网络防御的支持。本周一(7月 10 日),乌克兰总统波罗申科在与北约联合主办的会议上发布声明,指出乌克兰将通过与北约的密切合作深化国防与安全领域的各项改革,加强国家网络安全防御体系。 “ 关键基础设施 ” 是任何一个国家在经济上最为敏感的要素之一。2017 年 6 月,乌克兰遭受勒索软件 Petya 攻击后,导致交通、银行与电力基础设施在补救与恢复工作中造成无法估量的成本代价。乌克兰关键基础设施的维护相比其他国家较为完善,因此如果同样的攻击活动转移目标,后果将不堪设想。 北约秘书长 Jens Stoltenberg 表示,北约将继续帮助乌克兰加快国防与安全领域的改革,并协助乌克兰调查 Petya 攻击活动的幕后黑手。2014 年 12 月,北约就已成立网络防御信托基金会,旨在提供必要支持、发展防御型 CSIRT 技术能力。 鉴于近期网络攻击事件的传闻,Petya 活动被认为与俄罗斯资助的黑客组织有关。因此,俄罗斯与乌克兰之间持续紧张的关系以及俄罗斯针对北约扩张的公然态度,都不可能使该地区的局势平静下来。专家表示,随着网络攻击的复杂化和对乌克兰边界以外的全球影响的明显无视,若其他国家坐视不理,乌克兰试图保护自己的想法也将是不切实际的。 原作者:Steve Biswanger,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Petya 勒索软件肆意传播彻底暴露了来自“软件更新”的威胁

在计算机安全建议列表中,用户系统 “ 软件更新 ” 的重要性仅次于 “ 不使用 ‘ password ’ 作密码 ”。不久前,Petya 事件致使全球成千上万的网络系统瘫痪,甚至威胁到银行、企业、交通运输与电力公司基础设施。事实证明,软件自动更新本身就是这一病原载体。网络安全分析师警示,Petya 并非黑客通过劫持软件自身免疫系统传播病毒的唯一或最后一起事件。 安全公司 ESET 与思科 Talos 研究人员上周发表了一份关于黑客入侵乌克兰小型软件公司 MeDoc 网络系统的详细分析报告,指出 80% 的乌克兰企业都在使用该公司出售的一款财务软件。据悉,黑客早在今年 4 月就已开始向软件更新注入恶意代码,传播 MeDoc 软件后门版本。6 月下旬,黑客向软件更新注入 Petya 并从初始 MeDoc 网络入口肆意传播,中断制药巨头 Merck、航运公司 Maersk、乌克兰电力公司 Kyivenergo 与 Ukrenergo 等网络系统。 后门乘法 令人感到不安的不仅包括以数字瘟疫为表征的持续威胁,还包括那些在不自知情况下传播恶意软件的更新。迪拜 Comae Technologies 创始人 Matt Suiche 表示:“ 我想知道是否有类似软件公司遭受攻击,它们极有可能是类似攻击事件的根源。” ESET 还指出,除了 MeDoc 软件,黑客还采用其他手段感染大量乌克兰计算机。调查显示,他们先攻击一家不知名的软件公司并利用其 VPN 连接将勒索软件植入少数目标,随后再将 MeDoc 作为恶意软件传递工具。 约翰霍普金斯大学(John Hopkins University)教授马修·格林(Matthew Green)表示,黑客将软件更新转化为系统漏洞的主要原因可能是 “ 白名单 ” 作为安全措施的现象日益频繁,严格限制了计算机上的安装程序,促使黑客从自行安装恶意软件转为对白名单程序进行劫持。随着企业薄弱环节遭受勒索软件攻击而中止服务,供应商不幸成为后续攻击目标。然而,现有防御措施却极为有限。 目前,开发人员为防止软件更新遭受破坏普遍采取的一项基本安全措施是代码签名,要求使用不可伪造的加密密钥对添加到应用程序的任何新代码进行签名。而 MeDoc 公司系统并未实施代码签名,这将允许任何可拦截软件更新的黑客充当 “ 中间人 ” 并将其改为后门。但即便实施签名,也不意味万无一失,因为有些黑客已深入公司网络,即有机会窃取密钥并针对恶意更新进行签名,或直接将后门添加至可执行程序源代码。 虚假疫苗 据悉,研究人员应阻止用户更新、修补软件或禁用自动更新软件,因为像 Google 与微软这样的大公司面临产品多样化的趋势。此外,通过劫持更新方式传播恶意软件的另一潜在威胁可能就是各企业的过度反应。前 ACLU 技术专家 Chris Soghoian 表示:“ 让消费者质疑安全更新的后果可能更为严重。” 代码签名无疑会使软件更新复杂化。为了破坏代码,黑客需要对目标公司具有更深层的访问权限。这意味着从 Google Play Store 或 Apple App Store 下载或更新的签名软件相对更加安全,但这并不等于 App Store 不存在安全隐患。在高度敏感的网络环境中,即使是 “ 可信 ” 应用程序也不应完全信任。即系统管理员需要对网络系统进行详细划分,限制被列入白名单的软件权限并对文件进行及时备份,积极应对任何勒索软件爆发事件。 原作者:Andy Greenberg,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

卡巴斯基证实:Petya 勒索软件原作者在线免费发布解密密钥

据外媒 7 月 7 日报道,早期版本的 Petya 勒索软件开发人员 Janus 在线免费发布了解密密钥,旨在关闭 Petya 项目、恢复受害者已被感染的加密文件。 调查显示,Janus 并未参与针对乌克兰的最新攻击,此次勒索软件系由未知黑客盗版并加以传播利用的。安全公司 MalwareByte 发布声明,指出由于勒索软件 Petya 肆意传播,Janus 决定关闭 Petya 项目,并在线发布该勒索软件解密密钥,允许以前遭受 Petya 攻击的所有受害者恢复文件。 卡巴斯基(KasperskyLab)研究人员证实,Janus 发布的解密密钥可恢复被早期版本的 Petya 勒索软件 与 GoldenEye 勒索软件感染的加密文件。GoldenEye 是 Janus 于 2016 年创建的一款基于 Petya 代码的勒索软件,由某未知名黑客于 2017 年盗取编译应用程序并进行修改与传播。 研究人员推测,早期版本的 Petya 源代码从未在线公开泄漏过,若黑客能够重新进行编译,或间接证明 Janus 以某种方式与当前爆发的攻击活动相关(这是他的工作或他已将代码出售给另一名攻击者)。目前专家证实,黑客在大规模的 NotPetya 攻击中使用了基于 GoldenEye 代码的被盗版本勒索赎金。但不同于以前的版本,NotPetya 变体未实现解密文件功能。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

安全措施薄弱:散播 Petya 勒索软件的乌克兰公司面临刑事指控

上周肆虐全球的勒索软件,其实是从一个非常简单的攻击开始的。独立安全分析师 Jonathan Nichols 在乌克兰软件公司 MeDoc 的更新服务器上发现了一个脆弱到惊人的漏洞,使之成为了本轮攻击的中心。研究人员认为,许多初期感染,都是 MeDoc 上的一个“有毒更新”所引发的,即恶意软件将自己伪装成了一个软件更新。 不过根据 Nichols 的研究,由于 MeDoc 的安全措施太过脆弱,想要发出带毒更新的操作变得相当简单。 在扫描了该公司的基础设施之后,Nichols 发现 MeDoc 的中央更新服务运行在老旧的 FTP 软件之上,而当前许多公开提供的软件都可以轻松将它攻破。 这属于一个严重的安全问题,几乎可以让任何人通过该系统传播带毒内容。目前尚不清楚 Petya 攻击者利用了具体哪个漏洞,但这种过时软件的存在,已暗示有多种进入其系统的方法。 Nichols 表示 ——“从可行性上来说,任何人都可以做到,攻击者会对此感到有十足的信心”—— 即便他自己因为害怕犯罪而没有试图利用该漏洞。 由于忽视的这方面的漏洞,MeDoc 已经收到了来自乌克兰当局的刑事指控。乌克兰网警负责人 Serhiy Demydiuk 在接受美联社采访时表示: 该公司早已因为安全措施松懈而遭到多次警告,其知晓这一点,且被多家反病毒企业多次告知…… 对于这样的疏忽,涉及本案的人将面临刑事诉讼。 [ 编译自:TheVerge ] 稿源:cnBeta,封面源自网络

Petya 勒索软件原作者出现,希望帮助 NotPetya 受害者恢复文件

据 外媒 28 日消息,疑似 Petya 勒索软件原作者现身 Twitter,表示愿意帮助 NotPetya 勒索软件受害者恢复文件。 从 Janus 在 Twitter 信息上看,他可能已经掌握一个主解密秘钥,或适用于新版的 NotPetya 感染文件,能够帮助受害者解密被锁住的文档。 Janus 曾在去年 3月以 勒索软件即服务(RaaS)的方式将 Petya 出售给其他黑客,这意味着任何人都能通过点击按钮启动 Petya 勒索软件攻击,加密任何人的系统并索要赎金。消息显示, Petya 的源代码从未被泄露过,目前一些安全研究员仍在努力通过逆向寻找可能的解决方案。 虽然目前 Janus 表示正在检查新勒索软件 NotPetya 的代码,但也有专家表示即使他的主密钥成功地解密了受害者硬盘驱动器的主文件表(MFT),在研究人员找到修复 MBR 的方法之前,它也不会有太大的帮助,因为系统中被替换的 MBR 文件早已损坏。 稿源:据 thehackernews 报道翻译整理,译者:FOX  

微软:Petya 勒索软件只影响了约 2 万台电脑

本周早些时候,Petya 勒索软件攻击几乎让每个人都惊奇,全球许多 Windows  电脑瘫痪了,其中大部分是运行 Windows 7 的操作系统。与之前的 WannaCry 勒索软件相比,Petya 勒索软件使用了相同的 SMB 漏洞,并且更复杂一些,但新的证据表明,疫情没有我们想象的那么糟糕。 微软昨天在其Windows安全博客上解释说:Petya 勒索软件是高度复杂的恶意软件,但是我们的遥测结果显示,Petya 勒索软件的受害率远远低于我们的预期,受害电脑数量不到 2 万台电脑。据该公司称,这次袭击事件在乌克兰开始,并且传播到其他国家的电脑上,而且,微软称,受感染的大都是 Windows 7 电脑。微软以前在今年早些时候为这种类型的漏洞发布了一系列补丁。 微软的博客文章还揭示 Petya 勒索软件有趣细节,其中包括 Petya 蠕虫行为的影响受到其设计的限制:首先,Petya 可以传播到其他电脑的执行时间有限。 作为其执行命令的一部分,它仅限与在电脑重新启动系统之前执行传播,此外,微软发现这种蠕虫代码不会在成功重新引导的受感染电脑上再次运行。最后,Petya 会对操作系统的引导代码造成一些损害,但是,在某些具体情况下,仍然有一些启动恢复选项。 总的来说,微软仍然担心这类型的勒索攻击复杂性越来越高,该公司正在敦促消费者和企业将他们的 PC 更新到更安全的 Windows 10。Windows 10 有防御措施可以减轻像 Petya 这样的勒索攻击。本周早些时候,该公司还宣布,下一代安全功能将于今年晚些时候在秋季创作者更新中推出。 稿源:cnBeta,封面源自网络

Shifr RaaS 仅需三步即可创建勒索软件

勒索软件作为一种有利可图的商业模式一直被网络犯罪分子广泛利用。鉴于此,新型勒索软件即服务(RaaS)在网络生态系统中取得长足发展也就不足为奇了。恰好,本周末安全专家发现一款名为 Shifr 的新型 RaaS,仅需三步即可创建一款简单的勒索软件。 据悉,该网站托管在 Dark Web 上,堪称最易使用的 RaaS 网站,消费者可以用比特币支付赎金。Shifr 采用 Go 语言编写,命名源自加密字段扩展名,可能与 Trojan.Encoder.6491(首款用 Go 语言编写的勒索软件)有关。 对于 Shifr 服务而言,勒索软件的创建过程十分简单,犯罪分子仅需提供恶意软件要求的赎金、接收受害者支付赎金的比特币地址并解决 CAPTCHA 问题。 其他 RaaS 门户网站通常需要以收取入门费或验证客户身份确保只有精通一定骗术的网络犯罪分子才能获得勒索软件样本,而此项服务仅需简单几步即可提供完整的武器化样本。有别与其他 RaaS 服务之处在于,Shifr 供应商仅收取 10% 的维护费用,这与 Cerber RaaS 收取的六成份额相比不足挂齿。 目前,我们仍不能排除 Shifr RaaS 是骗局的可能,运营商也不会向经销商支付削减费用。唯一能够确定的是勒索软件不仅不复杂还缺少许多必要功能,或为正在进行项目。此外,研究人员还注意到犯罪分子采用相同的服务器托管支付门户网站与 RaaS 服务,这并不是一种专业的做法。 综上所述,不难预测各类 RaaS 服务将在未来一个月内得到迅速传播。 原作者:Pierluigi Paganini,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。