搜索:勒索软件

勒索软件 EternalRocks 因媒体过度曝光被迫中止业务?

据外媒 26 日报道,Croatian 安全研究员曝光 EternalRocks SMB 蠕虫病毒后一度引发多家媒体大肆渲染,致使开发人员中止业务操作,尽管后者声称 EternalRocks 并无恶意企图。 EternalRocks 借勒索软件 WannaCry 席卷全球之势利用多款 NSA 黑客工具在 Windows 计算机之间进行大规模传播而获取利益。此外,EternalRocks 与 WannaCry 在使用 SMB 协议方面存在相似之处,不同部分在于 EternalRocks 并未在受感染系统中传播勒索软件。 EternalRocks 命令与控制( C&C )服务器托管在暗网上。其论坛曾于 24 日发布一条最新消息,声称 EternalRocks 仅起到 SMB 防火墙的作用,并非勒索软件。但安全专家经调查表示,EternalRocks 正在传播可执行病毒文件。对于已感染该恶意软件的系统而言,除非彻底清除 “ 病源 ” ,否则将会扫描感染更多用户设备。 原作者:India Ashok, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

境外安全公司称:勒索软件 WannaCry 幕后开发者或来自中文国家

据外媒 26 日报道,威胁情报公司 Flashpoint 针对数十张勒索软件 WannaCry 赎金票据进行了语言分析,其幕后开发者或来自讲中文的国家。 全球勒索软件 WannaCry 于近期肆意爆发,攻击者利用 SMB 漏洞开展网络攻击活动。上周,Google 、卡巴斯基等安全公司相继发布声明,指出勒索软件 WannaCry 与朝鲜黑客 Lazarus 存有潜在联系。随后,安全专家根据 WannaCry 赎金票据进行分析后表示,票据内容主要包含中文( 简体与繁体 )、韩语、俄语等 28 种语言,其中中文内容极其准确流利。 此外,中文票据中使用的某些术语进一步帮助安全专家缩小了地理范围。例如:赎金票据中出现的 “ 礼拜 ” 一词,主要在华南、香港、台湾或新加坡地区常见,而 “ 反病毒 ”、“ 杀毒软件 ” 等词语在中国大陆比较常见。 值得注意的是,中文赎金票据中所包含的内容并未存在其他版本注释,且格式较长、版式略有不同;而英文版赎金票据虽然看起来很好,但它包含一些主要的语法错误,这表明开发人员的母语并非英语,或受教育程度不高。 Flashpoint 分析表明,攻击者可能利用朝鲜黑客组织 Lazarus 代码作为混淆以欺骗调查人员,亦或是朝鲜 APT 组织内部招募了以中文为母语的开发者。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 Crysis 新变种主密钥与解密工具被在线公布

据外媒 25 日报道,Bleeping Computer.com 论坛的某位新注册会员在线公布了勒索软件 Crysis 最新变种的 200 个主密钥,旨在帮助受害者在无需向犯罪组织缴纳任何赎金的条件下顺利恢复文件。 调查显示,一旦受害者设备感染勒索软件 Crysis 新变种,即被加密文件名后将新增 .wallet 与 .onion 扩展名。网络安全公司 ESET 表示,目前已在线公布相关解密工具,其用户可前往公司网站 “ 实用程序 ” 页面下载。 勒索软件 Crysis 主密钥迄今为止已被公布三次。尽管执法机构与网络安全公司在与勒索软件作斗争的过程中付出了大量努力,但此类恶意软件仍是当下最危险的计算机威胁之一。 安全专家提醒用户:尽快将操作系统与软件升级至最新版本、采用多重保护的安全解决方案并定期离线( 如使用外部存储设备 )备份所有重要数据。 原作者: Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件 WannaCry 感染美国至少两家医院医疗器械

据美国知名媒体福布斯( Forbes )报道,勒索软件 WannaCry 于近期已感染至少两家美国医院医疗器械。 美国国家安全局( NSA )武器库于上周遭神秘黑客组织 “影子经纪人” 在线曝光,WannaCry 勒索软件肆意蔓延。据称,该勒索软件网络攻击活动主要是利用 NSA 研究人员开发的 “ Eternal Blue ” 工具通过早期版本的 Microsoft Windows 系统漏洞感染全球用户设备。 福布斯记者提供了一张已感染勒索软件的医疗设备图像,疑似全球知名企业拜耳(Bayer )公司的放射学设备,其主要用于人体内部注射造影剂以辅助 MRI(核磁共振成像)扫描。(如下图) 勒索软件 WannaCry 感染该医疗设备,主要是因为它运行在(未打补丁的) Windows Embedded 操作系统中且支持 SMBv1 协议。目前,就连福布斯也并不知晓受感染的医院名称,但拜耳公司已证实收到两份美国客户系统报告。拜耳表示,勒索软件给医院带来的影响较有限,已在 24 小时内恢复正常,同时将于近期发布旗下产品基于 Microsoft Windows 设备的补丁。 此外,健康信息信任联盟(HITRUST)相关人士证实,勒索软件 WannaCry 目前也感染并锁定了全球知名企业西门子(Siemens )公司的部分 Windows 医疗设备。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

WannaCry 勒索软件 “开关 ”域名正遭受 DDoS 攻击

过去一周,勒索软件 “ WannaCry ” 给全球许多使用旧版 Windows 操作系统的机构和普通用户带来了惨痛的经历。尽管微软早于 2017 年 3 月发布了安全补丁,但仍有许多未及时更新的用户中招。如果不能在限定时间内支付等值 300 美元比特币的赎金,他们只能眼睁睁地看着被加密的资料丢失。万幸的是,一位名叫 Marcus Hutchins 的研究人员,通过某个 “开关” 域名成功阻止了该恶意软件的传播。 其在分析恶意软件代码后发现,被 WannaCry 感染的计算机会尝试与某个 “ 由一长串无意义字符组成的域名 ” 通信。于是在好奇心的驱使下,白帽黑客尝试注册了该域名,结果竟然意外阻断了该恶意软件的传播。不过最新消息是,幕后黑手仍然试图让 WannaCry 死灰复燃,其策略是利用各种可能的手段来攻击上文所述的这个 “ 域名 ”—— 比如分布式拒绝服务(DDoS)攻击。 据有关媒体报道,僵尸网络已经向这个 “ 开关域名 ” 发起了一波又一波的 DDoS 攻击。当前我们暂不知道幕后主使的身份,但有研究人员认为这是一帮以牺牲无辜者的利益来取乐的人。最后,某位法国安全研究人员在几天前找到了一个或许有助于修复被 WannaCry 勒索软件加密文档的方法,并且推出了一款名叫 “ wannakiwi ” 的工具。 稿源:cnBeta,封面源自网络

朝鲜否认与 WannaCry 勒索软件攻击活动有关

朝鲜常驻联合国副代表金仁龙(音)19 日在纽约联合国总部举行的新闻发布会上表示,朝鲜与近期发生的大规模勒索软件攻击事件无关。同时他还表示,朝美两国对话的前提必须是美国停止对朝鲜的敌视政策。 美国媒体 16 日曾报道,情报官员和私企安全专家根据新数字线索表明,近期发生的大规模勒索软件攻击事件的嫌疑人或与朝鲜黑客组织有关,但仍缺乏决定性证据。 赛门铁克安全专家表示,WannaCry 勒索软件早期版本所用的一些工具,曾被用于攻击索尼影业,还曾在去年被用于攻击孟加拉国央行,也在今年 2 月份被用于攻击波兰的一家银行。该公司根据过去曾准确识别美国、以色列以及朝鲜发起的攻击发现,这些攻击活动中存在相似之处,致使所有攻击源头最终指向朝鲜。 不过,单凭这些线索尚不足以得出结论,因为黑客组织常常相互“借用”工具代码、翻新攻击方法。此外,一些有国家支持的黑客组织也会故意在代码中植入混淆信息,以蒙蔽取证调查人员。 稿源:据 观察者 内容整理,封面源自网络

全球 WanaCrypt 勒索软件影响情况报道汇总 05-17

HackerNews.cc 与您一同跟进全球 WanaCrypt 勒索软件影响情况 【国内要闻】 勒索病毒蔓延 钱包安否 ? 金融机构业务暂未受影响 WannaCry 新型 “ 蠕虫 ” 式勒索病毒于 5 月 12 日爆发后,包括银行、券商在内的金融机构采取多种措施防范风险。目前,相关部门表示业务正常运行,尚未出现病毒感染案例。国家网络与信息安全信息通报中心关于勒索病毒出现新变种的紧急通报称,WannaCry 勒索病毒可能出现多种变种,建议网民尽快升级安装 Windows 操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染。 宁夏银川受勒索病毒攻击 交管多项服务受影响  勒索病毒 WannaCry 全球爆发,致使宁夏银川市交管部门的多项民生服务纷纷受到影响。调查显示,宁夏银川市车管所除驾驶证科目一考试,以及一部分上周排期的科目三道路考试外,其他车辆注册登记、驾驶员考试以及驾驶证年审等车辆管理和驾驶人管理的业务均已暂停。随后,银川市紧急对全市交警系统进行紧急排查,发现 8 台机器感染病毒。目前,交警部门已对感染机器完全隔离并对其系统进行格式化处理。   【国际动态】 数字惊人:勒索病毒或致全球损失 550 亿元  WannaCry 病毒席卷全球,其攻击者利用 NSA 黑客工具包中的 “ 永恒之蓝 ” 零日漏洞通过 445 端口(文件共享)在内网进行蠕虫式感染传播,如果用户没有及时安装 Windows 补丁,该病毒基本处于无解状态。据追踪比特币非法使用情况的伦敦公司 Elliptic Enterprises 称,用户目前共计向黑客支付约 34 万元赎金,远低于预期。然而,这仅是冰山一角,硅谷网络风险建模公司 Cyence 表示,此次网络攻击造成的全球电脑死机直接成本总计约 80 亿美元(约合人民币 550 亿元)。 狩猎行动:全球多个机构开始追踪 WannaCry 的始作俑者  全球范围内爆发的 WannaCry 蠕虫勒索病毒是迄今为止感染规模最大的勒索软件攻击事件。其受害者遍布全球 150 多个国家和地区并且包含大量的个人和企业甚至是医院和政府办公部门等事业性机构。目前多个国家的政府部门和安全机构正在调查这次攻击事件并开始追踪 WannaCry 勒索病毒背后的始作俑者。国际协调委员会正与欧洲刑警组织以及美国司法部的联邦调查局等机构一道努力进行调查。 美国国家安全局回应微软指责:我们不是勒索病毒来源  5 月 16 日,微软指责美国国家安全局 ( NSA ) 是全球勒索病毒的发源地。随后,NSA 做出回应:勒索赎金的代码并非由 NSA 的工具开发。这种工具是由犯罪分子开发的,也就是潜在的罪犯或境外国家。据悉, WannaCry 恶意程序已感染 150 个国家的超过 20 万部机器,该恶意程序雏形来自美国国家安全局,于今年四月被盗。 勒索软件引英国党派口水仗:传播放缓威胁仍存  全球范围内大规模爆发的 WannaCry 蠕虫勒索病毒网络攻击事件截至目前已有至少 150 个国家数十万用户受到攻击。欧洲刑警组织表示,勒索软件的传播速度相比此前有所放缓,不过依旧不能放松警惕。据悉,由于英国下个月即将举行大选,因此此次网络袭击事件引发英国各党派对于英国公共卫生系统遭受严重攻击事件展开了新一轮的争斗。 本文由 HackerNews.cc 整理发布,转载请注明来源。

勒索软件 “ WannaCry ” 或与朝鲜黑客组织 Lazarus 有关

据外媒 15 日报道,全球勒索软件 “ WannaCry ” 肆意爆发,目前已造成逾 150 个国家的 20 多万用户遭受影响。谷歌与卡巴斯基安全研究人员经调查其恶意代码发现,勒索软件 “ WannaCry ” 或与朝鲜黑客组织 Lazarus 有关。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业 Wiper 攻击事件及 2016 年孟加拉国银行网络攻击事件有关。 调查显示,勒索软件 WannaCry 早于今年 2 月就已在互联网中浮现,疑似从 2015 年后门代码中复制而来,是 WannaCry 加密器的一个早期变种。近期,Google 安全研究人员 Neel Mehta 首先揭示勒索病毒 WannaCry 早期版本与恶意软件 Contopee 之间的共享代码极其相似,其后者正是黑客组织 Lazarus 于去年大规模攻击孟加拉国 SWIFT 银行所采用的恶意软件。 据悉,安全专家在研究并分析数百个恶意软件样本后表示,黑客组织 Lazarus 正经营一个恶意软件工厂,通过多个独立输送机器生产新型攻击样品,而恶意软件 Contopee 就是其中一个输出样品。 此外,尽管早期 WannaCry 代码与恶意软件 Contopee 极其相似,但近期 WannaCry 样本中并未发现相似代码。安全专家表示,可能相似代码已被开发人员删除;也可能此次研究结果完全存在误判,因为同样的代码可能由不同的开发人员编写。但无论如何,Neel Mehta 发现的同源代码是迄今为止查找 Wannacry 起源的重要线索。 赛门铁克表示,安全专家自上周末起开始调查并监视勒索病毒 WannaCry 感染的已知群体。他们发现早期版本的勒索病毒 WannaCry 因不具备利用 MS17-010 漏洞展开大规模攻击的能力,因此并未引起关注。 不过,部分安全专家表示此时得出“朝鲜发动勒索软件攻击”的结论为时尚早,报告中所列依据未能使人完全信服。 原作者:Jason Murdock,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

维基解密曝光 CIA 勒索软件新工具:“AfterMidnight” 与 “Assassin”

据外媒 15 日报道,维基解密再度曝光两份 Vault7 文档,揭示美国中央情报局( CIA )使用恶意软件 AfterMidnight 、 Assassin 后门功能操控与监视 Microsoft Windows 系统设备。 恶意软件 AfterMidnight 允许黑客在目标系统中动态加载与执行恶意 payload。其主要 payload 被伪装成系统自身的动态链接库 ( DLL ) 文件并进行 “ Gremlins ”操作,以便黑客摧毁目标软件、收集信息或为其他 “ Gremlins ” 提供内部服务。此外,恶意软件 AfterMidnight 基于 HTTPS 的 Listening Post( LP )服务会检查所有预设计划和执行情况,每次接收新任务后,AfterMidnight 都会下载系统组件并存储于内存之中。 Assassin 则是一个自动化植入软件,为远程运行 Microsoft Windows 操作系统的计算机提供简单的数据收集平台。一旦工具安装在目标系统中,Assassin 将在 Windows 服务过程中运行并定期返回数据。此外,Assassin C2(指挥与控制)和 LP (听力后勤)子系统能够相互配合以便 CIA 通过受感染系统执行特定任务。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

全球 WanaCrypt 勒索软件影响情况报道汇总 05-16

HackerNews.cc 与您一同跟进全球 WanaCrypt 勒索软件影响情况 【国内要闻】 中央网信办:勒索病毒还在传播 但速度已放缓 全球范围内爆发了利用 Windows SMB 漏洞进行攻击传播的恶意软件。其中包括美国、俄罗斯以及整个欧洲在内的 100 多个国家、以及中国国内的高校、大型企业内网和政府机构专网纷纷中招。中央网信办网络安全协调局负责人表示,勒索软件已感染包括医院、教育、能源、通信、制造业等以及政府部门在内的多个领域。事件发生后,相关部门当即做出部署,以防范勒索软件再度攻击。勒索软件 WanaCrypt 目前还在传播,但扩散速度明显放缓。 多地公安业务系统受勒索软件影响 暂停办理出入境、车管等业务  继全国部分高校受到勒索病毒入侵之后,一些地区公安的业务系统也相继中招。据悉,湖南省株洲市公安局人口与出入境支队办证大厅暂停对外办理业务、陕西省西安市交警支队莲湖大队暂停办理交通违法处理和车驾管相关业务。此外,部分地区因 “ 系统维护 ” 发布相关通知,暂停办理交管、出入境等业务。 为应对勒索病毒 珠海紧急停办公积金业务升级网络 珠海市住房公积金管理中心于 5 月 15 日发布紧急通知称,为有效应对 勒索软件在互联网和政企专网大面积蔓延对住房公积金业务数据和服务终端资料可能造成的安全威胁,决定在 5 月 15 日加固升级内外网络,暂停办理所有住房公积金业务。 勒索病毒攻击四川婚姻登记系统 4对新人领证受阻  四川省多个婚姻登记系统受勒索软件影响,其中因成都市婚姻登记处业务办理短期受阻,致使 4 对新人领证延迟。据悉,当天系统出现问题后,登记人员与省厅取得联系,对其电脑进行补丁修复。目前,该机构系统已恢复正常。   【国际动态】 微软指责美国政府不应私藏漏洞信息 致勒索软件爆发 勒索软件 WannaCry 的全球扩散再次引起了一个疑问:如果政府机构在一个流行的计算机系统中发现了漏洞,它应不应该披露?漏洞在功防两方面都可用,攻可用于渗透到目标的计算机和网络,防可减少自家系统的漏洞。微软总裁兼首席法务官 Brad Smith 在官方博客就 WannaCry 的扩散抨击了美国政府的做法:私藏大量计算机系统相关漏洞信息,致使全球用户系统遭受广泛攻击。 勒索病毒肆虐 韩国8家企业“中招”请求技术支援 据韩联社报道,韩国网络振兴院 (KISA) 15 日消息称,自 13  日起,韩国共有 8 家企业报告感染 Wannacry 病毒,共有 13 起疑似中毒事件但未最终确认。韩国的政府和公共机构暂未报告受感染。韩国杀毒软件公司 Ahn Lab 公布,当地时间 12 日至当日下午 2 时,共发现 187 台受害电脑。KISA 的 118 热线电话共接到 2875 件咨询,当日上午安全网站因访问者货多瘫痪,下午 3 时恢复正常,导致部分企业和机构上午业务受阻。 日本日立等机构遭电脑勒索病毒攻击 致邮件系统故障 日本日立制作所本月 15 日透露,由于受到全球勒索病毒的网络攻击,公司内部系统发生故障,出现收发邮件困难、无法打开附件文件等问题。据悉,该公司当即成立对策小组,针对日本国内外电脑设备展开调查。此外,本次大规模网络攻击中,英国损失颇为严重,而日立正于英国开展铁路业务。因此,对策小组目前正加紧确认业务方面是否遭受攻击等详细情况。 WannaCry 病毒收款账户已收到 4.2 万余美元赎金 5 月 15 日,波及全球数十国的勒索病毒网络攻击实施者现已收到 4.2 万余美元赎金,但这些汇款仍在银行账户并未取走。欧洲刑警组织负责人表示,此次恶意勒索病毒网络攻击规模巨大,150 个国家超过 20 万用户受到影响。目前各国相关机构密切监控黑客要求受害者以比特币形式汇款的 3 个在线账户。而与此同时,攻击还在持续,赎金数量可能还会继续增加。   本文由 HackerNews.cc 整理发布,转载请注明来源。