搜索:勒索软件

美国一家医院被迫支付 5.5 万美元赎金,以摆脱“SamSam” 勒索软件

外媒 1 月 16 日消息,美国印第安纳州汉考克地区一家医院(Hancock Health)被迫向黑客组织支付了价值 5.5 万美元的比特币赎金,以尽快摆脱勒索软件 “ SamSam ” 对其计算机设备的控制。据悉,该黑客组织通过暴力破解 RDP 端口,达到在更多的计算机设备上部署 SamSam 勒索软件的目的。 上周四( 1 月 11 日),Hancock Health 的工作人员发现黑客组织影响了医院的电子邮件和健康记录,但并没有窃取患者数据 。随后,经过相关研究人员展开调查发现,该组织使用 SamSam 勒索软件加密文件,并将文件重命名为“ I’m sorry ”。其实 SamSam 早在两年前就已出现过, 主要通过开放的 RDP 端口进行传播。 目前 Hancock Health 紧急采取了应对措施,例如通过 IT 人员介入暂停了整个网络;要求员工关闭所有计算机,以避免勒索软件传播到其他计算机;更有传言称医护人员利用笔和纸代替计算机来继续工作。 Hancock Health 表示尽管文件都有备份,但从备份中恢复文件很麻烦,因为要把所有的系统投入运行需要几天甚至几周的时间,以至于不得不向黑客组织支付赎金。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国一家医院遭到勒索软件攻击后依靠纸和笔运行

另一家美国医院已经成为勒索软件攻击的受害者。上个星期,一个勒索攻击设法感染了印第安纳州汉考克地区医院系统,要求医院支付不确定数量的比特币以提供解锁密钥。袭击发生在 1 月 11 日,影响了医疗中心的电子邮件,电子病历和其他内部操作系统。 医院强调,没有病人记录被从网络中删除,病人护理没有受到重大影响。该机构关闭了一些系统,以防止进一步的感染,并联系了联邦调查局和国家信息技术安全公司。截至周六上午,这些系统还未恢复正常,医院员工并继续使用笔和纸来更新患者的医疗数据。 以前一些勒索软件通过员工打开恶意电子邮件或网站链接进入医院系统,但汉考克健康医院的首席执行官史蒂夫·龙( Steve Long )说,在这种情况下情况并非如此。这家医院发言人表示,我们和其他医院一样,一直都在进行灾难演习,所以这一切都与我们多年来一直在进行的演练有关,当系统故障或系统违规时,如何继续提供世界一流的医疗和护理是我们多年来一直准备的事宜。 去年,堪萨斯心脏病医院和好莱坞长老会医疗中心遭到勒索软件袭击。 稿源:cnBeta,封面源自网络;

罗马尼亚联合欧洲刑警、FBI 逮捕 5 名黑客:涉嫌传播Cerber 和 CTB Locker 勒索软件

据外媒报道,欧洲刑警组织(Europol)、联邦调查局 (FBI)和罗马尼亚等相关执法机构于 12 月 13 日进行了一项大规模逮捕行动,警方在罗马尼亚东部抓获五名黑客,即近年来涉嫌入侵欧洲和美国境内数万台计算机后肆意传播勒索软件 Cerber 和 CTB Locker。目前,警方并未透露这五名被捕黑客详细信息。 CTB Locker(又名 Critroni)是 2016 年传播最广泛的勒索软件之一,且还是第一个使用 Tor 匿名网络隐藏其命令和控制服务器的勒索软件。Cerber 于 2016 年 3 月出现,它以 RaaS 模式为基础获得广泛分布:RaaS 模式允许任何可能的黑客散布恶意软件,从而获取 40% 的赎金。与大多数勒索软件一样,CTB Locker 和 Cerber 经销商使用的是最常见的攻击载体,比如钓鱼邮件和漏洞利用工具包。 欧洲刑警称,罗马尼亚当局于 2017 年初收到荷兰高科技犯罪组和其他当局提供的详细情报,其主要透露有一群罗马尼亚国民通过发送垃圾邮件感染当地计算机系统,并使用 CTB Locker 勒索软件对其数据进行加密。具体地来说,每封电子邮件都有一个附件(通常是存档发票),而该附件中包含一个恶意文件。一旦 Windows 用户打开后就会触发并感染设备,从而对其数据进行加密。 相关警方透露,在此次突袭行动中,当局缴获了大量的硬盘、外部存储设备、笔记本电脑、加密货币挖掘设备以及数百张 SIM 卡。值得注意的是,五名犯罪分子并非因为开发或维持这两款恶意软件被逮捕,而是因为涉嫌传播 CTB Locker 和 Cerber 。据悉,犯罪分子通过 CTB Locker 获得了 2700 万美元的赎金 ,而通过 Cerber 在 2017 年 7 月就赚取了 690 万美元,因此谷歌将其列为最有利可图的犯罪活动。目前,警方暂未透露更多相关细节。 消息来源:thehackernews ,编译:榆榆,校审:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国北卡罗来纳州服务器遭勒索软件攻击,政府拒绝支付赎金

据外媒报道,美国北卡罗来纳州夏洛特所在地–梅克伦堡县的重要服务器本周遭到勒索软件网络攻击,进而导致该城市的政府工作人员不得不回到老式的纸笔办公年代。 获悉,政府网络在一名工作者打开一份带有恶意软件附件的邮件之后遭到感染。黑客要求政府支付2.3万美元来恢复系统,不过截止到目前当地政府拒绝了这一要求。 发起这次网络攻击的黑客被认为来自伊朗或乌克兰。眼下,包括税务部门、监狱在内的多个城市机构所用的服务器都被勒索软件锁住。 尽管梅克伦堡县的许多服务器受到了影响,但夏洛特市的政府计算机系统并未受到波及,显然这非常幸运,毕竟这座城市拥有100多万名居民。另外,紧急服务电话也没有受到影响,不过像处理家庭暴力这样的热线已无法正常运转。 根据美联社提供的消息了解到,梅克伦堡县似乎早前已经为其系统创建过备份和维护。而官员们确实有考虑到支付赎金,但专家们指出,黑客恢复系统的时间将几乎跟其通过备份恢复的时间一样长。出于这个原因,当地政府决定继续执行繁重的手动维护活动和纪录来恢复系统,而非支付赎金。 稿源:cnBeta,封面源自网络;编辑:FOX

印度黑客暗网低价出售的新勒索软件 Halloware 竟是一场骗局?

据外媒 12 月 3 日报道,一名自称是来自印度东北部的 17 岁大学生 Luc1F3R 正以 40 美元的低廉价格贩卖一款新勒索软件 Halloware,还专门在暗网、地下论坛、公共互联网上托管的两个站点以及 YouTube 的视频上进行销售。这些暗网为 Halloware 提供了终身许可证书,然而由于 Halloware 低廉的价格让研究人员产生了怀疑,他们推测这要么是一个骗局;要么在 Luc1F3 看来,Halloware 并没有那么复杂。对此,他们决定展开详细调查。 虽然研究人员最初认为这是一个骗局,但由于黑客在勒索软件出售网站上出现了一些操作失误,以至于他们可以追踪到 Luc1F3R  正在托管与 Halloware 有关文件的网页,包括使用勒索软件感染受害者的恶意文件列表。 调查显示,该列表中的一份文件 hmavpncreck.exe 的 SHA256 哈希值和 Luc1F3R 在 Halloware 广告中所包含 NoDistribute 的扫描结果相同,从而证实这正是安全专家所需要寻找的恶意软件二进制文件。而另一个名为 ran.py 的文件似乎是 Halloware 的源代码。虽然该文件受到了保护,但研究人员还是设法提取了它的源代码,最终由其他安全研究人员创建出解密程序,以防有人购买这个勒索软件并用它来感染目标用户。 此外,勒索软件使用了硬编码的 AES-256 密钥加密文件,并将“(Lucifer)”字符串加到加密文件中。买家可以通过改变两个图像并添加定制的支付站点 URL 来完成安装,例如,一旦加密成功,image.png 就会变成(Lucifer)image.png。“任务完成”后 Halloware 勒索软件将会弹出窗口显示一个令人毛骨悚然的小丑与一条赎金消息引诱受害者重定向至另一暗网支付网站,并更改用户的桌面墙纸或进行其他恶意操作。 虽然 Halloware 是一个简单的勒索软件,但确实奏效。专家也注意到,Halloware 勒索软件并没有在被感染的个人电脑上删除文本文件。另外,Halloware 使用了硬编码的 AES-256 密钥加密文件,并没有保存远程服务器上的任何信息,这一特性使得 Halloware 并无实际意义,而且就连作者 Luc1F3R 可能也没有机会从 Halloware 手中赚到任何钱财。 由此看来,作者 Luc1F3R 似乎只是一位低技能的新手,刚刚向网络犯罪的世界迈出第一步,因为研究人员发现他在 YouTube 上传的所有黑客教程都只是描述了基本的技术或者是宣传不太复杂的恶意软件,而在 GitHub 帐户中 Luc1F3R 还托管了另外四种恶意软件。 附:哈希表 007c1f11afb195d77c176891d54b9cfd37c87b13dfe0ab5b6c368125e4459b8c d5b58bdda4ece79fbc264fff7f32df584d7b0051a5493119d336252f4668c73c c6d2e486109dc37f451dccce716e99e8a2653475d5605531d52756fc4fc88f09 针对加密的文件类型: .jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa.wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .mkv, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .rar, .zip, .7zip, .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd 消息来源:Bleeping Computer、Security Affairs,编译:榆榆,校对:青楚、FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

继 WannaCry 勒索软件攻击后,英国 NHS 预将投入 2000 万英镑增强网络防御体系

据外媒 11 月 27 日报道,由于今年 5 月中旬 WannaCry 勒索病毒的肆意爆发,导致英国医疗服务组织(NHS)的 IT 系统出现大规模停滞现象。对此,NHS 经慎重考虑后于近期宣布将投入 2000 万英镑成立一所新安全运营中心,以便帮助各医疗机构免受网络攻击、提高其信息安全领域现有能力(例如:黑客道德行为、漏洞测试和恶意软件分析),以及为当地医疗服务组织提供网络安全咨询和指导。 英国国家审计署(National Audit Office)最近的一份报告显示,由于一些医疗服务机构没有应用基本的安全措施(比如系统未更新关键补丁),因此它们极易遭受网络攻击。知情人士透露,该安全运营中心的成立不仅可以持续监测 NHS 国家系统和服务,还可确保英国医疗数字服务组织国家信息和技术合作伙伴能够通过提供安全服务提高现有能力。而该服务将分析多个来源情报,并对所有需要医疗保健的用户分享威胁情报和指导。此外,安全运营中心还将为受害机构提供专家支持,以及现场数据安全评估,从而帮助他们发现潜在的安全问题。 英国医疗服务系统数字安全中心的负责人丹•泰勒( Dan Taylor )表示:“ 安全运营中心将加强当前数据安全服务、支持卫生和医疗系统、保护敏感患者信息,也将提高目前在黑客道德行为、漏洞测试与恶意软件的取证分析方面以及预测未来漏洞的能力。 目前,NHS 正寻找一个合作伙伴来联合运营该安全中心,以便灵活地帮助各医疗组织引入更多专业技能。NHS 的发言人表示: “ 这可能包括对未来事件的实地或远程支持,对更多需求的保证或输入,从而保证国家系统安全运行 ”。 据悉, 新安全中心将设在利兹,但尚未确定具体开放日期。 消息来源:ZDNet,译者:榆榆 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新勒索软件 Scarab 变种已通过僵尸网络 Necurs 感染全球数百万用户设备

据外媒 11 月 25 日报道,网络安全公司 F- Secure 和 Forcepoint 研究人员于本周五发现新勒索软件 Scarab 变种正通过僵尸网络 Necurs 向数百万用户发起大规模垃圾邮件活动。目前,黑客仅在短短几个小时内就已发出 1250 万封垃圾邮件。 僵尸网络 Necurs 是全球垃圾邮件最大的 “发送者” 之一,其每月可感染逾 600 万受害主机,并诱导用户打开附件后在线下载恶意软件。此外,Necurs 在过去数月内推动了多款恶意软件的传播,其中包括 Locky、JAFF、GlobeImposter、Dridex 和 Trickbot。 知情人士透露,勒索软件 Scarab 于今年 6 月由安全专家 Michael Gillespie 率先发现,其代码主要根据勒索软件的开源验证编写而成。调查显示,黑客在此次攻击活动中主要通过租用的僵尸网络将附带 Scarab 的电子邮件伪装成以 Lexmark 、HP 、Canon 、Epson 为主题的扫描档案发送至目标邮箱,并在用户打开后感染受害系统。随后,研究人员发现该电子邮件附带的 7 份 Zip 文件包含一个 Visual Basic 脚本,可充当 dropper 木马感染目标设备。此外,他们还通过 ID-Ransomware 服务针对受害系统进行了一系列检测并清楚的看出 Scarab 每日感染数量。 近期,研究人员发现黑客所使用的变体还可以利用 “[suupport@protonmail.com]. scarab” 扩展加密目标用户原始文件名后删除文件,从而使其无法自行恢复。如果用户想要还原文件,则需通过邮件恶意软件或 BitMessage 联系 Scarab 幕后黑手支付赎金。 消息来源:securityaffairs.co,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件攻击所造成的实际损失在 2019 年或将达到 115 亿美元

HackerNews.cc 11 月 20 日报道,美国网络安全机构 Cybersecurity Ventures 于近期发布一份报告,宣称随着近年来勒索软件的数量以及攻击频率的不断增加,其实际损失成本于 2017 年累计高达 50 亿美元。据称,研究人员预计 2019 年的攻击损失可能升至 115 亿美元。相关数据显示,勒索软件于 2015 年所造成的实际损失仅仅只有 3.25 亿美元。 研究人员经调查发现,当前勒索软件每隔 40 秒就会针对目标业务发起攻击,然而预计 2019 年时将会缩减为 14 秒一次。另外,医疗等公共机构将会比其他行业更加容易遭受攻击,预计 2020 年黑客针对医疗机构的感染将是现在的 4 倍。但是,这并不一定意味着他们会支付更多的赎金,因为与勒索软件攻击所造成的实际损失相比(例如:数据损失、生产力遭到破坏、名誉损伤、业务中断等),支付的赎金金额就显得微不足道了。 美国领先的多元化医疗公司 Aetna 首席安全官 Jim Routh 表示:“ 未来,公司应该拒绝为了恢复数据而向黑客支付赎金的行为。其一家企业要想避免勒索软件攻击的话,需要定期备份系统所有数据、培训员工如何发现和应对钓鱼邮件(占网络攻击的 91%),以及尽快更新各软件设备。 然而,防止勒索软件攻击的安全措施说起来容易但做起来很难。CyberArk 首席执行官 Udi Mokady 近期表示,多数企业正在存储比特币,以便用于未来遭受勒索软件攻击后在紧急情况下支付赎金。此外,英国大约三分之一的中小型企业也认为,当其他方案都不可实施时,他们更愿意利用手头上拥有的比特币应对勒索软件攻击活动。目前,研究表明虽然愿意支付赎金的企业总数正在下降,但由于黑客已经在大规模攻击中“尝到了甜头”,因此他们将继续开发各勒索软件,以便感染目标企业后牟取暴利。 消息来源:Csoonline,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 Locky 出现新型变种:依赖僵尸网络 Necurs 与 DDE 机制展开新一轮攻击浪潮

HackerNews.cc 11 月 12 日消息,网络安全公司 Avira 研究人员近期发现勒索软件 Locky 出现新型变种,不仅可以通过僵尸网络 Necurs 开展大规模钓鱼攻击活动,还可利用动态数据交换(DDE)协议进行数据传输,从而规避安全软件检测的同时窃取用户重要信息。 研究显示,目前黑客主要通过合法的 Libre 与 Office 文件肆意分发恶意软件。一旦用户打开该恶意文件后系统将会自动触发一系列程序,从而最终在受害设备上对用户文件进行加密处理后发送到指定 C&C 服务器。研究人员在分析该恶意文件时还发现其中包含一份 LNK 文档,允许黑客通过粘贴的方式将命令复制到用户文本编辑器中,以便运行 PowerShell 脚本。 研究人员表示,该脚本内容清晰、极易阅读,其目的是从脚本嵌入的链接中下载另一个 PowerShell 脚本并通过 Invoke-Expression 函数运行。然而,第二个脚本所连接的服务器由黑客控制,并在下载该脚本时自动运行一份 Windows 可执行文件,其中包含多个阶段的混淆代码,以致诱导用户认为这是一个安全的文件。目前,研究人员认为勒索软件 Locky 的快速演变在当今的威胁领域中着实令人担忧,因为它还将继续进行深度 “优化”,从而感染更多设备。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全报告:勒索软件 Matrix 卷土重来,掀起新一轮攻击浪潮

据外媒 10 月 29 日报道,网络安全公司 Malwarebytes 研究人员 Jérôme Segura 近期发现勒索软件 Matrix 卷土重来,旨在通过媒体广告肆意传播恶意代码后掀起新一轮攻击浪潮。 勒索软件 Matrix 虽然最早可追溯至 2016 年,但研究人员 Brad Duncan 于 2017 年 4 月才在揭露一起 EITest 恶意广告活动时,发现黑客通过 RIG 漏洞分发这一恶意软件。此后 Matrix 完全隐去踪迹。起初,研究人员以为这是勒索软件研发失败的情景,而就在近期 Matrix 卷土重来且正通过触发 IE 漏洞 (CVE-2016-0189)与 Flash 漏洞(CVE-2015-8651)传播恶意代码。 调查显示,当目标设备感染勒索软件 Matrix 时,其恶意代码将会加密受害机器上的所有文件,并将 .pyongyan001@yahoo.com 扩展名添加至该文件名中。此外,该勒索软件还会删除所有加密文件的浏览记录并在其文件夹中存留一份勒索赎金信函,要求受害用户缴纳赎金后才可解密文件。 目前,由于研究人员尚不了解黑客此次攻击的真正意图,因此他们仍在继续展开调查。另外,他们建议用户要想保护自身系统免遭攻击,则需要将计算机上的所有软件更新至最新版本,同时加强系统安全、及时备份设备重要数据。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。