分类: 恶意软件

勒索软件 Crysis 新变种主密钥与解密工具被在线公布

据外媒 25 日报道,Bleeping Computer.com 论坛的某位新注册会员在线公布了勒索软件 Crysis 最新变种的 200 个主密钥,旨在帮助受害者在无需向犯罪组织缴纳任何赎金的条件下顺利恢复文件。 调查显示,一旦受害者设备感染勒索软件 Crysis 新变种,即被加密文件名后将新增 .wallet 与 .onion 扩展名。网络安全公司 ESET 表示,目前已在线公布相关解密工具,其用户可前往公司网站 “ 实用程序 ” 页面下载。 勒索软件 Crysis 主密钥迄今为止已被公布三次。尽管执法机构与网络安全公司在与勒索软件作斗争的过程中付出了大量努力,但此类恶意软件仍是当下最危险的计算机威胁之一。 安全专家提醒用户:尽快将操作系统与软件升级至最新版本、采用多重保护的安全解决方案并定期离线( 如使用外部存储设备 )备份所有重要数据。 原作者: Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

安全专家警告:继勒索病毒后 Windows XP 将迎来第二波攻击

安全专家近日向 Windows XP 和 Windows Server 2003 用户发布了安全警告,提防继 “ WannaCry ” 敲诈勒索病毒之后的第二轮网络攻击。该攻击手段主要利用黑客工具 EsteemAudit ,可以攻击开放了3389 端口且开启了智能卡登陆的 Windows XP 和 Windows 2003 机器,一旦感染之后就能使用其他类型的恶意软件对网络内的其他设备发起攻击。 2016 年 8 月,名为 “ Shadow Brokers ” 的黑客组织入侵了方程式( Equation Group,据称是 NSA 下属的黑客组织)并窃取了大量机密文件,并将部分文件分享到网络上。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外  “ Shadow Brokers ” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“ Shadow Brokers ” 预期的价格是 100 万比特币(价值接近 5 亿美金)。 2017 年 4 月 14 日晚,“ Shadow Brokers ” 终于忍不住了,在推特上放出了他们当时保留的部分文件,解压密码是  “ Reeeeeeeeeeeeeee ” 。这次文件共有三个目录,分别为 “ Windows ”、“ Swift ” 和 “ OddJob ”,包含众多令人震撼的黑客工具,其中就包括上文提及的 EsteemAudit 工具。 尽管目前微软尚未面向 Windows XP 发布新的安全补丁,不过 EnSilo 的安全工程师发布了第三方补丁能够阻止 EsteemAudit 工具,并推荐所有 Windows XP 用户尽快进行安装。 稿源:cnBeta;封面源自网络

趋势科技发布最新数据:近一年恶意软件勒索赎金累计达 10 亿美元

趋势科技最新调查报告显示,网络犯罪分子于 2016 年 1 月至 2017 年 3 月利用恶意软件勒索赎金累计达 10 亿美元,其恶意组织数量与去年相比增长 752% 。目前,黑客早已瞄准全球知名企业与组织机构展开持续性网络攻击活动。 2016 年,黑客针对不同勒索软件变种进行多次修改,新添功能主要包括更新感染例程与加密更多文件类型。迄今为止,“ 勒索软件恐慌 ” 尚无削减之势。 图一:2016 年 1 月至 2017 年 3 月勒索软件威胁区域分布 众所周知,勒索软件 WannaCry 致使全球网络遭受攻击。攻击者不仅利用  Windows SMB漏洞( CVE-2017-0144 )加密系统文件,还可通过扫描 SMB 共享文件扩大蔓延范围。由于加密文件往往涉及企业关键业务(例如,数据库、档案等),因此受害者遇到这种情况时通常别无选择,只能如数缴纳赎金。然而,WannaCry 并非首款勒索软件,Cerber 作为传播范围最广的勒索软件家族曾令受害者屡受重创。勒索软件厂商从去年开始就已在地下论坛采用 RaaS 模式出售恶意软件 Cerber,其开发人员仅单月即可获利 20 万美元。 图二:如何缓解与预防勒索软件攻击活动 不断变化的勒索赎金行为迫使受害者为确保业务的正常运作而付出高额代价。值得注意的是,支付赎金并不意味着就可以恢复数据。而面对此类威胁,与其补救于已然,不如防范于未然。目前,安全专家建议各组织机构采取基本的预防措施以尽量减少网络安全的风险。 原作者: Keith Cortez, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

都是套路 : WannaCry 病毒界面被诈骗者用作新的钓鱼手段

近期,这款名为 “ WannaCry ” 的蠕虫病毒席卷全球。中毒的电脑文件会被加密并需要支付款项后才可重新获得文件。不过,一些诈骗利用人们对该蠕虫的恐惧心理,声称可提供技术支持骗取钱财。英国欺诈和网络犯罪中心近日发布一则关于勒索病毒欺诈的警告。欺诈的伎俩非常典型。 首先,一个锁定的窗口会出现在系统界面。窗口伪装成来自微软技术支持中心,并提示用户的电脑已经被勒索蠕虫感染。之后,窗口诱导用户拨打窗口上的电话。电话会再诱导用户授权远程控制给骗子。骗子会运行微软移除工具,然后要求 415 美元作为报酬。 安全厂商 McAfee 也发现了一些安卓应用利用勒索病毒的心理诱导用户安装然后再弹出广告。建议网民上网时保持警惕,提高防范意识。 稿源:cnBeta;封面源自网络

新型病毒 “ EternalRocks ” 来袭,一次利用 7 个 NSA 漏洞

据 CNET 23 日报道,勒索病毒 WannaCry 的余波还未消散,更恐怖的新型病毒悄然来袭。上周末,研究人员发现新病毒 EternalRocks 比 WannaCry 更加厉害,居然一次利用 7 个 NSA 漏洞。安全专家表示,如果该病毒突然发动攻击,将带来 “ 末日 ” 般的恐怖后果。 全球勒索病毒 WannaCry 肆虐数天后,网上还出现了与它共用同一漏洞的新病毒 Adylkuzz。 据悉,该病毒并未勒索比特币,而是利用用户计算机挖掘虚拟货币。现在,则又轮到了 “ EternalRocks ” 。克罗地亚计算机紧急响应小组的网络安全专家米罗斯拉夫首先发现该异常现象并在 GitHub 上介绍了 EternalRocks 病毒。 NSA 泄露的工具大多与标准文档分享技术有关,它们来自微软 Windows Server Message Block,也是 WannaCry 快速传播的罪魁祸首。微软今年 3 月就已发布补丁,但由于多数用户未及时升级电脑,因此极易遭受攻击。 与 WannaCry 不同,现在 EternalRocks 还处于安静的潜伏状态,每当感染一台电脑,它就会下载 Tor(洋葱路由)个人浏览器并向病毒隐藏的服务器发送信号。紧接着,该病毒潜伏 24 小时后服务器将自动开启,其病毒开始下载并自我复制,这就意味着安全专家的研究进度会被拖慢一天。 如今,EternalRocks 虽然在不断传播,但还处在休眠状态。米罗斯拉夫警告称,这款病毒可能随时会武器化,它的策略与 WannaCry 的手段如出一辙,先感染大量电脑再集中爆发。对于此事,NSA 目前并未发表任何评论。 稿源:cnBeta;封面源自网络

英国核潜艇仍运行 XP 系统,暴露于 WannaCry 等威胁

近期爆发的 WannaCry 勒索软件攻击已引起全球大规模信息安全的恐慌。尽管 Windows XP 并非所有 Windows 系统中影响最为严重的版本,但缺乏安全更新的支持和补丁的修复使其极易遭受攻击。可惜的是,世界上仍有许多重要部门坚持使用 XP 系统,其中就包括英国 “ 三叉戟 ” 核潜艇,并且在未来内没有更新系统的升级计划。 安全专家发出警告,“ 三叉戟 ” 核潜艇极易成为黑客攻击的目标,而黑客很容易针对未补丁的漏洞开发破解工具,尤其是核潜艇这类如此重要的军事单位。近期爆发的 WannaCry 威胁是一次警告,未来仍将会有许多安全威胁。英国军方解释称 “ 三叉戟 ” 并未暴露在黑客攻击的威胁下,因为这些潜艇完全隔离且无网连接。但安全专家指出,网络犯罪分子能够在潜艇靠岸时通过植入进行攻击,然后在离开后激活感染。 Serviceteam IT 的 Sebastian Jesson-Ward 称:“ 尽管当潜艇出海时它们不会连接网络,但它们此时是具备网络安全抵抗性的。当它们靠近码头时仍然暴露在网络攻击的威胁下。” 英国国防部长 Michael Fallon 尚未就核潜艇系统问题进行置评,但指出所有潜艇都是完全安全的,并且在隔离环境下运行,这让黑客无法接触到它们。 稿源:cnBeta;封面源自网络

勒索软件 WannaCry 感染美国至少两家医院医疗器械

据美国知名媒体福布斯( Forbes )报道,勒索软件 WannaCry 于近期已感染至少两家美国医院医疗器械。 美国国家安全局( NSA )武器库于上周遭神秘黑客组织 “影子经纪人” 在线曝光,WannaCry 勒索软件肆意蔓延。据称,该勒索软件网络攻击活动主要是利用 NSA 研究人员开发的 “ Eternal Blue ” 工具通过早期版本的 Microsoft Windows 系统漏洞感染全球用户设备。 福布斯记者提供了一张已感染勒索软件的医疗设备图像,疑似全球知名企业拜耳(Bayer )公司的放射学设备,其主要用于人体内部注射造影剂以辅助 MRI(核磁共振成像)扫描。(如下图) 勒索软件 WannaCry 感染该医疗设备,主要是因为它运行在(未打补丁的) Windows Embedded 操作系统中且支持 SMBv1 协议。目前,就连福布斯也并不知晓受感染的医院名称,但拜耳公司已证实收到两份美国客户系统报告。拜耳表示,勒索软件给医院带来的影响较有限,已在 24 小时内恢复正常,同时将于近期发布旗下产品基于 Microsoft Windows 设备的补丁。 此外,健康信息信任联盟(HITRUST)相关人士证实,勒索软件 WannaCry 目前也感染并锁定了全球知名企业西门子(Siemens )公司的部分 Windows 医疗设备。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

WannaCry 勒索软件 “开关 ”域名正遭受 DDoS 攻击

过去一周,勒索软件 “ WannaCry ” 给全球许多使用旧版 Windows 操作系统的机构和普通用户带来了惨痛的经历。尽管微软早于 2017 年 3 月发布了安全补丁,但仍有许多未及时更新的用户中招。如果不能在限定时间内支付等值 300 美元比特币的赎金,他们只能眼睁睁地看着被加密的资料丢失。万幸的是,一位名叫 Marcus Hutchins 的研究人员,通过某个 “开关” 域名成功阻止了该恶意软件的传播。 其在分析恶意软件代码后发现,被 WannaCry 感染的计算机会尝试与某个 “ 由一长串无意义字符组成的域名 ” 通信。于是在好奇心的驱使下,白帽黑客尝试注册了该域名,结果竟然意外阻断了该恶意软件的传播。不过最新消息是,幕后黑手仍然试图让 WannaCry 死灰复燃,其策略是利用各种可能的手段来攻击上文所述的这个 “ 域名 ”—— 比如分布式拒绝服务(DDoS)攻击。 据有关媒体报道,僵尸网络已经向这个 “ 开关域名 ” 发起了一波又一波的 DDoS 攻击。当前我们暂不知道幕后主使的身份,但有研究人员认为这是一帮以牺牲无辜者的利益来取乐的人。最后,某位法国安全研究人员在几天前找到了一个或许有助于修复被 WannaCry 勒索软件加密文档的方法,并且推出了一款名叫 “ wannakiwi ” 的工具。 稿源:cnBeta,封面源自网络

维基解密最新爆料:CIA 间谍软件 “ Athena ” 可远程劫持所有 Windows 系统

据外媒报道,继美国中央情报局( CIA ) 勒索软件工具 AfterMidnight 与 Assassin 在线曝光后,维基解密再度泄露其间谍软件 Athena 文档,旨在揭示  CIA 可感染并远程监控所有 Windows 版本用户系统。 微软于 2015 年 7 月发布 Windows 10 系统,而间谍软件 Athena 最早可追溯至 2015 年 8 月,由开发人员采用 Python 程序编写。 间谍软件 Athena 是 CIA 开发人员与网络安全公司 Siege Technologies 共同合作的结果,具备实时修改目标系统配置并可制定特殊操作的功能。维基解密声称,用户一旦下载安装恶意软件 Athena 后,系统将自动加载执行特定任务的恶意 payloads、传送和检索指定目录的文件内容。 目前,虽然维基解密并未提供有关 CIA 使用间谍软件 Athena 开展监控活动的任何细节,但不难想象 CIA 会如何使用此程序监视目标系统。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

蠕虫病毒 BlueDoom 通过 NSA 多款黑客工具肆意传播

继勒索软件 WannaCry 席卷全球后,一种新型蠕虫病毒 BlueDoom(EternalRocks)再度来袭,可通过利用 EternalBlue 等多款 NSA 黑客工具开展大规模网络攻击活动。 安全公司 HEIMDAL SECURITY 研究人员在分析 BlueDoom 样本后表示,黑客疑似将一系列不同的黑客工具整合成一套数字化武器,用于开展长期网络攻击活动。目前,BlueDoom 似乎正在为未来的网络攻击搭建一座发射台。 蠕虫病毒 BlueDoom 感染用户设备后将陆续进入休眠 24 小时以及连接 TOR 网关两个阶段。调查显示,为确保第一阶段 payload 不会在目标客户端或服务器上多次运行,BlueDoom 将会创建互斥量  BaseNamedObjects \ {8F6F00C4-B901-45fd-08CF-72FDEFF} ,并将 TOR 安装组件作为 C&C 通信信道接受第二阶段 payload。此外,payload 还适用于 32 位与 64 位 的 Windows 系统。 安全研究人员建议用户通过创建具有上述互斥量的进程来防止 BlueDoom 运行;目前,Heimdal PRO 与 Heimdal CORP 已阻止 TOR 网关和 C&C 域名,以防设备下载主要感染组件。 原作者:ANDRA ZAHARIA ,译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接