分类: 恶意软件

黑客通过伪造 PayPal 网站传播勒索软件

近期,有网站通过冒充 PayPal 官网,向不知情的用户传播 Nemty 勒索软件的新变种。 这个恶意软件的运营商正在尝试各种分发渠道,因为它被检测出是 RIG 漏洞利用工具包(EK)的有效载荷。   通过返现奖励引诱用户 当前最新的 Nemty 来自于该假冒 PayPal 网站,该网站承诺,将返还支付金额的 3-5% 给使用该网站进行支付操作的用户。   网友可以通过一些细节判断出此网站并非官网,该网站也被多家主流浏览器标记为危险,但用户还是有可能会继续下载和运行恶意软件“cashback.exe”。 安全研究人员 nao_sec  发现了新的 Nemty 分发渠道,并使用 AnyRun  测试环境来部署恶意软件并在受感染的系统上跟踪其活动。 自动分析显示,勒索软件加密受害主机上的文件大约需要7分钟。具体时间可能因系统而异。 幸运的是,该勒索软件可以被市场上最流行的防病毒产品检测到。对 VirusTotal 的扫描显示 68 个防病毒引擎中有 36 个检测到了该软件。   同形字攻击 因为网络犯罪分子使用的就是原网页的构造,所以该诈骗网站看起来就是官方网站。 为了增强欺骗性,网络犯罪分子还使用所谓的同形异义域名链接到了网站的各个部分(包括帮助和联系,费用,安全,应用和商店)。 骗子在域名中使用来自不同字母表的 Unicode 字符。浏览器会自动将它们转换为 Punycode  Unicode 中的内容看起来像 paypal.com,而在Punycode 中以 ‘xn--ayal-f6dc.com’ 的形式存在。 安全研究员 Vitali Kremez 指出这个 Nemty 勒索软件变种目前处于1.4版本,此版本修复了前版本中的一些小错误。 他观察到的一件事是“isRU” 检查已经被修改了,该检查可以验证受感染的计算机是否在俄罗斯,白俄罗斯,哈萨克斯坦,塔吉克斯坦或乌克兰。在最新版本中,如果检查结果为真,那么恶意软件不会随着文件加密功能而移动。   但是,这些国家/地区以外的计算机会被设为目标,他们的文件会被加密,副本也会被删除。 根据测试显示,黑客提出的赎金为 0.09981 BTC,约为 1,000美元,并且支付门户被匿名托管在了 Tor 网络上。 8月底,另一位安全研究员  Mol69 看到Nemty 通过RIG EK 进行分发,这样的做法十分反常,因为瞄准 Internet Explorer 和 Flash Player 这些不受欢迎的产品的攻击套件目前已经基本不存在了。   消息来源:BleepingComputer, 译者:xyj,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新勒索病毒 Ouroboros 来袭,多地医疗、电力系统受攻击

感谢腾讯御见威胁情报中心来稿! 原文: https://mp.weixin.qq.com/s/A3JYdC0dNze29v2W0xe1RA   一、概述 腾讯安全御见威胁情报中心通过蜜罐系统监测到Ouroboros勒索病毒在国内有部分传播,监测数据表明,已有湖北、山东等地的医疗、电力系统的电脑遭遇该勒索病毒攻击。经分析发现,该病毒的破坏仅在部分有限的情况可解密恢复,但在病毒按预期运行,基础设施完善情况下,暂无法解密。 Ouroboros勒索病毒首次出现于2019年8月中旬,目前发现其主要通过垃圾邮件渠道传播,由于其PDB路径中包含Ouroboros故因此得名,该病毒加密文件后会添加.Lazarus扩展后缀。 腾讯安全提醒各政企机构提高警惕,避免打开来历不明的邮件,腾讯电脑管家或腾讯御点终端安全管理系统可以查杀该病毒。 Ouroboros勒索病毒受害者的求助贴 Ouroboros勒索病毒的主要特点: 1.病毒会删除硬盘卷影副本; 2.部分样本会禁用任务管理器; 3.病毒加密前会结束若干个数据库软件的进程,加密文件时会避免加密Windows,eScan等文件夹; 4.个别情况下,该病毒的加密可以解密。在病毒按预期运行,基础设施完善情况下,暂无法解密; 5.攻击者弹出勒索消息,要求受害者通过电子邮件联系后完成交易。 二、分析 Ouroboros勒索病毒通常使用外壳程序来进行伪装,通过内存可Dump出勒索payload 查看勒索payload可知其PDB,根据PDB文件名,将该病毒命名为Ouroboros勒索病毒。 病毒运行后首先使用PowerShell命令行删除卷影 部分样本还会同时禁用任务管理器 首先获取本机的IP,磁盘信息,随机生成的文件加密Key信息,使用的邮箱信息进行上报 获取本机IP服务接口:hxxp://www.sfml-dev.org/ip-provider.php 病毒接收请求服务器IP:176.31.68.30   随后对服务器返回结果进行判断是否正常,当服务接口失活情况则拷贝一个硬编码密钥NC1uv734hfl8948hflgGcMaKLyWTx9H进行备用 加密前结束数据库相关进程列表: sqlserver.exe msftesql.exe sqlagent.exe sqlbrowser.exe sqlwriter.exe mysqld.exe mysqld-nt.exe mysqld-opt.exe 加密时避开以下关键词目录和文件: Windows eScan !Qhlogs Info.txt   硬编码的加密IV:1096644664328666 使用硬编码密钥KEY:NC1uv734hfl8948hflgGcMaKLyWTx9H进行AES文件加密   加密后如果为大文件则向后移动文件指针0xDBBA0处继续加密0x15F90字节大小内容   文件被加密为原始文件名.[ID=random][Mail=勒索邮箱号].Lazarus   例如如下图中“安装说明.txt”文件被加密为“安装说明.txt.[ID=40BjcX1Eb2][Mail=unlockme123@protonmail.com].Lazarus”   由于当前分析病毒版本接口未返回有效信息,病毒使用离线密钥进行加密,所以可以尝试对文件进行解密,编写测试demo可将上述“安装说明.txt”成功解密出原始内容。但由于在该病毒基础设施完善情况下,病毒攻击过程中使密钥获取困难,故该病毒的解密不容乐观。   病毒同时会留下名为Read-Me-Now.txt的勒索说明文档,要求联系指定邮箱购买解密工具     同时在ProgramData目录释放执行uiapp.exe弹出勒索说明窗口进一步提示勒索信息。   三、安全建议 企业用户: 针对该病毒的重点防御方案: 1.针对该勒索病毒主要通过电子邮件传播的特点,建议企业对员工加强安全意识教育,避免点击下载邮件附件。使用MS Office的用户,应尽量避免启用宏功能,除非该文档来源可靠可信。 2.使用腾讯御点终端安全管理系统或腾讯电脑管家拦截病毒,并启用文档守护者功能备份重要文档。 3.企业用户可以使用腾讯御界高级威胁检测系统,御界系统发现可疑邮件,并将可疑邮件的附件通过沙箱分析。在本案例中,御界系统的沙箱功能,分析出危险附件具有可疑的加密敲诈行为。 通用的安全措施: 1.企业内网可以关闭不必要的网络端口,降低黑客在内网攻击传播的成功率。如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、对重要文件和数据(数据库等数据)进行定期非本地备份。 6、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。   7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。 个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码。 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。 IOCs MD5: 87283fcc4ac3fce09faccb75e945364c e17c681354771b875301fa30396b0835 感染信息上报IP: 176.31.68.30 勒索邮箱: Helpcrypt1@tutanota.com unlockme123@protonmail.com dadacrc@protonmail.ch Steven77xx@protonmail.com 离线情况AES密钥: KEY:NC1uv734hfl8948hflgGcMaKLyWTx9H IV:1096644664328666

警方劫持僵尸网络并远程移除 85 万台受感染计算机上的恶意程序

据外媒TechCrunch报道,在一项罕见的壮举中,法国警方劫持了一个庞大的加密货币挖掘僵尸网络,其控制着近百万台受感染的计算机。臭名昭著的Retadup恶意软件感染计算机,主要被用于挖掘加密货币。 虽然恶意软件被用来赚钱,但恶意软件运营商很容易运行其他恶意代码,如间谍软件或勒索软件。恶意软件还具有可信的属性,允许它从计算机传播到计算机。自首次亮相以来,加密货币挖掘恶意软件已遍布全球,包括美国,俄罗斯以及中南美洲。 安全公司Avast通过一篇博文证实该行动是成功的。 该安全公司在发现恶意软件的命令和控制服务器中存在设计缺陷后参与其中。研究人员表示,如果利用得当,该漏洞将“允许我们从受害者的计算机中删除恶意软件”,而不会将任何代码推送到受害者的计算机上。 该漏洞将拆除该操作,但研究人员缺乏推进的法律授权。由于大多数恶意软件的基础设施位于法国,因此Avast与法国警方联系。在7月份接到检察官的批准后,警方继续进行操作,控制服务器并对远程移除了受影响计算机上的恶意程序。 法国警方称该僵尸网络是“世界上被劫持计算机最大的网络之一”。 该操作通过与其Web主机的协作秘密获取恶意软件的命令和控制服务器的快照而起作用。研究人员表示,他们必须谨慎行事,以免恶意软件运营商注意到这一点,因为他们担心恶意软件运营商可以进行报复。 “这些恶意软件的作者主要分发加密货币矿工,从而获得了非常好的被动收入,”这家安全公司表示。“但如果他们意识到我们即将完全取消Retadup,他们可能会将勒索软件推送到成千上万台计算机,同时试图将其恶意软件用于获取最后的利润。” 随着手中的恶意命令和控制服务器的副本,研究人员构建了自己的副本,远程移除了受害者计算机的恶意软件,而不是导致感染。 “(警察)用准备好的杀毒服务器取代了恶意(命令和控制)服务器,该服务器使连接的Retadup实例自毁,”Avast在博客文章中说。“在其活动的第一秒,有数千个机器人连接到它,以便从服务器获取命令。杀毒服务器回复他们并对他们进行杀毒,滥用协议设计缺陷。“ 通过这样做,该公司能够阻止恶意软件的运行,并将恶意代码从超过85万台受感染的计算机上移除。 法国警方网络部门负责人Jean-Dominique Nollet 表示,恶意软件运营商产生了数百万欧元的加密货币。 远程关闭恶意软件僵尸网络是一项罕见的成就 – 但难以实施。 几年前,美国政府撤销了第41条规则,现在允许法官在其管辖范围之外发布搜查和扣押令。许多人认为此举是联邦调查局努力进行远程黑客行动而不受法官管辖权的地方阻碍。批评人士认为,如果一位友好的法官在单一手令上侵入无数的计算机,那将是一个危险的先例。 从那时起,修订后的规则被用于拆除至少一个主要的恶意软件操作,即所谓的Joanap僵尸网络,这被认为与为朝鲜政府工作的黑客有关。   (稿源:cnBeta,封面源自网络。)

勒索软件攻击影响了美国数百家牙科诊所

据外媒Techspot报道,一个黑客组织本周设法渗透到美国数百家牙科诊所办公室的网络中,并用勒索软件加载他们的系统。正如Krebs on Security所强调的那样,PerCSoft是一家位于威斯康星州的数字牙科记录云管理提供商,该公司运营著名的DDS Safe在线数据备份服务。该服务为全国数百家牙科诊所提供牙科记录、图表、保险信息等。 黑客们使用Evil (Sodinokibi) 勒索软件攻击PerCSof,锁定约400牙科诊所的文件。多个消息来源报告说,PerCSoft支付了赎金,并获得了一个解密密钥,其正在积极地分发给受影响的牙科诊所,以帮助他们恢复他们的文件。 Krebs表示,目前尚不清楚PerCSoft是否直接支付了赎金,或者资金是否由保险公司提供。向付费受害者提供解密密钥符合黑客的最佳利益。如果他们声称不提供钥匙,那么人们就会放弃支付赎金,并且没有经济激励黑客继续这样做。 根据ProPublica的说法,提交保险索赔和支付免赔额通常比赎金赎金的全部成本要便宜得多。不幸的是,这鼓励黑客专门针对那些他们知道拥有网络保险的公司。   (稿源:cnBeta,封面源自网络。)

美国官员担心针对 2020 年选举的勒索软件攻击

据路透社报道,美国政府计划在大约一个月内启动一项计划,该计划的重点是在2020年总统大选之前保护选民登记数据库和系统。这些系统在投票前被广泛用于验证选民的资格,2016年俄罗斯黑客试图收集信息,这些系统受到了损害。据现任和前任美国官员称,情报官员担心,2020年的外国黑客不仅会瞄准数据库,而且会企图操纵或破坏这些数据。 “我们将这些系统评估为高风险,”一位美国高级官员表示。网络安全与基础设施安全局(CISA)是美国国土安全部的一个部门,该部门官员担心数据库可能成为勒索软件的目标。勒索软件是一种使美国各地的城市计算机网络陷入瘫痪的病毒,包括最近在德克萨斯州,巴尔的摩和亚特兰大。 “最近的历史表明,州和县政府以及支持他们的人都是勒索软件攻击的目标,”CISA主任Christopher Krebs说道。“这就是我们与选举官员及私营部门合作伙伴一起帮助保护他们的数据库并应对可能的勒索软件攻击的原因。” 勒索软件攻击通常会锁定受感染的计算机系统,直到通常以加密货币的形式向黑客支付赎金以便恢复数据。 根据现任和前任美国官员的说法,针对选举的反击勒索软件式网络攻击的努力与更大的情报界指令平行,以确定在2020年11月大选中最可能的数字攻击媒介。联邦调查局在支持国土安全倡议的一份声明中表示,“各州和市政当局必须限制有关选举制度或行政程序的信息,并确保其网站和数据库可以被利用。” CISA的计划将与州选举官员联系,为这种勒索软件场景做准备。它将提供教育材料、远程计算机渗透测试和漏洞扫描,以及有关如何防止和从勒索软件中恢复的建议列表。 但是,如果一个州的某个系统已经被感染,这些指导方针不会提供关于州政府是否应该最终支付或拒绝向黑客支付赎金的建议。“我们的想法是,我们不希望各州必须处于这种状况,”一位国土安全部官员说。“我们专注于防止它发生。” 官员表示,在过去两年中,网络罪犯和黑客组织使用勒索软件勒索受害者并制造混乱。在2017年发生的一起事件中,勒索软件被用来掩盖数据删除技术,使受害计算机完全无法使用。这次被称为“NotPetya”的攻击继续损害全球公司,包括联邦快递和马士基等。 专家支出,这种威胁因其对投票结果的潜在影响而受到关注。“选举前未被发现的攻击可能会篡改选民名单,造成巨大的混乱和拖延,剥夺权利,并且足够大规模可能会影响选举的有效性,”选举技术ESET研究所首席技术官John Sebes说道。 数据库也“特别容易受到这种攻击,因为当地司法管辖区和州全年积极地添加,删除和更改数据,”民主与技术中心的高级技术专家Maurice Turner说道。“如果恶意行为者没有提供密钥,除非受害者有最近的备份,否则数据将永远丢失。” 州选举官员告诉路透社,自2016年以来,他们已经改善了网络防御,包括在某些情况下,在发生攻击时为选民登记数据库准备备份。但国土安全部一位高级官员表示,地方政府就应该多久创建备份没有共同标准。“我们必须记住,对我们民主的这种威胁不会消失,对勒索软件攻击选民登记数据库的担忧就是一个明显的例子,”佛蒙特州州务卿Jim Condos说。“我们确信威胁远未结束。”     (稿源:cnBeta,封面源自网络。)

开发者移除 11 个 Ruby 库中 18 个带有后门的版本

RubyGems 软件包存储库的维护者近期移除了 11 个 Ruby 库中出现的 18 个恶意版本,这些版本包含了后门机制,可以在使用 Ruby 时启动加密货币挖掘程序。恶意代码最初发现于 4 个版本的 rest-client 库中,rest-client 是一个非常流行的 Ruby 库。 这些库中的恶意代码会将受感染系统的 URL 和环境变量发送到乌克兰的远程服务器。同时代码还包含一个后门机制,允许攻击者将 cookie 文件发送回受感染对象,并允许攻击者执行恶意命令。研究者调查后发现,这种机制被用于挖矿。 除了 rest-client,还有其它 10 个 Ruby 库也中招,但它们都是通过使用另一个功能齐全的库添加恶意代码,然后以新名称在 RubyGems 上重新上传而创建的。 研究人员分别统计了这些恶意版本在被移除前被下载的次数,一共被下载了三千多次,其中 rest-client 1.6.13 被下载了一千多次: rest-client:1.6.10(下载 176 次),1.6.11(下载 2 次),1.6.12(下载 3 次)和 1.6.13 (下载 1061 次) bitcoin_vanity:4.3.3(下载 8 次) lita_coin:0.0.3(下载 210 次) 即将推出:0.2.8(下载211次) omniauth_amazon:1.0.1(下载 193 次) cron_parser:0.1.4(下载 2 次),1.0.12(下载 3 次) )和 1.0.13(下载 248 次) coin_base:4.2.1(下载 206 次)和 4.2.2(下载 218 次) blockchain_wallet:0.0.6(下载 201 次)和 0.0.7(下载 222 次) awesome-bot:1.18.0(下载 232 次) doge-coin:1.0.2(下载 213 次) capistrano-colors:0.5.5(下载 175 次) 安全起见,建议在依赖关系树中删除这些库版本,或者升级/降级到安全版本,详情查看: https://www.zdnet.com/article/backdoor-code-found-in-11-ruby-librarie   (稿源:开源中国,封面源自网络。)

最新安全报告:单反相机已成为勒索软件攻击目标

恶意勒索软件近年来已经成为计算机系统的主要威胁,在成功入侵个人电脑,医院、企业、机构和政府部门的系统之后就会进行加密锁定,只有用户交付一定的赎金才能解锁。不过现在安全研究人员发现了单反相机同样存在这项的安全风险。援引安全软件公司Check Point今天发布的一份报告,详细说明了如何在数码单反相机中远程安装恶意程序。研究人员Eyal Itkin发现,黑客可以轻易地在数码相机上植入恶意软件。 他表示标准化的图片传输协议是传递恶意软件的理想途径,因为它是未经身份验证的,可以与WiFi和USB一起使用。该报告中指出通过黑客可以在热门景点部署有风险的WiFi热点,只要单反连接到这些热点之后就能进行攻击,从而进一步感染用户的PC。 在一段视频中,Itkin展示了他如何通过WiFi入侵Canon E0S 80D并加密SD卡上的图像,以便用户无法访问它们。他还指出,相机对于黑客来说可能是一个特别有价值的目标:毕竟相机中可能会存在很大用户不想要删除的影像资料。而且在真正的勒索软件攻击中,黑客设定的赎金往往不会太高,因此很多人会愿意交付赎金来摆脱不便。 Check Point表示它在3月份披露了佳能的漏洞,并且两人于5月份开始工作以开发补丁。上周,佳能发布了安全公告,告诉人们避免使用不安全的WiFi网络,在不使用时关闭网络功能,并在相机上更新并安装新的安全补丁。 Itkin表示目前他们只对佳能设备进行了测试,但是他告诉The Verge:“由于协议的复杂性,我们还认为其他供应商也可能容易受到这种攻击,但这取决于他们各自的实施情况。”   (稿源:cnBeta,封面源自网络。)

破坏型攻击爆发:制造业沦为重灾区

研究人员表示在过去6个月中网络攻击所造成的破坏力翻倍,而且受影响的组织中有50%属于制造业。基于近阶段的网络攻击,本周一IBM的X-Force IRIS事件响应团队发布了新的安全研究报告,强调破坏型恶意软件正在快速爆发。通过对恶意代码的分析发现,诸如Industroyer,NotPetya或Stuxnet在内的恶意程序不再是纯碎的窃取数据和秘密监控,而是造成更有破坏力的伤害。这些破坏行为包括锁定系统、让PC崩溃、渲染服务不可操作以及删除文件等等。 研究人员表示:“在历史上,像Stuxnet,Shamoon和Dark Seoul这样的破坏性恶意软件通常是被有国家背景的黑客所使用。不过自2018年年末以来,网络攻击份子开始不断将这些破坏型代码整合到自己的攻击中,例如LockerGoga和MegaCortex这样的新型勒索软件。” 而制造业是这些攻击的主要目标,目前曝光的案件中50%以上和工业公司有关。其中石油、天然气和教育领域的组织是重灾区,非常容易受到这种类型的攻击。最常见的初步感染手段就是网络钓鱼电子邮件,然后窃取进入内部网络所需要的电子凭证,注水漏洞攻击,劫持目标连接从而让对方妥协。 在发动恶意攻击之前,一些黑客将潜伏在公司系统中数月。IBM的X-Force IRIS事件响应团队的全球补救负责人Christopher Scott表示:“目前在破坏型恶意软件中存在另种攻击行为,前期保持缓慢发展,直到收集到需要的所有信息才会进行破坏;而另一种则是单纯的入侵然后破坏。” 报告中称当一家企业遭受破坏型恶意软件攻击之后,平均会有12000个工作站受到损坏,并且在攻击事件发生之后可能需要512个小时或者更长时间才能恢复。在一些极端情况下,恢复时间甚至可以延长到1200个小时。而大公司的恢复成本非常高,平均成本高达2.39亿美元。作为对比,Ponemon Institute估计,平均数据泄露将花费392万美元。   (稿源:cnBeta,封面源自网络。)

研究警告:犯罪分子在 Twitter 上利用技术支持骗局欺骗用户

据外媒CNET报道,研究人员警告Twitter用户在交出信用卡号码之前要仔细检查技术支持账户。网络安全公司趋势科技(Trend Micro)周二发布的一份报告详细介绍了网络犯罪分子利用社交媒体平台欺骗用户的一些最新方式。 趋势科技在2月份分析了Twitter 数据,发现犯罪分子吸引更多的受害者的方法。这包括重复发布虚假电话号码,同时通过电话冒充官方技术支持代理,并说服受害者交出信用卡信息。网络犯罪分子还使用虚假技术支持Twitter帐户来散布针对银行账户的窃取数据的恶意软件。 根据趋势科技的说法,Twitter骗局是欺诈者在Facebook、YouTube、Pinterest和Telegram上进行多平台努力的一部分。 “直接阻止技术支持骗局是棘手的,因为他们不依赖于恶意可执行文件或黑客工具,”该研究称。“他们反而通过社会工程攻击来将目标对准毫无戒心的受害者。” Twitter有针对诈骗和滥用的政策。趋势科技表示,其发现这些规则得到了积极执行,而且它发现的许多诈骗帐户都被迅速删除。 趋势科技在其网站上发布了完整报告。Twitter没有立即回复评论请求。   (稿源:cnBeta,封面源自网络。)

No More Ransom 项目使勒索软件犯罪团队利润至少减少 1.08 亿美元

在No More Ransom项目三周年之际,欧洲刑警组织(Europol)宣布,通过No More Ransom门户网站提供的免费工具下载和解密文件的用户已经阻止了勒索软件犯罪团队估计至少1.08亿美元的利润。 欧洲刑警组织称,仅仅在No More Ransom网站上提供的GandCrab勒索软件的免费解密工具就已经阻止了近5000万美元的赎金支付。 该项目于2016年7月启动,现在拥有82个工具,可用于解密109种不同类型的勒索软件。其中大部分是由EMSIsoft,Avast和Bitdefender等病毒安全软件制造商创建和共享的; 以及像国家警察机构、应急小组或者像Bleeping Computer这样的在线社区。 到目前为止,最有经验的成员是防病毒制造商Emsisoft,它为32种不同的勒索软件菌株发布了32种解密工具。 “我们为释放MegaLocker的解密器感到非常自豪,因为它不仅帮助了成千上万的受害者,而且它确实激怒了恶意软件作者,”Emsisoft的研究员Michael Gillespie告诉ZDNet。 欧洲刑警组织表示,自推出以来,有超过300万用户访问了该网站,超过20万用户从No More Ransom门户网站下载了工具。网站访问者来自世界各地的188个国家,这表明尽管该项目始于欧洲,但其覆盖范围现已全球化。 根据欧洲刑警组织分享的统计数据,该网站的大部分访客来自韩国、美国、荷兰、俄罗斯和巴西。 No More Ransom最初只与三个机构展开合作 – 荷兰警察,卡巴斯基和迈克菲 – 但现在在全球有超过150个合作伙伴。No More Ransom的唯一奇怪之处在于缺乏任何美国执法机构。合作伙伴来自各个领域,包括执法、公共组织和私营公司。 “我们一直与欧洲LEA [执法机构]保持良好的工作关系,与他们共享数据一直非常简单,”Emsisoft首席技术官Fabian Wosar告诉ZDNet。 “Europol并没有要求我们创建特定的解密工具,我们只是让他们访问我们创建的工具,”Wosar补充说道。“但是,我们已被要求为许多公司提供定制解密解决方案。” 然而,Emsisoft发言人告诉ZDNet,欧洲刑警组织分享的1.08亿美元估计“实际上是被严重低估”。   (稿源:cnBeta,封面源自网络。)