分类: 恶意软件

勒索软件 WannaCry 感染美国至少两家医院医疗器械

据美国知名媒体福布斯( Forbes )报道,勒索软件 WannaCry 于近期已感染至少两家美国医院医疗器械。 美国国家安全局( NSA )武器库于上周遭神秘黑客组织 “影子经纪人” 在线曝光,WannaCry 勒索软件肆意蔓延。据称,该勒索软件网络攻击活动主要是利用 NSA 研究人员开发的 “ Eternal Blue ” 工具通过早期版本的 Microsoft Windows 系统漏洞感染全球用户设备。 福布斯记者提供了一张已感染勒索软件的医疗设备图像,疑似全球知名企业拜耳(Bayer )公司的放射学设备,其主要用于人体内部注射造影剂以辅助 MRI(核磁共振成像)扫描。(如下图) 勒索软件 WannaCry 感染该医疗设备,主要是因为它运行在(未打补丁的) Windows Embedded 操作系统中且支持 SMBv1 协议。目前,就连福布斯也并不知晓受感染的医院名称,但拜耳公司已证实收到两份美国客户系统报告。拜耳表示,勒索软件给医院带来的影响较有限,已在 24 小时内恢复正常,同时将于近期发布旗下产品基于 Microsoft Windows 设备的补丁。 此外,健康信息信任联盟(HITRUST)相关人士证实,勒索软件 WannaCry 目前也感染并锁定了全球知名企业西门子(Siemens )公司的部分 Windows 医疗设备。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

WannaCry 勒索软件 “开关 ”域名正遭受 DDoS 攻击

过去一周,勒索软件 “ WannaCry ” 给全球许多使用旧版 Windows 操作系统的机构和普通用户带来了惨痛的经历。尽管微软早于 2017 年 3 月发布了安全补丁,但仍有许多未及时更新的用户中招。如果不能在限定时间内支付等值 300 美元比特币的赎金,他们只能眼睁睁地看着被加密的资料丢失。万幸的是,一位名叫 Marcus Hutchins 的研究人员,通过某个 “开关” 域名成功阻止了该恶意软件的传播。 其在分析恶意软件代码后发现,被 WannaCry 感染的计算机会尝试与某个 “ 由一长串无意义字符组成的域名 ” 通信。于是在好奇心的驱使下,白帽黑客尝试注册了该域名,结果竟然意外阻断了该恶意软件的传播。不过最新消息是,幕后黑手仍然试图让 WannaCry 死灰复燃,其策略是利用各种可能的手段来攻击上文所述的这个 “ 域名 ”—— 比如分布式拒绝服务(DDoS)攻击。 据有关媒体报道,僵尸网络已经向这个 “ 开关域名 ” 发起了一波又一波的 DDoS 攻击。当前我们暂不知道幕后主使的身份,但有研究人员认为这是一帮以牺牲无辜者的利益来取乐的人。最后,某位法国安全研究人员在几天前找到了一个或许有助于修复被 WannaCry 勒索软件加密文档的方法,并且推出了一款名叫 “ wannakiwi ” 的工具。 稿源:cnBeta,封面源自网络

维基解密最新爆料:CIA 间谍软件 “ Athena ” 可远程劫持所有 Windows 系统

据外媒报道,继美国中央情报局( CIA ) 勒索软件工具 AfterMidnight 与 Assassin 在线曝光后,维基解密再度泄露其间谍软件 Athena 文档,旨在揭示  CIA 可感染并远程监控所有 Windows 版本用户系统。 微软于 2015 年 7 月发布 Windows 10 系统,而间谍软件 Athena 最早可追溯至 2015 年 8 月,由开发人员采用 Python 程序编写。 间谍软件 Athena 是 CIA 开发人员与网络安全公司 Siege Technologies 共同合作的结果,具备实时修改目标系统配置并可制定特殊操作的功能。维基解密声称,用户一旦下载安装恶意软件 Athena 后,系统将自动加载执行特定任务的恶意 payloads、传送和检索指定目录的文件内容。 目前,虽然维基解密并未提供有关 CIA 使用间谍软件 Athena 开展监控活动的任何细节,但不难想象 CIA 会如何使用此程序监视目标系统。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

蠕虫病毒 BlueDoom 通过 NSA 多款黑客工具肆意传播

继勒索软件 WannaCry 席卷全球后,一种新型蠕虫病毒 BlueDoom(EternalRocks)再度来袭,可通过利用 EternalBlue 等多款 NSA 黑客工具开展大规模网络攻击活动。 安全公司 HEIMDAL SECURITY 研究人员在分析 BlueDoom 样本后表示,黑客疑似将一系列不同的黑客工具整合成一套数字化武器,用于开展长期网络攻击活动。目前,BlueDoom 似乎正在为未来的网络攻击搭建一座发射台。 蠕虫病毒 BlueDoom 感染用户设备后将陆续进入休眠 24 小时以及连接 TOR 网关两个阶段。调查显示,为确保第一阶段 payload 不会在目标客户端或服务器上多次运行,BlueDoom 将会创建互斥量  BaseNamedObjects \ {8F6F00C4-B901-45fd-08CF-72FDEFF} ,并将 TOR 安装组件作为 C&C 通信信道接受第二阶段 payload。此外,payload 还适用于 32 位与 64 位 的 Windows 系统。 安全研究人员建议用户通过创建具有上述互斥量的进程来防止 BlueDoom 运行;目前,Heimdal PRO 与 Heimdal CORP 已阻止 TOR 网关和 C&C 域名,以防设备下载主要感染组件。 原作者:ANDRA ZAHARIA ,译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Adylkuzz :一个将可能比 WannaCry 还要可怕的恶意软件

近期,WannaCry 勒索软件肆虐全球。如果你认为这波网络攻击已经足够猛烈,那么你就错了。据外媒报道,下一波恶意软件 Adylkuzz 网络攻击活动即将来袭。不过,不同于其他勒索软件通过锁住设备牟取利益, Adylkuzz 是通过将各个设备变成僵尸网络军队的奴隶来为自己牟取利益。 Proofpoint 安全研究员指出,成千上万被感染的计算机将被转化成跟比特币类似的虚拟货币– Monero 的挖矿工具,而恶意软件 Adylkuzz 则通过跟 WannaCry 一样的服务器 — EternalBlue 展开传播。一旦该恶意软件进入计算机系统,它能够下载指令、挖矿机器人以及清除工具。据悉,Proofpoint 最早于 4 月 24 日发现此类攻击活动,但由于它于暗处操作,所以直到 WannaCry 席卷全球之后它才慢慢浮出水面,而许多用户目前甚至完全不知道自己所用设备已经遭到该恶意软件的网络攻击。 据了解,当感染 Adylkuzz 之后,电脑的性能就会出现下降的情况。此外,特定的一些 Windows 资源也将无法进行访问。据 Proofpoint 披露,在其中一个攻击中,一名黑客可以利用该恶意软件在感染设备上为自己赚取 2.2 万美元。 安全专家预测,Adylkuzz 的传播范围在未来甚至会比 WannaCry 还要广泛。而跟 WannaCry 一样的是, Adylkuzz 攻击的对象主要也是过时的系统设备。对此,安全研究人员建议用户将电脑的系统升级到微软推送的最新版,并禁用服务器消息块服务–当然前提是不需要它。 稿源:cnBeta,封面源自网络

维基解密曝光 CIA 勒索软件新工具:“AfterMidnight” 与 “Assassin”

据外媒 15 日报道,维基解密再度曝光两份 Vault7 文档,揭示美国中央情报局( CIA )使用恶意软件 AfterMidnight 、 Assassin 后门功能操控与监视 Microsoft Windows 系统设备。 恶意软件 AfterMidnight 允许黑客在目标系统中动态加载与执行恶意 payload。其主要 payload 被伪装成系统自身的动态链接库 ( DLL ) 文件并进行 “ Gremlins ”操作,以便黑客摧毁目标软件、收集信息或为其他 “ Gremlins ” 提供内部服务。此外,恶意软件 AfterMidnight 基于 HTTPS 的 Listening Post( LP )服务会检查所有预设计划和执行情况,每次接收新任务后,AfterMidnight 都会下载系统组件并存储于内存之中。 Assassin 则是一个自动化植入软件,为远程运行 Microsoft Windows 操作系统的计算机提供简单的数据收集平台。一旦工具安装在目标系统中,Assassin 将在 Windows 服务过程中运行并定期返回数据。此外,Assassin C2(指挥与控制)和 LP (听力后勤)子系统能够相互配合以便 CIA 通过受感染系统执行特定任务。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

全球 WanaCrypt 勒索软件影响情况报道汇总 05-15

HackerNews.cc 与您一同跟进全球 WanaCrypt 勒索软件影响情况 【国内要闻】 中石油受比特币勒索病毒波及,超8成加油站已重新连网 因全球比特币勒索病毒爆发,全国包括北京、上海、重庆、成都等多个城市的部分中国石油旗下加油站于 5 月 13 日凌晨突然出现断网现象,导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用。不过,加油站加油及销售等基本业务仍可正常运行。 为确保用户数据安全和防止病毒扩散,中国石油紧急中断所有加油站网络端口,并会同有关网络安全专家连夜开展处置工作,全面排查风险,制定技术解决方案。 多地公安部门、高校提醒防范“勒索”,有部分单位疑中招 多地公安部门、高校于 5 月 13 日下午均通过官方微博、微信、网站发布提醒信息:“ 新型 ‘ 蠕 ’ 式勒索病毒爆发,请广大用户升级安装补丁 ”。相关媒体走访部分医院、加油站、公安局与各高校发现,除中国石油旗下加油站与云南各高校外,其他单位网络暂未受到勒索病毒影响。目前,各单位已开始升级系统,以防勒索病毒再度传播。   【国际动态】 勒索病毒迄今已攻击至少 150 个国家,受害者达 20 万 勒索软件攻击事件已造成 150 多个国家的 20 多万人受影响,欧洲刑警组织负责人警告网络攻击威胁升级。英国和俄罗斯目前位于受害程度最严重的国家之列。安全专家警告称,新一波攻击正在临近,并且可能势不可挡。数据显示黑客留下的账户已收到约 2.85 万美元的汇款。欧洲刑警组织正在与美国联邦调查局合作,试图找出此番攻击的幕后黑手,此案涉案人员可能不只一人。 为防止勒索病毒攻击蔓延 法国雷诺部分工厂停产 法国汽车厂商雷诺公司为防止席卷全球勒索病毒攻击其计算机系统,该公司于 5 月 13 日决定暂停多家工厂生产活动以预防勒索病毒网络攻击。调查显示,雷诺是法国首家被勒索病毒影响的企业,目前该病毒已影响近 150 个国家的数万台计算机。 勒索病毒攻击者可能会调整代码并重启攻击 全球网络勒索病毒攻击不仅迫使欧洲汽车制造商停止汽车生产,还导致俄罗斯超过一半的电脑疑似感染勒索病毒。此外,部分中国学校和印尼医院的网络也纷纷受到影响。 欧洲刑警组织(Europol)下设的欧洲网络犯罪中心表示,正与成员国调查机构和私营的安全公司密切合作,打击这一网络威胁并帮助受害者恢复文件访问权限。此外,研究人员表示,攻击者可能会调整代码并重新启动循环。不过,目前还没有任何调整,但他们肯定会发生。 勒索病毒为何偏爱医院:怕耽误病情更新补丁太慢 迅速向全球扩散的勒索病毒网络攻击受害者持续增加,英国国民健康服务局( National Health Service )下属的 16 家机构受到影响,其中包括位于伦敦、英格兰西北部、英格兰中部的医院都呼吁称,处于非紧急状态下的病人最好待在家里,并全力阻止恶意软件扩散。此外,本次勒索病毒袭击活动中,多数大型企业也未能幸免,比如西班牙电信巨头 Telefonica SA 企业和美国 FedEx Corp 公司均遭受勒索病毒攻击。 本文由 HackerNews.cc 整理发布,转载请注明来源。

新型勒索软件 Jaff 感染全球逾 600 万台计算机设备

据外媒 12 日报道,安全研究人员发现僵尸网络 Necurs 正以每小时 500 万封恶意邮件的速度传播新型勒索软件 Jaff,以致感染全球逾 600 万台计算机设备。 勒索软件 Jaff 由开发人员采用 C 语言程序编写,主要用于加密目标计算机文件,从而达到勒索赎金的目的。目前,该勒索软件在僵尸网络 Necurs 的协助下已感染全球数百万台计算机设备。 据悉,僵尸网络 Necurs 发送附带 PDF 文档的电子邮件。倘若用户点击文档,将会打开含有恶意宏脚本的嵌入式 Word 文档以下载并运行勒索软件 Jaff 。 调查显示,勒索软件 Jaff 在不依赖 C&C 服务器的情况下已针对 423 个文件扩展名进行离线加密处理,加密后的文件显示“ . jaff ” 后缀。受影响的计算机桌面将会被攻击者恶意替换且收到关于勒索赎金的具体信件。 研究人员表示,该勒索信中警告受害者文件已被加密,但并未要求用户付款;相反,攻击者敦促受害者通过 Tor 浏览器访问网站支付门户,以便解密重要文件。一旦受害者下载安装 Tor 浏览器并访问该网站,则当即要求支付 1.79 比特币(约 3150 美元)。 研究人员提醒用户,在 Microsoft Office 应用程序中禁用宏且保持良好的备份例程,使其重要文件复制到外部存储设备之中。此外,用户在确保系统运行防毒安全软件的同时,始终使用安全Internet浏览器访问网页。 原作者:Mohit Kumar,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

全国多所高校遭勒索软件攻击,校园网络大面积受感染

HackerNews.cc 获悉,国内多所高校昨日晚间遭遇勒索软件 (Wana Decrypt0r 2.0) 攻击,实验室设备与学生个人电脑均被加密锁定,需支付 300 美元或 0.2 枚比特币方可解锁。 消息显示,勒索软件或是借助此前 NSA 泄露的 Windows SMB 等漏洞迅速感染校园网络,由于学校与学生个人电脑补丁不够及时,此次攻击事件影响较为广泛。 另据 cnBeta 报道,英国的国家卫生服务部门(NHS)近日亦遭受大规模黑客攻击,英国全国各地医院及卫生部门电脑被加密勒索。 目前恶意软件还在持续扩散,HackerNews.cc 提醒各大高校与学生保持警惕,及时备份重要文件、更新系统修复漏洞。我们将为您持续报道事件最新进展。

新型 IoT 僵尸网络 Persirai 一举攻陷 12 万台 IP 摄像机

据外媒 10 日报道,趋势科技( Trend Micro )安全研究人员发现物联网( IoT )僵尸网络 Persirai 针对 1000 多种 IP 摄像机模型展开攻击。目前至少 120,000 台 IP 摄像机已遭受网络攻击,而多数受害者未能察觉自身设备暴露于互联网之中。 研究人员表示,攻击者利用新型恶意软件通过 TCP 端口 81 可轻松访问 IP 摄像机 Web 界面。一旦攻击者登录受感染设备 Web 界面,即可强制 IP 摄像机连接恶意网站并自行下载执行恶意 shell 脚本。 调查显示,恶意软件将在 IP 摄像机下载执行脚本后自行删除并仅在内存中运行。有趣的是,该恶意软件会阻止 0day 攻击以防御其他黑客再度攻击已被感染的 IP 摄像机。此外,受感染 IP 摄像机还将远程报告给 C&C 服务器、接受命令并自动利用近期公布的零日漏洞攻击其他 IP 摄像机。 趋势科技表示,C&C 服务器被发现使用 .IR 地址代码。据悉,该代码由一家伊朗研究机构管理,且仅限伊朗人使用。此外,代码中还存在一些特殊波斯字符。 原作者:Hyacinth Mascarenhas, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接