分类: 恶意软件

HR 接收简历意外感染勒索软件 GoldenEye,须付上万赎金解密文件

长期以来,勒索软件一直被认为是消费者和企业的主要威胁。最近一系列针对企业人力资源( HR )部门的恶意活动表明,勒索软件对企业的威胁正持续上升。攻击者精心设计了一个简历邮件,其中不仅包含了应聘人的简短介绍,还包含了两个“详细介绍”的附件。 安全公司 Check Point 称,此类钓鱼邮件专门针对人力资源部门,因为 HR 不可避免的需要打开陌生人的电子邮件和附件去了解情况。垃圾邮件一直被用作为恶意软件的传播媒介,毫无疑问,攻击者继续使用这种方法去传播勒索软件“ GoldenEye ”, “ GoldenEye ”是勒索软件 Petya 的一个变种系列,恶意宏代码可执行、加密计算机上的文件。加密完成后,代码会修改主引导记录( MBR ),重新启动电脑并加密磁盘文件。 安全公司 Check Point 表示“ GoldenEye ”主要针对德语用户。钓鱼邮件中包含两个附件,其中一个附件是正常的 PDF 求职信,目的是为了迷惑受害者让她相信这确实是一个求职者。此后,受害者会打开另外一个带有恶意宏功能的 Excel 文件。 Excel 会显示一个正在加载的图片并请求受害者启用内容,以便继续加载宏文件。一旦受害者单击“启用内容”,宏内的代码将被执行并启动加密文件进程,使受害者无法访问文件。 勒索软件“ GoldenEye ”会以 8 个字符的随机扩展名加密文件,所有文件加密后,将会显示一个勒索信“你的文件已被加密.txt”。 你以为结束了?显示完勒索信后,勒索软件会强制电脑重新启动并开始加密电脑磁盘,在加密磁盘过程中屏幕会显示一个“假的”磁盘修复进程。最终,加密完成并显示解密方法。受害者需要缴纳 1.3 比特币的赎金(约 1.1 万人民币)。此外,勒索软件作者还提供邮件“咨询”服务,全程帮助受害者解决恢复文件过程中遇到的各种问题。 目前,尚且没有安全公司发布解密工具解密文件。人力资源部门在接收邮件时应警惕查看附件( Word、Excel、PDF ),禁用宏功能,切勿点击不可信链接,并及时做好文件备份。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载或引用请注明“转自 HackerNews.cc ” 并附上原文链接。违者必究。

勒索软件 Koolova 的奇葩游戏:限时读完两篇文章即可免费解密

安全研究员 Michael Gillespie 发现了 Koolova 勒索软件正在开发的新变种,该勒索软件要求受害者阅读两篇有关勒索软件的文章,然后将会提供免费的解密密钥。两篇文章分别是 Google 安全的博客的“ Stay safe while browsing ”,以及 BleepingCompute 的“ Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom ”, Koolova 勒索软件会展示一个倒计时,用户必须在倒计时结束前阅读完两篇文章,否则它将开始删除加密的文件。 一旦阅读完文章,软件的解密按钮将可以按下了。用户点击按钮后,勒索软件将会连接指令控制中心,获取解密密钥。 稿源:cnbeta ,有删改,封面来源:百度搜索

美国一电气公司的笔记本电脑被发现俄罗斯的黑客软件

据美国官员发表于《华盛顿邮报》的报告显示,佛蒙特州公共事业公司已侦测到有俄罗斯恶意软件的证据。感染恶意软件的是伯灵顿电气部门内一台(并未联网)的笔记本电脑,公司证实其确实违背有关条例。佛名特州公共事业专员表示,该台电脑可利用网络寻找合适的政党并使其断网。电器通信部门迅速扫描所有电脑上恶意软件的特征,所幸伯灵顿的电脑并未连接到内部组织的网络,其他公司亦是如此。 今天的恐慌让人们想起了俄罗斯“入侵”国家基础设施事件。今年 12 月 25 号乌克兰就曾受到“网络外部的干扰”再次遭遇断电事件,也被怀疑是俄罗斯黑客所为。 前日,美国总统奥巴马下令驱逐 35 名俄罗斯外交官,作为此前俄罗斯干扰美国总统大选的报复措施。对此俄罗斯总统普京选择直接无视奥巴马的挑衅,拒绝以针锋相对的手段与美国对抗,强调未来的俄美关系取决于特朗普而非奥巴马。 稿源:cnBeta,有删改;封面:cnBeta

磁盘擦除恶意软件 KillDisk 加入勒索功能,索要 222 比特币赎金

KillDisk 是一款臭名昭的恶意软件,专门用来擦除受害者硬盘驱动器上的文件,如今它已配备勒索功能可锁定受害者电脑并且勒索赎金。 KillDisk 由“ TeleBots ”黑客组织开发,该团体也开发了同名的后门木马,并声称为 2016 年对乌克兰公司的网络攻击事件负责。除此之外,乌克兰银行也曾遭受过包含该木马的网络钓鱼邮件攻击。 一旦恶意软件感染系统,KillDisk 将替换系统文件,修改文件扩展名,随着系统文件的损坏电脑将无法再次启动。KillDisk 要求受影响用户支付 222 个比特币的天价赎金,相当于约 21 万 5000 美元。此外,KillDisk 采用强加密,通过使用 AES 密钥加密每个文件,并使用 RSA-1028 密钥加密 AES 密钥。这实际上使解密难于登天,因为至少在这一点上,尚且没有已知的方式可用来解密被感染的文件。 想要解密则需联系恶意软件的开发人员支付赎金,最终获取解密钥匙进行恢复。 稿源:cnbeta 有删改,封面来源:百度搜索

勒索软件可感染智能电视,假冒 FBI 索取 500 美元罚款

勒索软件常见于智能手机和 PC 端,随着智能电视的普及也将逐渐成为勒索软件攻击的目标。据推特用户 Darren Cauthon 爆料称,其家庭成员为看电影而下载了一款包含勒索程序的软件,在开机时会显示虚假的 FBI 警告,要求感染者在三天内支付 500 美元的罚款。 类似的勒索软件在手机端比较常见,这次受感染的是一台 3 年前出厂的 LG 电视(型号为 50GA6400)。Cauthon 随后联系了 LG 方面进行维修,但是 厂商并不希望解释如何恢复出厂设置,而且该勒索软件阻止了所有设置选项访问。LG 的答复显然不能使 Cauthon 满意,当他在推特上不断抱怨且推文被转发和收藏数千次之后,LG 终于主动联系 Cauthon 并修复了电视机。 用户 Cauthon 还发布了视频演示:点击链接观看。 稿源:cnbeta,有删改;封面:百度搜索

“ WiFi 万能钥匙”仿冒软件可更改路由设置、劫持网络 DNS 流量

据卡巴斯基实验室报道,研究员发现了两个特别的 Android 木马版本,它们并非对用户设备进行攻击、窃取信息,而是攻击用户连接 Wi-Fi 网络的路由器。木马会暴力破解路由器 Web 管理界面的用户名和密码,并更改路由器设置中的 DNS 服务器地址,最终劫持流量重定向至恶意网站。 两种木马 acdb7bfebf04affd227c93c97df536cf;包名 – com.baidu.com 64490fbecefa3fcdacd41995887fe510; 包名 – com.snda.wifi 木马( com.baidu.com )伪装成百度安卓客户端,另外一个木马伪装成“ WiFi 万能钥匙”。 为了增加可信度,网络犯罪分子甚至创建了一个网站用于传播恶意软件,并将软件命名为“ WiFi 万能钥匙显密码版”,宣称为用户提供明文密码方便电脑连接网络。 执行过程 1、获取网络 BSSID 并与 C&C 服务器进行通信。 2、获取互联网服务提供商名称,并选择用于劫持路由器的 DNS 地址。 三种 DNS 服务器地址 101.200.147.153 (作为默认选择) 112.33.13.11 120.76.249.59 3、使用词典暴力破解路由器 Web 管理界面的用户名和密码。 如: admin:admin;admin:123456; 根据输入字段的硬编码名称和木马试图访问 HTML 文档的结构来看,目前木马的 JavaScript 代码仅适用于 TP-LINK Wi-Fi 路由器 Web 管理界面。 4、更改路由器 DNS 设置劫持网络流量。 正常的 DNS 查询 被劫持的 DNS 查询 影响范围 路由器设置被篡改,受影响的不再是个体,所有连接 WiFI 网络的设备都将受影响。 从网络罪犯分子的 C&C 网站的统计结果可知至少有 1280 台路由器受影响,受害者主要在中国地区。 解决办法 1、查看路由器 DNS 设置,是否存在以下流氓 DNS 服务器地址。 101.200.147.153 112.33.13.11 120.76.249.59 2、Web管理界面不要采用默认用户名和密码,以防止此类攻击发生。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Barnes&Noble Nook Tablet 7 平板电脑预装“间谍软件”

Barnes&Noble 在 11 月中旬加入了低成本平板电脑竞赛,推出售价仅为 50 美元的 Nook Tablet 7 平板电脑。定位于这个假日季节的入门级设备,如亚马逊 7 英寸 Fire 平板电脑现在零售价格已经在 40 美元以下。 不过,Barnes&Noble 这款产品当中预装了一个名为 Adups 的程序。Adups 之前已经被发现感染了未知数量的 Android 智能手机,包括 BLU R1 HD。安全人员透露, Adups 能够捕获和传输各种敏感的用户数据,包括联系人姓名,电话和文本日志,IP 地址等,所有这些都没有公开明示或经过用户同意。 对此,Barnes&Noble 表示,在 11 月 26 日 Nook Tablet 7 上市时,该设备会自动更新较新版本的 Adups(5.5 版本),该版本已通过认证符合 Google 的安全要求。Adups 的开发商曾向他们证实“并没有从 Nook 平板电脑收集任何个人身份信息或位置数据,也没有这样做的计划。”不过,Barnes&Noble 表示正在进行一项更新,这将彻底从Nook Tablet 7 中删除 Adups。根据 Barnes&Noble 首席数字官 Fred Argir 的说法,该更新会在未来几个星期内推出。 稿源:cnbeta 有删改;封面:百度搜索

《超级马里奥跑酷》火遍全球,恶意“盗版”紧随其后

今年 9 月份的苹果发布会上,任天堂正式宣布经典游戏《超级马里奥跑酷》将于 12 月 15 日率先登陆 iOS 平台。《超级马里奥跑酷》上架不到 12 小时,就已登上美区 App Store 的免费榜和畅销榜的榜首,人气远超任天堂的上一爆款游戏《Pokemon GO》(精灵宝可梦),安卓版将在明年发布,目前,该游戏还没有上线中国市场,一旦上线,用户群体将更加庞大。 然而,巨大的市场利润也引来了犯罪分子的觊觎。据趋势科技报道,游戏正式版本发布之前网络上已经开始流传“抢先版”《超级马里奥》。自 2012 年以来,趋势科技已经发现超过 9000 款“马里奥”手游,其中三分之二的应用程序存在恶意行为,包括显示广告、未经用户同意下载应用程序等。 目前这些恶意应用已被下载超过 90000 次,其中大部分是由以下国家的用户下载。下载量前三名分别为印度尼西亚( 41 % )、印度( 33 % )、墨西哥( 8 % )。 大多数恶意应用程序只是显示广告,但部分应用存在强制下载、安装不必要程序的现象。 如以《超级马里奥》为名的 ANDROIDOS_DOWNLOADER.CBTJ 恶意应用程序,当用户试图运行这个程序,游戏并不会启动。它声称需要更新,并“提示”用户安装其他应用程序。 另外一个恶意应用程序 ANDROIDOS_DOWGIN.AXMD ,虽然游戏操作和剧情很符合模拟器版本,但却要求异常的权限许可,如接受短信、阅读并修改 SD 卡数据、查询账户等。它会创建不必要的图标、显示弹出式广告和横幅广告、安装其他应用程序并执行其他侵入活动无需用户授权。点击这些广告或图标将链接到成人网站或恶意网站,并诱使用户安装其他应用程序。恶意程序会申请激活“设备管理器”,执行其他恶意操作。 小贴士 玩家用户在下载游戏时,一定要在正规的第三方平台下载应用,避免下载伪装成正版游戏的恶意软件。此外,对于破解版应用游戏,应更加警惕小心。随着热度的发酵,会有越来越多的恶意应用伪装成“超级马里奥跑酷”游戏感染玩家设备。 稿源:本站翻译整理,封面来源:百度搜索

恶意软件 DNSChanger 通过恶意像素图片传播,更改 DNS 设置、劫持流量

不久前,我们报道过一个新的恶意广告活动“ Stegano ” ,攻击者在主流新闻网站的广告图片像素中嵌入恶意代码并执行恶意操作。 现在,安全公司 Proofpoint 研究人员发现攻击者开始利用该恶意广告“ Stegano ”技术传播恶意软件 DNSChanger。DNSChanger 和其他恶意软件不同,它并不依赖于浏览器或者设备漏洞,而是利用家庭或小型办公室的路由器漏洞。DNSChanger 将更改 DNS 设置、劫持网络流量,进行中间人、欺诈、网络钓鱼攻击。 攻击原理: 攻击者在主流网站的广告图片中隐藏恶意代码,点击广告会重定向受害者至恶意网页下载恶意软件 DNSChanger 开发套件。 包含恶意 JavaScript 代码的图片会触发 WebRTC (网络通信协议)向 Mozilla 的 STUN 服务器发送请求,STUN 服务器会返回一个 ping 值包含 IP 地址和客户端端口号。如果目标的 IP 地址在攻击范围内,受害者将收到一个包含恶意代码的 PNG 图像广告,并再次使用恶意广告技术下载恶意软件 DNSChanger 。 恶意软件会利用路由器固件漏洞或者尝试破解弱密码入侵路由器。一旦路由器被入侵,恶意软件会改变 DNS 服务器设置,定向到攻击者控制下的恶意服务器。恶意 DNS 服务器可重定向网络流量至钓鱼网站。攻击者还可以注入广告、重定向搜索结果、尝试下载安装驱动等。 影响范围 目前,上百款路由器型号都受到影响,包括 · D-Link DSL-2740R · NetGear WNDR3400v3 (一系列型号) · Netgear R6200 · COMTREND ADSL Router CT-5367 C01_R12 · Pirelli ADSL2/2+ Wireless Router P.DGA4001N 解决方案 建议用户确保路由器运行最新版本的固件,使用强密码。此外还可以禁用远程管理,更改其默认本地 IP 地址,用不易修改的硬编码格式设置一个值得信赖的 DNS 服务器。 稿源:本站翻译整理,封面来源:百度搜索

安卓恶意软件 Tordow 释出 2.0 版本,可获手机 root 权限窃取财务信息

据外媒报道,近日安全公司 Comodo 发现恶意软件 “Tordow” 已更新至 2.0 版本,主要针对俄罗斯用户获取手机 root 权限、盗取密码以及财务信息。 恶意软件 “Tordow“ 是一种手机银行木马,今年 2 月份首次被发现,通过第三方应用市场感染用户。“Tordow“ 木马除了从安卓手机上获取 root 权限外,还会执行一系列操作包括:拨打电话、控制短信、下载并安装程序、窃取登录凭证、访问联系人、文件加密、处理银行业务数据、删除安全软件等,并以此作为勒索。 Tordow 如何感染安卓手机 需要提及的是,Tordow 主要通过第三方应用商店进行传播,用户对于可信度不高的应用商店应该敬而远之。Comodo 表示,攻击者通过对正规应用进行逆向、注入恶意程序,然后重新上传至第三方商店,如冒充 Pokemon Go、 Telegram、地铁跑酷等应用上传。这些应用程序还可以通过社交媒体或其他网站传播,因此选择可信的第三方应用商店下载软件非常重要。 Tordow 是如何运行的 感染 Tordow 的恶意程序被安装后,木马首先会尝试获得 root 权限,然后连接到外部控制中心以等待攻击者的更多命令。从目前调查情况看,Tordow 主要针对银行账户,网络犯罪分子似乎对俄罗斯用户的财务信息很感兴趣。 稿源:本站翻译整理, 封面:百度搜索