分类: 恶意软件

英国最大 NHS 信托医院感染恶意软件,电脑设备被迫离线

据外媒报道,上周恶意软件感染了英国最大 NHS 信托机构 “Barts Health” 的计算机系统,导致医院不得不关闭部分网络以防未识别的恶意软件更大规模扩散。 英国巴兹保健和国民信托( Barts Health NHS Trust )是英国最大的 NHS (英国国家医疗服务)信托机构,负责监测 Mile End 医院、纽汉大学医院、伦敦皇家医院、巴茨医院、伦敦胸科医院和 Whipps Cross 大学医院。 Barts Health 发言人证实已拔掉一些 IT 设备电源作为预防措施,而此前关于勒索软件大爆发的消息或有误传。目前病人的护理并没有受到影响,官方也已发布相关声明指出: 本月 13 日,Barts Health 意识到遭受了网络攻击、紧急启动调查程序,并使一些机器离线作为预防措施。当前确认 Cerner Millennium 患者管理系统和用于放射治疗的临床系统不受影响。相关部门也已制定应急方案尽一切努力确保患者护理不受影响。 Check Point 的北欧威胁预防负责人 Aatish Pattni 表示,电脑设备感染恶意软件可能是来自员工不小心点击电子邮件中的错误链接造成,又或者是黑客的针对性网络攻击导致。 英国国家医疗服务( NHS )医院很少感染恶意软件,但并不等于没有。Barts 本身也曾经是恶意软件的受害者,2008 年 11 月,Barts 三家医院的 PC 系统感染 MyTob 蠕虫被迫离线,甚至短暂扰乱了救护车路由器与医院管理系统的运行。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

洛杉矶学院感染勒索软件被迫支付近三万美金

洛杉矶山谷学院( LAVC )感染勒索软件,IT 系统网络无法使用。七天后,学院无奈只得支付 28000 美元赎金解密文件、恢复正常教学秩序。 事件发生在新年之夜,洛杉矶山谷学院的网络、财务系统、电子邮件和语音邮件系统都遭到破坏,1800 名学生和员工无法正常学习和工作。黑客给了学院一周时间去支付赎金,并威胁不支付赎金将删除解密密钥。然而,遗憾的是,该学院像之前大多数受害者一样没有备份数据。最终在多方的压力下,洛杉矶学院只能同意支付赎金,以便迅速恢复系统和数据、开展教学。 据学校高层透露,他们之所以支付赎金重要的一点是,赎金成本比删除未知的勒索软件病毒以恢复数据和其他服务的成本低得多。不过,这种缴纳赎金的事情还是需要慎重考虑。最近亦有外媒报导 勒索软件 KillDisk 勒索 21.8 万美元巨额赎金,付款后却无法恢复文件的情况。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

当心“教育部”电子邮件,校长中招感染勒索软件需付七万赎金

英国欺诈与网络犯罪举报中心“ Action Fraud ”向教育部门发出勒索软件警告:欺诈分子正冒充政府官员,诱骗教育机构工作人员安装勒索软件,加密文件并勒索 8000 英镑( 6.7 万人民币)赎金。 欺诈分子打电话声称来自教育部“ Department of Education ”并索要个人、校长或财务管理员的电子邮件和电话号码。 之后,欺诈分子解释称需要直向校长接发送表格文件,这些文件是用来指导心理健康评估的相关工作,由于文件包含敏感信息,所以不能直接发送到学校公共邮箱。邮件附件的压缩包中含有伪装成 EXCEL 和 Word 的勒索软件,成功感染电脑的勒索软件会加密文件并索要高达 8000 英镑的赎金。欺诈分子还会冒充公司、养老金部门、电信提供商进行此类诈骗。 防范措施: ○ 英国“教育部”名称为“ Department for Education ”而不是“ Department of Education ”,工作人员应保持严谨的态度进行查证,提高警惕。 ○ 不要点击任何不可信或者是异常邮件 ○ 定期备份重要数据 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

新勒索软件 FireCrypt 另类特性可实现 DDoS 攻击

MalwareHunterTeam 的安全研究人员发现,勒索软件变种 FireCrypt 自带了某些新功能,允许攻击者发动小规模的 DDoS 攻击。 勒索功能 一旦,恶意 EXE 文件被触发,FireCrypt 将杀死计算机的任务管理器( taskmgr.exe )并使用 AES-256 加密算法加密 20 种文件类型。所有加密文件都会添加“ .firecrypt ”的扩展名。加密完成后会索要 500 美元赎金。FireCrypt 和勒索软件 Deadly 源代码很相似,都使用源代码的电子邮件和比特币地址,很有可能是 Deadly 的升级版。 DDoS 功能 FireCrypt 源码中含一个硬编码的 URL 地址,勒索软件会不断地连接该 URL 下载相应内容并存储在 %Temp% 磁盘文件名下,同时命名为 [random_chars]-[connect_number].html 。 该 URL 为巴基斯坦电信管理局的官网地址,勒索软件作者称该功能为“ DDoSer ”并希望借此发动 DDoS 攻击,不过感染设备至少要达到上万台才能达到攻击效果。 目前,还没有安全公司发布解密工具。如果受害者不希望支付 500 美元赎金迅速解密文件,则需耐心等待解密工具公布并保留好被加密文件的副本。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

HR 接收简历意外感染勒索软件 GoldenEye,须付上万赎金解密文件

长期以来,勒索软件一直被认为是消费者和企业的主要威胁。最近一系列针对企业人力资源( HR )部门的恶意活动表明,勒索软件对企业的威胁正持续上升。攻击者精心设计了一个简历邮件,其中不仅包含了应聘人的简短介绍,还包含了两个“详细介绍”的附件。 安全公司 Check Point 称,此类钓鱼邮件专门针对人力资源部门,因为 HR 不可避免的需要打开陌生人的电子邮件和附件去了解情况。垃圾邮件一直被用作为恶意软件的传播媒介,毫无疑问,攻击者继续使用这种方法去传播勒索软件“ GoldenEye ”, “ GoldenEye ”是勒索软件 Petya 的一个变种系列,恶意宏代码可执行、加密计算机上的文件。加密完成后,代码会修改主引导记录( MBR ),重新启动电脑并加密磁盘文件。 安全公司 Check Point 表示“ GoldenEye ”主要针对德语用户。钓鱼邮件中包含两个附件,其中一个附件是正常的 PDF 求职信,目的是为了迷惑受害者让她相信这确实是一个求职者。此后,受害者会打开另外一个带有恶意宏功能的 Excel 文件。 Excel 会显示一个正在加载的图片并请求受害者启用内容,以便继续加载宏文件。一旦受害者单击“启用内容”,宏内的代码将被执行并启动加密文件进程,使受害者无法访问文件。 勒索软件“ GoldenEye ”会以 8 个字符的随机扩展名加密文件,所有文件加密后,将会显示一个勒索信“你的文件已被加密.txt”。 你以为结束了?显示完勒索信后,勒索软件会强制电脑重新启动并开始加密电脑磁盘,在加密磁盘过程中屏幕会显示一个“假的”磁盘修复进程。最终,加密完成并显示解密方法。受害者需要缴纳 1.3 比特币的赎金(约 1.1 万人民币)。此外,勒索软件作者还提供邮件“咨询”服务,全程帮助受害者解决恢复文件过程中遇到的各种问题。 目前,尚且没有安全公司发布解密工具解密文件。人力资源部门在接收邮件时应警惕查看附件( Word、Excel、PDF ),禁用宏功能,切勿点击不可信链接,并及时做好文件备份。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载或引用请注明“转自 HackerNews.cc ” 并附上原文链接。违者必究。

勒索软件 Koolova 的奇葩游戏:限时读完两篇文章即可免费解密

安全研究员 Michael Gillespie 发现了 Koolova 勒索软件正在开发的新变种,该勒索软件要求受害者阅读两篇有关勒索软件的文章,然后将会提供免费的解密密钥。两篇文章分别是 Google 安全的博客的“ Stay safe while browsing ”,以及 BleepingCompute 的“ Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom ”, Koolova 勒索软件会展示一个倒计时,用户必须在倒计时结束前阅读完两篇文章,否则它将开始删除加密的文件。 一旦阅读完文章,软件的解密按钮将可以按下了。用户点击按钮后,勒索软件将会连接指令控制中心,获取解密密钥。 稿源:cnbeta ,有删改,封面来源:百度搜索

美国一电气公司的笔记本电脑被发现俄罗斯的黑客软件

据美国官员发表于《华盛顿邮报》的报告显示,佛蒙特州公共事业公司已侦测到有俄罗斯恶意软件的证据。感染恶意软件的是伯灵顿电气部门内一台(并未联网)的笔记本电脑,公司证实其确实违背有关条例。佛名特州公共事业专员表示,该台电脑可利用网络寻找合适的政党并使其断网。电器通信部门迅速扫描所有电脑上恶意软件的特征,所幸伯灵顿的电脑并未连接到内部组织的网络,其他公司亦是如此。 今天的恐慌让人们想起了俄罗斯“入侵”国家基础设施事件。今年 12 月 25 号乌克兰就曾受到“网络外部的干扰”再次遭遇断电事件,也被怀疑是俄罗斯黑客所为。 前日,美国总统奥巴马下令驱逐 35 名俄罗斯外交官,作为此前俄罗斯干扰美国总统大选的报复措施。对此俄罗斯总统普京选择直接无视奥巴马的挑衅,拒绝以针锋相对的手段与美国对抗,强调未来的俄美关系取决于特朗普而非奥巴马。 稿源:cnBeta,有删改;封面:cnBeta

磁盘擦除恶意软件 KillDisk 加入勒索功能,索要 222 比特币赎金

KillDisk 是一款臭名昭的恶意软件,专门用来擦除受害者硬盘驱动器上的文件,如今它已配备勒索功能可锁定受害者电脑并且勒索赎金。 KillDisk 由“ TeleBots ”黑客组织开发,该团体也开发了同名的后门木马,并声称为 2016 年对乌克兰公司的网络攻击事件负责。除此之外,乌克兰银行也曾遭受过包含该木马的网络钓鱼邮件攻击。 一旦恶意软件感染系统,KillDisk 将替换系统文件,修改文件扩展名,随着系统文件的损坏电脑将无法再次启动。KillDisk 要求受影响用户支付 222 个比特币的天价赎金,相当于约 21 万 5000 美元。此外,KillDisk 采用强加密,通过使用 AES 密钥加密每个文件,并使用 RSA-1028 密钥加密 AES 密钥。这实际上使解密难于登天,因为至少在这一点上,尚且没有已知的方式可用来解密被感染的文件。 想要解密则需联系恶意软件的开发人员支付赎金,最终获取解密钥匙进行恢复。 稿源:cnbeta 有删改,封面来源:百度搜索

勒索软件可感染智能电视,假冒 FBI 索取 500 美元罚款

勒索软件常见于智能手机和 PC 端,随着智能电视的普及也将逐渐成为勒索软件攻击的目标。据推特用户 Darren Cauthon 爆料称,其家庭成员为看电影而下载了一款包含勒索程序的软件,在开机时会显示虚假的 FBI 警告,要求感染者在三天内支付 500 美元的罚款。 类似的勒索软件在手机端比较常见,这次受感染的是一台 3 年前出厂的 LG 电视(型号为 50GA6400)。Cauthon 随后联系了 LG 方面进行维修,但是 厂商并不希望解释如何恢复出厂设置,而且该勒索软件阻止了所有设置选项访问。LG 的答复显然不能使 Cauthon 满意,当他在推特上不断抱怨且推文被转发和收藏数千次之后,LG 终于主动联系 Cauthon 并修复了电视机。 用户 Cauthon 还发布了视频演示:点击链接观看。 稿源:cnbeta,有删改;封面:百度搜索

“ WiFi 万能钥匙”仿冒软件可更改路由设置、劫持网络 DNS 流量

据卡巴斯基实验室报道,研究员发现了两个特别的 Android 木马版本,它们并非对用户设备进行攻击、窃取信息,而是攻击用户连接 Wi-Fi 网络的路由器。木马会暴力破解路由器 Web 管理界面的用户名和密码,并更改路由器设置中的 DNS 服务器地址,最终劫持流量重定向至恶意网站。 两种木马 acdb7bfebf04affd227c93c97df536cf;包名 – com.baidu.com 64490fbecefa3fcdacd41995887fe510; 包名 – com.snda.wifi 木马( com.baidu.com )伪装成百度安卓客户端,另外一个木马伪装成“ WiFi 万能钥匙”。 为了增加可信度,网络犯罪分子甚至创建了一个网站用于传播恶意软件,并将软件命名为“ WiFi 万能钥匙显密码版”,宣称为用户提供明文密码方便电脑连接网络。 执行过程 1、获取网络 BSSID 并与 C&C 服务器进行通信。 2、获取互联网服务提供商名称,并选择用于劫持路由器的 DNS 地址。 三种 DNS 服务器地址 101.200.147.153 (作为默认选择) 112.33.13.11 120.76.249.59 3、使用词典暴力破解路由器 Web 管理界面的用户名和密码。 如: admin:admin;admin:123456; 根据输入字段的硬编码名称和木马试图访问 HTML 文档的结构来看,目前木马的 JavaScript 代码仅适用于 TP-LINK Wi-Fi 路由器 Web 管理界面。 4、更改路由器 DNS 设置劫持网络流量。 正常的 DNS 查询 被劫持的 DNS 查询 影响范围 路由器设置被篡改,受影响的不再是个体,所有连接 WiFI 网络的设备都将受影响。 从网络罪犯分子的 C&C 网站的统计结果可知至少有 1280 台路由器受影响,受害者主要在中国地区。 解决办法 1、查看路由器 DNS 设置,是否存在以下流氓 DNS 服务器地址。 101.200.147.153 112.33.13.11 120.76.249.59 2、Web管理界面不要采用默认用户名和密码,以防止此类攻击发生。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。