分类: 恶意软件

勒索软件 Popcorn Time 出损招:传染他人、发展“下线”可免费解密

据外媒报道,安全团队 MalwareHunterTeam 研究员发现了一个新的勒索软件“ Popcorn Time ” 。 Popcorn Time 的工作原理与 TeslaCrypt、孤岛危机这些主流勒索软件相似,加密文件并勒索比特币赎金解密文件。值得注意的是,勒索软件提供了另外一种免费解密的方法:将勒索软件链接转发并感染另外两个受害者,如果他们都缴纳了赎金,你将免费得到解密密钥。 工作原理: 一旦感染,勒索软件 Popcorn Time 将检查 PC 上是否已运行勒索软件,如果是,则自行终止。否则,Popcorn Time 将下载各种图像作为背景图片并使用 AES-256 加密文件,加密文件将以 “.filock” 或 “.kok” 扩展名结尾。加密过程中,勒索软件将在桌面显示正在安装应用程序。 一旦加密完成,将形成 restore_your_files.html 和 restore_your_files.txt 类型的赎金笔记,并自动显示 HTML 勒索信,索要 1 比特币的赎金。 解密文件 勒索软件给受害者七天时间支付 1 比特币($ 750)赎金,否则解密密钥将在云端永久删除。 此外,勒索软件还提供给受害者另外一个免费获得解密密钥的方法。受害者需要将勒索软件链接转发给其他人并感染设备,如果有两个“下线”缴纳了赎金,受害者可以免费获得赎金。 这简直是另类传销,发展下线,祸害亲友。 格外注意 Popcorn Time 的源代码中包含一个提示:如果受害人输入解密密钥错误四次,加密文件也将被删除。 稿源:本站翻译整理, 封面:百度搜索

苏格兰足球协会邮件数据库遭入侵,向球迷群发恶意软件

当地时间 12 月 5日,苏格兰足协证实第三方电子邮件数据库遭黑客入侵,黑客访问了数据库并向订阅用户发送包含恶意软件的垃圾邮件。 电子邮件以“尊敬的客户”为标题,要求用户在 48 小时内支付账单。当点击账单后,系统会提示用户下载了一个文件,该秘密格式文件包含恶意软件可感染用户电脑。 苏格兰足协在 Twitter 上发表申明,提醒用户不要点击邮件并尽快删除电子邮件。此外,苏格兰足协也在其官方网站中发表声明陈述了入侵事件,并表示用户的银行或信用卡详细信息没有遭黑客窃取。 目前,调查正在进行,但苏格兰足球支持者协会在 Twitter 上声称攻击服务器来自中国。 稿源:本站翻译整理,封面来源:百度搜索

新恶意软件“ Gooligan ”已盗取 100 万谷歌账户,74% 安卓设备受影响

据外媒报道,安全公司 Check Point 发现一个命名为“ Gooligan ”的新 Android 恶意软件。恶意软件已经感染了超过 100 万个谷歌账户的 Android 设备,并以每天 13000 部设备的感染速度增长。 恶意软件 Gooligan 利用 Android 设备的漏洞获得 Root 权限,窃取电子邮件地址和存储在本地的身份验证令牌,从而劫持 Google 帐户,访问相应 Google 应用的敏感信息。如 Gmail、谷歌照片、谷歌文档、Google Play、云盘、G Suite 等其他程序的数据。 据 Check Point 博客显示,Gooligan 伪装成合法应用隐藏在第三方应用平台,一但安装,Gooligan 会利用安卓 VROOT (CVE-2013-6282) 和 Towelroot (CVE-2014-3153) 漏洞 下载、安装 Root 工具。受影响的设备包括 Android 4.x (Jelly Bean, KitKat) 和 5.x, (Lollipop) ,这些安卓版本的市场占有率超过 74% ,其中有 57% 的设备在亚洲,大约 9% 的设备在欧洲。 如何确定账号是否被盗? 安全公司 Check Point 提供了一个在线工具来检查你的 Android 设备是否已经感染了 Gooligan 恶意软件。 登录 https://gooligan.checkpoint.com 网站,输入邮箱号码。 如果被盗 1、关机并找专业售后刷机 2、更改谷歌密码 稿源:本站翻译整理,封面来源:百度搜索

Kangaroo 勒索软件曝光,暂无解决方案

援引安全公司 Bleeping Computer 报道,在感染名为“袋鼠”(Kangaroo)的勒索软件之后,用户开机进入桌面之前会伪装成法律声明来恐吓受害人,甚至阻止运行任务管理器、禁用负责显示 Windows UI 的 Explorer.exe 进程。 这款勒索软件并非通过下载携带恶意程序的文件或者访问钓鱼网站进行传播,而是黑客使用远程桌面手动进入受害人的电脑。一旦受害人执行了 Kangaroo 勒索软件,就会显示一个受害人身份 ID 以及加密密钥的窗口。 随后,该勒索软件就开始对文件进行加密,在加密文件上会显示.crypted_file的后缀。在完成对硬盘文件的加密之后,软件就会自动进入锁屏,并表明电脑存在严重的安全隐患,要求受害者向黑客支付一定费用才能完成解密。 令人感到遗憾的是,尽管 Bleeping Computer 已经找到了通过安全模式绕过锁屏的方法,但是这些加密的文件目前仍未有解密的工具实现。 稿源:cnbeta.com,封面来源:百度搜索 ·

勒索软件 Cerber 更迭至 5.0.1 使用新 IP 地址范围

安全公司 CheckPoint 发现勒索软件Cerber 在数周内连续更迭推出了 3 个版本的更新。2016 年 11 月 23 日 安全研究员发现新版本 Cerber 4.1.6 ,然而勒索软件没有显着的变化。但是版本发布后不到 24 小时,Cerber 5.0 和 5.0.1 出现了,用于指挥和控制通信的 IP 地址有了显著变化。除了个别 IP ,其余 IP 地址都换成了新的地址范围。 新的IP范围如下: 194.165.17.0/24 194.165.18.0/24 194.165.19.0/24 15.93.12.0/27 63.55.11.0/27 旧的IP范围仍在使用: 194.165.16.0/24 恶意代码通过 UDP 协议发送到所有 IP 地址。 勒索软件 Cerber 依旧通过垃圾邮件和漏洞利用工具 Rig-V Exploit EK 进行传播,加密文件扩展名更新为 4 位随机字母组合,加密目标依然是数据库以及其相关文件。 Cerber 5.0.0 赎金屏幕信息 稿源:本站翻译整理,封面来源:百度搜索

黑客推出 DDoS 攻击服务出租 Mirai 僵尸网络 40 万感染设备

两个昵称为 Popopret 和 BestBuy 的黑客开始对外出租 40 万感染设备组成的 Mirai 僵尸网络,提供“ DDoS-for-hire ”服务可根据客户要求对指定目标发动 DDoS 攻击。 此前,Mirai 僵尸网络发动了对 Dyn 公司和 主机托管公司 OVH 的 DDoS 攻击,曾导致美国东西部网络“断网”。“功能”强大意味着价格不便宜,黑客要求客户至少租两个星期,50,000 设备组成的僵尸网络攻击 3600 秒(1小时)、冷却时间 5 至 10 分钟,两周的费用在 3 千到 4 千美元。 稿源:本站翻译整理,封面来源:百度搜索

旧金山市政地铁系统感染勒索软件,乘客周末免费坐轻轨

美国当地时间周五晚间,旧金山公共交通机构超过 2000 台服务器/PC 感染 勒索软件 HDDCryptor 数据全部被加密,黑客索要 100 比特币(约合 73,000 美金)赎金。自动售票机被迫关闭,旅客被允许在周六免费乘坐轻轨。 这是又一起针对公共基础设施的勒索攻击事件,此前英国就曾发生过  NHS 网络感染恶意软件,导致多家医院被迫取消数百例手术的安全事件。 暂停服务,免费乘坐 目前统计结果显示,勒索软件 HDDCryptor 已感染 2112 台旧金山市政公共交通机构的计算机,这些系统包括办公室管理台式机、CAD 工作站、电子邮件和打印服务器、员工的笔记本电脑、工资系统、SQL 数据库、失物招领终端、车站亭电脑。蠕虫般的恶意软件会自动攻击该机构的网络,并能够达到组织的域控制器并感染连接网络的 Windows 系统。 感染设备的屏幕上显示这勒索信息 你被黑了,所有数据已被加密。联系(cryptom27@yandex.com)ID:681 , Enter. 以获取解密密钥。 11 月 27 日东部时间下午 6:42,经市政发言人 保罗·罗斯 确认 ,周日上午市政公共交通系统已经恢复了正常,官方未提供更多事件细节说明,只表示有关部门正在对勒索事件展开调查。 稿源:本站翻译整理,封面来源:百度搜索

你在 YouTube 上买到了暗藏后门的模板和钓鱼工具包?

YouTube 最近成为了网络罪犯、销售黑客工具的平台,不同水准的黑客之间也在相互较劲。 安全公司 Proofpoint 近期研究发现,部分在 YouTube 销售的网页模板和钓鱼工具包暗藏隐秘后门,“店家”承诺帮助买家发动钓鱼攻击,然而在买家利用工具进行钓鱼的同时 自己的信息也将被悄悄传回卖方。 “解码的样本中发现了(钓鱼工具)作者的 Gmail 地址,每次使用钓鱼工具获取的结果都会传送至该邮箱” Proofpoint 研究员表示,“在同一款软件其他样本中,还有另一组邮件辅助接受信息,目前尚不清楚是原作者所为又或是其他黑客改编后在发布的”。 让人意外的是 YouTube 上这些广告视频发布了许久却未被系统监管。大多数的视频教程包括演示钓鱼工具以及引导用户至对应网站购买。 稿源:本站翻译整理, 封面:百度搜索

黑客利用 “InPage” 办公软件 0-day 针对亚洲金融和政府机构

据外媒报道,卡巴斯基实验室研究人员发现有组织利用 InPage 办公软件的 0-day 漏洞对亚洲金融和政府机构进行间谍活动。 InPage 是被亚洲地区广泛使用的一种文本处理和页面布局工具。它支持乌尔都语、波斯语、普什图语和阿拉伯语。用户群体包括学院、图书馆、政府组织、媒体公司。 InPage 基于 Microsoft 复合文件格式形成了自己专有的文件格式。攻击者使用具有 InPage(.inp)扩展名结尾的特殊文件,该文件中被嵌入恶意 shellcode 代码并可在多个 InPage 版本内触发。恶意代码可以自解密并执行 EXE文件。软件主模块“ inpage.exe ”在解析某些字段时存在漏洞,攻击者可设置特殊内容触发漏洞、控制指令流程并执行代码。 研究人员已经发现黑客利用 InPage 0-day 漏洞,针对亚洲和非洲的金融和政府机构安装后门和键盘记录器等间谍软件,具体国家有缅甸、斯里兰卡和乌干达。 稿源:本站翻译整理,封面来源:百度搜索

Android 间谍软件意外曝光另一家意大利监控公司

RedNaga 安全团队研究员发现了新的 Android 间谍软件样本。该恶意软件具备了间谍软件的常用功能,并已经被发现用来针对政府组织,据调查该间谍软件与意大利一家为政府提供服务的软件公司 Raxir 有关。 该间谍软件具备了大多数间谍软件的常用功能:在系统启动后,程序会自动从桌面隐藏,开启或关闭GPS,控制设备静音,截取屏幕并存储,记录视频和音频文件,执行系统中的.dex文件,专门配置短信号码(873451679TRW68IO)将设备信息发送至指定的号码,伪装成谷歌服务的更新。 起初,专家们发现,Android 间谍软件与两个 IP 地址进行通信,而这两个 IP 过去曾被全球执法和情报机构间谍软件制造商 HackingTeam 使用过。此外,代码中还使用了意大利串,这表明有意大利人员参与了间谍软件的制作。 Hacking Team 是一家意大利公司,又称 HTS.r.l.,专注于研究监控技术,其销售的入侵和监控工具多供给全球各政府与执法机构,是为数不多的几家向全世界执法机构出售监控工具的公司之一 后由两位前 Hacking Team 公司员工和 Citizen Lab 实验室研究员 Bill Marczak 联合检查,最终确定软件不是 Hacking Team 公司研发制作的。 那么,谁开发了 Android 间谍软件? 在一台服务器 SSL 证书中,研究人员发现了一个被反复引用的字符串“ Raxir ”,这很可能是间谍软件作者。 RAXIR 是一家意大利公司,成立于2013年,该公司开发的软件主要用于意大利执法调查、为司法鉴定工作提供服务。 研究员扫描互联网上 Raxir 的痕迹发现了另一个服务器“ProcuraNapoliRaxirSrv” 。“The Procura ” 是调查犯罪办公室,“ Napoli ”是意大利南部的热门城市。因而推断这间办公室是 Raxir 公司的客户之一。 该软件具有如 READ_CONTACTS,CAMERA,SEND_SMS,RECEIVE_SMS 等权限,这些都是常见的恶意软件行为。此外,该恶意软件的开发者试图欺骗反向工程师调用“软件更新”的活动标签。在 apk 文件中,字符串还经过加密,这使逆向工程分析变得更加复杂。 似乎一切真相大白,但有一个大的疑团出现,RAXIS 公司的间谍软件为何要感染政府人员的移动设备。 1、间谍软件失控,被其他人利用。 2、出于某种原因,政府需用来调查内部人员。 稿源:本站翻译整理,封面来源:百度搜索