分类: 恶意软件

微软称新网络袭击源头是乌克兰一会计软件生产商

微软公司、网络安全分析师和乌克兰警方周三表示,新一轮影响全球的病毒袭击事件的源头,来自一家乌克兰的会计软件生产商 M.E.Doc。乌克兰警方负责网络犯罪部门本周二晚些时候表示,M.E.Doc 的软件升级中包含该病毒。同日,微软在一篇博文中表示,有证据显示用户在对该软件制造商的软件进行更新感染了病毒。 网络安全公司 FireEye 高级经理 John Miller 在一封电子邮件中表示,此次攻击中的所使用的一种病毒载体就是 M.E.Doc 生产的软件。卡巴斯基实验室首席安全专家 Aleks Gostev 同样证实,M.E.Doc似乎是恶意软件的来源。 据彭博社消息,M.E.Doc 并未就相关言论做出回应。在该公司的 Facebook 主页上,M.E.Doc 表示,“行业内主流的反病毒公司”已经对其软件进行了审查,证实了该公司对病毒的传播没有任何责任。该公司表示,像其他受害者一样,公司的服务也受到了此轮袭击的影响,并且正在努力恢复服中。 另据纽约时报报道,根据计算机安全公司赛门铁克的研究人员称,与五月份的 WannaCry 攻击一样,新的这一轮攻击同样使用美国国家安全局( National Security Agency )的黑客工具 Eternal Blue (永恒之蓝),并辅之以其他两种传播方法来加速病毒的传播。美国国家安全局尚未承认其工具被用于 WannaCry 或其他攻击,但计算机安全专家正在要求该机构帮助全世界其他机构和公司创造的可以遏制病毒传播的工具。 周二爆发的新一轮网络袭击首先从乌克兰政府部门的网络系统开始,随后俄罗斯石油公司、英国广告商WPP和切尔诺贝利核电站等机构均报告称遭到袭击。受其影响最深的丹麦航运巨头马士基集团在进行了全面评估后,不得不选择关闭了整个网络系统。 稿源:cnBeta,第一财经;封面源自网络

Svpeng 手机木马掀起首季度勒索软件攻击事件高潮

2017 年第一季度,手机勒索软件攻击数量激增,与去年同期相比增长 3.5 倍。犯罪分子试图通过 25 万个安卓手机木马安装包从受害者处勒索钱财,赎金金额从 100 美元到 500 美元不等。 根据卡巴斯基实验室本周一发布的《 2016 – 2017勒索软件报告》,德国首当其冲成为重灾区,美国受害者数量紧随其后。考虑到 2015 – 2016 年攻击数量的整体下降趋势(从 136,532 将至 130,232 ),2017 第一季度手机勒索软件数量的急剧增长情况实属异常。 报告显示,手机勒索软件攻击数量的下降反映了安全解决方案厂商、执法机构与白帽黑客之间的有效协作。2017 年第一季度勒索软件攻击事件高发源于 2016 年 12 月 Svpeng 勒索软件家族兴起。与通过入侵工具包与恶意电子邮件附件下载安装的 PC 端勒索软件不同,手机勒索软件主要通过观看色情内容或下载虚假手机Adobe Flash播放器传播。 报告作者之一、卡巴斯基实验室恶意软件高级分析师 Roman Unuchek 表示,“多数情况下,犯罪分子主要利用受害者的疏忽大意以及未及时更新安卓 OS 版本发动攻击。安卓更新版本具有相对完善的安全功能,对勒索软件起到一定抑制作用。” 报告指出,Svpeng 与 Fusob 两大恶意软件家族占据手机勒索软件市场。Fusob 构成勒索软件攻击事件主体,主要通过伪装成名为 “xxxPlayer” 的多媒体播放器欺骗用户。一旦成功下载,勒索软件就会阻止用户访问设备,除非缴纳 100 美元至 200 美元赎金。 手机木马 Svpeng 最早由卡巴斯基实验室于 2013 年发现,此后经历多番勒索软件功能添加或修改。以往社工活动主要基于短消息欺骗用户下载恶意软件。完成安装后会显示一份冒充 FBI 开具的非法内容下载罚单,要求以缴纳 200 美元罚金为代价解锁设备。 受影响最严重的国家排名为:德国(23%)、加拿大(20%)、英国(16%)、美国(15.5%)。针对移动设备的攻击主要源自少数几类恶意软件并通过附加程序传播。相比之下,PC 勒索软件较去年增长 11.4 %。在勒索软件受害者中,加密勒索受害者的比重从 2015 – 2016 年的 31% 上升至 2016 – 2017 年的 44.6%,增长了 13.6 个百分点。 研究人员还发现有针对性的勒索软件攻击由于“勒索软件即服务”(RaaS)的盛行呈上升趋势。 “勒索软件的复杂度与多样性均有提高,通过不断发展、日益便捷的地下生态系统为那些掌握较少技术、资源或时间的犯罪分子提供现成解决方案。” 卡巴斯基实验室对此持乐观态度,相信能够通过 The No More Ransom Project 等全球计划的良性发展有效保护手机与 PC 用户远离加密勒索软件困扰。 原作者:Tom Spring,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

威胁预警 | 新型勒索软件 Petwrap 肆虐全球,乌克兰电力、机场及俄石油公司受大规模影响

HackerNews.cc 北京时间 28 日跟进,感染乌克兰境内多家银行、政府、电力公司、邮政、机场设施以及俄罗斯石油公司 (Rosneft)的“未知病毒”被证实为 Petwrap 勒索软件,又称ExPetr 或 NotPetya,尽管其与之前的勒索软件 petya 极其相似,但它仍被认为是一种新型勒索软件。目前就连乌克兰境内切尔诺贝利核电站辐射监测系统也受到勒索软件影响,工场区域的辐射监测已改为手动进行。 勒索软件全球感染范围 目前 Petwrap 主要针对乌克兰,俄罗斯和西欧企业,截止 28日0 时仅卡巴斯基实验室就已检测到 2000 多次攻击: 仅卡巴斯基监测到的各国受 Petwrap 感染统计图(截止 28日0 时) ** 勒索软件 Petwrap 没有所谓的“开关域名”,目前尚无详细统计数据 勒索软件 Petwrap 如何传播 勒索软件 Petwrap 也像 WannaCry 那样通过 SMBv1 EternalBlue (永恒之蓝)漏洞感染未打补丁的 Windows 设备,但并不会对目标系统中的所有文件逐个加密。最重要的是拥有凭据管理器的单一受感染系统能够通过 WMI 或 PSEXEC 感染网络上的其他计算机,对局域网的威胁或比 WannaCry 更大。 国外安全研究员指出,若 Windows 系统中存在文件 “c:\windows\perfc.dat” 可触发本地 kill 开关。(仅在被感染之前起作用,但亦有研究员表示并未起效果) (勒索软件特征、样本分析可阅读卡巴斯基最新报告) 文件解密的可能性 很不幸,对于已感染勒索软件 Petwrap 的受害者而言,目前尚无解密方案。 勒索软件 Petwrap 向受害者索取 300 美元赎金并要求将钱包号码通过邮件发送至 “wowsmith123456@posteo.net” 进行确认,这一方法确实有效然而遗憾的是,目前此邮件账号已被关闭。 我们能做什么?  1、安装强大的反病毒软件对预防勒索软件有一定效果(但不绝对) 2、确保更新 Windows 系统以及第三方软件至最新版本 3、不要打开任何非可信来源的附件、安装包 4、将重要数据定期备份至外部设备并保持脱机状态 HackerNews.cc 提醒广大 Windows 用户及时修复系统漏洞,尤其是安装微软发布的“永恒之蓝”(MS17-010)补丁以防感染恶意软件。此前国内各大安全厂商针对 WannaCry 提出的恶意软件预防方案依旧有效(但不绝对)。   HackerNews.cc  我们将为您持续关注“Petwrap 勒索软件”最新动态。 —— 2017-06-27 23:00 第二次更新 —— 2017-06-28 06:00 第三次更新 —— 2017-06-28 11:30 第四次更新

SamSam 勒索软件攻击数量激增,赎金水涨船高至 33,000美元

据外媒 25 日报道,AlienVault 研究人员发现 SamSam 勒索软件近期攻击数量激增,赎金金额也一度水涨船高至 33,000 美元赎金。 SamSam 采用 C 语言编写,最早曝光在一年前,主要采用以下技术: 1、利用 JBoss 漏洞等传统攻击方式获取远程访问权限 2、部署 Web shells 3、通过 ReGeorg 等 HTTP 信道连接至 RDP 4、运行 batch 脚本,在设备上部署勒索软件 据悉,犯罪分子将恶意软件手工安装至目标系统,旨在感染网络上其他设备。目前,解密一台设备价格 1.7 比特币( 4,600 美元)、解密半数设备价格 6 比特币( 16,400 美元)、解密所有设备价格 12 比特币( 32,800 美元)。FBI 曾在去年发布两次警报。此次赎金上涨可能与内部业务量加大有关。 调查显示,SamSam 近期变体较之前版本无任何改变,利用 encc.myff1 与 encc.EncryptFile 加密。一旦成功加密文件,恶意软件将删除初始文件,但并不清理已删除文件扇区,允许用户恢复全部或部分文件。 今年 4 月,纽约一家医院被爆感染该勒索软件,但院方拒绝支付 44,000 美元赎金。此外,SamSam 还被报道与多起攻击活动有关,其中包括发生在去年马里兰州 MedStar Heath 的大型勒索事件。 研究人员在分析 SamSam 近一周比特币交易记录后发现,犯罪分子最新获取的一笔赎金高达 33,000 美元。 原作者:Pierluigi Paganini ,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维多利亚州警方在测速相机感染勒索软件后撤销 8 千交通罚单

加拿大维多利亚州警方在测速相机感染勒索软件后宣布撤销 8 千多个交通罚单。它的测速相机被发现感染了勒索软件 WannaCry,测速相机并没有联网,勒索软件病毒是通过维护工人使用的一个被感染的 U 盘传播到系统内的。感染日期是 6 月 6 日,警方一开始估计有 55 个测速相机暴露在病毒下,但之后数量增加到了 280 个。 病毒导致相机不断重启,警方表示没有迹象显示病毒会导致测速雷达的数据不正确,它决定撤销在感染期间发出的交通罚单。在确保相机工作正常后,警方可能会重新发出交通罚单。 稿源:cnBeta,封面源自网络

McAfee 安全报告:Mac 恶意软件持续增长

据 McAfee 指出,去年 Mac 恶意软件的增长持续到了今年,仅第一季度就增长了 53%,检测到的恶意软件实例总数已超过 70 万起。当然,您也无需因为看到这些恐怖的数字而过分担忧。首先,该公司正在测量的是实例而不是应用程序的数量。如果在 10,000 台 Mac 上检测到一个恶意软件,则记录为 10,000 个实例。其次,McAfee 再次指出,这个数字是由于广告软件的恶化而增加的。 广告恶意软件很烦人,它会在浏览器或其它应用中显示广告,但通常不会对您的数据构成任何威胁。最后,检测到的 Mac 恶意软件的实例仅占 Windows 机器的 1%(总计达到 7 亿起)。这除了因为 macOS 基数较小,不太经常成为目标外,部分原因还是 Mac 平台内置了更严格的保护。 当检测到恶意软件时,苹果通常会通过安全更新来快速进行回应。但安全专家强调,这并不代表着 Mac 用户就可以自满。和往常一样,最安全的做法是仅从 Mac App Store 和值得信赖的开发者处安装软件。 稿源:cnBeta,封面源自网络。

维基解密在线曝光 CIA 间谍软件新工具“野蛮袋鼠”

据外媒 6 月 22 日报道,维基解密( Wikileaks )近期再度曝光一批新 Vault7 文档,旨在揭示美国中央情报局( CIA )使用勒索软件工具 “野蛮袋鼠” (Brutal Kangaroo )监控 Microsoft Windows 操作系统、远程访问处于安全隔离状态的网络设备。 Brutal Kangaroo 是一款用于监控 Windows 系统的工具组件,其主要通过使用闪存盘的 Air-Gapped 侵入封闭网络。此外,Brutal Kangaroo 组件在封闭目标网络中将会创建一个自定义私密网络空间,并提供执行调查、目录列表与任意可执行文件的功能。而 Air-Gapped 主要是在高安全性的环境与关键基础设施中实现网络隔离。 据悉,维基解密在线发布了 2012 年 Brutal Kangaroo v1.2.1 版本文档。调查显示,旧版本的 Brutal Kangaroo 代号为 EZCheese。目前,它正利用 2015 年 3 月发现的漏洞展开攻击活动。 分析显示,CIA 可利用该工具组件渗透组织或企业内部的封闭网络,即无需直接访问,就可开始感染组织内的联网机器。当用户将 U 盘插入受感染机器时,闪存盘本身会感染一种单独的恶意软件 Drifting Deadline,并允许在封闭网络内肆意传播至其他受害设备中。如果该储存装置用于封闭网络或 LAN / WAN 之间复制数据,用户迟早会将拔下的 USB 插入封闭网络上的计算机中。随后,通过使用 Windows 资源管理器浏览 USB 驱动器的网络隔离计算机设备,终将会感染该恶意软件。 此外,当恶意软件在封闭网络中传播时,多台受感染计算机将处于 CIA 的操控下,组成 一个可协调攻击者活动与数据交换的私密网络。尽管该份文档中并未明确说明具体细节,但这种破坏封闭网络的方法与黑客组织 Stuxnet 的攻击方式极其相似。 Brutal Kangaroo 工具组件由以下几部分组成: Drifting Deadline:用于感染闪存盘的恶意工具 Shattered Assurance:一款处理闪存盘自动感染的服务器工具 Broken Promise:Brutal Kangaroo 后置处理器,用于分析收集到的信息 Shadow:主要存留机制(第二阶段工具,分布在封闭网络中,充当隐蔽指挥控制网络;一旦安装多个 Shadow 并共享驱动器、任务与负载将可以来回互相发送信息)   原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

银行木马 TrickBot 升级后针对支付处理器与 CRM 提供商设备展开攻击活动

据外媒 6 月 20 日报道,安全研究人员发现银行恶意软件 TrickBot 在升级后开始针对银行支付处理器(PayPal 贝宝)与客户关系管理( CRM )供应商的系统设备展开攻击活动。 恶意软件 TrickBot 最初于去年 9 月由安全公司 Fidelis Cybersecurity 研究人员发现。据悉,TrickBot 首款样本仅实施单一数据窃取功能。数周后,研究人员在捕获另一批新样本后发现疑似处于测试阶段的 web 注入样例。 调查显示,TrickBot 曾于 2016 年底针对英国与澳大利亚银行,以及亚洲金融机构进行多次攻击。此外,研究人员表示,TrickBot 与 Dyre 存在多数相似之处,虽然新银行木马程序的代码似乎已用不同编码风格进行了重写,但还是存留了大量相似功能。 今年 5 月,TrickBot 已被用于瞄准 20 家私人银行展开攻击活动,其中包括 8 家英国建筑协会、2 家瑞士银行、1 家德国私人银行与 4 家美国投资银行。后续研究人员分析了截止至 5 月份处于活跃状态的 26 款 TrickBot 配置,发现其中涉及两家支付处理与 CRM SaaS 供应商的系统设备。 近期,Fidelis Cybersecurity 研究人员又针对两起影响较为严重的攻击活动进行了检测。结果显示,这两起攻击活动主要针对同一美国支付处理器,但仅有第二起活动是针对 CRM 供应商的系统设备进行攻击。以下是研究人员针对这两起攻击活动的分析结果: 第一起攻击活动: 1、目标银行网址占 83%,其中英国银行占 18% 2、PayPal (归属美国的支付处理器),其中被入侵的 PayPal URL 有 35 个 第二起攻击活动: 1、英国目标银行占 47% 2、英国新增受感染 PayPal URL 3、CRMs Salesforce.com 与 Reynolds&Reynolds 在美国汽车行业出售 CRM 目前,研究人员已证实欧洲网络托管提供商的 6 个 C&C 服务器 IP 地址中,有 3 个托管在亚洲运营。此外,所有 IP 地址均使用 443/HTTPS 端口与受感染主机进行通信,以规避安全软件的检测。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

本田工厂遭勒索病毒 WannaCry 攻击致停产一天

6 月 21 日,本田汽车证实日本一家生产工厂于本周一停产一天,因为本田发现 WannaCry 勒索病毒出现在公司计算机网络上。 周一时,本田 Sayama 工厂停产,该工厂位于东京西北部,生产的车型包括雅阁轿车、奥德赛面包车、Step Wagon 多用途汽车,日产量约为 1000 辆。本田表示,病毒已经感染了日本、北美、欧洲、中国及其它地区网络。5 月中旬本田曾强化安全措施,确保系统安全,但当时病毒在全球扩散,导致许多工厂、医院、商店遭到破坏,不料本田还是受到影响。本田新闻发言人表示,公司其它工厂没有受到影响,周二 Sayama 工厂已经恢复运营。 上个月,雷诺 SA 与日产汽车也受到了病毒的影响,当时雷诺 -日产位于日本、巴西、法国、罗马尼亚、印度的工厂曾暂停运营。 稿源:;稿件以及封面源自网络

恶意软件 Rufus 针对印度 ATM 机中过时的 XP 系统展开攻击

据外媒报道,印度政府近期发现黑客利用恶意软件 Rufus 针对使用过时 Windows XP 系统的 ATM 机展开攻击活动。目前,印度西孟加拉邦、古吉拉特邦、奥里萨邦与比哈尔邦等多地 ATM 机纷纷遭殃,导致大量资金被盗。 调查显示,网络犯罪分子于夜间瞄准无人值守的 ATM 机,使用已感染的驱动器插入 ATM 机上 USB 端口以感染目标系统。一旦恶意软件成功感染 ATM 机,它将重新启动系统、中断与服务提供商服务器的连接。此外,恶意软件 Rufus 在感染系统后将生成特定代码并回传,攻击者将代码译成密码后便利用 ATM 机自动 “ 吐钱 ” ,整个过程无需破坏硬件或窃取用户信用卡数据。知情人士透露,由于该恶意软件绕过 ATM 服务器,因此黑客在窃取资金时设备不会发出警报。 安全专家表示,此类问题系由 ATM 机本身缺乏必要的安全措施导致,预计印度政府将迫使 ATM 制造商升级系统设备。不过,ATM 供应商否认了其设备“存在任何安全漏洞并已被攻击者利用”这一说法。印度储备银行正与国家支付企业紧密合作,旨在提高金融设备安全性。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接