标签: 勒索软件

安全措施薄弱:散播 Petya 勒索软件的乌克兰公司面临刑事指控

上周肆虐全球的勒索软件,其实是从一个非常简单的攻击开始的。独立安全分析师 Jonathan Nichols 在乌克兰软件公司 MeDoc 的更新服务器上发现了一个脆弱到惊人的漏洞,使之成为了本轮攻击的中心。研究人员认为,许多初期感染,都是 MeDoc 上的一个“有毒更新”所引发的,即恶意软件将自己伪装成了一个软件更新。 不过根据 Nichols 的研究,由于 MeDoc 的安全措施太过脆弱,想要发出带毒更新的操作变得相当简单。 在扫描了该公司的基础设施之后,Nichols 发现 MeDoc 的中央更新服务运行在老旧的 FTP 软件之上,而当前许多公开提供的软件都可以轻松将它攻破。 这属于一个严重的安全问题,几乎可以让任何人通过该系统传播带毒内容。目前尚不清楚 Petya 攻击者利用了具体哪个漏洞,但这种过时软件的存在,已暗示有多种进入其系统的方法。 Nichols 表示 ——“从可行性上来说,任何人都可以做到,攻击者会对此感到有十足的信心”—— 即便他自己因为害怕犯罪而没有试图利用该漏洞。 由于忽视的这方面的漏洞,MeDoc 已经收到了来自乌克兰当局的刑事指控。乌克兰网警负责人 Serhiy Demydiuk 在接受美联社采访时表示: 该公司早已因为安全措施松懈而遭到多次警告,其知晓这一点,且被多家反病毒企业多次告知…… 对于这样的疏忽,涉及本案的人将面临刑事诉讼。 [ 编译自:TheVerge ] 稿源:cnBeta,封面源自网络

US-CERT 发布 Petya 最新变体预警及应对措施

据外媒 2 日报道,美国国土安全部(DHS)计算机应急响应小组(US-CERT)发布 Petya 勒索软件最新变体预警(TA17-181A), 提醒组织机构尽快对软件进行升级,避免使用不支持的应用与操作系统。 美国国土安全部下属网络安全与通信整合中心(NCCIC)代码分析团队输出一份《恶意软件初步调查报告》(MIFR),对恶意软件进行了深度技术分析。在公私有部门合作伙伴的协助下,NCCIC 还以逗号分隔值形式提供用于信息分享的输入/出控制系统(IOC)”。 此份预警报告的分析范围仅限曝光于 2017 年 6 月 27 日的 Petya 最新变体,此外还涉及初始感染与传播的多种方法,包括如何在 SMB 中进行漏洞利用等。漏洞存在于 SMBv1 服务器对某些请求的处理过程,即远程攻击者可以通过向SMBv1服务器发送特制消息实现代码执行。 US-CERT 专家在分析 Petya 勒索软件最新样本后发现,该变体使用动态生成的 128 位秘钥加密受害者文件并为受害者创建唯一 ID。专家在加密秘钥生成与受害者 ID 之间尚未找到任何联系。 “尽管如此,仍无法证明加密秘钥与受害者 ID 之间存在任何关系,这意味着即便支付赎金也可能无法解密文件”。 “此 Petya 变体通过 MS17-010 SMB 漏洞以及窃取用户 Windows 登录凭据的方式传播。值得注意的是,Petya 变体可用于安装获取用户登录凭据的 Mimikatz 工具。窃取的登录凭据可用于访问网络上的其他系统”。 US-CERT 分析的样本还通过检查被入侵系统的 IP 物理地址映像表尝试识别网络上的其他主机。Petya 变体在 C 盘上写入含有比特币钱包地址与 RSA 秘钥的文本文件。恶意代码对主引导记录(MBR)进行修改,启用主文件表(MFT)与初始 MBR 的加密功能并重启系统、替换 MBR。 “从采用的加密方法来看,即便攻击者收到受害者ID也不大可能恢复文件。” US-CERT建议组织机构遵循 SMB 相关最佳实践,例如: • 禁用 SMBv1 • 使用 UDP 端口 137-138 与 TCP 端口 139 上的所有相关协议阻止 TCP 端口 445,进而阻拦所有边界设备上的所有 SMB 版本。 “ US-CERT 提醒用户与网络管理员禁用 SMB 或阻止 SMB 可能因阻碍共享文件、数据或设备访问产生一系列问题,应将缓解措施具备的优势与潜在问题同时纳入考虑范畴”。 以下是预警报告中提供的防范建议完整列表: • 采用微软于 2015 年 3 月 14 日发布的补丁修复 MS17-010 SMB 漏洞。 • 启用恶意软件过滤器防止网络钓鱼电子邮件抵达终端用户,使用发送方策略框架(SPF)、域消息身份认证报告与一致性(DMARC)、DomainKey 邮件识别(DKIM)等技术防止电子邮件欺骗。 • 通过扫描所有传入/出电子邮件检测威胁,防止可执行文件抵达终端用户。 • 确保杀毒软件与防病毒解决方案设置为自动进行常规扫描。 • 管理特权账户的使用。不得为用户分配管理员权限,除非有绝对需要。具有管理员账户需求的用户仅能在必要时使用。 • 配置具有最少权限的访问控制,包括文件、目录、网络共享权限。如果用户仅需读取具体文件,就不应具备写入这些文件、目录或共享文件的权限。 • 禁用通过电子邮件传输的微软 Office 宏脚本。考虑使用 Office Viewer 软件代替完整的 Office 套件应用程序打开通过电子邮件传输的微软 Office 文件。 • 制定、研究并实施员工培训计划以识别欺诈、恶意链接与社工企图。 • 每年至少对网络运行一次定期渗透测试。在理想情况下,尽可能进行多次测试。 • 利用基于主机的防火墙并阻止工作站间通信。 原作者:Pierluigi Paganini,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

乌克兰再遭第二波网络袭击,病毒与本周初不同

据外媒报道,乌克兰国家能源公司 Ukrenergo 29日遭遇第二波网络袭击。此次网络攻击使用的电脑病毒同本周初袭击乌克兰的不同,但并没有对乌克兰的电力网造成影响。27 日的病毒攻击,最先传出遭受攻击消息的是乌克兰中央银行,随后“中招”的是乌克兰电网、银行、政府机关、机场等机构和部门。一些政府员工被要求以比特币的方式支付赎金。 乌克兰 27 日受到“前所未见”的大规模网络攻击,当时肆虐的勒索病毒过后蔓延至全球 60 个国家,导致数以千计的电脑瘫痪,海港、工厂和办公室陷入停顿。 Ukrenergo 的代主管科瓦利丘克说:“(第二波网络袭击的)病毒稍微不同,其性质不同,类似( 5 月肆虐全球的)想哭病毒( WannaCry )……其造成的影响不大,一些公司的电脑系统仍处于无法工作的状态。” 他透露,初步数据显示,27 日的勒索病毒是在电脑系统进行软件提升时被启动的。 稿源:cnBeta.com,封面源自网络

微软:Petya 勒索软件只影响了约 2 万台电脑

本周早些时候,Petya 勒索软件攻击几乎让每个人都惊奇,全球许多 Windows  电脑瘫痪了,其中大部分是运行 Windows 7 的操作系统。与之前的 WannaCry 勒索软件相比,Petya 勒索软件使用了相同的 SMB 漏洞,并且更复杂一些,但新的证据表明,疫情没有我们想象的那么糟糕。 微软昨天在其Windows安全博客上解释说:Petya 勒索软件是高度复杂的恶意软件,但是我们的遥测结果显示,Petya 勒索软件的受害率远远低于我们的预期,受害电脑数量不到 2 万台电脑。据该公司称,这次袭击事件在乌克兰开始,并且传播到其他国家的电脑上,而且,微软称,受感染的大都是 Windows 7 电脑。微软以前在今年早些时候为这种类型的漏洞发布了一系列补丁。 微软的博客文章还揭示 Petya 勒索软件有趣细节,其中包括 Petya 蠕虫行为的影响受到其设计的限制:首先,Petya 可以传播到其他电脑的执行时间有限。 作为其执行命令的一部分,它仅限与在电脑重新启动系统之前执行传播,此外,微软发现这种蠕虫代码不会在成功重新引导的受感染电脑上再次运行。最后,Petya 会对操作系统的引导代码造成一些损害,但是,在某些具体情况下,仍然有一些启动恢复选项。 总的来说,微软仍然担心这类型的勒索攻击复杂性越来越高,该公司正在敦促消费者和企业将他们的 PC 更新到更安全的 Windows 10。Windows 10 有防御措施可以减轻像 Petya 这样的勒索攻击。本周早些时候,该公司还宣布,下一代安全功能将于今年晚些时候在秋季创作者更新中推出。 稿源:cnBeta,封面源自网络

Petwrap 勒索软件攻击:全球受害者到底有多少?

Petwrap 勒索软件攻击爆发仅一日便有大量报告涌现,各家媒体纷纷对受感染的组织机构数量进行预估。最初报道源自此次事件重灾区乌克兰,乌克兰内政部称“一款未知病毒”侵袭了该国政府、银行等重要机构,堪称乌克兰历史上最大规模的网络攻击事件。没过多久即传出俄罗斯、整个欧洲、北美、澳大利亚等地区也遭受感染的消息并得到权威机构证实。 据悉,Petwrap 同样利用 Shadow Brokers 黑客组织泄露的 NSA “永恒之蓝”(EternalBlue)Windows 漏洞,能够使组织机构沦为瘫痪。ESET 研究人员表示,勒索软件爆发首日,乌克兰受害者数量占已知检测数量的 3/4。病毒通过多种击媒介在乌克兰境内传播,其中包括卡巴斯基实验室近期发现的新型手段,即通过伪装成 Windows update 的恶意文件进行强迫下载传播。 与此同时,检测结果显示,9% 被感染设备位于德国,6% 位于塞尔维亚。虽然大型攻击事件遍及全球,但剩余 60 多个国家攻击事件总和占比不到 1%。 来自微软恶意软件防护中心的数据显示,乌克兰境内 12,500 台设备面临威胁,假设这些设备占比受感染设备总数的 3/4,那么目前全球受感染设备总数就是 16,500 台。 即便如此,这个数字也低于 WannaCry 病毒爆发 24 小时内的受感染设备数量。( WannaCry 爆发期间,全球 74 个国家共发生 45,000 起攻击事件,受感染设备总数高达300,000 台)。 赛门铁克威胁情报显示,乌克兰与美国境内分别有 150 与近 50 家组织机构遭受感染;而根据卡巴斯基研究结果,截至目前约有 2,000 用户遭受攻击。俄罗斯与乌克兰的情况最为严重。此外,波兰、意大利、英国、德国、法国、美国与其他几个国家也在不同程度上受到影响。 虽然 Petwrap 目前受害者数量低于 WannaCry,这款勒索软件的类蠕虫特征意味着被感染设备数量仍有上升空间。 原作者:Danny Palmer,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Svpeng 手机木马掀起首季度勒索软件攻击事件高潮

2017 年第一季度,手机勒索软件攻击数量激增,与去年同期相比增长 3.5 倍。犯罪分子试图通过 25 万个安卓手机木马安装包从受害者处勒索钱财,赎金金额从 100 美元到 500 美元不等。 根据卡巴斯基实验室本周一发布的《 2016 – 2017勒索软件报告》,德国首当其冲成为重灾区,美国受害者数量紧随其后。考虑到 2015 – 2016 年攻击数量的整体下降趋势(从 136,532 将至 130,232 ),2017 第一季度手机勒索软件数量的急剧增长情况实属异常。 报告显示,手机勒索软件攻击数量的下降反映了安全解决方案厂商、执法机构与白帽黑客之间的有效协作。2017 年第一季度勒索软件攻击事件高发源于 2016 年 12 月 Svpeng 勒索软件家族兴起。与通过入侵工具包与恶意电子邮件附件下载安装的 PC 端勒索软件不同,手机勒索软件主要通过观看色情内容或下载虚假手机Adobe Flash播放器传播。 报告作者之一、卡巴斯基实验室恶意软件高级分析师 Roman Unuchek 表示,“多数情况下,犯罪分子主要利用受害者的疏忽大意以及未及时更新安卓 OS 版本发动攻击。安卓更新版本具有相对完善的安全功能,对勒索软件起到一定抑制作用。” 报告指出,Svpeng 与 Fusob 两大恶意软件家族占据手机勒索软件市场。Fusob 构成勒索软件攻击事件主体,主要通过伪装成名为 “xxxPlayer” 的多媒体播放器欺骗用户。一旦成功下载,勒索软件就会阻止用户访问设备,除非缴纳 100 美元至 200 美元赎金。 手机木马 Svpeng 最早由卡巴斯基实验室于 2013 年发现,此后经历多番勒索软件功能添加或修改。以往社工活动主要基于短消息欺骗用户下载恶意软件。完成安装后会显示一份冒充 FBI 开具的非法内容下载罚单,要求以缴纳 200 美元罚金为代价解锁设备。 受影响最严重的国家排名为:德国(23%)、加拿大(20%)、英国(16%)、美国(15.5%)。针对移动设备的攻击主要源自少数几类恶意软件并通过附加程序传播。相比之下,PC 勒索软件较去年增长 11.4 %。在勒索软件受害者中,加密勒索受害者的比重从 2015 – 2016 年的 31% 上升至 2016 – 2017 年的 44.6%,增长了 13.6 个百分点。 研究人员还发现有针对性的勒索软件攻击由于“勒索软件即服务”(RaaS)的盛行呈上升趋势。 “勒索软件的复杂度与多样性均有提高,通过不断发展、日益便捷的地下生态系统为那些掌握较少技术、资源或时间的犯罪分子提供现成解决方案。” 卡巴斯基实验室对此持乐观态度,相信能够通过 The No More Ransom Project 等全球计划的良性发展有效保护手机与 PC 用户远离加密勒索软件困扰。 原作者:Tom Spring,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

威胁预警 | 新型勒索软件 Petwrap 肆虐全球,乌克兰电力、机场及俄石油公司受大规模影响

HackerNews.cc 北京时间 28 日跟进,感染乌克兰境内多家银行、政府、电力公司、邮政、机场设施以及俄罗斯石油公司 (Rosneft)的“未知病毒”被证实为 Petwrap 勒索软件,又称ExPetr 或 NotPetya,尽管其与之前的勒索软件 petya 极其相似,但它仍被认为是一种新型勒索软件。目前就连乌克兰境内切尔诺贝利核电站辐射监测系统也受到勒索软件影响,工场区域的辐射监测已改为手动进行。 勒索软件全球感染范围 目前 Petwrap 主要针对乌克兰,俄罗斯和西欧企业,截止 28日0 时仅卡巴斯基实验室就已检测到 2000 多次攻击: 仅卡巴斯基监测到的各国受 Petwrap 感染统计图(截止 28日0 时) ** 勒索软件 Petwrap 没有所谓的“开关域名”,目前尚无详细统计数据 勒索软件 Petwrap 如何传播 勒索软件 Petwrap 也像 WannaCry 那样通过 SMBv1 EternalBlue (永恒之蓝)漏洞感染未打补丁的 Windows 设备,但并不会对目标系统中的所有文件逐个加密。最重要的是拥有凭据管理器的单一受感染系统能够通过 WMI 或 PSEXEC 感染网络上的其他计算机,对局域网的威胁或比 WannaCry 更大。 国外安全研究员指出,若 Windows 系统中存在文件 “c:\windows\perfc.dat” 可触发本地 kill 开关。(仅在被感染之前起作用,但亦有研究员表示并未起效果) (勒索软件特征、样本分析可阅读卡巴斯基最新报告) 文件解密的可能性 很不幸,对于已感染勒索软件 Petwrap 的受害者而言,目前尚无解密方案。 勒索软件 Petwrap 向受害者索取 300 美元赎金并要求将钱包号码通过邮件发送至 “wowsmith123456@posteo.net” 进行确认,这一方法确实有效然而遗憾的是,目前此邮件账号已被关闭。 我们能做什么?  1、安装强大的反病毒软件对预防勒索软件有一定效果(但不绝对) 2、确保更新 Windows 系统以及第三方软件至最新版本 3、不要打开任何非可信来源的附件、安装包 4、将重要数据定期备份至外部设备并保持脱机状态 HackerNews.cc 提醒广大 Windows 用户及时修复系统漏洞,尤其是安装微软发布的“永恒之蓝”(MS17-010)补丁以防感染恶意软件。此前国内各大安全厂商针对 WannaCry 提出的恶意软件预防方案依旧有效(但不绝对)。   HackerNews.cc  我们将为您持续关注“Petwrap 勒索软件”最新动态。 —— 2017-06-27 23:00 第二次更新 —— 2017-06-28 06:00 第三次更新 —— 2017-06-28 11:30 第四次更新

SamSam 勒索软件攻击数量激增,赎金水涨船高至 33,000美元

据外媒 25 日报道,AlienVault 研究人员发现 SamSam 勒索软件近期攻击数量激增,赎金金额也一度水涨船高至 33,000 美元赎金。 SamSam 采用 C 语言编写,最早曝光在一年前,主要采用以下技术: 1、利用 JBoss 漏洞等传统攻击方式获取远程访问权限 2、部署 Web shells 3、通过 ReGeorg 等 HTTP 信道连接至 RDP 4、运行 batch 脚本,在设备上部署勒索软件 据悉,犯罪分子将恶意软件手工安装至目标系统,旨在感染网络上其他设备。目前,解密一台设备价格 1.7 比特币( 4,600 美元)、解密半数设备价格 6 比特币( 16,400 美元)、解密所有设备价格 12 比特币( 32,800 美元)。FBI 曾在去年发布两次警报。此次赎金上涨可能与内部业务量加大有关。 调查显示,SamSam 近期变体较之前版本无任何改变,利用 encc.myff1 与 encc.EncryptFile 加密。一旦成功加密文件,恶意软件将删除初始文件,但并不清理已删除文件扇区,允许用户恢复全部或部分文件。 今年 4 月,纽约一家医院被爆感染该勒索软件,但院方拒绝支付 44,000 美元赎金。此外,SamSam 还被报道与多起攻击活动有关,其中包括发生在去年马里兰州 MedStar Heath 的大型勒索事件。 研究人员在分析 SamSam 近一周比特币交易记录后发现,犯罪分子最新获取的一笔赎金高达 33,000 美元。 原作者:Pierluigi Paganini ,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 Jaff 新变种涉足黑市交易,出售私人敏感信息

据外媒 6 月 3 日报道,Heimdal Security 安全研究人员于近期发现,黑客正利用勒索软件 Jaff 新变种共享后端基础设施,并在黑市贩卖被盗信用卡数据与银行账户信息,其中主要包括账户余额、位置与附加电子邮件地址等私人数据。 勒索软件 Jaff 于近期被发现涉及部分大型网络钓鱼邮件活动,即利用内含 PDF 附件与嵌入式 Microsoft Word 文档传播宏病毒恶意代码。一旦用户下载附件并点击链接,恶意软件将会在激活后自动窃取用户重要信息。 网络黑市出售的私人账户信息多数分布于美国、德国、法国与西班牙等地区,价格从 1 美元至几比特币不等,具体取决于账户自身价值。安全专家表示,勒索软件攻击的危害远不止加密用户数据。黑客在大肆收集受害者私人信息的同时还通过盗取信用卡数据谋取高额利润回报。 据悉,黑客正通过一台位于(俄罗斯)圣彼得堡的服务器( IP 地址 5[.]101[.]66 [.]85 )针对全球用户开展勒索软件攻击活动。此类案件并非仅此一例,犯罪组织还经常为获取最大利润回报改善业务操作水平,开展多元化攻击活动。 原作者:Pierluigi Paganini,译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

《勒索软件经济分析》:“理想赎金” 为 950 英镑

据外媒报道,勒索软件是一种破坏电脑功能的恶意软件,然后再通过对方支付赎金的方式将系统恢复正常。这种现象已经变得非常普遍,“ 勒索软件 (Ramsomware ) ” 这个词条也已于 2012 年被收录《 牛津英语词典 》。但它很有可能并不像人们想象地那样就是一棵摇钱树。 英国肯特大学在今年 3 月份公布的一份调查报告 –《 勒索软件经济分析 ( Economic Analysis of Ransomware ) 》指出,勒索软件能否赚钱取决于人们是否愿意花钱来恢复他们的档案,这当中受到许多因素影响,包括受害者如何评估他们的文件价值以及他们是否相信付了赎金之后能拿回他们的文件。 报告显示,勒索软件开发者的目标是只要一半的受害者支付赎金就可以了。其中一种办法就是创建详细的受害者文件然后展开相应的勒索。受到危害文件数量庞大的用户支付的概率可能会高于受到危害文件数量相对小的。同样,加密文件的用户支付概率也会高于未加密的。另外,攻击者还会看被攻击者所使用的硬件,一般情况下,使用价格更贵笔记本的用户比使用廉价笔记本的用户更可能支付赎金。此外,性别也在当中扮演一定的角色。根据调查报告显示,女性比男性更易支付赎金来恢复她们的文件。 尽管这篇调查报告表示勒索软件开发者对受害者的赎金要视实际情况而定,但它也提出了 “ 理想赎金 ”– 950 英镑。在该金额下,有 10% 的受害者最终都会选择支付。 报告详细内容《 勒索软件经济分析( PDF ) 》 稿源:cnBeta;封面源自网络