标签: 勒索软件

勒索软件 Locky 出现新型变种:依赖僵尸网络 Necurs 与 DDE 机制展开新一轮攻击浪潮

HackerNews.cc 11 月 12 日消息,网络安全公司 Avira 研究人员近期发现勒索软件 Locky 出现新型变种,不仅可以通过僵尸网络 Necurs 开展大规模钓鱼攻击活动,还可利用动态数据交换(DDE)协议进行数据传输,从而规避安全软件检测的同时窃取用户重要信息。 研究显示,目前黑客主要通过合法的 Libre 与 Office 文件肆意分发恶意软件。一旦用户打开该恶意文件后系统将会自动触发一系列程序,从而最终在受害设备上对用户文件进行加密处理后发送到指定 C&C 服务器。研究人员在分析该恶意文件时还发现其中包含一份 LNK 文档,允许黑客通过粘贴的方式将命令复制到用户文本编辑器中,以便运行 PowerShell 脚本。 研究人员表示,该脚本内容清晰、极易阅读,其目的是从脚本嵌入的链接中下载另一个 PowerShell 脚本并通过 Invoke-Expression 函数运行。然而,第二个脚本所连接的服务器由黑客控制,并在下载该脚本时自动运行一份 Windows 可执行文件,其中包含多个阶段的混淆代码,以致诱导用户认为这是一个安全的文件。目前,研究人员认为勒索软件 Locky 的快速演变在当今的威胁领域中着实令人担忧,因为它还将继续进行深度 “优化”,从而感染更多设备。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究发现:勒索软件市场正在呈爆炸式增长

根据最新研究发现,暗网经济正在助推勒索软件蔓延。据悉,在今年十月份发布的一份报告中,反病毒服务提供商 Carbon Black 的研究人员发现,勒索软件在 2016-2017 年期间的销售量增长了 2502%。研究人员表示,这项研究报告监测了全球 21 个顶级暗网平台,然后再将收集到的数据进行推算得出了这个一结果。事实上,目前全球有超过 6300 个平台提供勒索软件交易。然而,随着销售量增长率达到惊人的 2502%,也使得勒索软件的总销售金额达到了 620 万美元,比上一年总销售额多了 25 万美元。 虽然总销售额看上去并不是太多,但是这种增长趋势却令人印象深刻——研究人员支出,如果不是预料之中,这样的增长主要是由供需推动的,该报告指出:“网络犯罪分子越来越多地看到市场机遇,并且希望通过勒索软件来快速获利”。勒索软件市场的不断扩大,一部分原因是由于一些工具让匿名变得更加轻松(比如比特币和 Tor 代理等),另一部分原因是因为勒索软件不断扩散,让许多人都可以轻松发起非法交易,去勒索别人。 报告表示:“随着技术创新日趋成熟,地下勒索软件经济已然成为一个类似于商业软件的行业,甚至包括开发、技术支持、分销、质保和客服等‘一条龙’服务。” 根据 CSO Online 的数据显示,去年勒索软件支付的金额达到了 10 亿美元,相比于去年增长了 4000%。不仅如此,勒索软件的开发人员也获得了不少收益。去年,一些勒索软件开发人员的收入能够超过 10 万美元,而在合法商业软件领域,程序员的中等收入大约为 7 万美元。而且,随着地下供应链的不断成熟,勒索软件开发人员不需要独立研发整套工具包:比如,一个程序员可能会专门从事加密技术研发,去锁定受害者的电子设备;而另一个程序员可能会专门负责如何收取勒索到的钱款。 安全专家认为,这种专业化程度的不断提升,是推动地下勒索软件经济快速增长的关键因素。推出一款 “赚钱” 的勒索软件早已经不是一个人在战斗了,过去,可能需要有一个人非常擅长开发和部署复杂的勒索软件,但现在你只需要知道在哪里购买所有必须的组件,然后把工具包补充完整即可。 Carbon Black 的报告中这样说道:“由于现有勒索软件经济服务层级细化,这个行业本身已经开始变得更加强大。这些细化服务降低了行业准入障碍,想要发起勒索的攻击者不再需要较强的专业技能,甚至你可能是个完全不同技术的‘小白’,只要你有比特币,就可以对任何人发起攻击。” 另一方面,勒索软件的攻击目标范围很广,也是没有止境的,导致这种情况的主要原因是企业普遍缺乏基本的安全控制:企业一直忽略对关键数据的备份,而且也很少测试自己的软件,看看是否过期,或是及时更新安全补丁。研究人员警告说,依靠执法部门来防范攻击基本上是没什么用的,所以企业主要还是需要依靠自身力量来对抗勒索软件。 而阻止勒索软件的关键,就是要说服受害者不去支付 “赎金”。根据 Carbon Black 分析的数据显示,约有 59% 的受访对象表示自己愿意支付低于 100 美元的“赎金”来重新获得自己的数据,但如果攻击者把“赎金”上限提升到 500 美元以上,那么大约只有 12% 的受访对象愿意接受。 报告最后总结说:“ 整套系统只有在受害者愿意支付‘赎金’的前提下才能运转起来,所以只要有人愿意支付,这个问题就会一直延续下去。” 稿源:新浪科技,封面源自网络;

欧洲爆发“坏兔子”勒索软件:俄罗斯与乌克兰成重灾区

据外媒和多家安全企业报道,周二的时候,俄罗斯和东欧地区爆发了名叫“坏兔子”(Bad Rabbit)的新型勒索软件,三家俄媒刊登了头条报道,包括新闻机构“国际文传电讯社”(Interfax)。俄罗斯安全企业 Group-IB 称,一旦计算机被其感染,“坏兔子”就会在一个黑底红字的界面上显示“NotPetya”风格的勒索信息。 该恶意软件会要求受害人登陆“洋葱路由”下隐藏的某个服务网站,向其交付 0.5 个比特币(约合 282 美元)的赎金来解除勒索。此外“坏兔子”还会显示一个倒计时界面,声称不及时支付的话,其勒索金额就会水涨船高。目前暂不清楚“坏兔子”攻击的幕后主使者身份、受害者都有谁、以及该恶意软件是哪里产生和如何传播的。 Interfax 在 Twitter 上表示,由于网络攻击,其服务器已被关闭。此外,乌克兰敖德萨机场也在本周二遭受了破坏性的网络攻击,但不清楚此事是否与“坏兔子”有关。Group IB 发言人表示,这轮大规模网络攻击主要针对以 Interfax 和 Fontanka 为代表的俄罗斯新闻公司。另外还有敖德萨机场、基辅地铁等乌克兰基础设施。 总部位于莫斯科的卡巴斯基实验室则表示,俄罗斯是“坏兔子”的重灾区,其次是乌克兰、土耳其和德国。该公司称该恶意软件的散布“是一场针对企业网络的有意攻击”。 卡巴斯基反恶意软件小组负责人 Vyacheslav Zakorzhevsky 在声明中称: 根据我们的数据,‘坏兔子’袭击的受害者多为在俄罗斯。其通过一些感染的设备,侵入了一些俄罗斯媒体网站。 虽然该恶意软件的攻击手段与 ExPetr [NotPetya] 期间类似,但我们无法证实它们之间的关系。 总部位于捷克的另一家安全企业 ESET 亦证实有一场实时的勒索软件活动。其在一篇博客文章中写到,以基辅地铁为例,新爆发的该勒索软件至少也是 Petya 的一个变种。 NotPetya 本身也是 Petya 的一个变种,ESET 表示该公司已经检测到了“数百起”的感染。另据 Proofpoint 的一位研究人员所述,“坏兔子”是通过一个假装的 Adobe Flash Player 安装器传播的。 卡巴斯基实验室的研究人员也证实了这点,称该恶意软件的启动器是通过被感染的合法网站发布出去的,但是这可能不是“坏兔子”的唯一散播途径。据 ESET 所述,该恶意软件还会尝试感染同一本地网络下的其它计算机,比如借助早就曝光的 Windows 数据共享协议(SMB)和开源的 Mimikatz 漏洞利用工具。 一位迈克菲研究人员指出,“坏兔子”会加密各种各样的文件,包括 .doc 和 .docx 文档、.jpg 图片、以及其它文件类型。最后,有多名研究人员指出,“坏兔子”似乎借用了《权利的游戏》中的许多命名,比如卡丽熙(全名太长不赘述)的三条龙 —— Drogon、Rhaegal、以及 Viserion 。 稿源:cnBeta,原文 [编译自:Motherboard , 来源:SecureList]

网络惊现最奇葩勒索病毒:仅需 10 张裸照即可解锁

通常情况下,勒索病毒会通过非法加密电脑的方式向受害人勒索钱财、比特币,比如前段时间全球爆发的 WannaCry。但并非每一位病毒黑客都那么直接,还有奇葩癖好的,比如——裸照。据外媒 eHackingnews 报道,安全研究团队 MalwareHunterTeam 最近公布一款名为 “nRansomware” 的勒索病毒,并展示了一些中招用户的电脑画面。 据悉,该病毒安装文件名为 nRansom.exe,病毒制作者要求受害者发送 10 张裸照才能解锁。从截图来看,中毒之后电脑屏幕上会出现一大堆托马斯小火车图片,向你骂脏话 “fxxk you”,并且重复播放一首名为《your-mom-gay》的背景音乐。 “你的电脑已经被锁定,你只能通过特定的解锁密码才能解锁。访问 xxxxxmail.com 创建一个账户,通过邮件发送给 xxx.com 邮箱地址。当攻击者回复之后,你必须发送至少 10 张裸照。我们核实确认是你自己的照片后,会给你解锁密码,并将裸照卖在 Deep web 上贩卖。” 所谓 Deep web,就是一般搜索引擎无法找到的内容,多为1024订购服务,所以你懂得。目前,尚未有破解办法,对此用户只能通过升级到最新的操作系统版本或者安装防病毒软件保护自身设备。 稿源:cnBeta、快科技,封面源自网络;

卡巴斯基安全报告:勒索软件 Mamba 卷土重来,掀起新一轮攻击浪潮

据外媒 8 月 9 日报道,卡巴斯基实验室(Kaspersky Lab)研究人员近期发现勒索软件 Mamba 卷土重来,瞄准巴西与沙特阿拉伯各组织机构展开新一轮攻击活动。 Mamba 是一款典型的加密硬盘驱动器的恶意软件,首次于 2016 年 9 月被 Morphus Labs 安全专家在巴西能源公司的机器设备上发现。此外,黑客曾于同年 11 月利用该勒索软件针对旧金山市政交通局展开大规模攻击活动。 调查显示,Mamba 仍使用合法的磁盘加密开源工具 DiskCryptor 锁定目标计算机硬盘,对其进行数据加密处理。一旦感染 Windows 设备,它将强制系统重新启动,然后自定义修改主引导记录( MBR )并使用 DiskCryptor 工具加密磁盘分区。如果整个加密过程顺利完成,计算机系统将再次重新启动。此外,Mamba 感染目标设备后将出现一份不寻常的 “ 赎金票据 (如下图)”,其受害者并不需要缴纳任何费用,只被要求提供两个电子邮件地址与一个 ID 号码即可恢复系统页面。 遗憾的是,研究人员暂时无法解密使用 DiskCryptor 实用程序加密的数据,因为该程序利用了强大的加密算法。目前,卡巴斯基研究人员提醒用户远离恶意网站、安全上网,以降低勒索软件锁定硬盘数据风险。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Google 研究报告:勒索软件受害者两年内共计支付逾 2500 万美元

Google、Chainalysis、加利福尼亚州圣地亚哥分校和纽约大学 Tandon 工程学院近期发布一项研究报告,指出勒索软件受害者在过去两年支付了超过 2500 万美元赎金。通过跟踪支付区块,并将其与已知样本进行比较,研究人员能够构建勒索软件生态系统的全面图景。 近年来,勒索攻击已经成为不可避免的威胁。一旦系统被感染,程序会将所有本地文件加密,攻击者持有解密私钥,要求数千美元的比特币恢复系统。这是一个破坏性但有利可图的攻击,旧金山最大的公共广播电台电脑于今年夏天被残酷勒索攻击锁定,迫使工作人员依靠机械秒表和纸张脚本继续进行广播工作。 此外,该研究跟踪了 34 个独立的赎金家族,其中一些主要勒索软件带来了大部分利润。数据显示一种称为洛克的勒索软件在 2016 年初引发勒索业界赎金巨幅上涨。随后几年,该勒索软件获得 700 多万美元赎金。 至关重要的是,洛克是第一个将付款和加密基础架构与分发恶意软件的组织分开的勒索程序,使恶意软件的传播速度远远超过其竞争对手。洛克巨大优势在于将维护的人员与感染机器的人员脱钩。洛克只专注于构建恶意软件和支持基础架构,它们有其他僵尸网络传播和分发恶意软件。 稿源:cnBeta,封面源自网络

安全措施薄弱:散播 Petya 勒索软件的乌克兰公司面临刑事指控

上周肆虐全球的勒索软件,其实是从一个非常简单的攻击开始的。独立安全分析师 Jonathan Nichols 在乌克兰软件公司 MeDoc 的更新服务器上发现了一个脆弱到惊人的漏洞,使之成为了本轮攻击的中心。研究人员认为,许多初期感染,都是 MeDoc 上的一个“有毒更新”所引发的,即恶意软件将自己伪装成了一个软件更新。 不过根据 Nichols 的研究,由于 MeDoc 的安全措施太过脆弱,想要发出带毒更新的操作变得相当简单。 在扫描了该公司的基础设施之后,Nichols 发现 MeDoc 的中央更新服务运行在老旧的 FTP 软件之上,而当前许多公开提供的软件都可以轻松将它攻破。 这属于一个严重的安全问题,几乎可以让任何人通过该系统传播带毒内容。目前尚不清楚 Petya 攻击者利用了具体哪个漏洞,但这种过时软件的存在,已暗示有多种进入其系统的方法。 Nichols 表示 ——“从可行性上来说,任何人都可以做到,攻击者会对此感到有十足的信心”—— 即便他自己因为害怕犯罪而没有试图利用该漏洞。 由于忽视的这方面的漏洞,MeDoc 已经收到了来自乌克兰当局的刑事指控。乌克兰网警负责人 Serhiy Demydiuk 在接受美联社采访时表示: 该公司早已因为安全措施松懈而遭到多次警告,其知晓这一点,且被多家反病毒企业多次告知…… 对于这样的疏忽,涉及本案的人将面临刑事诉讼。 [ 编译自:TheVerge ] 稿源:cnBeta,封面源自网络

US-CERT 发布 Petya 最新变体预警及应对措施

据外媒 2 日报道,美国国土安全部(DHS)计算机应急响应小组(US-CERT)发布 Petya 勒索软件最新变体预警(TA17-181A), 提醒组织机构尽快对软件进行升级,避免使用不支持的应用与操作系统。 美国国土安全部下属网络安全与通信整合中心(NCCIC)代码分析团队输出一份《恶意软件初步调查报告》(MIFR),对恶意软件进行了深度技术分析。在公私有部门合作伙伴的协助下,NCCIC 还以逗号分隔值形式提供用于信息分享的输入/出控制系统(IOC)”。 此份预警报告的分析范围仅限曝光于 2017 年 6 月 27 日的 Petya 最新变体,此外还涉及初始感染与传播的多种方法,包括如何在 SMB 中进行漏洞利用等。漏洞存在于 SMBv1 服务器对某些请求的处理过程,即远程攻击者可以通过向SMBv1服务器发送特制消息实现代码执行。 US-CERT 专家在分析 Petya 勒索软件最新样本后发现,该变体使用动态生成的 128 位秘钥加密受害者文件并为受害者创建唯一 ID。专家在加密秘钥生成与受害者 ID 之间尚未找到任何联系。 “尽管如此,仍无法证明加密秘钥与受害者 ID 之间存在任何关系,这意味着即便支付赎金也可能无法解密文件”。 “此 Petya 变体通过 MS17-010 SMB 漏洞以及窃取用户 Windows 登录凭据的方式传播。值得注意的是,Petya 变体可用于安装获取用户登录凭据的 Mimikatz 工具。窃取的登录凭据可用于访问网络上的其他系统”。 US-CERT 分析的样本还通过检查被入侵系统的 IP 物理地址映像表尝试识别网络上的其他主机。Petya 变体在 C 盘上写入含有比特币钱包地址与 RSA 秘钥的文本文件。恶意代码对主引导记录(MBR)进行修改,启用主文件表(MFT)与初始 MBR 的加密功能并重启系统、替换 MBR。 “从采用的加密方法来看,即便攻击者收到受害者ID也不大可能恢复文件。” US-CERT建议组织机构遵循 SMB 相关最佳实践,例如: • 禁用 SMBv1 • 使用 UDP 端口 137-138 与 TCP 端口 139 上的所有相关协议阻止 TCP 端口 445,进而阻拦所有边界设备上的所有 SMB 版本。 “ US-CERT 提醒用户与网络管理员禁用 SMB 或阻止 SMB 可能因阻碍共享文件、数据或设备访问产生一系列问题,应将缓解措施具备的优势与潜在问题同时纳入考虑范畴”。 以下是预警报告中提供的防范建议完整列表: • 采用微软于 2015 年 3 月 14 日发布的补丁修复 MS17-010 SMB 漏洞。 • 启用恶意软件过滤器防止网络钓鱼电子邮件抵达终端用户,使用发送方策略框架(SPF)、域消息身份认证报告与一致性(DMARC)、DomainKey 邮件识别(DKIM)等技术防止电子邮件欺骗。 • 通过扫描所有传入/出电子邮件检测威胁,防止可执行文件抵达终端用户。 • 确保杀毒软件与防病毒解决方案设置为自动进行常规扫描。 • 管理特权账户的使用。不得为用户分配管理员权限,除非有绝对需要。具有管理员账户需求的用户仅能在必要时使用。 • 配置具有最少权限的访问控制,包括文件、目录、网络共享权限。如果用户仅需读取具体文件,就不应具备写入这些文件、目录或共享文件的权限。 • 禁用通过电子邮件传输的微软 Office 宏脚本。考虑使用 Office Viewer 软件代替完整的 Office 套件应用程序打开通过电子邮件传输的微软 Office 文件。 • 制定、研究并实施员工培训计划以识别欺诈、恶意链接与社工企图。 • 每年至少对网络运行一次定期渗透测试。在理想情况下,尽可能进行多次测试。 • 利用基于主机的防火墙并阻止工作站间通信。 原作者:Pierluigi Paganini,译者:游弋,校对:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

乌克兰再遭第二波网络袭击,病毒与本周初不同

据外媒报道,乌克兰国家能源公司 Ukrenergo 29日遭遇第二波网络袭击。此次网络攻击使用的电脑病毒同本周初袭击乌克兰的不同,但并没有对乌克兰的电力网造成影响。27 日的病毒攻击,最先传出遭受攻击消息的是乌克兰中央银行,随后“中招”的是乌克兰电网、银行、政府机关、机场等机构和部门。一些政府员工被要求以比特币的方式支付赎金。 乌克兰 27 日受到“前所未见”的大规模网络攻击,当时肆虐的勒索病毒过后蔓延至全球 60 个国家,导致数以千计的电脑瘫痪,海港、工厂和办公室陷入停顿。 Ukrenergo 的代主管科瓦利丘克说:“(第二波网络袭击的)病毒稍微不同,其性质不同,类似( 5 月肆虐全球的)想哭病毒( WannaCry )……其造成的影响不大,一些公司的电脑系统仍处于无法工作的状态。” 他透露,初步数据显示,27 日的勒索病毒是在电脑系统进行软件提升时被启动的。 稿源:cnBeta.com,封面源自网络

微软:Petya 勒索软件只影响了约 2 万台电脑

本周早些时候,Petya 勒索软件攻击几乎让每个人都惊奇,全球许多 Windows  电脑瘫痪了,其中大部分是运行 Windows 7 的操作系统。与之前的 WannaCry 勒索软件相比,Petya 勒索软件使用了相同的 SMB 漏洞,并且更复杂一些,但新的证据表明,疫情没有我们想象的那么糟糕。 微软昨天在其Windows安全博客上解释说:Petya 勒索软件是高度复杂的恶意软件,但是我们的遥测结果显示,Petya 勒索软件的受害率远远低于我们的预期,受害电脑数量不到 2 万台电脑。据该公司称,这次袭击事件在乌克兰开始,并且传播到其他国家的电脑上,而且,微软称,受感染的大都是 Windows 7 电脑。微软以前在今年早些时候为这种类型的漏洞发布了一系列补丁。 微软的博客文章还揭示 Petya 勒索软件有趣细节,其中包括 Petya 蠕虫行为的影响受到其设计的限制:首先,Petya 可以传播到其他电脑的执行时间有限。 作为其执行命令的一部分,它仅限与在电脑重新启动系统之前执行传播,此外,微软发现这种蠕虫代码不会在成功重新引导的受感染电脑上再次运行。最后,Petya 会对操作系统的引导代码造成一些损害,但是,在某些具体情况下,仍然有一些启动恢复选项。 总的来说,微软仍然担心这类型的勒索攻击复杂性越来越高,该公司正在敦促消费者和企业将他们的 PC 更新到更安全的 Windows 10。Windows 10 有防御措施可以减轻像 Petya 这样的勒索攻击。本周早些时候,该公司还宣布,下一代安全功能将于今年晚些时候在秋季创作者更新中推出。 稿源:cnBeta,封面源自网络