标签: 勒索软件

美国一家医院被迫支付 5.5 万美元赎金,以摆脱“SamSam” 勒索软件

外媒 1 月 16 日消息,美国印第安纳州汉考克地区一家医院(Hancock Health)被迫向黑客组织支付了价值 5.5 万美元的比特币赎金,以尽快摆脱勒索软件 “ SamSam ” 对其计算机设备的控制。据悉,该黑客组织通过暴力破解 RDP 端口,达到在更多的计算机设备上部署 SamSam 勒索软件的目的。 上周四( 1 月 11 日),Hancock Health 的工作人员发现黑客组织影响了医院的电子邮件和健康记录,但并没有窃取患者数据 。随后,经过相关研究人员展开调查发现,该组织使用 SamSam 勒索软件加密文件,并将文件重命名为“ I’m sorry ”。其实 SamSam 早在两年前就已出现过, 主要通过开放的 RDP 端口进行传播。 目前 Hancock Health 紧急采取了应对措施,例如通过 IT 人员介入暂停了整个网络;要求员工关闭所有计算机,以避免勒索软件传播到其他计算机;更有传言称医护人员利用笔和纸代替计算机来继续工作。 Hancock Health 表示尽管文件都有备份,但从备份中恢复文件很麻烦,因为要把所有的系统投入运行需要几天甚至几周的时间,以至于不得不向黑客组织支付赎金。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国一家医院遭到勒索软件攻击后依靠纸和笔运行

另一家美国医院已经成为勒索软件攻击的受害者。上个星期,一个勒索攻击设法感染了印第安纳州汉考克地区医院系统,要求医院支付不确定数量的比特币以提供解锁密钥。袭击发生在 1 月 11 日,影响了医疗中心的电子邮件,电子病历和其他内部操作系统。 医院强调,没有病人记录被从网络中删除,病人护理没有受到重大影响。该机构关闭了一些系统,以防止进一步的感染,并联系了联邦调查局和国家信息技术安全公司。截至周六上午,这些系统还未恢复正常,医院员工并继续使用笔和纸来更新患者的医疗数据。 以前一些勒索软件通过员工打开恶意电子邮件或网站链接进入医院系统,但汉考克健康医院的首席执行官史蒂夫·龙( Steve Long )说,在这种情况下情况并非如此。这家医院发言人表示,我们和其他医院一样,一直都在进行灾难演习,所以这一切都与我们多年来一直在进行的演练有关,当系统故障或系统违规时,如何继续提供世界一流的医疗和护理是我们多年来一直准备的事宜。 去年,堪萨斯心脏病医院和好莱坞长老会医疗中心遭到勒索软件袭击。 稿源:cnBeta,封面源自网络;

罗马尼亚联合欧洲刑警、FBI 逮捕 5 名黑客:涉嫌传播Cerber 和 CTB Locker 勒索软件

据外媒报道,欧洲刑警组织(Europol)、联邦调查局 (FBI)和罗马尼亚等相关执法机构于 12 月 13 日进行了一项大规模逮捕行动,警方在罗马尼亚东部抓获五名黑客,即近年来涉嫌入侵欧洲和美国境内数万台计算机后肆意传播勒索软件 Cerber 和 CTB Locker。目前,警方并未透露这五名被捕黑客详细信息。 CTB Locker(又名 Critroni)是 2016 年传播最广泛的勒索软件之一,且还是第一个使用 Tor 匿名网络隐藏其命令和控制服务器的勒索软件。Cerber 于 2016 年 3 月出现,它以 RaaS 模式为基础获得广泛分布:RaaS 模式允许任何可能的黑客散布恶意软件,从而获取 40% 的赎金。与大多数勒索软件一样,CTB Locker 和 Cerber 经销商使用的是最常见的攻击载体,比如钓鱼邮件和漏洞利用工具包。 欧洲刑警称,罗马尼亚当局于 2017 年初收到荷兰高科技犯罪组和其他当局提供的详细情报,其主要透露有一群罗马尼亚国民通过发送垃圾邮件感染当地计算机系统,并使用 CTB Locker 勒索软件对其数据进行加密。具体地来说,每封电子邮件都有一个附件(通常是存档发票),而该附件中包含一个恶意文件。一旦 Windows 用户打开后就会触发并感染设备,从而对其数据进行加密。 相关警方透露,在此次突袭行动中,当局缴获了大量的硬盘、外部存储设备、笔记本电脑、加密货币挖掘设备以及数百张 SIM 卡。值得注意的是,五名犯罪分子并非因为开发或维持这两款恶意软件被逮捕,而是因为涉嫌传播 CTB Locker 和 Cerber 。据悉,犯罪分子通过 CTB Locker 获得了 2700 万美元的赎金 ,而通过 Cerber 在 2017 年 7 月就赚取了 690 万美元,因此谷歌将其列为最有利可图的犯罪活动。目前,警方暂未透露更多相关细节。 消息来源:thehackernews ,编译:榆榆,校审:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

美国北卡罗来纳州服务器遭勒索软件攻击,政府拒绝支付赎金

据外媒报道,美国北卡罗来纳州夏洛特所在地–梅克伦堡县的重要服务器本周遭到勒索软件网络攻击,进而导致该城市的政府工作人员不得不回到老式的纸笔办公年代。 获悉,政府网络在一名工作者打开一份带有恶意软件附件的邮件之后遭到感染。黑客要求政府支付2.3万美元来恢复系统,不过截止到目前当地政府拒绝了这一要求。 发起这次网络攻击的黑客被认为来自伊朗或乌克兰。眼下,包括税务部门、监狱在内的多个城市机构所用的服务器都被勒索软件锁住。 尽管梅克伦堡县的许多服务器受到了影响,但夏洛特市的政府计算机系统并未受到波及,显然这非常幸运,毕竟这座城市拥有100多万名居民。另外,紧急服务电话也没有受到影响,不过像处理家庭暴力这样的热线已无法正常运转。 根据美联社提供的消息了解到,梅克伦堡县似乎早前已经为其系统创建过备份和维护。而官员们确实有考虑到支付赎金,但专家们指出,黑客恢复系统的时间将几乎跟其通过备份恢复的时间一样长。出于这个原因,当地政府决定继续执行繁重的手动维护活动和纪录来恢复系统,而非支付赎金。 稿源:cnBeta,封面源自网络;编辑:FOX

印度黑客暗网低价出售的新勒索软件 Halloware 竟是一场骗局?

据外媒 12 月 3 日报道,一名自称是来自印度东北部的 17 岁大学生 Luc1F3R 正以 40 美元的低廉价格贩卖一款新勒索软件 Halloware,还专门在暗网、地下论坛、公共互联网上托管的两个站点以及 YouTube 的视频上进行销售。这些暗网为 Halloware 提供了终身许可证书,然而由于 Halloware 低廉的价格让研究人员产生了怀疑,他们推测这要么是一个骗局;要么在 Luc1F3 看来,Halloware 并没有那么复杂。对此,他们决定展开详细调查。 虽然研究人员最初认为这是一个骗局,但由于黑客在勒索软件出售网站上出现了一些操作失误,以至于他们可以追踪到 Luc1F3R  正在托管与 Halloware 有关文件的网页,包括使用勒索软件感染受害者的恶意文件列表。 调查显示,该列表中的一份文件 hmavpncreck.exe 的 SHA256 哈希值和 Luc1F3R 在 Halloware 广告中所包含 NoDistribute 的扫描结果相同,从而证实这正是安全专家所需要寻找的恶意软件二进制文件。而另一个名为 ran.py 的文件似乎是 Halloware 的源代码。虽然该文件受到了保护,但研究人员还是设法提取了它的源代码,最终由其他安全研究人员创建出解密程序,以防有人购买这个勒索软件并用它来感染目标用户。 此外,勒索软件使用了硬编码的 AES-256 密钥加密文件,并将“(Lucifer)”字符串加到加密文件中。买家可以通过改变两个图像并添加定制的支付站点 URL 来完成安装,例如,一旦加密成功,image.png 就会变成(Lucifer)image.png。“任务完成”后 Halloware 勒索软件将会弹出窗口显示一个令人毛骨悚然的小丑与一条赎金消息引诱受害者重定向至另一暗网支付网站,并更改用户的桌面墙纸或进行其他恶意操作。 虽然 Halloware 是一个简单的勒索软件,但确实奏效。专家也注意到,Halloware 勒索软件并没有在被感染的个人电脑上删除文本文件。另外,Halloware 使用了硬编码的 AES-256 密钥加密文件,并没有保存远程服务器上的任何信息,这一特性使得 Halloware 并无实际意义,而且就连作者 Luc1F3R 可能也没有机会从 Halloware 手中赚到任何钱财。 由此看来,作者 Luc1F3R 似乎只是一位低技能的新手,刚刚向网络犯罪的世界迈出第一步,因为研究人员发现他在 YouTube 上传的所有黑客教程都只是描述了基本的技术或者是宣传不太复杂的恶意软件,而在 GitHub 帐户中 Luc1F3R 还托管了另外四种恶意软件。 附:哈希表 007c1f11afb195d77c176891d54b9cfd37c87b13dfe0ab5b6c368125e4459b8c d5b58bdda4ece79fbc264fff7f32df584d7b0051a5493119d336252f4668c73c c6d2e486109dc37f451dccce716e99e8a2653475d5605531d52756fc4fc88f09 针对加密的文件类型: .jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa.wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .mkv, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .rar, .zip, .7zip, .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd 消息来源:Bleeping Computer、Security Affairs,编译:榆榆,校对:青楚、FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件攻击所造成的实际损失在 2019 年或将达到 115 亿美元

HackerNews.cc 11 月 20 日报道,美国网络安全机构 Cybersecurity Ventures 于近期发布一份报告,宣称随着近年来勒索软件的数量以及攻击频率的不断增加,其实际损失成本于 2017 年累计高达 50 亿美元。据称,研究人员预计 2019 年的攻击损失可能升至 115 亿美元。相关数据显示,勒索软件于 2015 年所造成的实际损失仅仅只有 3.25 亿美元。 研究人员经调查发现,当前勒索软件每隔 40 秒就会针对目标业务发起攻击,然而预计 2019 年时将会缩减为 14 秒一次。另外,医疗等公共机构将会比其他行业更加容易遭受攻击,预计 2020 年黑客针对医疗机构的感染将是现在的 4 倍。但是,这并不一定意味着他们会支付更多的赎金,因为与勒索软件攻击所造成的实际损失相比(例如:数据损失、生产力遭到破坏、名誉损伤、业务中断等),支付的赎金金额就显得微不足道了。 美国领先的多元化医疗公司 Aetna 首席安全官 Jim Routh 表示:“ 未来,公司应该拒绝为了恢复数据而向黑客支付赎金的行为。其一家企业要想避免勒索软件攻击的话,需要定期备份系统所有数据、培训员工如何发现和应对钓鱼邮件(占网络攻击的 91%),以及尽快更新各软件设备。 然而,防止勒索软件攻击的安全措施说起来容易但做起来很难。CyberArk 首席执行官 Udi Mokady 近期表示,多数企业正在存储比特币,以便用于未来遭受勒索软件攻击后在紧急情况下支付赎金。此外,英国大约三分之一的中小型企业也认为,当其他方案都不可实施时,他们更愿意利用手头上拥有的比特币应对勒索软件攻击活动。目前,研究表明虽然愿意支付赎金的企业总数正在下降,但由于黑客已经在大规模攻击中“尝到了甜头”,因此他们将继续开发各勒索软件,以便感染目标企业后牟取暴利。 消息来源:Csoonline,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 Locky 出现新型变种:依赖僵尸网络 Necurs 与 DDE 机制展开新一轮攻击浪潮

HackerNews.cc 11 月 12 日消息,网络安全公司 Avira 研究人员近期发现勒索软件 Locky 出现新型变种,不仅可以通过僵尸网络 Necurs 开展大规模钓鱼攻击活动,还可利用动态数据交换(DDE)协议进行数据传输,从而规避安全软件检测的同时窃取用户重要信息。 研究显示,目前黑客主要通过合法的 Libre 与 Office 文件肆意分发恶意软件。一旦用户打开该恶意文件后系统将会自动触发一系列程序,从而最终在受害设备上对用户文件进行加密处理后发送到指定 C&C 服务器。研究人员在分析该恶意文件时还发现其中包含一份 LNK 文档,允许黑客通过粘贴的方式将命令复制到用户文本编辑器中,以便运行 PowerShell 脚本。 研究人员表示,该脚本内容清晰、极易阅读,其目的是从脚本嵌入的链接中下载另一个 PowerShell 脚本并通过 Invoke-Expression 函数运行。然而,第二个脚本所连接的服务器由黑客控制,并在下载该脚本时自动运行一份 Windows 可执行文件,其中包含多个阶段的混淆代码,以致诱导用户认为这是一个安全的文件。目前,研究人员认为勒索软件 Locky 的快速演变在当今的威胁领域中着实令人担忧,因为它还将继续进行深度 “优化”,从而感染更多设备。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究发现:勒索软件市场正在呈爆炸式增长

根据最新研究发现,暗网经济正在助推勒索软件蔓延。据悉,在今年十月份发布的一份报告中,反病毒服务提供商 Carbon Black 的研究人员发现,勒索软件在 2016-2017 年期间的销售量增长了 2502%。研究人员表示,这项研究报告监测了全球 21 个顶级暗网平台,然后再将收集到的数据进行推算得出了这个一结果。事实上,目前全球有超过 6300 个平台提供勒索软件交易。然而,随着销售量增长率达到惊人的 2502%,也使得勒索软件的总销售金额达到了 620 万美元,比上一年总销售额多了 25 万美元。 虽然总销售额看上去并不是太多,但是这种增长趋势却令人印象深刻——研究人员支出,如果不是预料之中,这样的增长主要是由供需推动的,该报告指出:“网络犯罪分子越来越多地看到市场机遇,并且希望通过勒索软件来快速获利”。勒索软件市场的不断扩大,一部分原因是由于一些工具让匿名变得更加轻松(比如比特币和 Tor 代理等),另一部分原因是因为勒索软件不断扩散,让许多人都可以轻松发起非法交易,去勒索别人。 报告表示:“随着技术创新日趋成熟,地下勒索软件经济已然成为一个类似于商业软件的行业,甚至包括开发、技术支持、分销、质保和客服等‘一条龙’服务。” 根据 CSO Online 的数据显示,去年勒索软件支付的金额达到了 10 亿美元,相比于去年增长了 4000%。不仅如此,勒索软件的开发人员也获得了不少收益。去年,一些勒索软件开发人员的收入能够超过 10 万美元,而在合法商业软件领域,程序员的中等收入大约为 7 万美元。而且,随着地下供应链的不断成熟,勒索软件开发人员不需要独立研发整套工具包:比如,一个程序员可能会专门从事加密技术研发,去锁定受害者的电子设备;而另一个程序员可能会专门负责如何收取勒索到的钱款。 安全专家认为,这种专业化程度的不断提升,是推动地下勒索软件经济快速增长的关键因素。推出一款 “赚钱” 的勒索软件早已经不是一个人在战斗了,过去,可能需要有一个人非常擅长开发和部署复杂的勒索软件,但现在你只需要知道在哪里购买所有必须的组件,然后把工具包补充完整即可。 Carbon Black 的报告中这样说道:“由于现有勒索软件经济服务层级细化,这个行业本身已经开始变得更加强大。这些细化服务降低了行业准入障碍,想要发起勒索的攻击者不再需要较强的专业技能,甚至你可能是个完全不同技术的‘小白’,只要你有比特币,就可以对任何人发起攻击。” 另一方面,勒索软件的攻击目标范围很广,也是没有止境的,导致这种情况的主要原因是企业普遍缺乏基本的安全控制:企业一直忽略对关键数据的备份,而且也很少测试自己的软件,看看是否过期,或是及时更新安全补丁。研究人员警告说,依靠执法部门来防范攻击基本上是没什么用的,所以企业主要还是需要依靠自身力量来对抗勒索软件。 而阻止勒索软件的关键,就是要说服受害者不去支付 “赎金”。根据 Carbon Black 分析的数据显示,约有 59% 的受访对象表示自己愿意支付低于 100 美元的“赎金”来重新获得自己的数据,但如果攻击者把“赎金”上限提升到 500 美元以上,那么大约只有 12% 的受访对象愿意接受。 报告最后总结说:“ 整套系统只有在受害者愿意支付‘赎金’的前提下才能运转起来,所以只要有人愿意支付,这个问题就会一直延续下去。” 稿源:新浪科技,封面源自网络;

欧洲爆发“坏兔子”勒索软件:俄罗斯与乌克兰成重灾区

据外媒和多家安全企业报道,周二的时候,俄罗斯和东欧地区爆发了名叫“坏兔子”(Bad Rabbit)的新型勒索软件,三家俄媒刊登了头条报道,包括新闻机构“国际文传电讯社”(Interfax)。俄罗斯安全企业 Group-IB 称,一旦计算机被其感染,“坏兔子”就会在一个黑底红字的界面上显示“NotPetya”风格的勒索信息。 该恶意软件会要求受害人登陆“洋葱路由”下隐藏的某个服务网站,向其交付 0.5 个比特币(约合 282 美元)的赎金来解除勒索。此外“坏兔子”还会显示一个倒计时界面,声称不及时支付的话,其勒索金额就会水涨船高。目前暂不清楚“坏兔子”攻击的幕后主使者身份、受害者都有谁、以及该恶意软件是哪里产生和如何传播的。 Interfax 在 Twitter 上表示,由于网络攻击,其服务器已被关闭。此外,乌克兰敖德萨机场也在本周二遭受了破坏性的网络攻击,但不清楚此事是否与“坏兔子”有关。Group IB 发言人表示,这轮大规模网络攻击主要针对以 Interfax 和 Fontanka 为代表的俄罗斯新闻公司。另外还有敖德萨机场、基辅地铁等乌克兰基础设施。 总部位于莫斯科的卡巴斯基实验室则表示,俄罗斯是“坏兔子”的重灾区,其次是乌克兰、土耳其和德国。该公司称该恶意软件的散布“是一场针对企业网络的有意攻击”。 卡巴斯基反恶意软件小组负责人 Vyacheslav Zakorzhevsky 在声明中称: 根据我们的数据,‘坏兔子’袭击的受害者多为在俄罗斯。其通过一些感染的设备,侵入了一些俄罗斯媒体网站。 虽然该恶意软件的攻击手段与 ExPetr [NotPetya] 期间类似,但我们无法证实它们之间的关系。 总部位于捷克的另一家安全企业 ESET 亦证实有一场实时的勒索软件活动。其在一篇博客文章中写到,以基辅地铁为例,新爆发的该勒索软件至少也是 Petya 的一个变种。 NotPetya 本身也是 Petya 的一个变种,ESET 表示该公司已经检测到了“数百起”的感染。另据 Proofpoint 的一位研究人员所述,“坏兔子”是通过一个假装的 Adobe Flash Player 安装器传播的。 卡巴斯基实验室的研究人员也证实了这点,称该恶意软件的启动器是通过被感染的合法网站发布出去的,但是这可能不是“坏兔子”的唯一散播途径。据 ESET 所述,该恶意软件还会尝试感染同一本地网络下的其它计算机,比如借助早就曝光的 Windows 数据共享协议(SMB)和开源的 Mimikatz 漏洞利用工具。 一位迈克菲研究人员指出,“坏兔子”会加密各种各样的文件,包括 .doc 和 .docx 文档、.jpg 图片、以及其它文件类型。最后,有多名研究人员指出,“坏兔子”似乎借用了《权利的游戏》中的许多命名,比如卡丽熙(全名太长不赘述)的三条龙 —— Drogon、Rhaegal、以及 Viserion 。 稿源:cnBeta,原文 [编译自:Motherboard , 来源:SecureList]

网络惊现最奇葩勒索病毒:仅需 10 张裸照即可解锁

通常情况下,勒索病毒会通过非法加密电脑的方式向受害人勒索钱财、比特币,比如前段时间全球爆发的 WannaCry。但并非每一位病毒黑客都那么直接,还有奇葩癖好的,比如——裸照。据外媒 eHackingnews 报道,安全研究团队 MalwareHunterTeam 最近公布一款名为 “nRansomware” 的勒索病毒,并展示了一些中招用户的电脑画面。 据悉,该病毒安装文件名为 nRansom.exe,病毒制作者要求受害者发送 10 张裸照才能解锁。从截图来看,中毒之后电脑屏幕上会出现一大堆托马斯小火车图片,向你骂脏话 “fxxk you”,并且重复播放一首名为《your-mom-gay》的背景音乐。 “你的电脑已经被锁定,你只能通过特定的解锁密码才能解锁。访问 xxxxxmail.com 创建一个账户,通过邮件发送给 xxx.com 邮箱地址。当攻击者回复之后,你必须发送至少 10 张裸照。我们核实确认是你自己的照片后,会给你解锁密码,并将裸照卖在 Deep web 上贩卖。” 所谓 Deep web,就是一般搜索引擎无法找到的内容,多为1024订购服务,所以你懂得。目前,尚未有破解办法,对此用户只能通过升级到最新的操作系统版本或者安装防病毒软件保护自身设备。 稿源:cnBeta、快科技,封面源自网络;