安全快讯Top News

Android 恶意软件 xHelper 的删除方法

xHelper 是一种 Android 恶意软件,安全厂商 Malwarebytes 于 2019 年 5 月检测到了它的存在。这是一个隐蔽的恶意软件删除程序,即使在用户恢复出厂设置以后,该恶意软件还是会重新感染,从而给全世界的用户带来了持续困扰。 Malwarebytes 的安全研究人员一直在研究该威胁,在近日发布的一篇博客文章中,该团队表示,尽管仍未弄清楚该恶意软件如何自行重新安装,但他们确实已经发现了有关其操作方式的足够信息,以便永久删除它,并防止 xHelper 在恢复出厂设置后重新安装自身。 据 Malwarebytes 小组透露,xHelper 找到了一种使用 Google Play Store 应用内的进程来触发重新安装操作的方法。借助在设备上创建的特殊目录,xHelper 可以将其 Android 应用程序包(Android application package,APK)隐藏在磁盘上。与应用程序不同,即使在恢复出厂设置后,其目录和文件仍保留在 Android 移动设备上。因此,在删除目录和文件之前,设备将继续受到感染。 Malwarebytes 在对恶意软件的分析中解释道,“Google Play 未感染恶意软件。但是,Google Play 中的某些事件触发了重新感染-可能是某些东西正在存储中。此外,有些东西可能还会将 Google Play 用作烟幕,从而将其伪装为恶意软件的安装来源,而实际上它来自其他地方。” 删除 xHelper 的方法 值得注意的是,以下删除步骤依赖用户安装适用于 Android 的 Malwarebytes 应用程序,不过该应用程序可免费使用。 具体删除步骤如下: 从Google PLAY 安装文件管理器,该文件管理器可以搜索文件和目录。 Amelia 使用了 ASTRO 的 File Manager。 暂时禁用 Google PLAY 以停止重新感染。 转到设置 > 应用 > Google Play 商店 按禁用按钮在 Android 的 Malwarebytes 中运行扫描,以删除 xHelper 和其他恶意软件。 手动卸载可能是困难的,但是要在“应用程序”信息中查找的名称是 fireway,xhelper 和“设置”(仅在显示两个设置应用程序的情况下)。打开文件管理器并搜索以 com.mufc 开头的任何内容。 如果找到,记下最后修改日期。 专业提示:在文件管理器中按日期排序 在 ASTRO 的文件管理器中,您可以在视图设置下按日期排序删除以 com.mufc 开头的所有内容。以及具有相同日期的任何内容(除了核心目录,如 Download): 重新启用 Google PLAY 转到设置 > 应用 > Google Play 商店 按启用按钮   (稿源:开源中国,封面源自网络。)

谷歌移除 500 多款恶意扩展

在思科Duo Security团队和安全研究员贾米拉·卡亚(Jamila Kaya)两个多月的深入调查之后,谷歌近日宣布从官方网上商城删除500多个恶意Chrome扩展程序。据悉这些扩展程序都会在用户浏览会话中注入恶意广告(malvertising)。 这些扩展程序注入的恶意代码会在特定条件下激活,并将用户重定向到特定的页面。在某些情况下,重定向地址可能是Macys,DELL或BestBuy等合法网站上的会员链接;而在其他情况下可能是恶意站点,例如恶意软件的下载站点或者网络钓鱼页面。 根据Duo Security团队和Jamila Kaya分享的报告,这些恶意扩展程序上线至少有两年时间了。这些恶意扩展最初是由Kaya发现的,她在例行的威胁扫描期间发现这些恶意扩展通过通用URL模式访问恶意网站。 利用CRXcavator(一种用于分析Chrome扩展程序的服务),Kaya发现了最初的扩展程序集群,它们在几乎相同的代码库上运行,但是使用了各种通用名称,而鲜有关于其真实用途的信息。 Kaya告诉我们:“仅靠我个人,就确定了十几个采用该共享模式的扩展程序。与Duo联络后,我们能够使用CRXcavator的数据库对其进行快速指纹识别,并发现整个网络”。根据Duo的说法,首批扩展程序的安装总数超过了170万名Chrome用户。 Kaya表示随后我们将发现的结果反馈给了谷歌。随后谷歌经过自查发现了更多符合这种模式的扩展程序,随后删除了500多个扩展程序。目前尚不清楚有多少用户安装了500多个恶意扩展,但数量可能超过数百万。   (稿源:cnBeta,封面源自网络。)

MIT:区块链投票系统 Voatz 存在漏洞 易受攻击

麻省理工学院工程师团队的最新研究发现,在名为Voatz的区块链投票系统中存在一系列令人震惊的漏洞。对Voatz的Android应用程序进行反向工程后,研究人员得出结论称,通过入侵选民手机,攻击者几乎可以随意观察、压制和更改选票。该论文称,网络攻击还可能揭示给定用户在哪里投票,并可能在此过程中压制投票。 研究人员说,最令人不安的是,破坏了管理Voatz API的服务器的攻击者甚至可以在投票到来时更改选票,这在理论上应该可以防止分布式分类账的威胁。 研究人员得出结论称:“鉴于本文所讨论的失败的严重性,缺乏透明度,选民隐私的风险以及攻击的琐碎性质,我们建议放弃将这个应用程序用于高风险选举的任何近期计划。” Voatz的基于区块链的投票项目旨在替代缺席选票,安全研究人员对此表示怀疑,但许多科技界人士表示了浓厚兴趣,其获得了超过900万美元的风险投资。在Voatz系统下,用户将通过应用程序远程投票,并通过手机的面部识别系统验证身份。 Voatz已经在美国的一些次要选举中使用,在2018年西弗吉尼亚选举中收集了150多张选票。 Voatz 在博客文章中对MIT的发现提出了质疑,称该研究方法存在“错误”。该公司的主要抱怨是,研究人员正在测试Voatz客户端软件的过时版本,并且没有尝试连接到Voatz服务器本身。博客文章写道:“这种有缺陷的方法使关于其破坏整个系统能力的任何主张无效。” Voatz的高管在与记者的电话中辩称,服务器端保护将阻止受感染的设备通过身份验证进入更广泛的系统。Voatz首席执行官Nimit Sawhney说道:“他们的所有主张都基于这样的想法,因为他们能够破坏设备,因此能够破坏服务器。而这个假设是完全错误的。” Voatz还强调了允许选民和选举官员事后核实选票的措施。该公司产品负责人Hilary Braseth说道:“使用Voatz提交的每张选票都会产生纸质选票,使用Voatz的每位选民一旦提交,都会收到一张选票。” 到目前为止,这些解释并没有使安全专家印象深刻。 约翰·霍普金斯密码学家Matthew Green在Twitter上指出:“设备只是将票发送到服务器。服务器可能会将它们放在区块链上,但是如果设备或服务器受到威胁,这将无济于事。Voatz需要解释他们如何处理这个问题。” Voatz还在博文中指出了其正在进行的漏洞赏金计划和定期的代码审查,以证明该应用程序具有强大的安全性-但有些研究人员可能不同意。去年10月,该公司因FBI转介事件而备受抨击,消息人士告诉CNN该事件起源于密歇根大学的选举安全课程。其他人则批评了Voatz的赏金计划对研究人员来说是繁重且敌对的,这可能解释了为什么麻省理工学院的研究人员没有参加其中。 总体而言,这仍然不是第一次提出有关Voatz或区块链投票的安全问题。11月,参议员Ron Wyden(D-OR)写信给五角大楼,提出对Voatz安全性的担忧,并要求对该应用程序进行全面审核。该请求最终被推迟。Wyden在一份声明中说道:“网络安全专家已经明确表明,互联网投票是不安全的。现在距离共和党人结束选举安全禁令和让国会通过整个选举系统的强制性安全标准已经过去了很长时间。”   (稿源:cnBeta,封面源自网络。)

僵尸网络 Emotet 能通过相邻 Wi-Fi 网络传播

Emotet 是最具危险性的恶意程序之一,它能窃取银行账号,安装不同类型的其它恶意程序。最近其运营者被发现开始采用新的方法进行传播:通过相邻的 Wi-Fi 网络。它利用名为 wlanAPI 的 API 收集附近无线网络的 SSID、信号强度、加密方法如 WPA,然后使用一个常用用户名密码组合列表尝试登陆。 如果成功登陆,被感染的设备会枚举所有连接到该网络的非隐藏设备,然后使用第二个密码列表去猜测连接设备的凭证。 它还会尝试猜共享资源的管理员密码。如果它成功猜出连接设备的密码,那么它就会加载  Emotet 和其它恶意程序。弱密码用户最好修改密码使用强密码。   (稿源:solidot,封面源自网络。)  

2019 勒索病毒专题报告

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/DzfUlKXkkMuBJS0UrdboSw   一、概述 勒索病毒作为全球最严峻的网络安全威胁之一,2019年持续对全球范围内的医疗、教育、能源、交通等社会基础服务设施,社会支柱产业造成重创。围绕目标优质化、攻击精准化、赎金定制化的勒索策略,以数据加密为核心,同时展开数据窃取、诈骗恐吓的勒索战术稳定成型,促使勒索病毒在2019年索取赎金的额度有明显增长。老的勒索家族持续活跃,新的勒索病毒层出不穷,犯罪行为愈演愈烈,安全形势不容乐观。 勒索病毒攻击2019典型事件 2019年3月初,国内发现大量境外黑客组织借助恶意邮件传播的GandCrab勒索病毒,黑客通过假冒司法机构发件人,成功攻击感染了我国多个政企机构内网,随后我国多地区机构发起安全预警。 2019年3月下旬,世界最大的铝产品生产商之一挪威海德鲁公司(Norsk Hydro)遭遇勒索软件公司,随后该公司被迫关闭了几条自动化生产线,损失不可估量。 2019年5月26日,易到用车发布公告称其服务器遭受到连续攻击,服务器内核心数据被加密,攻击者索要巨额的比特币。易到表示严厉谴责该不法行为,并已报警。 2019年5月29日,美国佛罗里达州里维埃拉海滩警察局因员工运行了恶意的电子邮件,从而导致该城市基础服务设施遭受勒索软件加密。市政官员于随后召开会议,批准通过一笔大约60万美元的资金用于支付勒索赎金。 2019年6月中旬,世界最大飞机零件供应商之一ASCO遭遇勒索病毒攻击,由于被病毒攻击导致的生产环境系统瘫痪,该公司将1400名工人中大约1000人送回家带薪休假,同时停止了四个国家的工厂生产。 2019年9月22日,国内某大型建筑设计有限公司遭到勒索病毒攻击,被勒索的每台电脑要给出1.5个比特币才能解锁,该公司的电脑全面崩溃,所有图纸都无法外发,该事件引发微博热议。 2019年10月,全球最大的助听器制造商之一Demant遭受勒索病毒入侵,该公司是目前听力行业唯一产品线涵盖助听器、人工中耳、骨导助听器、电子耳蜗及调频语训系统的全面听力解决方案提供者,全球听力检测设备领域的领先者,攻击导致的造成的损失高达9500W美元。 2019年12月,Maze(迷宫)勒索团伙向Southwire集团勒索600W美元,Southwire是北美领先的电线电缆制造商之一,勒索团伙声称:如果Southwire不交赎金,则会在网络上公布该公司的泄漏的120G重要数据。 二、2019年勒索病毒特点总结 1.老牌勒索家族转向精准化,高质量的狩猎行动 观察过去一年腾讯安全威胁情报中心收到的勒索求助反馈,主流老牌勒索家族(如GlobeImposter,Crysis)实施的勒索攻击中,企业用户占据了其绝大部分。这意味着老牌勒索家族已经从广撒网无差别模式的攻击,转变为精准化、高质量的行动,该转变使攻击者每次攻击行动后的收益转化过程更有效。 企业服务器被攻陷则多为对外开放相关服务使用弱口令导致,当企业内一台服务器被攻失陷,攻击者则会将该机器作为跳板机,继续尝试攻击其它局域网内的重要资产,在部分勒索感染现场我们也看到攻击者留下的大量相关对抗、扫描工具,个别失陷环境中攻击者光是使用的密码抓取工具就有数十款之多。 2.威胁公开机密数据成勒索攻击新手段 勒索病毒发展历程中,攻击者勒索的加密币种包括门罗币、达世币、比特币、平台代金券等。观察2019年相关数据可知,基于匿名性,稳定性,便捷性,相对保值性等特点,比特币已基本成为勒索市场中唯一不二的硬通货。 付款方式上,基本使用虚拟货币钱包转账。勒索交涉的沟通过程中,使用IM工具私信的方式在大型攻击中已消失(少量恶搞、锁机类低赎金还在使用),攻击者多选择以匿名、非匿名邮箱沟通交涉,或使用Tor登录暗网,浏览器直接访问明网相应站点使用相应的赎金交涉服务。 2019年,勒索病毒团伙开始偏向于赎金定制化,对不同目标要价各不相同,往往根据被加密数据的潜在价值定价(通常在5K-10w人民币),勒索病毒运营者的这种手法大幅提高了单笔勒索收益。这也导致个别大型政企机构在遭受到针对性的加密攻击后,被开出的勒索金额高达数百万元。 当企业有完善的数据备份方案,拒绝缴纳赎金时,勒索团伙则采取另一种手段:威胁泄露受害者的机密文件来勒索。下图为Maze病毒团伙在数据加密勒索企业失败后,公开放出了被攻击企业2GB私密数据。 Sodinokibi勒索团伙也在黑客论坛发声,称如果被攻击者拒绝拒绝缴纳赎金,则会将其商业信息出售给其竞争对手。通过加密前先窃取企业重要数据,当企业拒绝交付解密赎金情况时,再以公开机密数据为筹码,对企业实施威胁勒索。数据泄露对大型企业而言,带来的损失可能更加严重,不仅会造成严重的经济损失,还会使企业形象受损,造成严重的负面影响。 3.僵尸网络与勒索病毒相互勾结 僵尸网络是一种通过多重传播手段,将大量主机感染bot程序,从而在控制者和感染僵尸网络程序之间所形成的一对多控制的网络,僵尸网络拥有丰富的资源(肉鸡),勒索病毒团伙与其合作可迅速提升其勒索规模,进而直接有效增加勒索收益。在2019年,国内借助僵尸网络实施的勒索攻击趋势也进一步提升,我们观察到主要有以下相互勾结。 A.Emotet僵尸网络伙同Ryuk实施勒索 Ryuk勒索病毒家族起源于Hermes家族,最早的活跃迹象可追溯到2018年8月,国内自2019年7月开始有活动迹象,该团伙的特征之一为勒索赎金额度通常极高(超过百万),观察国内被勒索环境中可知,该染毒环境中同时会伴随着Emotet病毒的检出,而国外也有相关分析,指出该病毒常借助Trickbot,Emotet进行分发。 B.Phorpiex僵尸网络伙同Nemty实施勒索 Nemty 病毒在国内早期主要依靠垃圾邮件传播,在2019年中也依靠Phorpiex僵尸网络大面积投递,下图中IP:185.176.27.132,腾讯安图情报平台中已标识为Phorpiex僵尸网络资产,其上投递了Nemty 1.6版本的勒索变种,此次病毒间的勾结行为导致在2019年国庆期间Nemty勒索病毒一度高发,国内多家企业受到Nemty勒索病毒影响。 C.Phorpiex僵尸网络伙同GandCrab实施的勒索 GandCrab勒索病毒首次出现于2018年1月,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,于2019年6月1日在社交媒体公开宣布已成功勒索20亿美元将停止运营,GandCrab勒索病毒的整个历程与使用Phorpiex僵尸网络长期投递有密不可分的关系。 D.Phorpiex僵尸网络群发勒索恐吓邮件 你可能收到过类似的邮件:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。” Phorpiex僵尸网络利用网络中的历史泄漏邮箱信息,对千万级别的邮箱发起了诈骗勒索,当命中收件人隐私信息后,利用收件人的恐慌心里,进而成功实施欺诈勒索。勒索过程中,受害者由于担心自己隐私信息遭受进一步的泄漏,极容易陷入勒索者的圈套,从而受骗缴纳赎金。 4.丧心病狂的反复加密,文件名加密 腾讯安全御见威胁情报中心在日常处理勒索病毒的现场发现,有个别系统内同时被多个勒索病毒感染。后来的攻击者在面对文件已被加密的失陷系统,依然将已损坏数据再次加密。导致受害者需缴纳两次赎金,且由于解密测试过程无法单一验证,即使缴纳赎金,数据还原难度也有所提高。 同时还注意到部分勒索病毒并不满足于加密文件,连同文件名也一同进行修改,从侧面反映出勒索病毒运营者也存在竞争激烈,攻击者对赎金的追求已丧心病狂。 5.中文定制化 中国作为拥有8亿多网民的网络应用大国,毫无疑问成为勒索病毒攻击的重要目标,一部分勒索病毒运营者开始在勒索信、暗网服务页面提供中文语言界面。 三、2019年勒索病毒攻击数据盘点 2019年,勒索病毒攻击以1月份攻击次数最多,下半年整体攻击次数较上半年有所下降。但根据腾讯安全威胁情报中心接收到的众多反馈数据,下半年企业遭受勒索病毒攻击的反馈数不减反增,主要原因为部分老牌勒索家族对企业网络的攻击更加精准,致企业遭遇勒索病毒的损失更加严重。 从2019我们接受到的勒索反馈来看,通过加密用户系统内的重要资料文档,数据,再勒索虚拟币实施犯罪仍为当前勒索病毒攻击的的主要形式。使用群发勒索恐吓邮件,命中收件人隐私信息后,再利用收件人的恐慌心里,实施欺诈勒索的方式也较为流行。 加密数据勒索不成以泄漏数据再次胁迫企业的方式也成为了勒索团伙新的盈利模式(Maze和Sodinokibi已使用)。以锁定系统的方式进行勒索多以易语言为代表编写的游戏外挂、辅助工具中。同时也有极少数以勒索攻击为表象,以消除入侵痕迹掩盖真相为目的的攻击事件,该类型的勒索病毒通常出现在部分定向窃密行动中。 观察2019全年勒索病毒感染地域数据可知,国内遭受勒索病毒攻击中,广东,北京,江苏,上海,河北,山东最为严重,其它省份也有遭受到不同程度攻击。传统企业,教育,政府机构遭受攻击最为严重,互联网,医疗,金融,能源紧随其后。 2019全年勒索病毒攻击方式依然以弱口令爆破为主,其次为通过海量的垃圾邮件传播,勾结僵尸网络发起的攻击有上升趋势。勒索病毒也通过高危漏洞,软件供应链形等形式传播。   四、2019年国内勒索病毒活跃TOP榜 观察2019全年勒索病毒活跃度,GlobeImposter家族最为活跃,该病毒在国内传播主要以其12生肖系列,12主神系列为主(加密扩展后缀中包含相关英文,例如:.Zeus865),各政企机构都是其重点攻击目标。 其次为Crysis系列家族,该家族伙同其衍生Phobos系列一同持续活跃,紧随GlobeImposter之后。 GandCrab家族虽然在2019年6月1日宣布停止运营,但在之后短时间内依然有部分余毒扩散,该病毒以出道16个月,非法获利20亿美元结束传播,虽然其2019生命周期只有一半,但其疯狂敛财程度堪称年度之最。 紧随其后的则是被称为GandCrab接班人的Sodinokibi,该病毒在传播手法,作案方式,病毒行为上于GandCrab有许多相似,为2019年勒索病毒中最具威胁的新型家族之一。 Stop家族则寄生于大量的破解软件中,持续攻击加密了国内大量技术人员的工程制图,音频,视频制作材料。老牌勒索家族持续活跃,新的勒索病毒不断涌现。越来越多的不法分子参与到这个黑产行业中来。 GlobeImposter GlobeImposter出现于2017年中,加密文件完成后会留下名为HOW TO BACK YOUR FILES.(txt html exe)类型的勒索说明文件。该病毒加密扩展后缀繁多,其规模使用且感染泛滥的类型有12生肖4444,12生肖/主神666,12生肖/主神865,12生肖/主神865qq等系列,由于该病毒出现至今仍然无有效的解密工具,各政企机构需提高警惕。 Crysis Crysis勒索病毒从2016年开始具有勒索活动 ,加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀,例:“id-编号.[gracey1c6rwhite@aol.com].bip”,其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器,安全意识薄弱的企业由于多台机器使用同一弱密码,面对该病毒极容易引起企业内服务器的大面积感染,进而造成业务系统瘫痪。 GandCrab GandCrab勒索病毒首次出现于2018年1月,是国内首个使用达世币(DASH)作为赎金的勒索病毒,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件等各种方式传播。 2018年10月16日,一位叙利亚用户在推特表示,GandCrab病毒加密了他的电脑文件,因无力支付勒索赎金,他再也无法看到因为战争丧生的小儿子的照片。随后GandCrab放出了叙利亚地区的部分密钥,并在之后的病毒版本中将叙利亚地区列入白名单不再感染,这也是国内有厂商将其命名为“侠盗勒索”的原因。 2019年6月1日,GandCrab运营团队在某俄语论坛公开声明“从出道到现在的16个月内共赚到20多亿美金,平均每人每年入账1.5亿,并成功将这些钱洗白。同时宣布关闭勒索服务,停止运营团队,后续也不会放出用于解密的密钥,往后余生,要挥金如土,风流快活去”。 2019年6月17日,Bitdefender联合罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式,实现了对GandCrab最新病毒版本v5.2的解密。该事件也标志着GandCrab勒索团伙故事的终结。 Sodinokibi Sodinokibi勒索病毒首次出现于2019年4月底,由于之后GandCrab停止运营事件,该病毒紧跟其后将GandCrab勒索家族的多个传播渠道纳入自身手中。该病毒目前在国内主要通过web相关漏洞和海量的钓鱼邮件传播,也被国内厂商称为GandCrab的“接班人”,从该病毒传播感染势头来看,毫无疑问是勒索黑产中的一颗上升的新星。 Stop Stop勒索病毒家族在国内主要通过破解软件等工具捆绑进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒使用勒索后缀变化极为频繁,通常勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免,同时,该病毒除加密文件外,还具备以下行为特点。 1.加密时,禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能; 2.通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站; 3.因病毒执行加密时,会造成系统明显卡顿,为掩人耳目,病毒会弹出伪造的Windows 自动更新窗口; 4.释放一个被人为修改后不显示界面的TeamViewer模块,用来实现对目标电脑的远程控制; 5.下载AZORult窃密木马,以窃取用户浏览器、邮箱、多个聊天工具的用户名密码; Paradise Paradise勒索病毒最早出现于2018年7月,该病毒勒索弹窗样式与Crysis极为相似,勒索病毒加密文件完成后将修改文件名为以下格式:[原文件名]_[随机字符串]_{邮箱}.随机后缀,并留下名为Instructions with your files.txt 或###_INFO_you_FILE_###.txt 的勒索说明文档。 Maze Maze(迷宫)勒索病毒也叫ChaCha勒索病毒,擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面,该病毒的特点之一是称根据染毒机器的价值来确认勒索所需的具体金额,该勒索病毒同时也是将数据加密勒索转向数据泄露的先行者。 Nemty NEMTY勒索病毒出现于今年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。NEMTY 变种病毒加密文件完成后会添加“._NEMTY_random_7个随机字符”扩展名后缀,由于该病毒与Phorpiex僵尸网络合作,在2019年国庆期间感染量有一次爆发增长,该病毒会避开感染俄罗斯、白俄罗斯、乌克兰及多个中亚国家。 Medusalocker Medusalocker该病毒出现于2019年10月,已知该病毒主要通过钓鱼欺诈邮件及托口令爆破传播。该病毒早期版本加密文件完成后添加扩展后缀.encrypted,最新传播病毒版本加密文件后添加.ReadTheInstructions扩展后缀。攻击者会向受害者勒索1BTC(比特币),市值约6.5万元。 Ryuk Ryuk的特点之一是倾向于攻击数据价值较高的政企机构,且赎金普遍极高(最近联系作者要价11个比特币,价值约75万元RMB,在国外该病毒开出的赎金额度通常高达数百万RMB),Ryuk勒索家族起源于Hermes家族,最早的活跃迹象可追溯到2018年8月,国内发现该病毒的投递与Emotet僵尸网络有着密不可分的关系。 五、勒索病毒接下来会怎样 1、勒索病毒与安全软件的对抗加剧 随着安全软件对勒索病毒的解决方案成熟完善,勒索病毒更加难以成功入侵用户电脑,病毒传播者会不断升级对抗技术方案。 2、勒索病毒传播场景多样化 过去勒索病毒传播主要以钓鱼邮件为主,现在勒索病毒更多利用了高危漏洞、鱼叉式攻击,或水坑攻击等方式传播,乃至通过软件供应链传播,都大大提高了入侵成功率。 3、勒索病毒攻击目标转向企业用户 个人电脑大多能够使用安全软件完成漏洞修补,在遭遇勒索病毒攻击时,个人用户往往会放弃数据,恢复系统。而企业用户在没有及时备份的情况下,会倾向于支付赎金,挽回数据。因此,已发现越来越多攻击目标是政府机关、企业、医院、学校。 4、勒索病毒更新迭代加快 随着安全厂商与警方的不断努力,越来越多的勒索病毒将会被破解,被打击,这也将加剧黑产从业者对病毒进行更新迭代。 5、勒索赎金定制化,赎金进一步提高 随着用户安全意识提高、安全软件防御能力提升,勒索病毒入侵成本越来越高,攻击者更偏向于向不同企业开出不同价格的勒索赎金,定制化的赎金方案能有效提升勒索成功率,直接提升勒索收益。如某公司被勒索病毒入侵后,竟被勒索9.5个比特币,还有Ryuk团伙动辄开出上百万的勒索赎金单,都代表勒索病毒赎金未来会有进一步的提高。 6、勒索病毒开发门槛降低 观察近期勒索病毒开发语言类型可知,越来越多基于脚本语言开发出的勒索病毒开始涌现,甚至开始出现使用中文编程“易语言”开发的勒索病毒。 例如使用Python系列的“Py-Locker”勒索病毒,易语言供应链传播闹的沸沸扬扬的“unname1989”勒索病毒,甚至利用bat脚本结合Winrar相关模块直接对文件进行压缩包密码加密的“FakeGlobeimposter”病毒等,门槛低意味着将有更多的黑产人群进入勒索产业这个领域,也意味着该病毒将持续发展泛滥。 7、勒索病毒产业化加剧 随着勒索病毒的不断涌现,腾讯安全御见威胁情报中心观察到勒索代理同样繁荣。当企业遭遇勒索病毒攻击,关键业务数据被加密,而理论上根本无法解密时,勒索代理机构,承接了受害者和攻击者之间谈判交易恢复数据的业务。我们注意到勒索代理机构常年购买搜索关键字广告承接生意。 8、勒索病毒多平台扩散 目前受到的勒索病毒攻击主要是windows系统,但是管家也陆续发现了MacOS、Android等平台的勒索病毒,随着windows的防范措施完善和攻击者永不满足的贪欲,未来勒索病毒在其他平台的影响力也会逐步增大。 9、勒索病毒黑产参与者持续上升,勒索病毒影响规模进一步扩大 GandCrab通过16个月赚够20亿美金高调“退休”的故事被广为流传,可以预见,此事件将引爆黑暗中更多人的贪欲,在未来相当长一段时间内,将会有越来越多的人投身勒索行业,黑产从业者将持续上升。 随着各类型病毒木马盈利模式一致,各类型病毒均有可能随时附加勒索属性。蠕虫,感染,僵尸网络,挖矿木马,在充分榨干感染目标剩余价值后,都极有可能下发勒索模块进行最后一步敲诈,2019年老的勒索家族持续活跃,新的勒索病毒也层出不穷,可预测未来由勒索病毒导致的网络攻击将依然是企业安全面临的重要问题之一。 六、勒索病毒防范措施 企业用户可参考以下措施加强防御 A、定期进行安全培训,日常安全管理可参考“三不三要”思路 1.不上钩:标题吸引人的未知邮件不要点开 2.不打开:不随便打开电子邮件附件 3.不点击:不随意点击电子邮件中附带网址 4.要备份:重要资料要备份 5.要确认:开启电子邮件前确认发件人可信 6.要更新:系统补丁/安全软件病毒库保持实时更新 B、全网安装专业的终端安全管理软件,由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁。 C、部署流量监控/阻断类设备/软件,便于事前发现,事中阻断和事后回溯。 D、建议由于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全。 E、使用内网强制密码安全策略来避免使用简单密码。 1.一些关键服务,应加强口令强度,同时需使用加密传输方式,对于一些可关闭的服务来说,建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。 2.建议对数据库账户密码策略建议进行配置,对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。 F、建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞,攻与防的循环,伴随每个主流操作系统、应用服务的生命周期。 G、建议对数据库的管理访问节点地址进行严格限制,只允许特定管理主机IP进行远程登录数据库。 H、做好安全灾备方案,可按数据备份三二一原则来指导实施 1.至少准备三份:重要数据备份两份 2.两种不同形式:将数据备份在两种不同的存储类型,如服务器/移动硬盘/云端/光盘等 3.一份异地备份:至少一份备份存储在异地,当发生意外时保证有一份备份数据安全。 个人消费者可使用安全防护软件 腾讯电脑管家可对各勒索病毒家族变种及时防御拦截,同时管家文档守护者通过集成多个主流勒索家族的解密方案,通过完善的数据备份防护方案,在2019中为数千万的管家用户提供文档保护恢复服务。通过自研解密方案成功为上千名不幸感染勒索病毒者提供了解密服务,帮助其成功恢复了被病毒加密的文件。  

以色列选举管理应用程序意外泄露了数百万选民的数据

近年来,数据泄露和安全漏洞有着高发的态势,甚至在一些重要的领域都难以幸免。以色列报纸 Haaretz 报道称,由第三方管理的 Elector 选举应用,近日就曝出了严重的问题,导致超过 600 万的选民数据被意外泄露。据悉,该应用由一家名叫 Feed-b 的公司开发和运营。尽管其迅速采取了措施,但已为时过晚。 为方便向支持者传达信息、并引导其至就近的投票站,以色列各政党纷纷推出了选举类应用程序。 然而由于 Feed-b 管理不善,导致外界可在未公开的一段时间内,无限制地访问 645 万 3254 名公民的等数据。 信息中包括了用户的全名、身份 ID、地址、性别、电话号码、以及以色列选民不经意间提供的其它个人数据。 以色列报纸 Haaretz 指出,这并不是他们首次见到类似的安全违例,但可能是规模最大的一次。   (稿源:cnBeta,封面源自网络。)

别掉入奥斯卡提名影片免费下载的陷阱 它们都是恶意软件

据外媒报道,日前,网络安全公司卡巴斯基的专家们发现,有数百个网站承诺免费提供今年最受好评的电影的下载服务,但实际上所有的下载都是恶意软件。另外还有20多个钓鱼网站欺骗用户输入他们的信用卡号码和其他敏感信息。 《小丑》是眼下最常被用来引诱受害者的电影:研究人员发现了304个以这部电影为标题的恶意文件。一战影片《1917》、《爱尔兰人》、《好莱坞往事》则分别有215个、179个文件、150个恶意文件。据卡巴斯基报道,韩国电影《寄生虫》则没有与之相关的恶意文件。 对此,卡巴斯基建议用户检查合法来源的下载文件扩展名、检查网站的真实性、查明电影何时在影院或流媒体服务上上映、使用可靠的病毒保护服务并不要去点击可疑链接。 附这一届奥斯卡最佳影片提名作品: 《1917》 《极速车王》 《乔乔的异想世界》 《小丑》 《小妇人》 《婚姻故事》 《好莱坞往事》 《寄生虫》 《爱尔兰人》   (稿源:cnBeta,封面源自网络。)

研究人员通过操纵电脑屏幕亮度来设法盗取数据

政府、银行、企业、工业和军事机构中的电脑通常在严格控制环境中运行,与互联网断开连接,并受到严格的监督。虽然这些安全措施使它们更难被破解,但过去已经探索出几个秘密通道,利用计算机的声音、热量,甚至硬盘驱动器的活动指示器来窃取编码数据。最新的尝试包括偷偷地改变显示器的亮度,然后用监控摄像机进行视频流捕获,最后通过图像处理解码。 研究人员已经能够通过简单地更改电脑屏幕亮度级别,来从电脑中提取数据,这是依赖于人类视觉限制新型光学隐蔽通道的一部分。据《黑客新闻》报道,以色列本·古里安大学网络安全研究中心负责人Mordechai Guri博士与两名学者一起进行了这项研究。 尽管目标电脑不需要网络连接或物理访问来传递数据,但确实需要先感染恶意软件,该恶意软件将敏感信息编码为“字节流”,然后通过缩小尺寸在屏幕上对其进行调制亮度变化,人眼看不见。然后,被破坏的画面由摄像机记录下来,攻击者可以通过图像处理技术对其进行访问和解码。研究人员指出,这个秘密通道是不可见的,即使用户在电脑上工作,这种攻击也无法察觉。 通过显示-摄像头通信,屏幕被一系列的1和0调制,研究人员能够以0%的错误率重建信息。对于他们的实验,他们使用了安全摄像机、摄像头和智能手机,距离目标PC的距离不同,数据传输最大速度能够达到10bits/秒。作为应对此类攻击的对策,研究人员建议实施严格的政策,他们还建议在屏幕上使用偏振光片,这样可以为用户提供清晰的视野,但远处的摄像头只能录到暗屏。   (稿源:cnBeta,封面源自网络。)

WhatsApp 桌面客户端曝出远程文件访问和代码执行漏洞

Facebook 刚刚修复了 WhatsApp 桌面平台中一个严重的安全漏洞,消除了允许攻击者从 Windows / Mac 上的本地文件系统中读取文件、甚至远程代码执行的隐患。该漏洞由安全研究人员 Gal Weizman 和 PerimeterX 共同发现,美国国家标准技术研究所(NIST)评估的严重等级为 8.2 。 早在 2017 年的时候,研究人员就已经发现过可更改他人回复文字的问题。Weizman 意识到,他可以利用富媒体制作以假乱真的消息,将目标重定向到他指定的位置。 安全研究人员进一步证实了此事,可以利用 JavaScript 达成一键式持久性跨站脚本攻击(XSS)。 最终绕过 WhatsApp 的 CPS 规则来增强攻击能力,甚至实现远程代码执行 经过一番挖掘,研究人员意识到这一切都是可行的。因为 Facebook 提供的 WhatsApp 桌面应用程序版本,正式基于过时的 Chrome 69 版本。 问题在 Chrome 78 正式推出时曝光,早几个版本中使用的 javascript 技俩的功能已得到修补。 若 WhatsApp 将其 Electron Web 应用程序从 4.1.4 更新到发现此漏洞时的最新版本(7.x.x),那 XSS 也将不复存在。 Facebook 表示,CVE-2019-18426 漏洞影响 0.3.9309 之前的 WhatsApp 桌面客户端、以及 2.20.10 之前的 iPhone 客户端。 有关漏洞的详情,还请移步至 Weizman 的 PerimeterX 博客文章中查看。   (稿源:cnBeta,封面源自网络。)  

微软平均每天检测到超 7 万个活跃的Web Shell

根据Microsoft发布的报告,该公司平均每天检测到77,000个活动的Web Shell,它们分布在46,000台受感染的服务器上。 Web Shell是用Web开发编程语言(例如ASP,PHP,JSP)编写的代码,攻击者将其植入Web服务器上以进行远程访问和执行代码。 平均每天检测到77,000个web shell,这一数字不得不让人意识到黑客的活动有多么频繁。 微软发布的报告称:“Microsoft Defender高级威胁防护(ATP)  每月在平均46,000台不同的计算机上能检测到77,000个web shell”。 “Web shell具有多方面的威胁,企业应该为此建立全方面的防御。”微软总结道。“增强服务器对互联网的可检测性是发现和解决Web Shell威胁的关键。可以通过监视Web应用程序目录中是否写入了Web脚本文件来检测Web Shell。Outlook Web Access(OWA)之类的应用程序很少更改,应当警惕写入这类应用程序目录的脚本。”   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接