外媒 1 月 22 日消息，CSE Cybsec 的恶意软件专家发现了一个大规模的恶意广告运动 EvilTraffic，利用数万个受感染的网站开展攻击。据悉，黑客在此次攻击活动中利用了一些 CMS 漏洞上传和执行用于通过广告创收的任意 PHP 页面。 研究人员介绍，参与恶意软件 EvilTraffic 活动的受感染网站运行着 WordPress CMS 的各种版本，一旦网站遭到入侵，攻击者将上传一个包含所有恶意文件的 “ zip ” 文件。尽管 “ zip ” 文件对于每一种感染都有不同的名称，但是在未压缩时，它所包含的文件始终具有相同的结构。经过研究人员分析，目前这些文件还没有被使用。 恶意文件可能被插入到相同恶意软件不同版本的路径下（“ vomiu ”，“ blsnxw ”，“ yrpowe ”，“ hkfoeyw ”，“ aqkei ”，“ xbiret ”，“ slvkty ”）。该文件夹包含以下内容： ① 一个名为 “ lerbim.php ” 的 php 文件; ② 一个与父目录具有相同的名称的 php 文件，; 它最初只有 “  .suspected ” 扩展名，只有在第二次使用 “ lerbim.php ” 文件的时候才会在 “ .php ” 文件中被修改; ③ 两个名为 “ wtuds ” 和 “ sotpie ” 的目录，其中包含一系列文件。 下图显示了这种结构的一个例子： EvilTraffic 活动中使用的“ 恶意软件 ”主要目的是通过至少两台产生广告流量的服务器触发重定向链。 文件 “ {malw_name} .php ” 成为所有环境的核心：如果用户通过网页浏览器接触到它，它首先将流量重定向到“ caforyn.pw ”，然后再重定向到 “ hitcpm.com ”，充当一个不同的网站注册到这个收入链的调度员。 这些网站可以被攻击者用来提供商业服务，目的是为其客户增加流量，但是这种流量是通过损害网站的非法方式产生的。除此之外，这些网站还可以提供虚假页面来下载虚假的东西(比如工具栏、浏览器扩展或伪反病毒)或者窃取敏感数据(即信用卡信息)。 为了提高网站的知名度，被攻陷的网站必须在搜索引擎上拥有良好的排名。因此，恶意软件通过利用包含趋势搜索词的词汇表来执行 SEO 中毒。 目前 CSE CybSec ZLab 的研究人员发现了大约 18,100 个受感染的网站。当研究人员分析 EvilTraffic 的恶意广告活动时，他们意识到最初几个星期内使用的被感染的网站在最后几天都被清理干净了。仅在一周之内，受影响的网站数量从 35 万个下降到 18 万个左右。 根据 Alexa Traffic Rank 的数据，hitcpm.com 排名世界第 132 位，全球互联网用户访问量约为 0.2367％ 。以下是 hypestat.com 网站提供的与 hitcpm.com 相关的流量统计数据： 分析显示 2017 年 10 月份的流量呈指数增长。目前专家还发现恶意软件通过各种方法分发，例如： ① 附件垃圾邮件 ② 通过不可靠的网站下载免费程序 ③ 打开 torrent 文件并点击恶意链接 ④ 通过玩网络游戏 ⑤ 通过访问受影响的网站 恶意软件的主要目的是劫持网页浏览器设置，如 DNS，设置，主页等，以便尽可能多地将流量重定向到调度器站点。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 21 日消息，俄罗斯联邦安全局（ FSB ）发现黑客组织正在实施一项加油站设备的欺诈计划，旨在利用电子加油机上安装的恶意程序，达到在抽送汽油时每加仑减少 3 ％ 至 7 ％ 的目的，从而使顾客支付比实际购买燃料更多的金额。目前 FSB 已逮捕恶意程序的开发作者，并牵涉出参与欺诈的数十名加油站员工。 据俄罗斯多家媒体报道， FSB 于上周六在俄罗斯 Stavropol 逮捕了黑客 Denis Zayev ，指控其开发了多个恶意软件程序，并将这些程序出售给加油站员工用于欺诈消费者。目前这些恶意软件仅在位于俄罗斯南部的加油站中发现。 在提审中，Zayev 承认与加油站员工瓜分了消费者多支付的油钱。此外，据 FSB 猜测，欺诈计划可能已为其带来 “ 数亿卢布 （1 人民币相当于 8.99 俄罗斯卢布）”的收益。 FSB 透露，恶意软件不仅可以在加油机上显示虚假数据，允许加油站员工为顾客抽送汽油时每加仑减少 3％ 至 7％ ，并且还能够使收银机和后端系统也录入错误数据。更为隐蔽的是，Zayev 的这些恶意软件能够掩盖加油站非法剩余汽油相关的销售数据。因此，远程监视汽油库存的检查人员和石油公司很难检测出欺诈行为。 近年来针对加油站的黑客事件并不少见： 早在 2014 年，纽约州当局就曾指控  13 名男子在 2012 年至 2013 年期间利用启用蓝牙的撇油器窃取了美国南部消费者的 200 多万美元。 2015 年，研究员 Kyle Wilhoit 和 Stephen Hilt 发布的黑帽演示文稿中也强调了美国越来越多的互联网加油机监控系统危险。他们警告称，遭暴露的 SCADA 系统能导致恶意人员针对加油机发动 DDoS 攻击，通过记录不正确的填入数据和操纵加油机提供柴油而非无铅汽油的方式损坏汽车引擎。 消息来源：ThreatPost，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，位于挪威东南部地区的医疗卫生机构 Health South-East RHF 于 1 月 8 日表示其计算机系统遭到不明人士入侵，可能会影响到约 290 万人（占挪威人口的 56% ）的医疗数据。目前相关专家认为该起入侵事件或属境外国家发起的网络间谍活动的涉猎范畴，并表示已采取紧急措施来消除威胁。 根据挪威卫生安全部门 HelseCERT 透露，他们检测到来自 Health South-East RHF 的异常流量，从而发现了入侵行为。研究人员认为在地下网络犯罪中，医疗数据是一种有价值的商品，恶意人士可以将这些数据用于进一步的攻击。专家和政府代表认为，Health South-East RHF 遭受的数据泄露可能是由于境外国家发起的网络间谍活动造成的，因为这些发起者对收集与政府、军方、情报人员和政客有关的数据极为感兴趣。 据悉，Health South-East RHF 为全国约 290 万人提供医疗服务，超出挪威全体居民数目的一半。因此，若医疗数据遭到泄露对于挪威居民将会造成巨大影响。目前 Health South-East RHF 方面表示已采取一系列措施来降低数据泄露可能性及消除威胁。 消息来源：IBTimes，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 19 日消息，电子前沿基金会 Frontier Foundation 和 安全公司 Lookout 联合调查发现与黎巴嫩总安全局有关的监控间谍活动 Dark Caracal APT 从世界各地的 Android 手机和 Windows PC 中窃取大量数据，并且最近有黑客组织将 Dark Caracal 间谍软件平台出售给某些国家用来监听。据悉，该间谍活动通过制造大量虚假 Android 应用程序并利用社交工程（如钓鱼邮件或虚假的社交网络信息）来传播含有木马的恶意软件，过去的六年里已牵涉到来自 21 个国家的记者、军事人员、公司和其他目标的敏感信息（短信、通话记录、档案等）。 Lookout 发表的一份报告中详细分析了 Dark Caracal： Dark Caracal 实施的攻击链主要依靠社交工程，比如黑客在虚假应用程序（如 Signal 和 WhatsApp ）中包含定制的 Android 恶意软件，从而达到向受害用户发送恶意信息的目的。 Dark Caracal 影响范围 Lookout 透露，其研究人员发现了一个名为 Pallas 的定制型恶意软件，可能是 Dark Caracal 间谍活动工具包中的一个重要组件。Pallas 被用来劫持目标智能手机，并通过出租给政府的 Dark Caracal 平台进行分发和控制。目前获取 Pallas 的主要方法是从非官方软件应用商店安装受感染的应用程序，比如 WhatsApp 和 Signal ripoffs 。不过 Pallas 并没有利用 ” 零日” 来接管设备，而是依靠欺骗用户安装恶意应用程序，授予恶意软件各种权限。一旦 Pallas 到位，就可以秘密地从手机的麦克风中录制音频、 揭露 gizmo 的位置给监视者、并将手机所包含的所有数据泄露给黑客。 此外，Dark Caracal 平台还提供了另一种监视工具 ——FinFisher 样本，它被出售给政府，用于监视公民。而在桌面端，Dark Caracal 提供了一个 delphil 编码的 Bandook 木马，该木马之前在 Manul 操作系统中已被识别，可以有效地征用  Windows 系统。 Lookout 表示目前正在试图寻找 Dark Caracal 背后的黑客组织，并预计今年夏天调查会有进展。 相关阅读： 关于 Dark Caracal 的相关报告 消息来源：TheRegister，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 17 日消息，互联网系统联盟（ISC）于近期发布了针对 BIND 的安全更新，以解决可能导致 DNS 服务器崩溃的高危漏洞（ CVE-2017-3145 ），但目前并没有直接的证据可以表明该漏洞已被野外攻击者利用。 据 ISC 介绍， CVE-2017-3145 漏洞是由于一个 use-after-free （简称 UaF , 是一种内存数据破坏缺陷）的错误导致的： BIND 对上游递归获取上下文的清理操作进行了不恰当的排序，从而在某些情况下出现了 use-after-free  错误，以至于触发断言失败和 DNS 服务器进程崩溃。 该漏洞可能影响到运行 DNSSEC 验证解析器的系统，因此相关专家建议临时禁用 DNSSEC 验证作为解决方案。但根据 ISC 的说法，目前没有证据可以表明 CVE-2017-3145 已经被野外攻击所利用。 这一漏洞在 9.0.0 版本以来就已经存在于 BIND 中，但之前 ISC 发布的 CVE-2017-3137 修补程序版本并没有已知的代码路径可以通向它 。因此，虽然 BIND 的所有实例都应修补，但目前只有9.9.9-P8 ~ 9.9.11，9.10.4 ~ P8 ~ 9.10.6，9.11.0 ~ P5至9.11.2，9.9.9-S10 ~ 9.9.11-S1，9.10.5-S1到9.10.6-S1，以及9.12.0a1 ~ 9.12.0rc1 可以做到修复。 除此之外，ISC 还披露了一个中等严重程度的 DHCP 缺陷，研究人员追踪其为 CVE-2017-3144 漏洞  ： 由于未能正确清理已关闭的 OMAPI 连接而出现的漏洞，可能会导致 DHCP 服务器可用的套接字描述符池耗尽。 攻击者通过 CVE-2017-3144 漏洞，允许与 OMAPI 控制端口建立连接， 从而耗费 DHCP 服务器可用的套接字描述符池。一旦耗尽，服务器将不会接受其他连接，并且拒绝访问来自合法服务器运营商的连接。当服务器继续接收和服务 DHCP 客户端请求时，运营商可能被阻止使用 OMAPI 来控制服务器状态，添加新租约预留等。 虽然 CVE-2017-3144 影响了 4.1.0 至 4.1-ESV- R15， 4.2.0 至4.2.8 以及 4.3.0 至 4.3.6 的版本，但 ISC 表示目前已经开发了在未来的 DHCP 版本中推出的补丁，可以禁止未经授权的客户访问 OMAPI 控制端口。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 17 日消息，安全研究人员称一个先进的 Android 银行木马 Exobot 的源代码在知名的黑客论坛上出售给不同的人群后，Android 用户的处境将会变得更糟。 这个令人担忧的木马是一种 Android 恶意软件，最早出现在 2016 年 6 月的恶意软件攻击场景中。就像今天大部分专业编码的桌面或移动银行木马一样，Exobot 一直按月租用给客户。 虽然客户无法访问 Exobot 木马的源代码，但他们可以使用 Exobot 作者提供的配置面板来编译每个客户端自定义设置的恶意应用程序。然后，租借人必须分发这些应用程序给受害者。过去两年来，Exobot 一直是最活跃的 Android 移动木马之一（其中还包括 BankBot、GM Bot、Mazar Bot，以及 Red Alert）。 最初，一些安全公司把该木马称为 Marcher，但是最终还是以其作者的名字来称呼它。在 2016 年下半年，Exobot 初期带来的利润刺激了 Exobot 的作者创造了 Exobot v2。当木马在暗网、黑客论坛、XMPP 垃圾邮件，甚至在公共互联网上大肆宣传时，Bleeping Computer 覆盖了Exobot v2 的崛起。 根据记者过去与众多安全研究人员进行对话的证据，Exobot 似乎是一个有利可图的业务，被用于全球许多国家的用户。 Exobot 作者将银行木马出售 出乎意料的是，Exobot 的作者以 “ android ” 的通用假名进行了一项重大举措，虽然事后看来这可能会给未来的用户带来很多问题。就在近日Exobot 的作者决定关闭 Exobot 租赁计划，并将源代码出售给一小部分客户。 以下是 Exobot 的作者销售广告的两幅图片，由 SfyLabs 的移动安全研究员 Cengiz Han Sahin 提供。 安全人士 Sahin 称恶意软件领域的这种说法一般意味着以下两点之一： 要么是恶意行为者注意到执法部门或竞争对手反击市场份额的兴趣激增，要么是他的生意确实非常丰富，风险或者收入不再为利益所驱动。 公众担忧 Exobot 源码被公开 但是，尽管有这些原因，Exobot 的销售会对Android恶意软件的攻击场景产生深远的影响是毋庸置疑的，即使不是马上。 有记者过去曾经报道过很多这样的事件，根据这位记者的经验和 Sahin 的预测，源代码在网上泄露只是时间问题。这样的销售几乎从不保密，而且当 Exobot 的作者不提供买方需要的支持时，不满意的客户就会泄露源代码。例如在过去的十年里，有很多家庭桌面银行木马被泄露。 一旦泄露，Exobot 代码 将和 Slempo、BankBot 和、GM Bot Android 银行木马的命运相同，重新组织成数百个分支木马，从而降低进入移动恶意软件场景所需的成本和技术技能。 Exobot 的出售或衍生新型恶意软件活动 但是，在低技能的恶意行为者泄露 Exobot 版本之前，这个木马的新客户已经开始使用了。 安全人士 Sahin 表示：“ 在恶意行为者开始销售 Exobot 源代码之后，不到一个月，在奥地利，英国，荷兰和土耳其就发现了新的活动。土耳其是受这些活动影响最大的国家，共有 4400 多台设备牵涉其中。 这种恶意 Exobot 应用程序的增加是由于 Exobot 源代码的一些私人销售引起的。如果源代码泄漏， Exobot 攻击的规模可能会超出安全人士的想象，如同 BankBot 木马一样。据悉，BankBot 在 2016 年底在线泄露，其一直是通过 Google Play 商店传播的恶意应用程序的核心， 分散的 Android 操作系统市场、不及时交付补丁的移动运营商、以及谷歌的游戏商店团队似乎无法跟上恶意软件作者的步伐，这种种原因使得 Android 用户在移动恶意软件上处于严重的劣势。而唯一能保护大多数用户的方法就是移动杀毒解决方案和一些使用常识，例如拒绝从不受信任的来源安装应用程序、不安装需要不必要权限的游戏商店应用程序等。 消息来源：Bleeping Computer，翻译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 17 日消息，FireEye 于近期发现了一种新的攻击手法——利用三个 2017 年披露的 Microsoft Office  漏洞进行恶意软件 Zyklon 的传播活动 。据悉，该活动主要针对电信、保险和金融服务等公司，试图收集其密码和加密货币钱包数据，并为未来可能发生的 DDoS （分布式拒绝服务） 攻击收集目标列表。 功能强大的 Zyklon 恶意软件 Zyklon 是一款 HTTP 僵尸网络恶意软件 ，自 2016  年就开始出现，通过 Tor  匿名网络与其 C＆C （命令和控制）服务器进行通信，从而允许攻击者远程窃取密钥和敏感数据，比如存储在 web 浏览器和电子邮件客户端的密码。此外，根据 FireEye 最近发布的报告，Zyklon 还是一个公开的全功能后门，能够进行键盘记录、密码采集、下载和执行额外的插件，包括秘密使用受感染的系统进行 DDoS 攻击和加密货币挖掘。 而在此次攻击活动中，背后的攻击者利用  Microsoft Office 的三个漏洞通过鱼叉式网络钓鱼电子邮件传播 Zyklon 恶意软件，这些邮件通常会附带一个包含恶意 Office 文档的 ZIP 文件。一旦用户打开这些恶意文件就会立即运行一个 PowerShell 脚本，并从 C＆C 服务器下载最终 playload。这样一来， 用户的计算机设备就会成功受到感染。 以下为恶意软件利用的三个 Microsoft Office 漏洞： 第一个漏洞：CVE-2017-8759 是 Microsoft 去年十月修补 的 .NET 框架漏洞。打开受感染文档的目标将允许攻击者安装恶意程序，处理数据并创建新的特权帐户。 受感染的 DOC 文件包含嵌入的 OLE 对象，该对象在执行时触发从存储的 URL 下载的另外的 DOC 文件。 第二个漏洞：CVE-2017-11882 是在 Microsoft 公式编辑器的 Office 可执行文件中发现的远程代码执行错误，微软已于 2017 年 11 月为其发布了补丁。 该漏洞与以前的漏洞类似，打开特制 DOC 的用户将自动下载包含最终 playload 的 PowerShell 命令的 DOC 文件。 第三个漏洞：在于动态数据交换（ DDE ），但微软不承认该漏洞的存在，而是坚称 DDE 只是一个产品功能，是建立应用程序如何通过共享内存发送消息和共享数据得协议。然而，在过去的一年中，攻击者利用 DDE 在恶意活动取得了巨大的成功，比如在无需启用宏或内存损坏情况下在目标设备上执行代码。 FireEye 表示，目前越来越多的攻击者利用恶意软件来执行不同的任务，并且很可能会超出当前攻击目标的范围，因此对于所有行业来说保持高度警惕性变得尤为重要。 消息来源：threatpost，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 17 日消息，全球最大的垃圾邮件僵尸网络 Necurs 已发出数百万封垃圾邮件，旨在推送一种鲜为人知的加密货币——Swisscoin 。目前垃圾邮件活动已导致 Swisscoin 损失了最初交易价格的 40％ ，不过 Necurs 在其中扮演什么角色还尚未可知。 通常这种垃圾邮件被称为抽运和转储，依赖于发送大量的垃圾邮件来促进用户对特定的低价股票的兴趣。垃圾邮件发送者预先以低价购买股票，当垃圾邮件活动抬高价格时，则以较高的价格出售股票。 第一次推动加密货币 Necurs 多年来一直从事发送垃圾邮件的网络犯罪活动，比如传播 Dridex 银行木马和一些勒索软件。但值得注意的是，Necurs 于本周第一次通过大型垃圾邮件活动宣传 Swisscoin 加密货币 ，而不是像往常一样推送低价股票。 有关 Swisscoin 的交易行为在去年的一份报告中被描述为一种多层面营销 ( MLM ) 的庞氏骗局。这种交易经过短暂停止后于 1 月 15 日恢复运营，并且垃圾邮件也在当天开始传播。目前 Necurs 僵尸网络已派出三种不同的垃圾邮件，以下为邮件主题： This crypto coin could go up fifty thousand percent this year （这个加密货币今年可能会上涨 5 万美元） Let me tell you about one crypto currency that could turn 1000 bucks into 1 million（让我告诉你一种可以将 1000 美元变成 100 万美元的加密货币） Forget about bitcoin, there’s a way better coin you can buy （忘掉比特币吧，你可以买到更好的加密货币） 据初步统计，自从垃圾邮件发出后，加密货币损失了其最初交易价格的 40％。 因为之前没有类似的垃圾邮件活动作为参考物，所以目前并不清楚 Necurs 对 Swisscoin 交易价格有什么影响，不过研究人员认为比特币的下滑可能会对 Swisscoin 的价格造成一些波动。 消息来源：Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 16 日报道，美国网络安全公司 ICEBRG 发现了四种恶意 Chrome 扩展，用于执行点击欺诈或搜索引擎优化。目前受影响的用户数量已经超过 50 万 ，并且攻击者可能会利用该扩展进一步访问企业网络和用户信息。为了做好防护措施，ICEBRG 通知了荷兰国家网络安全中心（NCSC-NL）、美国计算机应急部署小组（US-CERT）以及 Google 安全浏览运营团队。 近日，ICEBRG 发现客户工作站到欧洲 VPS 提供商的出站流量出现了异常激增，其中包括一些全球主要组织的工作站。因此 ，ICEBRG 对该情况展开了调查。根据调查结果，四种恶意 Chrome 扩展的名称分别是： 1、Change HTTP Request Header（ppmibgfeefcglejjlpeihfdimbkfbbnm） 2、Nyoogle – Custom Logo for Google (ginfoagmgomhccdaclfbbbhfjgmphkph) 3、Lite Bookmarks (mpneoicaochhlckfkackiigepakdgapj) 4、Stickies – Chrome’s Post-it Notes (djffibmpaakodnbmcdemmmjmeolcmbae) 研究人员称这四种 Chrome 扩展允许攻击者以 JavaScript 代码的形式向用户浏览器发送恶意命令，但攻击者只能通过在后台加载一个网站以及点击广告来执行点击欺诈。 在媒体报道该事件时，除了 Nyoogle 之外其他三个恶意扩展已经从 Chrome 网上应用商店删除。不过尽管如此，许多用户仍然在其浏览器中加载了这些恶意扩展程序。 注意： 虽然 Chrome 网上应用商店删除了该恶意扩展，但是可能无法将其从受影响的主机中删除。此外，使用第三方 Chrome 扩展程序库可能仍然允许安装扩展程序。 目前 ICEBRG 已经发布了关于四种恶意 Chrome 扩展的详细报告，并建议用户检查浏览器以及删除其计算机的恶意扩展。 详细报告： <MALICIOUS CHROME EXTENSIONS ENABLE CRIMINALS TO IMPACT OVER HALF A MILLION USERS AND GLOBAL BUSINESSES> 消息来源：Bleeping Computer、Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

外媒 1 月 16 日消息，美国印第安纳州汉考克地区一家医院（Hancock Health）被迫向黑客组织支付了价值 5.5 万美元的比特币赎金，以尽快摆脱勒索软件 “ SamSam ” 对其计算机设备的控制。据悉，该黑客组织通过暴力破解 RDP 端口，达到在更多的计算机设备上部署 SamSam 勒索软件的目的。 上周四（ 1 月 11 日），Hancock Health 的工作人员发现黑客组织影响了医院的电子邮件和健康记录，但并没有窃取患者数据 。随后，经过相关研究人员展开调查发现，该组织使用 SamSam 勒索软件加密文件，并将文件重命名为“ I’m sorry ”。其实 SamSam 早在两年前就已出现过， 主要通过开放的 RDP 端口进行传播。 目前 Hancock Health 紧急采取了应对措施，例如通过 IT 人员介入暂停了整个网络；要求员工关闭所有计算机，以避免勒索软件传播到其他计算机；更有传言称医护人员利用笔和纸代替计算机来继续工作。 Hancock Health 表示尽管文件都有备份，但从备份中恢复文件很麻烦，因为要把所有的系统投入运行需要几天甚至几周的时间，以至于不得不向黑客组织支付赎金。 消息来源：Bleeping Computer，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。