SmarterASP.NET是一家拥有超过44万客户的知名ASP.NET托管提供商。昨日该公司发布公告称，遭到勒索软件的攻击，这也是2019年遭到攻击而下线的第三家大型网络托管公司，黑客不仅破坏了该公司的托管业务而且还对客户服务器上的数据进行了加密。   SmarterASP.NET官方表示正在努力恢复客户数据，但尚不清楚该公司是支付了赎金，还是从备份中进行了恢复。目前该公司并没有回复外媒的评论请求。 根据其官网显示的信息，该公司承认遭到了黑客攻击。该消息说：“您的托管帐户受到攻击，黑客已经加密了您的所有数据。我们现在正在与安全专家合作，尝试解密您的数据，并确保不会再发生这种情况。” 本次网络攻击不仅对客户数据进行了加密，SmarterASP.NET官网也被迫下线。在周六全天下线之后，在周日上午恢复重新上线。服务器恢复工作进展缓慢。许多客户仍然无法访问其帐户和数据，这些被加密的客户数据包括网站文件和后台数据库。   （稿源：cnBeta，封面源自网络。）

勒索软件攻击了加拿大Nunavut地区，政府的所有联网服务都受到了影响。Nunavut地区面积超过190万平方公里，人口约36,000。 当地政府称：“在2019年11月2日（星期六），一种新型的勒索软件影响了整个城市。勒索软件会加密各种服务器和工作站上的单个文件。除了Qulliq能源公司以外，所有需要访问GN网络上存储的电子信息的政府服务都受到了影响。” 特区区长乔·萨维卡塔克（Joe Savikataaq）说：“我向Nunavut保证，我们正在尽全力解决这个问题。基本服务将不会受到影响，并且在此期间GN将继续运行。重新上线时可能会导致些许延迟，我感谢大家的耐心和理解。” 一半的GN IT系统今天清晨被针对公共服务的病毒入侵。我们会全天候工作，排查问题并让电脑恢复上网功能。在问题获得全面解决之前，您将无法访问您的GN帐户。 据CBC报道，勒索信息具体内容如下： “您的网络已被渗透，全部文件已被强大的算法进行了加密。我们可以为您提供解密软件。如果您一直未进入链接取得密钥，您的数据将被完全删除。” 专家注意到，勒索信息要求受害者下载加密的浏览器并在21天内访问指定的URL，专家注意到勒索信息是用生硬的英语书写的。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近日，西班牙两家大型公司在同一天内受到勒索软件打击。 其中一家是Everis，这是NTT Data Group旗下的IT咨询公司，其发言人目前还没有发表正式声明。第二个是西班牙最大的无线电网络公司Cadena SER，其在官网发表了声明，确认公司遭遇了攻击。 两家公司都要求员工关闭计算机，并断开网络连接。 Everis在18个国家/地区拥有超过24,500名员工，是受影响最大的公司之一。该公司其他分支也受到了影响，勒索软件已通过公司的内部网络传播。 疑似有Everis员工在社交媒体上发布了截图，显示勒索软件 BitPaymer 攻击了 IT 公司，该勒索软件也袭击了法国电视台M6和德国自动化工具制造商Pilz。尚未公布攻击 Cadena SER 的勒索软件。 图片：Alex Barredo（Twitter@somospostpc） 西班牙当局立即作出反应 由于西班牙是早期遭受WannaCry重创的国家之一，因此这一次政府组织迅速做出了反应。 西班牙国家安全局在事件发生后的数小时内发布安全建议，敦促公司改善网络安全措施，并且建议其他受害者向西班牙国家网络安全研究所INCIBE寻求帮助。 尽管没有类似WannaCry的勒索软件爆发的迹象，但这两次勒索软件感染对西班牙当地的商业环境产生了重大影响。许多本地公司使用Everis软件进行日常活动，有人担心自己被感染，选择关闭程序来检查系统。 网上还出现了谣言，有人猜测除了Everis之外，其他IT公司也受到了影响。金融咨询公司毕马威（KPMG）的西班牙支部和软件巨头埃森哲（Accenture）今天早些时候在Twitter上发布声明，告诉用户他们没有受到感染，并且一切正常。   消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

成千上万的Wi-Fi路由器可能遭到恶意软件的新型攻击，恶意软件将设备捆绑到僵尸网络中，使其具有分布式拒绝服务（DDoS）攻击功能，并以此向黑客出售。 Gafgyt恶意软件可以通过小型办公室和家庭路由器的漏洞访问到这些设备。 最近Gafgyt（也称为Bashlite）进行了更新，华为HG532和Realtek RTL81XX一直是Gafgyt的目标，现在还将Zyxel P660HN-T1A列入了攻击目标。 一般情况下，恶意软件都通过扫描程序来查找公网节点，然后利用漏洞实现入侵。专家称，为了在攻击时获得充分资源，新版本的Gafgyt会杀死JenX之类的其他恶意软件，从而使其可以充分利用设备发起攻击。Gafgyt僵尸网络似乎正在直接与另一个僵尸网络JenX竞争，后者的攻击目标正是华为和Realtek路由器。 黑客除了利用 Gafgyt 发起DDoS攻击，还主要将其用于攻击游戏服务器，尤其是那些使用Valve Source Engine的游戏，包括热门游戏《反恐精英》和《军团要塞2》。目标服务器不是由Valve部署的，而是由玩家部署的私有服务器。 很多年轻玩家出于报复对手的心态而选择攻击对方。玩家甚至不需要访问地下论坛就可以使用这些恶意服务。专家指出，僵尸网络租用服务在Instagram上使用伪造的个人资料做广告，租用费用仅为8美元。 专家介绍说：“显然，他们可以通过该平台接触到大量年轻人，所有人都可以使用这些服务，而且比地下站点更容易访问。” 随着越来越多的物联网产品连接到互联网，如果设备没有保持最新状态，将设备捆绑到僵尸网络和其他恶意活动中将会变得更加容易。 新版Gafgyt主要针对的是旧路由器，其中一些已经投放市场长达五年以上。专家建议用户将路由器升级到较新的型号，并应定期应用软件更新以确保设备受到保护，尽可能地抵抗攻击。 Davila说道：“总的来说，用户可以养成习惯，例如更新路由器，安装最新补丁程序，并设置复杂的密码，从而抵御僵尸网络的攻击。”   消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/OXwqWtjIHz1aTezwevg_Mw   一、背景 腾讯安全御见威胁情报中心监测到Sality感染型病毒活跃，该病毒同时传播“剪切板大盗”木马盗取数字加密货币。在国家大力发展区块链相关产业的大背景下，各种数字加密币的交易空前活跃，以比特币为首的各种数字加密币趁势爆涨。Sality病毒也趁机利用自己建立的P2P网络，传播以盗取、劫持虚拟币为目的的剪切板大盗木马，将会对虚拟币交易安全构成严重威胁。 Sality病毒最早于2003年被发现，最初只是一个简单的文件感染程序，具有后门和按键记录功能。Sality后来增加了组建P2P分布式网络的功能，在增强了传播速度的同时也具有了更大的破坏能力。 Sality病毒拥有一个内置的URL列表，同时可以从其他受感染的P2P网络中接收新的URL，通过下载，解密和执行列表中的每个URL，Sality可以植入其他木马或者收取推广安装渠道费，Sality病毒构造的P2P网络传播其他病毒木马或以恶意推广软件获利的策略十分灵活。 该版本Sality病毒有以下特点 1、破坏系统安全设置； 2、感染本地硬盘、可移动存储设备、远程共享目录下的可执行文件； 3、利用可移动、远程共享驱动器的自动播放功能进行感染； 4、将自身注入到其他进程中，以便能够将下载的DLL加载到目标进程； 5、创建一个对等（P2P）僵尸网络； 6、从URL列表下载并执行“剪切板大盗”木马，通过剪切板内容中的字符格式判断以太币或比特币钱包地址，并将剪切板内容替换为指定钱包，若用户在此时粘贴并进行转账操作，数字资产就会被盗。 根据腾讯御见威胁情报中心统计数据，此次Sality病毒攻击影响超过3万台电脑。从地区分布来看，Sality在全国各地均有感染，最严重地区分别为广东、江苏、河南、山东。 从感染行业分布来看，Sality影响最严重的依次为科技、制造业和房地产行业。 二、详细分析 Sality感染型病毒 Sality使用外壳程序保护，执行后首先解密出核心代码，然后跳转到入口执行。 创建互斥体”uxJLpe1m”以保证木马进程具有唯一实例。 枚举和删除位于以下注册表子项中的所有条目来阻止受感染的计算机进入安全模式。 HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot 将恶意代码指令注入到其他进程(排除属于系统，本地服务或网络服务的进程)中，从而允许代码将从远程服务器下载的外部程序加载到目标进程中，病毒使用基于每次注入进程PID命名的互斥锁来避免重复注入。 感染本地、可移动和远程共享驱动器上不受保护的可执行文件。修改可执行文件的入口点，以病毒代码替换原始文件代码，使得所有被感染程序启动时执行病毒功能。 在本地、可移动和远程共享驱动器根目录下创建autorun.inf，并在其中设置自动执行的文件指向拷贝到其中的病毒程序，使得网络共享盘和可移动盘被打开时病毒自动运行，继续传播感染病毒。 创建驱动程序，文件路径C:\WINDOWS\system32\drivers\<random>.sys，符号链接为“\DosDevices\amsint32”，该驱动程序用来阻止对各类安全软件供应商网站的访问。 构建基于UDP协议的P2P网络，通过P2P网络共享用于下载、解密和执行文件的URL列表。 获取内置的下载URL列表。 获取计时器转换成字符，并以“?%x=%d”格式拼接在URL的末尾。 目前URL使用的活跃域名如下： tudorbuildersfl.com energy-guru.com acostaphoto.com ptcgic.com cikmayedekparca.com brucegarrod.com cbbasimevi.com brandaoematos.com.br caglarteknik.com bharatisangli.in cacs.org.br butacm.go.ro boyabateml.k12.tr casbygroup.com iqhouse.kiev.ua 从下载的文件中解密出PE程序保存到%Temp%\win%s.exe。   剪切板大盗 感染型病毒Sality最终下载的是针对剪切板中的数字加密货币钱包地址进行替换的木马程序，木马启动后循环打开剪切板并获取剪切板中数据。 通过剪切板内容中的字符格式特点判断以太币或比特币钱包地址，并将切板内容替换为指定钱包，若用户在此时粘贴并进行转账操作，数字资产便落入黑客的口袋。 根据监测数据，Sality下载的盗取数字加密货币木马每一个月更换一次样本，我们从这些样本中提取到28个比特钱包，1个以太币钱包。查询钱包收益，木马已累计盗取比特币3.965个，以太币2.94个，这些数字资产按当前市场价格折合人民币约27万元。 三、安全建议 防御重点：使用腾讯电脑管家或腾讯御点防御感染型病毒的传播。 个人用户应避免从危险网站下载高风险软件，如游戏外挂、破解工具、盗版软件等。关闭U盘的自动播放功能，防止感染型病毒通过U盘传播。 企业用户应加强内网共享文件的管理，可通过配置企业安全策略来降低风险。具体防范措施如下： 1、禁用自动播放以防止自动启动网络和可移动驱动器上的可执行文件，并在不需要时断开驱动器的连接。如果不需要写访问权限，在可用选项下启用只读模式。 2、如果不需要使用文件共享，则用户应关闭文件共享。如果需要文件共享，则用户应使用ACL和密码保护来限制访问。 3、确保计算机的程序和用户使用完成任务所需的最低权限。当提示输入root或UAC密码时，需确保要求管理级访问的程序是合法应用程序； 4、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理； 5、及时安装系统补丁，尤其是在承载公共服务且可通过防火墙访问的计算机上，例如HTTP，FTP，邮件和DNS服务； 6、建议企业用户安装部署腾讯御点终端安全管理系统防御病毒攻击。腾讯御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。企业可登录腾讯安全主页申请免费试用（https://s.tencent.com/product/yd/index.html）。 IOCs Sality f90e3875bb0bb255b1f4aee5e32609be f76632ca9119490381be2c80dd705b29 f4749b0542f22db4a15ea9116e3d4158 Clipboardstealer b013271b23de42de21ad813266b5155b bce9b8ce30eb68f2661c21d979c16270 72392e93001dba2c3bc761eac28fd0c5 72392e93001dba2c3bc761eac28fd0c5 e0ff8d9617cdbc1284ccb906d93f774e 508d177fb70362076a564d0e3486de2a abbf96e689413786673a6c18d3602edc 1964b13bbaa11b68b28cd0e81e6c51d2 5633e7a29466dad62d682c795e839dad c7a52a04577263e9f76d48f4ce2aace0 d8b867e7802cbd34c672217a51aeca46 Domain tudorbuildersfl.com energy-guru.com acostaphoto.com ptcgic.com cikmayedekparca.com brucegarrod.com cbbasimevi.com brandaoematos.com.br caglarteknik.com bharatisangli.in cacs.org.br butacm.go.ro boyabateml.k12.tr casbygroup.com iqhouse.kiev.ua URL http[:]//tudorbuildersfl.com/wp-content/logo.gif http[:]//energy-guru.com/blog/styles.gif http[:]//acostaphoto.com/wp-content/styles.gif http[:]//ptcgic.com/wp-content/logo.gif http[:]//cikmayedekparca.com/images/logos.gif http[:]//brucegarrod.com/images/logos.gif http[:]//cbbasimevi.com/images/logos.gif http[:]//brandaoematos.com.br/images/logoi.gif http[:]//caglarteknik.com/logos.gif http[:]//bharatisangli.in/logoi.gif http[:]//cacs.org.br/novosite/logos.gif http[:]//butacm.go.ro/logos.gif http[:]//boyabateml.k12.tr/images/logos.gif http[:]//casbygroup.com/images/logos.gif http[:]//iqhouse.kiev.ua/wp-content/themes/iqhouse/img/style.gif BTC钱包 13vCFp3Vy7CurndiRNbpLaY6zM9HQqkVdA 13dcpcWqwUy8SqTmJLrwqFKUwhRCjX2yft 13wJMZru75JRy8FdGby3LJsELKCsd5MRRf 3HhDZVzqQMDYAohDKn6mqLCQCkhcfFYFrJ 3FnZdSVgaGXVGLPQtDXkjuqCEukXvArPyM 3FbZWGphdHFQkQ68jkksnsrh78T7YaUKqC 1BZrwyZBHLGvfHpbaXJuRAzGArm8WhJNkH 1LnAVGVMaE3eQMo15XYog5MLh9e6PsiHJH 1Az5j3DqBkrF5tEbdkmh4QRKJHi4xf5Ku4 1NWExenf5bHSLNFk8mUUTSJrCQa7zzwQtJ 1Lp4pvz22XPzfJp63RnvphGugo7ovJP4Mm 1Ps6xwyaN1VomuXnWv8zJLHfCvU6nQ53VS 1D4TwJ5GifCE2egLZuPJ65yN4L41UvZz71 14qPT6GX9r3XfAKzjLLNbpnUpT98tUwmUm 1M15x8b92b9kJybBofB3dDFBC9MaBv2V2A 18i1RNfixmmvFARtDwXwRWmgVguoS2kD1N 3HnSjByFQVZQt17eZURbLmWjn6PiSxeQ5S 19dNcWbQWFrdn1Un2YbJspCLz82P8DYWd5 32eNWBWZrTFBuHQwGShNQvWj6TGM8LqsQ9 12tUcJYmrqdcgQYQVMb2RXAaJ4MZEVd7Y2 1qMNdHVvqs8udpBVEMymm3SBTvvqynqD8 1Hm9Nrw6H4mpKvLs5MGSd8T1ZxcriBxSzc 32VKibW5UkTr7fvfQQuPXw32Brnbigp9ng 13d29ksg6nGdmy2zySn4mWSosRHuYMd9xr 13kBn9tJ9bzf5E9nzXN73ahbLWvdFZonTh 3FZjd1oXQ3utyTT8s9y8iJ6CAyxwPaVgWp 18ihjyRYde3ToUys9rCebRbeTDcpkAehq6 3QgsfCXS3tzhcvzbMnrcKdo6xFBJoBR3CJ ETH钱包 3D15c7341BBD7cCc193769de903ea711a2e4b43e 参考链接： https://www.symantec.com/security-center/writeup/2006-011714-3948-99

过去几个月来，一些安卓用户被一款名为 xHelper 的恶意软件持续困扰，它的自动重新安装机制令人们束手无策。 xHelper 最早发现于 3 月。到 8 月，它逐渐感染了 32,000 多台设备。而截至本月，根据赛门铁克的数据，感染总量已达到 45,000。该恶意软件的感染轨迹不断上升。赛门铁克表示，xHelper 每天平均造成 131 名新受害者，每月约有 2400 名新的受害者。 根据 Malwarebytes 的说法，这些感染的来源是“网络重定向”，它会将用户发送到托管 Android 应用程序的网页。这些网站指导用户如何从 Play 商店外部间接加载非官方的 Android 应用。这些应用程序中隐藏的代码将下载 xHelper 木马。 好消息是该木马目前没有执行破坏性操作，多数时间它会显示侵入式弹出广告和垃圾邮件通知。广告和通知会将用户重定向到 Play 商店，并要求用户安装其他应用程序——通过这种方式，xHelper 从按安装付费的方式中赚钱。 恼人的是 xHelper 服务无法删除，因为该木马每次都会重新安装自身，即使用户对整个设备进行了出厂重置后也是如此。xHelper 如何在恢复出厂设置后得以生存仍然是个谜。不过，Malwarebytes 和赛门铁克均表示 xHelper 不会篡改系统服务和系统应用程序。 在某些情况下，用户说，即使他们删除了 xHelper 服务，然后禁用了“从未知来源安装应用程序”选项，它还是会在几分钟内重新感染设备。也有少数用户报告说使用某些付费的移动防病毒解决方案取得了成功。 赛门铁克在最新发布的博客文章中表示，该木马正仍在不断发展，定期发布的代码更新解释了为什么某些防病毒解决方案在某些情况下会删除 xHelper，而在更高版本中却不会。 同时，赛门铁克也作出警告，尽管该木马目前从事垃圾邮件和广告收入活动，但它还具有其他更危险的功能。xHelper 可以下载并安装其他应用程序，xHelper 团队可以在任何时候使用该功能来部署第二阶段恶意软件有效负载，例如勒索软件、银行木马、DDoS僵尸程序或密码窃取程序等。   （稿源：开源中国，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/_F1YQR1LoapIvO2doWHl9A   一、背景 近期腾讯安全御见威胁情报中心检测到大量借助钓鱼邮件传播的sodinokibi勒索病毒攻击中韩两国企业。中招用户被勒索0.15个比特币（市值7800元人民币），中招企业主要集中在广东、山东、江苏、上海、北京等地，主要受害企业包括IT公司、科研和技术服务机构，以及传统制造企业。 钓鱼邮件伪装成以“偿还债务”、“支付汇款建议”为主题，并在附件中添加包含勒索病毒的压缩文件，中文版为“您的账号.zip”、韩文版为“송장 10.2019.zip”，解压后分别为“付款发票.xls.exe”、“10 월 송장.xls.exe”，都是伪装成表格文件的sodinokibi勒索病毒。从钓鱼邮件内容格式、主题和投递的样本类型来看，此次针对中国和韩国的攻击为同一来源。 sodinokibi勒索病毒出现于2019年4月底，早期使用web服务相关漏洞传播。病毒主要特点为对使用到的大量字串使用RC4算法进行加密，使用RSA+salsa20的方式配合IOCP完成端口模型进行文件的加密流程，加密后修改桌面背景为深蓝色并创建勒索文本<random>-readme.txt，被该病毒加密破坏的文件暂时无法解密。 腾讯安全专家提醒用户务必小心处理来历不明的邮件，推荐修改系统默认的文件查看方式，选择查看已知文件类型的扩展名，就可以简单识别那些伪装成doc、xls文档图标的危险程序。目前，腾讯电脑管家和腾讯御点均可查杀该勒索病毒。 根据腾讯安全御见威胁情报中心数据，在一天之内攻击者使用伪造的近1000个邮箱地址针对国内目标发送超过5万封钓鱼邮件，此次邮件传播的Sodinokibi勒索病毒在国内的感染地区分布如下图所示，受害最严重地区为广东、山东、江苏、上海、北京等地。 此次Sodinokibi勒索病毒影响行业分布如下，受害最严重的包括IT行业、科研和技术服务行业以及制造业等。 二、钓鱼邮件 攻击中国的邮件样本 攻击者伪装成digis.net公司的人员Min Zhu Li作为发件人，邮件标题为“你需要偿还的债务”，附件文件为“您的账号.zip”，邮件内容是非正常显示的中文字符，最后一行为“财务选择”。 该附件压缩包解压后为伪装成xlsx文件的exe可执行程序“付款发票.xls.exe”，一旦误判为电子表格双击便会运行Sodinokibi勒索病毒。 攻击韩国的邮件样本 邮箱附件文件名为 “发票10.2019(译文)”，解压后是伪装成xls文件的PE程序“10 월 송장.xls.exe”，一旦双击便会运行Sodinokibi勒索病毒。     三、Sodinokibi勒索病毒 Sodinokibi（付款发票.xls.exe）运行后首先创建互斥体 “Global\AC00ECAF-B4E1-14EB-774F-B291190B3B2B”，以保证具有唯一实例。 然后通过外壳程序从内存中解密核心勒索payload。 payload执行后首先动态解密修正IAT，共157处。之前的版本分别为修正131处、138处，此次的样本新增了19处。 通过获取键盘布局信息获取机器所在地，然后在加密时避开以下国家（主要是俄语国家及部分东欧国家）。 样本内使用的大量明文字串使用RC4算法进行了加密处理，通过动态解密后使用。 解密出所需配置文件，包含以下关键信息。 RSA公钥信息： "pzprC6xbhNFhM/+qJI6gCrd2pnCgyRdai+B89OUhWAw=" 白名单过滤目录： ["programdata","program files (x86)","windows","program files","$windows.~ws","intel","mozilla","application data","perflogs","tor browser","$windows.~bt","google","$recycle.bin","appdata","msocache","boot","windows.old","system volume information"] 白名单过滤文件： ["ntldr","ntuser.dat","ntuser.dat.log","autorun.inf","thumbs.db","bootsect.bak","bootfont.bin","ntuser.ini","desktop.ini","boot.ini","iconcache.db"] 白名单过滤后缀： ["icns","msstyles","cpl","hlp","lnk","deskthemepack","cmd","ics","adv","dll","ico","exe","com","nls","bat","rtp","spl","msu","rom","key","ocx","ps1","msp","386","drv","lock","mod","wpx","cab","idx","sys","icl","nomedia","cur","scr","hta","themepack","bin","diagcfg","shs","ldf","theme","prf","msc","mpa","msi","diagcab","ani","diagpkg"] 结束进程列表： ["sqlbrowser","isqlplussvc","msaccess","onenote","wordpad","thebat64","outlook","msftesql","winword","xfssvccon","excel","mysqld_opt","ocomm","firefoxconfig","mysqld","ocssd","dbeng50","thunderbird","ocautoupds","tbirdconfig","sqlwriter","synctime","mysqld_nt","mydesktopqos","dbsnmp","oracle","mspub","mydesktopservice","sqbcoreservice","sqlagent","encsvc","agntsvc","thebat","infopath","steam","sqlservr","powerpnt","visio"] 删除服务列表： ["veeam","backup","memtas","svc$","mepocs","vss","sql","sophos"] 另外还包括以下内容： 开始加密前通过服务管理器枚举服务，找到并删除在配置文件中指定的服务。 删除系统卷影信息防止文件恢复。 枚举磁盘及磁盘中的文件。 在文件目录下写入勒索提示文档<random>-readme.txt。 使用RSA+salsa20的方式配合IOCP完成端口模型进行文件的加密流程。 加密完成后将文件添加随机名后缀，修改桌面背景为深蓝色，并在在桌面显示文本“All of your files are encrypted! Find <random>-readme.txt and follow instuctions”。 勒索提示文档<random>-readme.txt内容如下： 根据提示内容，有两种方法可以提交赎金和解密文档： 1、安装TOR Browser (暗网浏览器) 并访问指定页面 http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/492CCF5D44A96A6E； 2、直接通过浏览器访问指定页面 https://decryptor.top/492CCF5D44A96A6E。 我们使用方法2访问进行查看，页面显示需要在6天之内购买并转账约0.15个比特币（约合人民币7800元）到比特币钱包35ekbqx8jFt9hiUWExDJKh8grznLaXGtQP，6天之后赎金会翻倍。 四、安全建议 1 企业用户针对该病毒的重点防御措施 1.该病毒主要通过垃圾邮件传播，需要企业用户小心处理电子邮件，打开文件夹选项中的“查看已知类型的扩展名”，若发现使用Office关联图标，又是含exe的多重扩展名，就表明风险极高，建议不要打开。 2. 对重要文件和数据（数据库等数据）进行定期非本地备份，普通终端电脑可以使用腾讯御点终端管理系统及腾讯电脑管家内置的文档守护者备份数据。 企业用户通用的防病毒措施 1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆； 2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问； 3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理； 4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器； 5、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码; 6、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 7、建议全网安装御点终端安全管理系统。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。尚未部署的企业可登录腾讯安全官网申请免费试用腾讯御点（https://s.tencent.com/product/yd/index.html）。 个人用户 1、勿随意打开陌生邮件，关闭Office执行宏代码； 2、使用腾讯电脑管家拦截病毒; 3、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。 IOCs 您的账号.zip 84f2c98a08c50db10996da7d80567695 송장 10.2019.zip 0bdbf296b7ccd864b74365449225ea22 미지급 송장.zip eb3a1a8f6db25217a85866e15bed866e sodinokibi 57191a04cf06228c0643cc99b252ad1e 0fd100bc752335d0023893cc2104019a 33d31fee52e03138f9582232da8df284 比特币钱包： 35ekbqx8jFt9hiUWExDJKh8grznLaXGtQP 垃圾邮件发件人邮箱地址(部分)： kostergaard@digis.net sbsoo@plantynet.com payment@scholaranswer.com gina@firegalwisdom.com micah@everettwalocksmith.com julia@bluechiptraining.com eric@homedames.com gh156@zrtg.com reed.pannell@metis-media.com me@bankim.net jenna@charlesandvalerie.com iszy@iszard.com jchauvet@corptw.com info@maestrobobbyramirez.com matt@sheetssupply.com nobouncewangyi03@haohua.chemchina.com operacional@swjexpress.com meredith@dawnfam.com leonardo.claudio@zap.co.ao cbaker@requisite-development.com jim@intelinternational.com info@trendestly.com andy@themktgco.com legare@legaresbeads.com karen@richert.ca info@yoasobi365.com john@codecommode.com customercare@coutureandtiaras.com mark@happywatch99.com support@logoman.ca azul@azulnight.com info@polvodellanta.mx marocco@studiosoftware.net timberpines@arnauds.net info@refrigerationottawa.ca zhangjq@postel.com.cn rizna.trinayana@exploraprima.com gazunta@gazunta.com social@thegirafe.com stratford@futurestepsintl.com frankdoerr@schlau.com jcampos@intica.cl hrd.ga@369-group.com emilio@karakey.com cbb@dalgashave.dk info@billetawoodphotography.com.au crenova@crenova.ma aude@rondvert.com nina@mypost.com pdseo@partydepotstore.com fabio.carvalho@alphaclube.com.br mauricio@infoxpert.com.br zhanglimin@sunhongs.com wangchunming@bqhszy.com lumingming@bjca.org.cn treefrog@go4more.de info@drhinkens.com jon@blossom-landscaping.com info@polkcountyfarms.org szczesny@sttb.pl rajat@ridobiko.com rajkishore.bhuyan@rakbgroup.com bondi@bangkokbites.com.au cofm604@domozmail.com burner@computerdoctors.org gaizers@sourcecode.co.th lisa@newquaycleaner.com steve.prime@primefamily.org michaellapeyrouse@hikag.com mengqj@seari.com.cn neva1945@surnet.cl cesarcabanillas@eprofsa.com tg.foot@tsf47.net info@stratacomm.com elacasta@inicia.es stephaniem@rittermail.com jackj@americananglers.net higor@icbrasil.inf.br postmaster@corpease.net redaccion@revistafantastique.com kathi@kathikirchmeier.com submissions@roofnexteriorsco.com pollyanacurcio@maismaquinas.com oliver@kane.ac peter@best-internet-security.uk info@locksmithincollegepark.com cw@zscg.com christopher@4sanchez.com pink-ma@barak.net.il hanlang@yaic.com.cn 参考资料： 警惕sodinokibi勒索病毒借助钓鱼邮件传播，被加密的文件暂不能解密

E-skimming 是指黑客将恶意代码植入电子商务网站，并窃取信用卡数据或个人身份信息的行为。联邦调查局（FBI）近期对企业发布警告，提醒他们注意此类型的攻击。 “此警告专门针对在线进行信用卡付款的中小型企业和政府机构。黑客会通过将恶意代码注入网站来盗取信息。他们可能已经通过钓鱼攻击和攻击服务器厂商获得了员工访问权限。”——FBI. E-skimming 最早于2016年出现并迅速发展。在过去的几年中，黑客在 Magecart 组织下进行了许多次攻击。 实现 e-skimming 的方式有多种，例如利用电子商务平台 Magento，OpenCart 中的漏洞等等。其他方法还包括通过供应链攻击破坏这些平台的插件，或者将信用卡读取脚本注入某个公司的网站，或者获取管理员权限并在电子商店中植入恶意代码。 Magecart  组织的黑客主要致力于利用软件盗窃者窃取支付卡数据。自2010年以来，安全公司至少盗取了十几个团体的活动 ，其中就包括  英国航空，  Newegg，  Ticketmaster，  MyPillow和Amerisleep以及  Feedify。 为防范黑客攻击，FBI 提供了如下建议： 1.使用最新的安全软件更新和修补所有系统。需要将防病毒和反恶意软件升级到最新版，并且开启防火墙。 2.更改所有系统上的默认登录凭据。 3.对员工进行网络安全教育，不要轻易点击邮件中的链接或附件。 4.隔离和分段网络系统，防止黑客连续攻击。     消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

伪造 WordPress 插件是黑客的常用攻击方式之一。然而安全人员近期发现了一些具有后门功能的插件，如 initiatorseo 和 updrat123 等。 黑客依照 UpdraftPlus 伪造了这些恶意插件。前者拥有超过 200 万活跃用户，并且会定期发布更新。 恶意插件隐藏在 WordPress 首页，只有使用具有特定User-Agent字符串（随插件而异）的浏览器才能看到它们。 即使原始感染源被删除，黑客也仍然可以在用户的电脑上建立后门，并且仍然具有对服务器的访问权限。 这些后门通过 POST 请求，将恶意文件上传到服务器。该请求包含了文件下载位置的远程 URL ，以及将在受感染服务器上创建的文件的路径和名称。 到目前为止，这些 POST 参数对于每个插件都是唯一的。 黑客利用插件，将文件（即5d9196744f88d5d9196744f893.php） 上传至站点根目录。他们将会用文件中的脚本对其他站点进行暴力攻击。就算是管理员也看不到通过 WordPress 插件安装的后门。 此外，受感染的网站可能会遭到恶意攻击，包括 DDoS 和暴力攻击，发送垃圾邮件或被用于挖矿。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

根据最近几个月连续发布的两个安全报告，黑客正在尝试利用WAV音频文件来隐藏恶意代码。这项技术称之为隐写术（steganography），是一种将信息隐藏在另一种数据介质中的技术。 在软件领域，steganography也简称为“stego”，用于描述将文件或文本隐藏在其他格式的文件中的过程。例如，将纯文本隐藏在图像的二进制格式中。事实上黑客已经使用隐写术有十多年了，通常不会用来破坏或者感染设备，而是作为一种转移方法。隐写术允许隐藏恶意代码的文件绕过将不可执行文件格式（例如多媒体文件）列入白名单的安全软件。 以前所有使用隐写术进行恶意软件攻击的实例都围绕使用图像文件格式（例如PNG或JEPG）展开。最近发布的两份报告中的新颖之处在于发现黑客开始使用WAV音频文件，在今年开始被广泛使用。 早在今年6月份，就有报告检测到隐藏在WAV音频文件中的恶意程序活动。赛门铁克安全研究人员表示，他们发现了一个名为Waterbug（或Turla）的俄罗斯网络间谍组织，该组织使用WAV文件将恶意代码从其服务器隐藏并传输到已经感染的受害者。 BlackBerry Cylance在本月发现了第二个恶意软件活动。在今天发布并上周与ZDNet共享的报告中，Cylance说它看到了与赛门铁克几个月前类似的东西。 但是，尽管赛门铁克报告描述了一个国家级的网络间谍活动，但Cylance表示，他们看到WAV隐写技术在日常的加密采矿恶意软件操作中被滥用。Cylance说，这个特殊的威胁参与者正在将WAV音频文件中的隐藏DLL。 该黑客的使用WAV隐写技术用于挖矿，调用系统资源来挖掘加密货币。Lemos告诉ZDNet：“使用隐秘技术需要对目标文件格式有深入的了解。通常，复杂的威胁参与者希望长时间不被发现。 隐写术可以与任何文件格式一起使用，只要攻击者遵守该格式的结构和约束，这样对目标文件进行的任何修改都不会破坏其完整性。 换句话说，通过阻止易受攻击的文件格式来防御隐写术不是正确的解决方案，因为这样最后的结果是许多流行格式都下载不了，例如 JPEG、PNG、BMP、WAV、GIF、WebP、TIFF 等。   （稿源：cnBeta，封面源自网络。）