据外媒 1 日消息，维基解密最新发布了一批秘密文档，详细介绍了 CIA 黑客工具 “OutlawCountry”，可被用于远程监控运行 Linux 操作系统的计算机，能够将目标计算机上的所有出站网络流量重定向到 CIA 控制系统以进行渗透。 消息显示， OutlawCountry 黑客工具由 Linux 2.6 内核模块组成，CIA 黑客可通过 shell 访问目标系统进行加载。这一工具的主要限制在于内核模块只与兼容的 Linux 内核一起工作： （S // NF）目标必须运行兼容的 64 位版本的 CentOS / RHEL 6.x （内核版本2.6.32）。 （S // NF）操作员必须具有对目标的 shell 访问权限。 （S // NF）目标必须有一个 “nat” Netfilter表 该模块允许在目标 Linux 用户上创建一个隐藏名称的隐藏 Netfilter 表。 如下图，CIA 操作员在目标设备（TARG_1）上加载 OutlawCountry，然后他可以添加隐藏的 iptables 规则来修改 WEST 和 EAST 之间的网络流量。例如，本该从 WEST_2 路由到 EAST_3 的数据包可能被重定向到 EAST_4 。 本次泄露内容不包括攻击者在目标 Linux 操作系统中注入内核模块方式的相关信息。网络间谍组织为达到目的很有可能会利用多种黑客工具、漏洞，或其他网络武器库达到破坏目标 Linux 操作系统的目的。 更多详细信息可访问 维基解密 官网。  原作者：Pierluigi Paganini，译者：FOX。封面源自网络。

据 外媒 28 日消息，疑似 Petya 勒索软件原作者现身 Twitter，表示愿意帮助 NotPetya 勒索软件受害者恢复文件。 从 Janus 在 Twitter 信息上看，他可能已经掌握一个主解密秘钥，或适用于新版的 NotPetya 感染文件，能够帮助受害者解密被锁住的文档。 Janus 曾在去年 3月以 勒索软件即服务（RaaS）的方式将 Petya 出售给其他黑客，这意味着任何人都能通过点击按钮启动 Petya 勒索软件攻击，加密任何人的系统并索要赎金。消息显示， Petya 的源代码从未被泄露过，目前一些安全研究员仍在努力通过逆向寻找可能的解决方案。 虽然目前 Janus 表示正在检查新勒索软件 NotPetya 的代码，但也有专家表示即使他的主密钥成功地解密了受害者硬盘驱动器的主文件表（MFT），在研究人员找到修复 MBR 的方法之前，它也不会有太大的帮助，因为系统中被替换的 MBR 文件早已损坏。 稿源：据 thehackernews 报道翻译整理，译者：FOX  

维基解密网站最新报告揭示了 CIA 自 2013 年以来针对 Windows 电脑使用的一种新形式的恶意软件，这一次这种软件不会危及系统，而是在几秒钟内确定用户的位置。该工具被称为 ELSA，它主要是为 Windows 7 开发的，但它可以被用于任何版本的 Windows，包括 Windows 10，尽管在这种情况下，因为微软的安全性改进，需要进行一些额外的调整。 ELSA 做的是感染 Wi-Fi 功能的网络，然后使用无线模块来寻找可用范围内的公共 Wi-Fi 点。恶意软件记录每个网络的 MAC 地址，然后在 Microsoft 和 Google 维护的公共数据库中查找信息。这些数据库主要让用户的许多设备可以访问互联网，但是中情局查找这些数据库的目的显然不同。 一旦确定了公共 Wi-Fi 的位置，恶意软件分析用户信号的强度，然后计算用户的可能坐标。信息被加密并发送到 FBI，存储在服务器上，相关特工可以将其提取并将其保存在特定文件中。 最重要的是，ELSA 要求中情局已经控制目标系统，但这不应该是一个问题，因为该机构据报道有其他形式的恶意软件可以利用 Windows 中的未知漏洞控制目标系统。因此，由于中情局已经完全控制了 Windows 系统，确定位置并不是最糟糕的事情，因为该机构也可以窃取目前电脑上的文件，并且可以作许多其它事情。 就像过去发生的一样，ELSA 有可能在某些时候泄漏，并可供黑客使用，再次让 Windows 用户遭遇额外威胁。我们已经向 Microsoft 了解他们如何计划解决这个漏洞。 稿源：cnBeta，封面源自网络

本周早些时候，Petya 勒索软件攻击几乎让每个人都惊奇，全球许多 Windows  电脑瘫痪了，其中大部分是运行 Windows 7 的操作系统。与之前的 WannaCry 勒索软件相比，Petya 勒索软件使用了相同的 SMB 漏洞，并且更复杂一些，但新的证据表明，疫情没有我们想象的那么糟糕。 微软昨天在其Windows安全博客上解释说：Petya 勒索软件是高度复杂的恶意软件，但是我们的遥测结果显示，Petya 勒索软件的受害率远远低于我们的预期，受害电脑数量不到 2 万台电脑。据该公司称，这次袭击事件在乌克兰开始，并且传播到其他国家的电脑上，而且，微软称，受感染的大都是 Windows 7 电脑。微软以前在今年早些时候为这种类型的漏洞发布了一系列补丁。 微软的博客文章还揭示 Petya 勒索软件有趣细节，其中包括 Petya 蠕虫行为的影响受到其设计的限制：首先，Petya 可以传播到其他电脑的执行时间有限。 作为其执行命令的一部分，它仅限与在电脑重新启动系统之前执行传播，此外，微软发现这种蠕虫代码不会在成功重新引导的受感染电脑上再次运行。最后，Petya 会对操作系统的引导代码造成一些损害，但是，在某些具体情况下，仍然有一些启动恢复选项。 总的来说，微软仍然担心这类型的勒索攻击复杂性越来越高，该公司正在敦促消费者和企业将他们的 PC 更新到更安全的 Windows 10。Windows 10 有防御措施可以减轻像 Petya 这样的勒索攻击。本周早些时候，该公司还宣布，下一代安全功能将于今年晚些时候在秋季创作者更新中推出。 稿源：cnBeta，封面源自网络

勒索软件作为一种有利可图的商业模式一直被网络犯罪分子广泛利用。鉴于此，新型勒索软件即服务（RaaS）在网络生态系统中取得长足发展也就不足为奇了。恰好，本周末安全专家发现一款名为 Shifr 的新型 RaaS，仅需三步即可创建一款简单的勒索软件。 据悉，该网站托管在 Dark Web 上，堪称最易使用的 RaaS 网站，消费者可以用比特币支付赎金。Shifr 采用 Go 语言编写，命名源自加密字段扩展名，可能与 Trojan.Encoder.6491（首款用 Go 语言编写的勒索软件）有关。 对于 Shifr 服务而言，勒索软件的创建过程十分简单，犯罪分子仅需提供恶意软件要求的赎金、接收受害者支付赎金的比特币地址并解决 CAPTCHA 问题。 其他 RaaS 门户网站通常需要以收取入门费或验证客户身份确保只有精通一定骗术的网络犯罪分子才能获得勒索软件样本，而此项服务仅需简单几步即可提供完整的武器化样本。有别与其他 RaaS 服务之处在于，Shifr 供应商仅收取 10% 的维护费用，这与 Cerber RaaS 收取的六成份额相比不足挂齿。 目前，我们仍不能排除 Shifr RaaS 是骗局的可能，运营商也不会向经销商支付削减费用。唯一能够确定的是勒索软件不仅不复杂还缺少许多必要功能，或为正在进行项目。此外，研究人员还注意到犯罪分子采用相同的服务器托管支付门户网站与 RaaS 服务，这并不是一种专业的做法。 综上所述，不难预测各类 RaaS 服务将在未来一个月内得到迅速传播。 原作者：Pierluigi Paganini，译者：游弋，校对：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Petwrap 勒索软件攻击爆发仅一日便有大量报告涌现，各家媒体纷纷对受感染的组织机构数量进行预估。最初报道源自此次事件重灾区乌克兰，乌克兰内政部称“一款未知病毒”侵袭了该国政府、银行等重要机构，堪称乌克兰历史上最大规模的网络攻击事件。没过多久即传出俄罗斯、整个欧洲、北美、澳大利亚等地区也遭受感染的消息并得到权威机构证实。 据悉，Petwrap 同样利用 Shadow Brokers 黑客组织泄露的 NSA “永恒之蓝”（EternalBlue）Windows 漏洞，能够使组织机构沦为瘫痪。ESET 研究人员表示，勒索软件爆发首日，乌克兰受害者数量占已知检测数量的 3/4。病毒通过多种击媒介在乌克兰境内传播，其中包括卡巴斯基实验室近期发现的新型手段，即通过伪装成 Windows update 的恶意文件进行强迫下载传播。 与此同时，检测结果显示，9% 被感染设备位于德国，6% 位于塞尔维亚。虽然大型攻击事件遍及全球，但剩余 60 多个国家攻击事件总和占比不到 1%。 来自微软恶意软件防护中心的数据显示，乌克兰境内 12,500 台设备面临威胁，假设这些设备占比受感染设备总数的 3/4，那么目前全球受感染设备总数就是 16,500 台。 即便如此，这个数字也低于 WannaCry 病毒爆发 24 小时内的受感染设备数量。（ WannaCry 爆发期间，全球 74 个国家共发生 45,000 起攻击事件，受感染设备总数高达300,000 台）。 赛门铁克威胁情报显示，乌克兰与美国境内分别有 150 与近 50 家组织机构遭受感染；而根据卡巴斯基研究结果，截至目前约有 2,000 用户遭受攻击。俄罗斯与乌克兰的情况最为严重。此外，波兰、意大利、英国、德国、法国、美国与其他几个国家也在不同程度上受到影响。 虽然 Petwrap 目前受害者数量低于 WannaCry，这款勒索软件的类蠕虫特征意味着被感染设备数量仍有上升空间。 原作者：Danny Palmer，译者：游弋，校对：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

北京时间 6 月 29 日早间消息，信息安全分析师指出，将 Petya 称作“勒索病毒”可能是不恰当的。这款恶意软件的代码和其他证据表明，Petya 的目的可能是针对乌克兰的网络展开间谍活动，而进行勒索只是一种伪装。 勒索病毒的基本规则是，如果你付款给攻击者，那么就可以拿回自己的数据。如果攻击者没有履行承诺，那么消息传出后将不会有人再支付赎金。那么，如果病毒导致数据完全不可找回，是否还可以称得上“勒索病毒”？因此，Petya 并不是勒索病毒，其动机并不是为了赚钱。考虑到 Peyta 起源于乌克兰的网络，因此一种推测是，Petya 的目的就是破坏这些网络。 随着关于这款病毒的更多信息曝光，这是许多专家提出的观点。Comae 的马特·苏奇（Matt Suiche）和其他人本周将 Petya 的代码与去年的类似攻击进行了比较。2017 年的 Petya 似乎经过了特别修改，通过改写硬盘的主引导记录，导致对用户数据的编码不可逆。攻击者的电子邮件地址似乎也已下线，导致受害者无法支付赎金。 来自伯克利国际计算机科学研究所的消息显示，Petya 是一种“蓄意、恶意、破坏性的攻击，也可能是伪装成勒索病毒的测试”。《连线》杂志报道称，乌克兰基辅的信息安全机构表示，攻击者已经在乌克兰的系统中存在几个月时间，很可能已掩盖了他们传播病毒的痕迹。（邱越） 稿源：，稿件以及封面源自网络

作为联邦快递（FedEx）旗下的一家子公司，席卷全球的 “Petya” 病毒已经对总部位于荷兰的 TNT Express 的运营造成了显著的影响：“虽然国际国内航运服务仍在运营，但延迟已经不可避免”。公告发布后不久，联邦快递选择了将股票暂时停牌，即便该公司旗下其他子公司并未受到影响。FedEx 在一份声明中解释称：“当前无法衡量服务中断造成的确切经济损失，但会尽快部署补救措施和应急计划，措施包括借助联邦快递自有服务来帮助 Express 递送积压的货物”。 Petya 病毒于近日跨欧洲大肆传播，波及了大量企业与服务，比如乌克兰央行的计算机系统、城市地铁、基辅机场、丹麦航运巨头马士基，甚至连切尔诺贝利核电站都切换到了手动辐射监测模式。 稿源：cnBeta.COM，封面源自网络

微软公司、网络安全分析师和乌克兰警方周三表示，新一轮影响全球的病毒袭击事件的源头，来自一家乌克兰的会计软件生产商 M.E.Doc。乌克兰警方负责网络犯罪部门本周二晚些时候表示，M.E.Doc 的软件升级中包含该病毒。同日，微软在一篇博文中表示，有证据显示用户在对该软件制造商的软件进行更新感染了病毒。 网络安全公司 FireEye 高级经理 John Miller 在一封电子邮件中表示，此次攻击中的所使用的一种病毒载体就是 M.E.Doc 生产的软件。卡巴斯基实验室首席安全专家 Aleks Gostev 同样证实，M.E.Doc似乎是恶意软件的来源。 据彭博社消息，M.E.Doc 并未就相关言论做出回应。在该公司的 Facebook 主页上，M.E.Doc 表示，“行业内主流的反病毒公司”已经对其软件进行了审查，证实了该公司对病毒的传播没有任何责任。该公司表示，像其他受害者一样，公司的服务也受到了此轮袭击的影响，并且正在努力恢复服中。 另据纽约时报报道，根据计算机安全公司赛门铁克的研究人员称，与五月份的 WannaCry 攻击一样，新的这一轮攻击同样使用美国国家安全局( National Security Agency )的黑客工具 Eternal Blue (永恒之蓝)，并辅之以其他两种传播方法来加速病毒的传播。美国国家安全局尚未承认其工具被用于 WannaCry 或其他攻击，但计算机安全专家正在要求该机构帮助全世界其他机构和公司创造的可以遏制病毒传播的工具。 周二爆发的新一轮网络袭击首先从乌克兰政府部门的网络系统开始，随后俄罗斯石油公司、英国广告商WPP和切尔诺贝利核电站等机构均报告称遭到袭击。受其影响最深的丹麦航运巨头马士基集团在进行了全面评估后，不得不选择关闭了整个网络系统。 稿源：cnBeta，第一财经；封面源自网络

2017 年第一季度，手机勒索软件攻击数量激增，与去年同期相比增长 3.5 倍。犯罪分子试图通过 25 万个安卓手机木马安装包从受害者处勒索钱财，赎金金额从 100 美元到 500 美元不等。 根据卡巴斯基实验室本周一发布的《 2016 – 2017勒索软件报告》，德国首当其冲成为重灾区，美国受害者数量紧随其后。考虑到 2015 – 2016 年攻击数量的整体下降趋势（从 136,532 将至 130,232 ），2017 第一季度手机勒索软件数量的急剧增长情况实属异常。 报告显示，手机勒索软件攻击数量的下降反映了安全解决方案厂商、执法机构与白帽黑客之间的有效协作。2017 年第一季度勒索软件攻击事件高发源于 2016 年 12 月 Svpeng 勒索软件家族兴起。与通过入侵工具包与恶意电子邮件附件下载安装的 PC 端勒索软件不同，手机勒索软件主要通过观看色情内容或下载虚假手机Adobe Flash播放器传播。 报告作者之一、卡巴斯基实验室恶意软件高级分析师 Roman Unuchek 表示，“多数情况下，犯罪分子主要利用受害者的疏忽大意以及未及时更新安卓 OS 版本发动攻击。安卓更新版本具有相对完善的安全功能，对勒索软件起到一定抑制作用。” 报告指出，Svpeng 与 Fusob 两大恶意软件家族占据手机勒索软件市场。Fusob 构成勒索软件攻击事件主体，主要通过伪装成名为 “xxxPlayer” 的多媒体播放器欺骗用户。一旦成功下载，勒索软件就会阻止用户访问设备，除非缴纳 100 美元至 200 美元赎金。 手机木马 Svpeng 最早由卡巴斯基实验室于 2013 年发现，此后经历多番勒索软件功能添加或修改。以往社工活动主要基于短消息欺骗用户下载恶意软件。完成安装后会显示一份冒充 FBI 开具的非法内容下载罚单，要求以缴纳 200 美元罚金为代价解锁设备。 受影响最严重的国家排名为：德国（23%）、加拿大（20%）、英国（16%）、美国（15.5%）。针对移动设备的攻击主要源自少数几类恶意软件并通过附加程序传播。相比之下，PC 勒索软件较去年增长 11.4 %。在勒索软件受害者中，加密勒索受害者的比重从 2015 – 2016 年的 31% 上升至 2016 – 2017 年的 44.6%，增长了 13.6 个百分点。 研究人员还发现有针对性的勒索软件攻击由于“勒索软件即服务”（RaaS）的盛行呈上升趋势。 “勒索软件的复杂度与多样性均有提高，通过不断发展、日益便捷的地下生态系统为那些掌握较少技术、资源或时间的犯罪分子提供现成解决方案。” 卡巴斯基实验室对此持乐观态度，相信能够通过 The No More Ransom Project 等全球计划的良性发展有效保护手机与 PC 用户远离加密勒索软件困扰。 原作者：Tom Spring，译者：游弋，校对：FOX 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。