一周前，新奥尔良市官员在新闻发布会上确认该市受到勒索软件攻击，攻击事件发生于2019年12月13日上午。 IT人员立即通知所有了员工，并要求他们关闭计算机，以防威胁扩散。 政府部门的设备没有连接城网，当时还没查出是那种勒索软件感染了系统。 现在，媒体提供了有关这次攻击的更多消息。根据提交给VirusTotal的文件，新奥尔良市涉及的勒索软件可能是Ryuk Ransomware。 在勒索软件攻击新奥尔良市的第二天，2019年12月14日，可疑的内存转储 可执行文件 已从美国的IP地址上传到VirusTotal。 “Red Flare Security的Colin Cowie 发现其中一个内存转储多次提及了New Orleans 和 Ryuk” BleepingComputer报道。 Cowie发现的转储与名为yoletby.exe，其中包含对新奥尔良市的引用，包括域名，域控制器，内部IP地址，用户名，文件共享。同一转储包含对Ryuk勒索软件的引用，这种情况表明黑客在此次袭击中使用了该恶意软件。   专家还发现了证明此次攻击使用了Ryuk的证据。   “ v2.exe内存转储中有一个字符串很有意思，它指向的值是新奥尔良市政厅。” “经过进一步挖掘， BleepingComputer 找到了 v2.exe可执行文件，并在执行后确认它是Ryuk勒索软件。”     消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Sophos的安全研究团队近日发现了名为Snatch的勒索软件，利用Windows的功能来绕过安装在PC上的安全软件。这款勒索软件会让你的PC崩溃，并迫使受感染设备重新启动进入安全模式。而在安全模式下，通常会禁用防病毒和其他安全软件，从而允许该恶意程序作为服务进行自启，对PC进行全盘加密，最后向受害者勒索比特币。 在过去3个月内，Sophos已经收到了12例关于该勒索软件的反馈报告，要求比特币赎金在2900美元至51,000美元之间。在安全公告中写道：“Snatch可以在常见的Windows系统上运行，从Windows 7到Windows 10，所有32位和64位版本都受到影响。我们观察到Snatch无法在Windows以外的平台上运行。” （稿源：cnBeta，封面源自网络。）

据外媒Softpedia报道，在一个承包商连接到网络以配置数字显示器后，勒索软件感染了运行纽约警察局（NYPD）指纹数据库的计算机。该事件发生在2018年10月，导致NYPD在总共23台计算机上发现感染后，关闭了LiveScan指纹跟踪系统。但是，该部门官员声称该感染“从未执行”，这意味着勒索软件没有造成任何损害，但是NYPD出于谨慎考虑而决定使该系统关闭。 NYPD官员在接受《纽约邮报》采访时表示，该软件已重新安装在200台计算机上，并且指纹数据库于第二天早上恢复上线。NYPD负责信息技术的副局长Jessica Tisch表示：“我们想深入了解这一点。对于我们来说，深入了解这一点真的很重要。到周六清晨—我记得它仍然尚未恢复—我们正在使系统上线。” 勒索软件通常会锁定文件的访问权限，直到受害者支付解密密钥的费用为止。当承包商插入他们用来配置数字显示器的NUC微型PC时，该勒索软件便感染了NYPD网络。NYPD表示，他们确实对此事件对承包商提出了质疑，但未给予任何处罚。 此外，NYPD声称其网络中只有约0.1％的计算机受到了影响，而没有任何文件被锁定。该机构尚未共享有关感染背后的黑客团体，勒索软件和操作被感染设备的承包商的详细信息。 然而尽管NYPD已经避免了一场网络噩梦，但该部门网络中潜在的勒索软件感染可能会带来灾难性的影响。NYPD数据库还连接到更大的州级别自动指纹识别系统，该系统拥有大约700万个文件，如果被勒索软件感染可能会被锁定，并且在恢复之前可能将使系统连续数天保持脱机状态。   （稿源：cnBeta，封面源自网络。）

如果您收到一封声称来自微软的电子邮件，并要求安装所谓的关键更新，那么请立即删除这封邮件。安全公司Trustwave近日发现了新的恶意程序活动踪迹，它们利用电子邮件方式进行传播，伪装成为Windows更新让设备感染Cyborg勒索软件。 这是一种非常典型的攻击方式，首先给潜在目标发送电子邮件，邮件中会包含虚假的Windows更新。该更新似乎使用的是JPG文件扩展名，实际上是一个可执行文件，一旦启动，便从GitHub下载其他有效负载。 rustwave解释称：“根据我们的调查，受感染的设备会从一个名为misterbtc2020的GitHub账号中下载名为bitcoingenerator.exe的文件，该账号在几天前还处于活跃状态，目前已经被删除。该文件包含了btcgenerator存储库。就像附件一样，这是.NET编译的恶意软件，也就是Cyborg勒索软件。” 勒索软件感染设备后，用户文件将被加密并重命名为使用“777”扩展名。此时，用户文件被锁定，勒索软件将文本文档放置在桌面上，以向受害者提供有关如何获取解密密钥的指令。 在勒索消息中写道：“不用担心，你可以赎回所有文件！您可以发送一个加密文件[sic]，我们将免费对其进行解密。您必须按照以下步骤来解密文件：将500美元的比特币发送到钱包[钱包号码]，然后向我们的邮箱发送通知。” Trustwave警告说：“任何拥有该Builder的人都可以创建和分发Cyborg勒索软件。攻击者可以使用其他不同的主题来诱骗用户点击，并以不同的形式来逃避电子邮件网关的审查。攻击者可以使用已知的勒索软件扩展名，来误导受感染的用户识别出这种勒索软件。” 不用说，最简单的安全保护方法是避免打开电子邮件并下载附件。更新安全软件还可以帮助检测受感染的文件，并阻止勒索软件感染您的设备。   （稿源：cnBeta，封面源自网络。）

周日，DoppelPaymer勒索软件感染并破坏了墨西哥国有石油公司 PetróleosMexicanos（Pemex）的系统。 黑客向Pemex提出的金额为565 比特币。 此外，DoppelPaymer的TOR网站更新后的文字如下： “我们还收集了所有的私人敏感数据。如果你拒绝付款，我们会将这些数据传播给其他人，这可能会损害您的商誉。” pic.twitter.com/BoHi1lVigF — MalwareHunterTeam（@malwrhunterteam），2019年11月12日 据该公司称，公司只有不到5％的计算机感染了勒索软件。 图片来自BleepingComputer “和其他国际政府以及金融公司和机构一样，Pemex 经常收到威胁和网络攻击。” 该公司发布的安全公告中写道。“11月10日星期日，这家国有生产公司遭遇了网络攻击，这些攻击最终被及时消除，并且只影响了不到5％的个人计算机设备的运行。此次事件过后，Pemex重申其燃料生产，供应和库存是有安全保障的。” Petróleos Mexicanos 声称它迅速解决了此事件，同时强调其运营和生产系统没有受到影响。 Pemex确认其基础设施与所有主要的国家和国际政府以及金融组织一样，正不断面对来自黑客的攻击，因此公司正在持续加强安全措施。 DoppelPaymer勒索软件是BitPaymer勒索软件的 forked 版本，它可能是由某些网络犯罪团伙以TA505身份开发的。   消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

SmarterASP.NET是一家拥有超过44万客户的知名ASP.NET托管提供商。昨日该公司发布公告称，遭到勒索软件的攻击，这也是2019年遭到攻击而下线的第三家大型网络托管公司，黑客不仅破坏了该公司的托管业务而且还对客户服务器上的数据进行了加密。   SmarterASP.NET官方表示正在努力恢复客户数据，但尚不清楚该公司是支付了赎金，还是从备份中进行了恢复。目前该公司并没有回复外媒的评论请求。 根据其官网显示的信息，该公司承认遭到了黑客攻击。该消息说：“您的托管帐户受到攻击，黑客已经加密了您的所有数据。我们现在正在与安全专家合作，尝试解密您的数据，并确保不会再发生这种情况。” 本次网络攻击不仅对客户数据进行了加密，SmarterASP.NET官网也被迫下线。在周六全天下线之后，在周日上午恢复重新上线。服务器恢复工作进展缓慢。许多客户仍然无法访问其帐户和数据，这些被加密的客户数据包括网站文件和后台数据库。   （稿源：cnBeta，封面源自网络。）

勒索软件攻击了加拿大Nunavut地区，政府的所有联网服务都受到了影响。Nunavut地区面积超过190万平方公里，人口约36,000。 当地政府称：“在2019年11月2日（星期六），一种新型的勒索软件影响了整个城市。勒索软件会加密各种服务器和工作站上的单个文件。除了Qulliq能源公司以外，所有需要访问GN网络上存储的电子信息的政府服务都受到了影响。” 特区区长乔·萨维卡塔克（Joe Savikataaq）说：“我向Nunavut保证，我们正在尽全力解决这个问题。基本服务将不会受到影响，并且在此期间GN将继续运行。重新上线时可能会导致些许延迟，我感谢大家的耐心和理解。” 一半的GN IT系统今天清晨被针对公共服务的病毒入侵。我们会全天候工作，排查问题并让电脑恢复上网功能。在问题获得全面解决之前，您将无法访问您的GN帐户。 据CBC报道，勒索信息具体内容如下： “您的网络已被渗透，全部文件已被强大的算法进行了加密。我们可以为您提供解密软件。如果您一直未进入链接取得密钥，您的数据将被完全删除。” 专家注意到，勒索信息要求受害者下载加密的浏览器并在21天内访问指定的URL，专家注意到勒索信息是用生硬的英语书写的。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近日，西班牙两家大型公司在同一天内受到勒索软件打击。 其中一家是Everis，这是NTT Data Group旗下的IT咨询公司，其发言人目前还没有发表正式声明。第二个是西班牙最大的无线电网络公司Cadena SER，其在官网发表了声明，确认公司遭遇了攻击。 两家公司都要求员工关闭计算机，并断开网络连接。 Everis在18个国家/地区拥有超过24,500名员工，是受影响最大的公司之一。该公司其他分支也受到了影响，勒索软件已通过公司的内部网络传播。 疑似有Everis员工在社交媒体上发布了截图，显示勒索软件 BitPaymer 攻击了 IT 公司，该勒索软件也袭击了法国电视台M6和德国自动化工具制造商Pilz。尚未公布攻击 Cadena SER 的勒索软件。 图片：Alex Barredo（Twitter@somospostpc） 西班牙当局立即作出反应 由于西班牙是早期遭受WannaCry重创的国家之一，因此这一次政府组织迅速做出了反应。 西班牙国家安全局在事件发生后的数小时内发布安全建议，敦促公司改善网络安全措施，并且建议其他受害者向西班牙国家网络安全研究所INCIBE寻求帮助。 尽管没有类似WannaCry的勒索软件爆发的迹象，但这两次勒索软件感染对西班牙当地的商业环境产生了重大影响。许多本地公司使用Everis软件进行日常活动，有人担心自己被感染，选择关闭程序来检查系统。 网上还出现了谣言，有人猜测除了Everis之外，其他IT公司也受到了影响。金融咨询公司毕马威（KPMG）的西班牙支部和软件巨头埃森哲（Accenture）今天早些时候在Twitter上发布声明，告诉用户他们没有受到感染，并且一切正常。   消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

勒索软件是一个网络上的世界性问题，对于受害者而言，可能很难知道即便乖乖付款也是否会帮助他们重新获得对其恶意加密文件的访问权限。因此，当免费释放勒索软件解密密钥时，对他们而言总归是一个好消息，而这正是勒索软件HildaCrypt的最新动态。 在安全研究人员分享了最初被认为是新型勒索软件的详细信息之后，这种特定类型的勒索软件的开发人员已发布了解密密钥。 安全研究员GrujaRS分享了一种他们认为是STOP勒索软件变体的详细信息。但是，实际上，勒索软件已被错误识别，根据Bleeping Computer的报道，它实际上是HildaCrypt勒索软件的一种变体 – 这种恶意软件的开发人员承认了这一点。 尽管开发者说写出HildaCrypt是“只是为了好玩”，但由于HildaCrypt已被用于创建其他勒索软件工具，因此这可能是免费发行主密钥的决定。 您可以下载解密密钥，并在此处了解有关HildaCrypt勒索软件的更多信息。     （稿源：cnBeta，封面源自网络。）

你是否听说到STOP勒索软件？或许答案是否定的，毕竟目前没有太多关于该勒索软件的报道，也没有大多数安全研究人员涉及，而且它主要是通过破解软件、广告软件包和暗网等渠道进行感染传播的。 Ryuk，GandCrab和Sodinkibi等之所以能够受到媒体的广泛关注，是因为它们需要支付巨额的赎金，并能中止企业和地方政府的正常运转，而这些受影响的企业用户是防病毒公司赖以生存的重要服务对象。 基于Michael Gillespie的ID Ransomware提交报告，在过去1年中最活跃的勒索软件就是STOP软件。勒索软件识别服务ID Ransomware每天大约收到2500个勒索软件提交，其中，60-70％是STOP勒索软件提交。这种数量的提交超过了用户在寻求帮助时提交给服务的其他勒索软件。 为了分发STOP，勒索软件开发人员已经与黑幕站点和广告软件捆绑在一起。这些网站宣传一些破解的软件程序，不过实际内含广告程序，可在用户计算机上安装各种不需要的软件和恶意软件。通过这些捆绑软件安装的程序之一是STOP Ransomware。 目前已经发现STOP勒索软件的“破解软件”中，包括KMSPico，Cubase，Photoshop，甚至还有防病毒软件。不仅如此，这些网站还提供一些免费软件下载，同样内置安装勒索软件的广告软件捆绑包。更糟糕的是，其中一些变种还将Azorult密码窃取木马与勒索软件捆绑在一起，对受害者进行了双重攻击。 Stop勒索病毒还具有以下特性： 1.    加密时，禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能 ； 2.    通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站； 3.    因病毒执行加密时，会造成系统明显卡顿，为掩人耳目，病毒会弹出伪造的Windows 自动更新窗口；     （稿源：cnBeta，封面源自网络。）