近期，有网站通过冒充 PayPal 官网，向不知情的用户传播 Nemty 勒索软件的新变种。 这个恶意软件的运营商正在尝试各种分发渠道，因为它被检测出是 RIG 漏洞利用工具包（EK）的有效载荷。   通过返现奖励引诱用户 当前最新的 Nemty 来自于该假冒 PayPal 网站，该网站承诺，将返还支付金额的 3-5% 给使用该网站进行支付操作的用户。   网友可以通过一些细节判断出此网站并非官网，该网站也被多家主流浏览器标记为危险，但用户还是有可能会继续下载和运行恶意软件“cashback.exe”。 安全研究人员 nao_sec  发现了新的 Nemty 分发渠道，并使用 AnyRun  测试环境来部署恶意软件并在受感染的系统上跟踪其活动。 自动分析显示，勒索软件加密受害主机上的文件大约需要7分钟。具体时间可能因系统而异。 幸运的是，该勒索软件可以被市场上最流行的防病毒产品检测到。对 VirusTotal 的扫描显示 68 个防病毒引擎中有 36 个检测到了该软件。   同形字攻击 因为网络犯罪分子使用的就是原网页的构造，所以该诈骗网站看起来就是官方网站。 为了增强欺骗性，网络犯罪分子还使用所谓的同形异义域名链接到了网站的各个部分（包括帮助和联系，费用，安全，应用和商店）。 骗子在域名中使用来自不同字母表的 Unicode 字符。浏览器会自动将它们转换为 Punycode  Unicode 中的内容看起来像 paypal.com，而在Punycode 中以 ‘xn--ayal-f6dc.com’ 的形式存在。 安全研究员 Vitali Kremez 指出这个 Nemty 勒索软件变种目前处于1.4版本，此版本修复了前版本中的一些小错误。 他观察到的一件事是“isRU” 检查已经被修改了，该检查可以验证受感染的计算机是否在俄罗斯，白俄罗斯，哈萨克斯坦，塔吉克斯坦或乌克兰。在最新版本中，如果检查结果为真，那么恶意软件不会随着文件加密功能而移动。   但是，这些国家/地区以外的计算机会被设为目标，他们的文件会被加密，副本也会被删除。 根据测试显示，黑客提出的赎金为 0.09981 BTC，约为 1,000美元，并且支付门户被匿名托管在了 Tor 网络上。 8月底，另一位安全研究员  Mol69 看到Nemty 通过RIG EK 进行分发，这样的做法十分反常，因为瞄准 Internet Explorer 和 Flash Player 这些不受欢迎的产品的攻击套件目前已经基本不存在了。   消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒Techspot报道，一个黑客组织本周设法渗透到美国数百家牙科诊所办公室的网络中，并用勒索软件加载他们的系统。正如Krebs on Security所强调的那样，PerCSoft是一家位于威斯康星州的数字牙科记录云管理提供商，该公司运营著名的DDS Safe在线数据备份服务。该服务为全国数百家牙科诊所提供牙科记录、图表、保险信息等。 黑客们使用Evil (Sodinokibi) 勒索软件攻击PerCSof，锁定约400牙科诊所的文件。多个消息来源报告说，PerCSoft支付了赎金，并获得了一个解密密钥，其正在积极地分发给受影响的牙科诊所，以帮助他们恢复他们的文件。 Krebs表示，目前尚不清楚PerCSoft是否直接支付了赎金，或者资金是否由保险公司提供。向付费受害者提供解密密钥符合黑客的最佳利益。如果他们声称不提供钥匙，那么人们就会放弃支付赎金，并且没有经济激励黑客继续这样做。 根据ProPublica的说法，提交保险索赔和支付免赔额通常比赎金赎金的全部成本要便宜得多。不幸的是，这鼓励黑客专门针对那些他们知道拥有网络保险的公司。   （稿源：cnBeta，封面源自网络。）

据路透社报道，美国政府计划在大约一个月内启动一项计划，该计划的重点是在2020年总统大选之前保护选民登记数据库和系统。这些系统在投票前被广泛用于验证选民的资格，2016年俄罗斯黑客试图收集信息，这些系统受到了损害。据现任和前任美国官员称，情报官员担心，2020年的外国黑客不仅会瞄准数据库，而且会企图操纵或破坏这些数据。 “我们将这些系统评估为高风险，”一位美国高级官员表示。网络安全与基础设施安全局（CISA）是美国国土安全部的一个部门，该部门官员担心数据库可能成为勒索软件的目标。勒索软件是一种使美国各地的城市计算机网络陷入瘫痪的病毒，包括最近在德克萨斯州，巴尔的摩和亚特兰大。 “最近的历史表明，州和县政府以及支持他们的人都是勒索软件攻击的目标，”CISA主任Christopher Krebs说道。“这就是我们与选举官员及私营部门合作伙伴一起帮助保护他们的数据库并应对可能的勒索软件攻击的原因。” 勒索软件攻击通常会锁定受感染的计算机系统，直到通常以加密货币的形式向黑客支付赎金以便恢复数据。 根据现任和前任美国官员的说法，针对选举的反击勒索软件式网络攻击的努力与更大的情报界指令平行，以确定在2020年11月大选中最可能的数字攻击媒介。联邦调查局在支持国土安全倡议的一份声明中表示，“各州和市政当局必须限制有关选举制度或行政程序的信息，并确保其网站和数据库可以被利用。” CISA的计划将与州选举官员联系，为这种勒索软件场景做准备。它将提供教育材料、远程计算机渗透测试和漏洞扫描，以及有关如何防止和从勒索软件中恢复的建议列表。 但是，如果一个州的某个系统已经被感染，这些指导方针不会提供关于州政府是否应该最终支付或拒绝向黑客支付赎金的建议。“我们的想法是，我们不希望各州必须处于这种状况，”一位国土安全部官员说。“我们专注于防止它发生。” 官员表示，在过去两年中，网络罪犯和黑客组织使用勒索软件勒索受害者并制造混乱。在2017年发生的一起事件中，勒索软件被用来掩盖数据删除技术，使受害计算机完全无法使用。这次被称为“NotPetya”的攻击继续损害全球公司，包括联邦快递和马士基等。 专家支出，这种威胁因其对投票结果的潜在影响而受到关注。“选举前未被发现的攻击可能会篡改选民名单，造成巨大的混乱和拖延，剥夺权利，并且足够大规模可能会影响选举的有效性，”选举技术ESET研究所首席技术官John Sebes说道。 数据库也“特别容易受到这种攻击，因为当地司法管辖区和州全年积极地添加，删除和更改数据，”民主与技术中心的高级技术专家Maurice Turner说道。“如果恶意行为者没有提供密钥，除非受害者有最近的备份，否则数据将永远丢失。” 州选举官员告诉路透社，自2016年以来，他们已经改善了网络防御，包括在某些情况下，在发生攻击时为选民登记数据库准备备份。但国土安全部一位高级官员表示，地方政府就应该多久创建备份没有共同标准。“我们必须记住，对我们民主的这种威胁不会消失，对勒索软件攻击选民登记数据库的担忧就是一个明显的例子，”佛蒙特州州务卿Jim Condos说。“我们确信威胁远未结束。”     （稿源：cnBeta，封面源自网络。）

据外媒Gizmodo报道，当地时间上周五早上，德克萨斯州的近20家州政府机构报告称存在重大计算机问题。该州现在认为，导致这次严重攻击事件的罪魁祸首是同一个黑客。德克萨斯州信息资源部（DIR）周五在一份新闻稿中说，其正在监督该州数个州政府机构对“协调勒索软件攻击”的反应。截至周六，DIR知道有23个受攻击影响的机构，该部门认为这可能是由“单一威胁行为者”执行的。 DIR表示正在与许多组织合作，将系统重新上线，包括州紧急事务管理部、军事部和公用事业委员会，以及联邦调查局的网络部门和联邦紧急事务管理部门。 “目前，DIR、德克萨斯军事部和德克萨斯A＆M大学系统的网络响应和安全运营中心团队正在为受影响最严重的司法管辖区部署资源，”DIR在一份声明中说。 DIR并没有具体说明哪些机构在袭击中受到影响。“在这个时候，我们尚未列出受影响的实体，以免使其成为其他潜在坏人的目标，”DIR发言人在一封电子邮件中说。 这一事件只是最近针对美国市政当局和州政府机构的多起勒索软件攻击中的最新事件。今年6月，佛罗里达州里维埃拉海滩市议会投票决定支付超过60万美元给一个勒索软件团伙,以恢复被锁定和加密的数据。几天后，佛罗里达州的Lake City 向袭击该城市网络的黑客支付了价值46万美元的比特币赎金。 今年5月，属于巴尔的摩市政府的大约10000台计算机感染了RobbinHood勒索软件，这次攻击预计将使该市损失数千万美元。去年，亚特兰大市遭受SamSam勒索软件攻击，两名伊朗黑客被起诉。 正如Next Web在报道德克萨斯州攻击事件时指出的那样，网络安全公司Malwarebytes最近的一份报告显示，该公司已经看到针对普通消费者的恶意软件攻击正在减少，而针对政府机构和企业的攻击却在增加。根据调查结果，2019年第二季度针对企业的勒索软件检测增加了363％。   （稿源：cnBeta，封面源自网络。）

据外媒报道，五年前勒索软件可能还只是网络犯罪领域的一个小角色，但现在它是困扰IT系统的最昂贵的问题之一。德克萨斯州已成为最新遭勒索软件攻击的州，该州20个地方政府实体受到影响。 此前美国佛罗里达州、马里兰州等州政府机构的网络也曾遭遇勒索软件攻击，并导致了数千万美元的损失。 本周，德克萨斯州已加入目标清单。据德克萨斯州信息资源部（DIR）称，20多个地方政府实体受到“ 协调的勒索软件攻击 ”的影响。DIR表示，“德克萨斯军事部和德克萨斯A＆M大学系统的网络响应和安全运营中心团队正在为受影响最严重的司法管辖区部署资源。” 虽然最近针对其他州的攻击可能令人费解，但没有披露要求具体支付多少款项。目前缺少“地方政府实体”受影响的任何信息。 美国公共部门和地方政府机构似乎警察受到这种袭击的的影响。一种可能的解释是，预算紧张和昂贵的升级程序会阻止许多组织更新旧软件，从而变得不安全。德克萨斯州将如何应对这场危机还有待观察。德克萨斯州官员可能希望像美国国家安全局这样的联邦机构帮助恢复秩序 – 因为据称 NSA自己的EternalBlue程序是许多现代版勒索软件的基础。   （稿源：cnBeta，封面源自网络。）

恶意勒索软件近年来已经成为计算机系统的主要威胁，在成功入侵个人电脑，医院、企业、机构和政府部门的系统之后就会进行加密锁定，只有用户交付一定的赎金才能解锁。不过现在安全研究人员发现了单反相机同样存在这项的安全风险。援引安全软件公司Check Point今天发布的一份报告，详细说明了如何在数码单反相机中远程安装恶意程序。研究人员Eyal Itkin发现，黑客可以轻易地在数码相机上植入恶意软件。 他表示标准化的图片传输协议是传递恶意软件的理想途径，因为它是未经身份验证的，可以与WiFi和USB一起使用。该报告中指出通过黑客可以在热门景点部署有风险的WiFi热点，只要单反连接到这些热点之后就能进行攻击，从而进一步感染用户的PC。 在一段视频中，Itkin展示了他如何通过WiFi入侵Canon E0S 80D并加密SD卡上的图像，以便用户无法访问它们。他还指出，相机对于黑客来说可能是一个特别有价值的目标：毕竟相机中可能会存在很大用户不想要删除的影像资料。而且在真正的勒索软件攻击中，黑客设定的赎金往往不会太高，因此很多人会愿意交付赎金来摆脱不便。 Check Point表示它在3月份披露了佳能的漏洞，并且两人于5月份开始工作以开发补丁。上周，佳能发布了安全公告，告诉人们避免使用不安全的WiFi网络，在不使用时关闭网络功能，并在相机上更新并安装新的安全补丁。 Itkin表示目前他们只对佳能设备进行了测试，但是他告诉The Verge：“由于协议的复杂性，我们还认为其他供应商也可能容易受到这种攻击，但这取决于他们各自的实施情况。”   （稿源：cnBeta，封面源自网络。）

在No More Ransom项目三周年之际，欧洲刑警组织(Europol)宣布，通过No More Ransom门户网站提供的免费工具下载和解密文件的用户已经阻止了勒索软件犯罪团队估计至少1.08亿美元的利润。 欧洲刑警组织称，仅仅在No More Ransom网站上提供的GandCrab勒索软件的免费解密工具就已经阻止了近5000万美元的赎金支付。 该项目于2016年7月启动，现在拥有82个工具，可用于解密109种不同类型的勒索软件。其中大部分是由EMSIsoft，Avast和Bitdefender等病毒安全软件制造商创建和共享的; 以及像国家警察机构、应急小组或者像Bleeping Computer这样的在线社区。 到目前为止，最有经验的成员是防病毒制造商Emsisoft，它为32种不同的勒索软件菌株发布了32种解密工具。 “我们为释放MegaLocker的解密器感到非常自豪，因为它不仅帮助了成千上万的受害者，而且它确实激怒了恶意软件作者，”Emsisoft的研究员Michael Gillespie告诉ZDNet。 欧洲刑警组织表示，自推出以来，有超过300万用户访问了该网站，超过20万用户从No More Ransom门户网站下载了工具。网站访问者来自世界各地的188个国家，这表明尽管该项目始于欧洲，但其覆盖范围现已全球化。 根据欧洲刑警组织分享的统计数据，该网站的大部分访客来自韩国、美国、荷兰、俄罗斯和巴西。 No More Ransom最初只与三个机构展开合作 – 荷兰警察，卡巴斯基和迈克菲 – 但现在在全球有超过150个合作伙伴。No More Ransom的唯一奇怪之处在于缺乏任何美国执法机构。合作伙伴来自各个领域，包括执法、公共组织和私营公司。 “我们一直与欧洲LEA [执法机构]保持良好的工作关系，与他们共享数据一直非常简单，”Emsisoft首席技术官Fabian Wosar告诉ZDNet。 “Europol并没有要求我们创建特定的解密工具，我们只是让他们访问我们创建的工具，”Wosar补充说道。“但是，我们已被要求为许多公司提供定制解密解决方案。” 然而，Emsisoft发言人告诉ZDNet，欧洲刑警组织分享的1.08亿美元估计“实际上是被严重低估”。   （稿源：cnBeta，封面源自网络。）

作为南非最大的城市兼金融中心，约翰内斯堡刚刚遭遇了一起针对 City Power 电力公司的勒索软件攻击，导致一些居民区的电力中断。由 @CityPowerJhb 官方 Twitter 账号公布的信息可知，这家企业负责为当地居民提供预付费电力供应，但恶意软件加密了该公司的数据库、内部网络、Web Apps、以及官方网站。 （截图 via ZDNet） 昨日开始扎根的恶意软件感染事故，现正在阻止顾客购买电力、或将fuyu电力反馈（回售）给 City Power，因为部分居民正在使用光伏面板来发电。 南非商业内幕（Business Insider South Africa）报道称，7 月 25 日也是许多南非人的标准发薪日，通常这天会有许多人领导工资就去充值。 然而过去 12 小时，许多 City Power 用户都在 Twitter 上抱怨市电中断且无法充值。作为该市所属的电力企业，该公司还称，由于无法访问内部应用程序，其中断响应已变得更加困难。 不过在紧急情况下，该公司正在增加备用支持团队的人员数量。至于影响该公司电网的勒索软件的名称，City Power 并未透露。 近年来，针对各大城市基础设施的勒索软件攻击正变得越来越普遍。为了尽快访问缺乏备份的市政文件，一些城市已主动支付过巨额的赎金，比如佛罗里达州的里维埃拉海滩市（60 万美元）和莱克城（50 万美元），以及佐治亚州的杰克逊县（40 万美元）。 此前，亚特兰大和巴尔的摩市经历了大规模的勒索软件感染，摧毁了各式各样的城市服务，最终让其付出了数千万美元的代价，以重建市政 IT 网络。 至于越南内斯堡，其应该庆幸勒索软件尚未突破其关键的 IT 网络。且最近几个月来，市政或电力等基础设施服务，正在成为越来越多的勒索软件团伙的攻击目标。   （稿源：cnBeta，封面源自网络。）

本月早些时候，巴尔的摩（Baltimore）市政府遭到勒索软件攻击，锁定了大约 10000 台政府计算机，导致该市一系列重要的公共服务被关闭。在拒绝向黑客支付赎金之后，当地政府着手启动了恢复计划。不过在恢复过程中该市官员又遇到了新的问题–谷歌阻止该市政府部门使用新创建的Gmail账号。   援引当地媒体Baltimore Sun报道，在5月7日该市政府系统网站遭到了勒索软件攻击，并要求支付13个莱特币（当前市值约 10.2 万美元）赎金。勒索软件已经让巴尔的摩全市沦为了人质，因为市政府无法访问电子邮件账户，甚至连给雇员发工资都做不到。此外，市民无法支付一系列公共事业费用，房地产相关的交易也无法顺利展开。 报道称暗虽然官员处理这个问题还需要数月时间才能修复，但是已经有用户开始注册免费的Gmail账号以继续运营。Gmail将用户群划分为普通个体和来自企业或者其他机构的用户，而后者需要为服务支付一定的费用。根据Baltimore Sun报道，谷歌的系统将城市官员划归到机构中，并且已经关闭了临时账号。本周四，该市卫生部门、市议会助理和市长办公室所发送的电子邮件都被退回操作。 谷歌发言人随后在一份声明中表示，该公司的安全系统在短时间内检测到多个账户的创建，并自动将其关闭。对此发言人表示：“我们已经恢复了对巴尔的摩市官员Gmail帐户的访问权限。由于在同一网络下批量创建了多个消费级Gmail账户，我们的自动安全系统禁用了这些账户。”   （稿源：cnBeta，封面源自网络。）

本月早些时候，黑客成功地在巴尔的摩市部署了一批勒索软件。在两周的时间里，它已经导致了该市一系列重要的公共服务被关闭。外媒指出，本次攻击锁定了大约 10000 台政府计算机。虽然攻击者的真实身份不得而知，但其向政府勒索 13 个莱特币（当前市值约 10.2 万美元），否则就不予恢复设备上的正常数据。 （图 via：Bleeping Computer，文自：BGR） 显然，勒索软件已经让巴尔的摩全市沦为了人质，因为市政府无法访问电子邮件账户，甚至连给雇员发工资都做不到。此外，市民无法支付一系列公共事业费用，房地产相关的交易也无法顺利展开。 令人欣慰的是，市政官员表示他们无意支付这部分赎金，因为只要妥协过一次，无疑会鼓励别有用心者在未来发起更多类似的攻击。 只是在此期间，巴尔的摩市正在耗费大量的心力、以恢复基础服务的正常运行。 在数日前发布的新闻稿中，巴尔的摩市市长 Bernard Young 说到：“我们建立了一套基于 Web 的事故指挥方案，将操作转换到了手动模式，并会通过其它方案来继续向公众提供服务” 巴尔的摩市将继续调整和完善那些被中断服务的交付，同时寻求重新激活任何完全中断的服务的方法。 在恢复的过程中，我们还与 FBI 合作展开了调查，不过具体的细节还无法向大家分享。如被允许，我们将继续向公众通报相关进展。 Bernard Young 补充道：作为控制勒索软件并实施工具更新的一部分，该市正在与业内顶尖的网络安全专家合作，以确保此类事件不再发生。 至于一切恢复正常运转的时间，目前暂不得而知。不过按照估计，部分系统可能要画上几个月的时间，才能完全恢复。 正如许多大企业那样，巴尔的摩市拥有数千套系统和相关应用程序。当前的重点是让关键服务优先上线，并在期间将安全性视为首要任务之一。 市民们可在未来几周内看到部分服务开始恢复运转，但一些较复杂的系统，可能需要几个月才能彻底恢复。 实际上，这并不是巴尔的摩市首次遭遇勒索软件攻击。因为去年的时候，该市的 911 应急报警系统就曾遭遇过一次。幸运的是，这次勒索软件并没有影响到 911 系统。 至于本轮勒索软件攻击的细节，《巴尔的摩太阳报》指出，罪魁祸首是被称作 RobbinHood 的勒索软件变种。在对其展开深入研究后，专家称其是由经验丰富的编程者捣鼓出来的。   （稿源：cnBeta，封面源自网络。）