网易科技 5 月 14 日消息，据 BBC 报道网络攻击事件已造成 150 多个国家的 20 多万人受影响，欧洲刑警组织负责人警告网络攻击威胁升级。欧洲刑警组织负责人罗布·温赖特（Rob Wainwright）接受英国 ITV 采访，称世界面临日益严峻的威胁，人们对有可能在周一发生的攻击忧心忡忡。 勒索病毒加密电脑文件，要求用户支付 300 美元的比特币之后才予以解锁。英国和俄罗斯位于受害程度最严重的国家之列。安全专家警告称，新一波攻击正在临近，并且可能势不可挡。温赖特担心周一上午人们回到办公室时，受影响人数会再度上升。“我们正面临不断升级的威胁，数量正在攀升。”温赖特说，并称当前的攻击前所未有。 “我们每年处理大约 200 个全球性网络犯罪，还从未见过这样的事情。” “最新的数据显示受害者数量达到 20 多万，至少 150 个国家受到影响。其中许多受害者会是包括大公司在内的企业。全球波及范围前所未有。” 勒索病毒与蠕虫病毒结合发动攻击，只需一台计算机被感染，病毒就能攻陷组织内的所有电脑。不过，温赖特称截止到目前，只有极少数受害者按照勒索条件交了钱，数据显示黑客留下的账户已收到约 2.85 万美元的汇款。温赖特称欧洲刑警组织正在与美国联邦调查局合作，试图找出此番攻击的幕后黑手，并称涉案人员可能不只一人。 稿源：网易科技 节选，封面源自网络

HackerNews.cc 获悉，国内多所高校昨日晚间遭遇勒索软件 （Wana Decrypt0r 2.0） 攻击，实验室设备与学生个人电脑均被加密锁定，需支付 300 美元或 0.2 枚比特币方可解锁。 消息显示，勒索软件或是借助此前 NSA 泄露的 Windows SMB 等漏洞迅速感染校园网络，由于学校与学生个人电脑补丁不够及时，此次攻击事件影响较为广泛。 另据 cnBeta 报道，英国的国家卫生服务部门（NHS）近日亦遭受大规模黑客攻击，英国全国各地医院及卫生部门电脑被加密勒索。 目前恶意软件还在持续扩散，HackerNews.cc 提醒各大高校与学生保持警惕，及时备份重要文件、更新系统修复漏洞。我们将为您持续报道事件最新进展。

据外媒 8 日报道，安全情报公司 Recorded Future 近期发现勒索软件 Fatboy 开始实施动态 RaaS 模式，基于受害者地理位置设置赎金金额。 勒索软件 Fatboy 于 3 月 24 日在俄罗斯知名网络犯罪论坛被发现，其恶意软件开发人员 “ polnowz ” 在通过 Jabber 支持与指导后，以合作伙伴关系在论坛中传播这一勒索软件，另有论坛成员协助进行产品翻译工作。 研究人员表示，该勒索软件由开发人员采用 C++ 程序编写，提供 12 种语言用户界面，适用于 x86 与 x64 架构的所有 Windows 操作系统。据悉，Fatboy 最有趣的特征是基于 《经济学人》提出的“巨无霸指数”  设置支付方案，这意味着受害者将根据各地区的生活成本支付不同赎金金额。 勒索软件 Fatboy 目前已感染超过 5000 种扩展名文件，其中攻击者除使用 AES-256 加密每个文件以外，还会使用 RSA-2048 加密所有密钥。一旦目标系统感染勒索软件，其设备将收到一张勒索赎金票据，警告受害者在特定期限内缴纳赎金，否则将丢失所有系统文件。 调查显示，勒索软件 Fatboy 开发人员自 2017 年 2 月 7 日起已从勒索活动中至少赚取 5,321 美元。此外，攻击者还利用 FatBoy RaaS 模式控制目标系统数据信息，其中包括受害者所处的国家、赎金支付时间及受感染机器详细信息等数据统计。 原作者：Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒本月 3 日报道，勒索软件 Cerber 新变种突现，具有多途径传播与文件加密功能，以及包括防沙箱与反杀毒软件技术在内的防御机制。 调查表明，Cerber 攻击事件不仅占 2017 年第一季度勒索软件攻击总量的 87％，还于过去一年内持续攀升至勒索软件排名榜榜首。2017 年 4 月，趋势科技（ TrendMicro ）安全研究人员发现 Cerber 已存有六个版本，加之采用的 RaaS 出售模式可为运营商与开发人员创造数百万美元收入。 TrendMicro 威胁分析师吉尔伯特·西森（Gilbert Sison）指出，Cerber 新变种采用多种方法规避传统安全解决方案检测。而为扩大功能、保持领先地位，Cerber 自 2016 年出现以来就已经展现出勒索软件攻击链的多元化开发特征。 此外，Cerber 使用垃圾邮件作为恶意软件传播方式。Cerber 6 附带社工电子邮件，其中包含恶意 JavaScript 文件压缩附件。用户一旦打开附件，JS 文件就开始下载执行有效载荷、创建计划任务，并在两分钟后运行 Cerber 或运行嵌入式 PowerShell 脚本。TrendMicro 专家指出，在攻击链中添加时间延迟功能可使勒索软件有效规避传统沙箱检测。 研究人员指出，Cerber 6 目前可配置添加 Windows 防火墙规则，阻止系统中安装的防火墙、防病毒与反间谍软件产品的所有可执行二进制文件出站流量，限制其检测与缓解功能。此外，Cerber 进一步恶化分析工具与虚拟环境的自我认知能力（通过自我毁灭实现规避）以及针对静态机器学习的检测规避能力。据悉，Cerber 6 还在其加密环节中避免 RSA 与 RC4 算法的实现，有利于加密应用程序编程接口的维护。 原作者：Gabriela Vatu， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

根据网络安全公司 Trustlook 公布的最新研究结果，企业并不是敲诈勒索软件的唯一受害者，寻常网民同样也会受到敲诈勒索软件的侵扰。企业固然作为敲诈勒索软件的重灾区，但普通网民更容易成为攻击的目标而且所调用的资源也更少，这也是为何敲诈勒索软件在网络上肆虐的重要原因。 根据 Trustlook 公布的报告，17% 的普通网民经历过敲诈勒索软件的侵扰。38% 受影响用户选择妥协支付费用，通常情况下支付费用在 100 美元到 500 美元之间，而且大部分都以比特币的方式进行支付。从另一方面，那些没有经历过敲诈勒索软件的用户群体中，只有 7% 的人表示愿意支付这笔费用。尽管敲诈勒索类型的网络攻击方式变得非常流行，但是在调查中有将近一半用户表示从未听说过这种攻击方式，而且 48% 的消费者并不担心成为敲诈勒索软件的受害者。 另一方面，消费者似乎对他们的数据非常谨慎，习惯在电脑或者移动设备上备份文件，只有 23% 的消费者会放弃这些细节。Trustlook 的首席执行官兼联合创始人 Allan Zhang 表示：“在多台设备上备份数据，而且其中一台设备是不连接到网络上的。此外，在点击任何链接之前请谨慎的检查发送者的邮箱地址。” 稿源：cnBeta；封面源自网络

据外媒 21 日报道，安全研究人员近期发现暗网市场中正在出售一种新型勒索软件 Karmen 以及其衍生出的“勒索软件即服务（RaaS）模式”。调查显示，俄罗斯网络犯罪组织 DevBitox 以用户名 Dereck1 的身份在顶级暗网中出售这款勒索软件。 勒索软件 Karmen 于 2017 年 3 月在暗网中被发现出售，但首次感染事件可追溯至 2016 年 12 月。与其他变体一样，该勒索软件加密受害者数据，并要求缴纳赎金方可提供解密密钥。目前攻击者主要针对美国与德国用户设备。 攻击者除了将勒索软件 Karmen 设计为人性化通用技能与知识外，还采用了先进的安全逃避技术。例如，在系统中检测到沙箱环境或任何其他类型的安全分析软件，Karmen 将自动删除解密部分，重新获取受害者文件访问权限。 此外，勒索软件还具备专用控制面板功能，允许人们定制个性化攻击服务。Recorded Future 研究人员表示，对于购买勒索软件 Karmen 的网络犯罪分子来说，使用控制面板是极其简单的事情，因为仅需极少的技术与知识。 Recorded Future 安全团队主管 Andrei Barysevich 透露，目前只要花个 175 美元，就连五岁小孩都能进行勒索软件攻击了。而勒索软件 Karmen 附带的“ 客户端 ” 页面还能让购买者跟踪已感染设备，并提供支付赎金的更新状态。 至今为止，DevBitox 组织已销售 20 份勒索软件 Karmen ，还剩 5 份可供潜在客户购买。据统计显示，暗网上利用 RaaS 模式出售勒索软件的趋势显著增长，网络犯罪分子通过定制出售恶意软件，旨在允许技术知识有限的人员发起大规模攻击。   原作者：India Ashok，译者：青楚，译审：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Forcepoint 安全专家表示，CradleCore 作者正在许多地下犯罪论坛提供该勒索软件源码，允许犯罪分子请求代码定制版本，有别于典型的 ransomware-as-a-service ( RaaS ) 模式。 勒索软件 CradleCore 采用 C++ 源码，配合必要的 PHP Web 服务器脚本与支付面板。两周前，该款恶意软件售价 0.35 比特币（约合 428 美元），接收议价。 恶意软件开发者一般通过 RaaS 商业模式牟利。只有在具体做法不可行的情况下才会考虑出售恶意软件源码。据悉，该销售模式将导致 CradleCore 衍生更多变体。 CradleCore 功能相对完整，采用 Blowfish 进行文件加密，此外还允许离线加密。其恶意代码可以实现沙箱对抗机制并通过 Tor2Web 网关与 C2 服务器通信。调查表明，目标系统一旦感染，勒索软件 CradleCore 将对文件进行加密处理并向受感染系统发送 “ 死亡威胁 ”。加密后的文件被附加 .cradle 扩展名。 虽然 CradleCore 的广告网站托管在暗网上，但该网站的 Apache 服务器状态页面显示为可查询状态。日志显示，托管 Onion 网站的 Apache 服务器还有一个托管 clearnet 网站的虚拟主机（ VHost ），允许多个网站托管在一台机器与一个 IP 地址之上。 Linode 分配的托管网站 IP 地址看似专用。这实质上意味着服务器或遭受入侵、被滥用托管 CradleCore 网站，或 clearnet 网站与 CradleCore 属于同一所有者。 由此看出，CradleCore 是又一款可供网络犯罪分子利用的新型勒索软件。作为源码销售的原因可能是作者对恶意软件商业模型了解有限，或为开发者寻找额外收入的首个项目或附加项目。也就是说，购买者不仅可以更新该款勒索软件，还可将源码分享至他人。 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒 13 日报道，勒索软件 Cerber 出色的传播能力使 2017 年第一季度最常见的勒索软件 Locky 也黯然失色。Malwarebytes 实验室最新发布的一份网络犯罪报告中指出，勒索软件 Cerber 在暗网中的市场份额从 1 月份的 70％ 上升至 3 月份的 87％。 Malwarebytes 研究人员表示，勒索软件 Cerber 能够肆意传播归功于其强大的加密功能，如离线加密等。与此同时，Cerber 采用了 RaaS( ransomware-as-a-service,勒索软件即服务) 商务模式，允许攻击者进行修改或租赁，致使非技术攻击者也可轻松获取勒索软件的自定义版本。 Malwarebytes 研究人员从 Microsoft 分析报告中发现，感染 windows 10 的勒索软件中 Cerber 已然排名第一。相比之下，勒索软件 Locky （去年排名第一）已脱离暗网的主流，或是因为攻击者利用僵尸网络 Necurs 发送垃圾邮件的攻击战术发生了改变。迄今为止，Malwarebytes 发表的报告中并未出现勒索软件 Locky 的最新版本。 调查表明，勒索软件 Cerber 通常以弹出式广告或电话呼叫的方式感染目标设备。倘若受害者发出回应，攻击者则利用各种社会工程技术哄骗受害者安装其他软件或订阅有害服务。由于攻击者难以通过正规渠道获得赎金，他们已开始接受其他支付方式进行诈骗，如苹果礼品卡与比特币。 原作者：John Leyden，译者：青楚，译审：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

目前一款最臭名昭著的勒索软件已经进一步发展，获得了防止网络安全工具检测的能力，使恶意软件难以被安全人员分析。这款名为 Cerber 的勒索软件在 2016 年初被发现，除了加密受害者文件的典型行为之外，恶意软件还包含一个 .vbs 文件，显示赎金票据以进一步吓唬那些已被感染的受害者。 此外，Cerber 使用一组分配命令和控制服务器，使用 Cerber 的网络犯罪分子几乎可以分发 Cerber 。如果他们成功地感染受害者并且获得赎金，那么 Cerber 勒索软件开发者获得 40% 的利润，而具体攻击者则获得 60% 的利润。 典型的勒索软件通常通过恶意电子邮件发送，其中包含恶意网站的附件或链接。根据趋势科技表示，新版本的 Cerber 将会引导用户打开由黑客控制的 Dropbox 链接。一旦打开，Cerber 有效载荷将自动下载和提取，无需任何用户交互。 为了能够逃避检测，现在 Cerber 会检查它是否在虚拟机上运行，这是因为网络安全研究人员通常通过沙箱来分析恶意软件代码，从而无法传播到其他系统。如果 Cerber 检测到它正在虚拟环境中运行，它将停止运行。趋势科技公司的Gilbert Sison 表示：Cerber 采用的新型封装和加载机制可能会导致静态机器学习方法的问题，即分析文件而无需执行或仿真。 稿源：cnBeta；封面源自网络

根据 CyberEdge 集团的“网络威胁防御报告”显示，2016 年大约有 61％ 的组织遭受了勒索软件的攻击。在这些受感染者中，超过三分之一的公司通过向勒索者付费恢复了数据；54％ 的公司拒绝缴纳赎金；13% 的公司永久失去了所有数据。 随着行业的发展，有利可图的恶意软件在当今时代越来越盛行。近期，有攻击者表示：仅仅在去年，他们利用恶意软件对各大公司进行入侵时，获取赎金高达 10 亿美元。 CyberEdge 的报告指出，越来越多的组织成为网络罪犯的牺牲品。从 2015 年的 70％ 到 2016 年的 76％ ，再到今年的 79％ 。这些数字都得到了卡巴斯基实验室的证实并做出评估报告。报告中表明：在 2016 年全球有 1445434 个用户遭到 62 类加密勒索软件家族 54000 个变种的攻击。平均每隔 10 秒就有一个普通用户遭到勒索，每隔 40 秒就有一个组织或者企业成为攻击目标。 黑客们的惊人技术，早已攻破互联网巨头谷歌和雅虎的防护，并进行数据盗取，从而导致公司安全支出的激增。目前， CyberEdge的 研究人员认为：员工的低安全意识，导致组织更加容易受到攻击。 原作者： FRANCISCO MEMORIA，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接