据外媒报道，安全团队 MalwareHunterTeam 研究员发现了一个新的勒索软件“ Popcorn Time ” 。 Popcorn Time 的工作原理与 TeslaCrypt、孤岛危机这些主流勒索软件相似，加密文件并勒索比特币赎金解密文件。值得注意的是，勒索软件提供了另外一种免费解密的方法：将勒索软件链接转发并感染另外两个受害者，如果他们都缴纳了赎金，你将免费得到解密密钥。 工作原理： 一旦感染，勒索软件 Popcorn Time 将检查 PC 上是否已运行勒索软件，如果是，则自行终止。否则，Popcorn Time 将下载各种图像作为背景图片并使用 AES-256 加密文件，加密文件将以 “.filock” 或 “.kok” 扩展名结尾。加密过程中，勒索软件将在桌面显示正在安装应用程序。 一旦加密完成，将形成 restore_your_files.html 和 restore_your_files.txt 类型的赎金笔记，并自动显示 HTML 勒索信，索要 1 比特币的赎金。 解密文件 勒索软件给受害者七天时间支付 1 比特币（$ 750）赎金，否则解密密钥将在云端永久删除。 此外，勒索软件还提供给受害者另外一个免费获得解密密钥的方法。受害者需要将勒索软件链接转发给其他人并感染设备，如果有两个“下线”缴纳了赎金，受害者可以免费获得赎金。 这简直是另类传销，发展下线，祸害亲友。 格外注意 Popcorn Time 的源代码中包含一个提示：如果受害人输入解密密钥错误四次，加密文件也将被删除。 稿源：本站翻译整理， 封面：百度搜索

据外媒报道，英国北林肯郡 & Goole NHS 基金会信托医疗机构正式发表声明证实，十月份医院 IT 系统感染勒索软件 Globe2 被迫停机四天，2800 个预约挂号被取消。 英国当地时间 12 月 5 号，医疗机构战略与规划总监 Pam Clipson 正式向外界证实，该机构多个系统在十月份感染了勒索软件 Globe2 ，安全部门为了彻底清除勒索软决定件将系统离线处理，任何潜在的被加密服务器都被关闭。大部分的系统在 48 小时内重新启动并再次运行。该负责人表示，患者的安全位于第一优先级，在系统检查期间，取消了约 2800 张预约。 最初机构认为勒索软件通过 USB 传播，但现在发现还存在远程入侵的可能性，调查现在仍在进行中。最后，负责人表示勒索软件 Globe2 感染的系统都已经清洗完毕，目前系统运行正常，并保证迅速采取行动提高现有的网络安全水平、支持警方的调查。 稿源：本站翻译整理，封面来源：百度搜索

援引安全公司 Bleeping Computer 报道，在感染名为“袋鼠”（Kangaroo）的勒索软件之后，用户开机进入桌面之前会伪装成法律声明来恐吓受害人，甚至阻止运行任务管理器、禁用负责显示 Windows UI 的 Explorer.exe 进程。 这款勒索软件并非通过下载携带恶意程序的文件或者访问钓鱼网站进行传播，而是黑客使用远程桌面手动进入受害人的电脑。一旦受害人执行了 Kangaroo 勒索软件，就会显示一个受害人身份 ID 以及加密密钥的窗口。 随后，该勒索软件就开始对文件进行加密，在加密文件上会显示.crypted_file的后缀。在完成对硬盘文件的加密之后，软件就会自动进入锁屏，并表明电脑存在严重的安全隐患，要求受害者向黑客支付一定费用才能完成解密。 令人感到遗憾的是，尽管 Bleeping Computer 已经找到了通过安全模式绕过锁屏的方法，但是这些加密的文件目前仍未有解密的工具实现。 稿源：cnbeta.com，封面来源：百度搜索 ·

前两天，旧金山市政地铁系统感染勒索软件，致使自动售票机被迫关闭，旅客被允许在周六免费乘坐轻轨。此外黑客还索要 100 比特币赎金。 现在，事情有了新进展。 首先美国旧金山市政交通局发言人当地时间 28 日晚些时候说，并未向入侵电脑系统的黑客就范提交赎金，而是报告了联邦调查局 (FBI)，重新恢复了正常运行。 其次，黑客留下的邮箱地址引起了安全人员的兴趣，结果黑客勒索不成邮箱反被黑。 一位不愿透露姓名的安全研究人员称在看到黑客留下的邮箱（ cryptom27@yandex.com ），他觉得可能存在密码重用问题，最后登录了邮箱还发现了一个备用的电子邮件帐户（ cryptom2016@yandex.com ），并通过相同的方法入侵了邮箱。 安全研究人员发现 ·黑客已经勒索美国公司数月 ·黑客已经成功敲诈比特币至少 $ 140,000 ，黑客可能还有第三、第四个邮箱 ·在黑客的攻击服务器中，有用于扫描互联网漏洞（尤其是甲骨文服务器）的开源工具 ·服务器访问来自 伊朗 IP、使用波斯语，服务器托管账户联系电话号码为俄罗斯电话 ·多家美国制造和建筑公司已经支付赎金 稿源：本站翻译整理，封面来源：百度搜索

安全公司 CheckPoint 发现勒索软件Cerber 在数周内连续更迭推出了 3 个版本的更新。2016 年 11 月 23 日 安全研究员发现新版本 Cerber 4.1.6 ，然而勒索软件没有显着的变化。但是版本发布后不到 24 小时，Cerber 5.0 和 5.0.1 出现了，用于指挥和控制通信的 IP 地址有了显著变化。除了个别 IP ，其余 IP 地址都换成了新的地址范围。 新的IP范围如下： 194.165.17.0/24 194.165.18.0/24 194.165.19.0/24 15.93.12.0/27 63.55.11.0/27 旧的IP范围仍在使用： 194.165.16.0/24 恶意代码通过 UDP 协议发送到所有 IP 地址。 勒索软件 Cerber 依旧通过垃圾邮件和漏洞利用工具 Rig-V Exploit EK 进行传播，加密文件扩展名更新为 4 位随机字母组合，加密目标依然是数据库以及其相关文件。 Cerber 5.0.0 赎金屏幕信息 稿源：本站翻译整理，封面来源：百度搜索

美国当地时间周五晚间，旧金山公共交通机构超过 2000 台服务器/PC 感染 勒索软件 HDDCryptor 数据全部被加密，黑客索要 100 比特币（约合 73,000 美金）赎金。自动售票机被迫关闭，旅客被允许在周六免费乘坐轻轨。 这是又一起针对公共基础设施的勒索攻击事件，此前英国就曾发生过  NHS 网络感染恶意软件，导致多家医院被迫取消数百例手术的安全事件。 暂停服务，免费乘坐 目前统计结果显示，勒索软件 HDDCryptor 已感染 2112 台旧金山市政公共交通机构的计算机，这些系统包括办公室管理台式机、CAD 工作站、电子邮件和打印服务器、员工的笔记本电脑、工资系统、SQL 数据库、失物招领终端、车站亭电脑。蠕虫般的恶意软件会自动攻击该机构的网络，并能够达到组织的域控制器并感染连接网络的 Windows 系统。 感染设备的屏幕上显示这勒索信息 你被黑了，所有数据已被加密。联系（cryptom27@yandex.com）ID:681 , Enter. 以获取解密密钥。 11 月 27 日东部时间下午 6:42，经市政发言人 保罗·罗斯 确认 ，周日上午市政公共交通系统已经恢复了正常，官方未提供更多事件细节说明，只表示有关部门正在对勒索事件展开调查。 稿源：本站翻译整理，封面来源：百度搜索

此前，报道过 Facebook 上出现了一种它看起来像一份 SVG 图像文件的新型的恶意软件。现在，安全公司 Checkpoint 研究员发现了一种新的基于恶意软件的活动，使用一种称为 “ImageGate” 的图像模糊技术绕过 Facebook 的安全检查，传播包含勒索软件 Locky 的 HTA 文件。 攻击者设计出一个嵌入恶意代码的 .JPG 镜像文件，并成功地绕过安全检查将其上传到社交媒体平台 Facebook Messenger。此后，攻击者设计出一个嵌入恶意代码的镜像文件，并成功地绕过安全检查将其上传到社交媒体平台 Facebook。接着，攻击者利用 Facebook 基础设施上的配置错误故意强迫受害者下载图像文件，这将导致用户的设备感染勒索软件。受害者点击附件后，系统会生成保存文件的提示并下载 HTA 文件。 Check Point 建议的防范措施如下： 1、若点击图像后浏览器开始下载文件，切勿打开。正常情况下社交网站上的图片无需下载即可浏览。 2、不要打开带有不常见扩展名（如SVG，JS或HTA）的任何图像文件。 稿源：本站翻译整理，封面来源：百度搜索

勒索软件 Crysis （与“孤岛危机”同名），是还具有采集用户系统账户密码、记录键盘、截取屏幕信息以及控制麦克风和摄像头等功能的跨平台恶意软件。 美国东部时间 14 日凌晨，BleepingComputer.com 论坛用户 crss7777 发帖公布 Crysis 解密密钥和相关说明，经安全厂商卡巴斯基验证确认解密密钥有效并已收录至 RakhniDecryptor  解决方案。 目前尚不知晓 crss7777 真实身份，从发帖内容看 crss7777 对勒索软件的结构十分清楚，外界猜测 crss7777 或许是 Crysis 开发人员之一。   勒索软件 Crysis （孤岛危机）解密方法： ① 确认勒索软件： Crysis 勒索软件可将用户文件加密为格式[文件名].id-[ID]-[EMAIL_ADDRESS].xtbl。例如 最近的变体将 test.jpg 文件加密更换为 test.jpg.id-ABADG125.alex-king@india.com.xtbl。 还有其他变体会将命名后缀改为 Vegclass@aol.com.xtbl，gerkaman@aol.com.xtb，johnycryptor@hackermail.com.xtbl 和 Milarepa.lotos@aol.com.xtbl。 ② 下载解密工具 RakhniDecryptor 最新版本并开始解密： 注意：目前只有1.17.8.0 以上版本的 RakhniDecryptor 才支持解密 Crysis。 解密 Crysis 需要先下载卡巴斯基的 RakhniDecryptor。下载完成后，点击运行界面如下： 随后的操作方法：Start scan（开始）→ 找到文件夹选择对应被加密的文件（不是文件夹） → Open (选中打开) 即可开始解密。  

卡巴斯基实验室 研究发现 发现了第一种利用 Telegram 的加密勒索软件，该恶意程序针对的是俄罗斯用户，可通过 Telegram 与攻击者通信。Telegram 木马用 Delphi 编写，文件大小约 3MB，启动之后会生成一个文件加密密钥和一个感染 ID，然后使用Telegram Bot API 以 Telegram 机器人的方式运作，并使用公共 API 与攻击者通信。恶意程序会搜索硬盘上的特定扩展文件进行加密，向受害者勒索 5000 卢布（约 520 人民币）。 稿源：solidot奇客，封面来源：百度搜索

据外媒报道，近日一个计算机病毒感染了英国国家医疗服务（ NHS ）网络，致使英国林肯郡多家医院取消了数百个手术操作、门诊预约和诊断程序。 NHS 网站显示着“重大事故”的红色警报警告。据称，其系统在 10 月 30 日感染了病毒，NHS 基金会被迫关闭其共享 IT 网络中的所有主要系统，以便彻底隔离并清除病毒。除了少数例外，所有系统正逐步关闭，门诊预约和诊断程序已于 11 月 2 日星期三取消。一些患者包括重大创伤和高危妇女等重患都被转移到邻近的医院。 虽然现在大多数系统已经恢复工作，但 NHS 基金会没有披露病毒有关的详细情况。在此之前，美国和加拿大刚联合发出网络警报，警告医院和其他组织，以防勒索软件感染计算机、加密数据，索要赎金解锁，因此人们猜测，该病毒可能是一种针对医院和医疗设施的勒索软件。 针对医院的网络攻击是今年值得关注的网络安全风险问题，这不仅威胁到高度敏感的隐私信息，而且还可能会危机患者的生命。随着勒索软件威胁的上升、比特币交易的增长，我们看到恶意软件业务的巨大发展。医疗领域的技术进步，让患者数据以电子医疗记录（ EMR ）的形式数字化存储在医院的中央数据库中。但自今年年初以来，已有十多家医院成为勒索软件的目标，为争取患者最佳治疗时间，医院不得不支付赎金解锁数据库。 稿源：本站翻译整理，封面来源：百度搜索