周日，DoppelPaymer勒索软件感染并破坏了墨西哥国有石油公司 PetróleosMexicanos（Pemex）的系统。 黑客向Pemex提出的金额为565 比特币。 此外，DoppelPaymer的TOR网站更新后的文字如下： “我们还收集了所有的私人敏感数据。如果你拒绝付款，我们会将这些数据传播给其他人，这可能会损害您的商誉。” pic.twitter.com/BoHi1lVigF — MalwareHunterTeam（@malwrhunterteam），2019年11月12日 据该公司称，公司只有不到5％的计算机感染了勒索软件。 图片来自BleepingComputer “和其他国际政府以及金融公司和机构一样，Pemex 经常收到威胁和网络攻击。” 该公司发布的安全公告中写道。“11月10日星期日，这家国有生产公司遭遇了网络攻击，这些攻击最终被及时消除，并且只影响了不到5％的个人计算机设备的运行。此次事件过后，Pemex重申其燃料生产，供应和库存是有安全保障的。” Petróleos Mexicanos 声称它迅速解决了此事件，同时强调其运营和生产系统没有受到影响。 Pemex确认其基础设施与所有主要的国家和国际政府以及金融组织一样，正不断面对来自黑客的攻击，因此公司正在持续加强安全措施。 DoppelPaymer勒索软件是BitPaymer勒索软件的 forked 版本，它可能是由某些网络犯罪团伙以TA505身份开发的。   消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Capital One黑客Paige Thompson在等待审判期间于周二从联邦拘留所释放。 Thompson 从Capital One盗窃1.06亿张记录，此前曾在8月份要求释放联邦拘留所，但最初由于当时法官认为她有飞行危险而被拒绝。 但是，在本周一，主审法官援引汤普森的观点，认为Thompson没有对社区或她本人构成足够的威胁，所以她不应该在等待审判期间受到监禁。Thompson希望获得释放，因为她认为作为一个被关押在男子监狱的变性人，她可能会患上抑郁症或伤害自己。 作为释放条件的一部分，美国地方法院法官Robert Lasnik命令Thompson移居到联邦中途房屋。在那里，Thompson 将一直受到GPS监控，将被禁止访问互联网或使用计算机，手机或任何其他电子设备，除非获得法院许可。 Thompson引起的数据泄露事件影响了美国1亿人和加拿大600万人。据Capital One称被盗取的是2005年至2019年之间的数据，与消费者向银行申请信用卡时所提供的信息有关。其中包括大约一百万个加拿大社会保险号，14万个美国社会保险号和8万个银行帐号。 美国检察官还指控Thompson窃取了其他30多家公司的数据。 据美国检察官说：“服务器是在Thompson的卧室中查获的，其中不仅包括从首都一号偷走的数据，还包括从其他30多家公司，教育机构和其他产业盗取的多达几TB的数据。” Thompson于7月被捕，目前正面临有关电汇欺诈和网络欺诈等起诉。 她的审判定于明年三月进行。   消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

近日，西班牙两家大型公司在同一天内受到勒索软件打击。 其中一家是Everis，这是NTT Data Group旗下的IT咨询公司，其发言人目前还没有发表正式声明。第二个是西班牙最大的无线电网络公司Cadena SER，其在官网发表了声明，确认公司遭遇了攻击。 两家公司都要求员工关闭计算机，并断开网络连接。 Everis在18个国家/地区拥有超过24,500名员工，是受影响最大的公司之一。该公司其他分支也受到了影响，勒索软件已通过公司的内部网络传播。 疑似有Everis员工在社交媒体上发布了截图，显示勒索软件 BitPaymer 攻击了 IT 公司，该勒索软件也袭击了法国电视台M6和德国自动化工具制造商Pilz。尚未公布攻击 Cadena SER 的勒索软件。 图片：Alex Barredo（Twitter@somospostpc） 西班牙当局立即作出反应 由于西班牙是早期遭受WannaCry重创的国家之一，因此这一次政府组织迅速做出了反应。 西班牙国家安全局在事件发生后的数小时内发布安全建议，敦促公司改善网络安全措施，并且建议其他受害者向西班牙国家网络安全研究所INCIBE寻求帮助。 尽管没有类似WannaCry的勒索软件爆发的迹象，但这两次勒索软件感染对西班牙当地的商业环境产生了重大影响。许多本地公司使用Everis软件进行日常活动，有人担心自己被感染，选择关闭程序来检查系统。 网上还出现了谣言，有人猜测除了Everis之外，其他IT公司也受到了影响。金融咨询公司毕马威（KPMG）的西班牙支部和软件巨头埃森哲（Accenture）今天早些时候在Twitter上发布声明，告诉用户他们没有受到感染，并且一切正常。   消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

成千上万的Wi-Fi路由器可能遭到恶意软件的新型攻击，恶意软件将设备捆绑到僵尸网络中，使其具有分布式拒绝服务（DDoS）攻击功能，并以此向黑客出售。 Gafgyt恶意软件可以通过小型办公室和家庭路由器的漏洞访问到这些设备。 最近Gafgyt（也称为Bashlite）进行了更新，华为HG532和Realtek RTL81XX一直是Gafgyt的目标，现在还将Zyxel P660HN-T1A列入了攻击目标。 一般情况下，恶意软件都通过扫描程序来查找公网节点，然后利用漏洞实现入侵。专家称，为了在攻击时获得充分资源，新版本的Gafgyt会杀死JenX之类的其他恶意软件，从而使其可以充分利用设备发起攻击。Gafgyt僵尸网络似乎正在直接与另一个僵尸网络JenX竞争，后者的攻击目标正是华为和Realtek路由器。 黑客除了利用 Gafgyt 发起DDoS攻击，还主要将其用于攻击游戏服务器，尤其是那些使用Valve Source Engine的游戏，包括热门游戏《反恐精英》和《军团要塞2》。目标服务器不是由Valve部署的，而是由玩家部署的私有服务器。 很多年轻玩家出于报复对手的心态而选择攻击对方。玩家甚至不需要访问地下论坛就可以使用这些恶意服务。专家指出，僵尸网络租用服务在Instagram上使用伪造的个人资料做广告，租用费用仅为8美元。 专家介绍说：“显然，他们可以通过该平台接触到大量年轻人，所有人都可以使用这些服务，而且比地下站点更容易访问。” 随着越来越多的物联网产品连接到互联网，如果设备没有保持最新状态，将设备捆绑到僵尸网络和其他恶意活动中将会变得更加容易。 新版Gafgyt主要针对的是旧路由器，其中一些已经投放市场长达五年以上。专家建议用户将路由器升级到较新的型号，并应定期应用软件更新以确保设备受到保护，尽可能地抵抗攻击。 Davila说道：“总的来说，用户可以养成习惯，例如更新路由器，安装最新补丁程序，并设置复杂的密码，从而抵御僵尸网络的攻击。”   消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Brandon Charles Glover 和 Vasile Mereacre 是两名黑客，他们对在2016年攻击并勒索 Uber 和Lynda.com 一事认罪。 2017年11月，Uber首席执行官 Dara Khosrowshahi 承认黑客曾闯入公司数据库并盗取了5700万用户的个人数据，但公司在过去的一年里没有公开此事。 根据彭博社的报告，黑客通过 Uber 开发团队的 GitHub 获得了访问权限，并且要求Uber支付10万美元，否则将公开这些被盗数据。Uber 将付款伪造成漏洞赏金，派  Glover 和 Mereacre 分两次支付了 50,000 比特币并与他们签署了保密协议。 2018年9月，Uber同意就此事件美国各州和哥伦比亚特区支付1.48亿美元的和解金。 Lynda.com 是一个在线学习平台，其于2015 年被 LinkedIn 收购。2016 年，该公司提醒其 950 万客户声称公司遭到了黑客攻击，尽管只有 55,000 个帐户受到影响。与 Uber 不同，LinkedIn 拒绝向黑客付款，并试图找出他们。 本周，Glover 和 Mereacre 在美国地方法院出庭。两人都承认于2016年10月至2017年1月期间从部署在 Amazon Web Services 的公司窃取用户数据，并向他们索取费用。 两人现在面临最高五年的监禁和25万美元的罚款。下次听证会定于3月18日在美国地方法院举行。   消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/OXwqWtjIHz1aTezwevg_Mw   一、背景 腾讯安全御见威胁情报中心监测到Sality感染型病毒活跃，该病毒同时传播“剪切板大盗”木马盗取数字加密货币。在国家大力发展区块链相关产业的大背景下，各种数字加密币的交易空前活跃，以比特币为首的各种数字加密币趁势爆涨。Sality病毒也趁机利用自己建立的P2P网络，传播以盗取、劫持虚拟币为目的的剪切板大盗木马，将会对虚拟币交易安全构成严重威胁。 Sality病毒最早于2003年被发现，最初只是一个简单的文件感染程序，具有后门和按键记录功能。Sality后来增加了组建P2P分布式网络的功能，在增强了传播速度的同时也具有了更大的破坏能力。 Sality病毒拥有一个内置的URL列表，同时可以从其他受感染的P2P网络中接收新的URL，通过下载，解密和执行列表中的每个URL，Sality可以植入其他木马或者收取推广安装渠道费，Sality病毒构造的P2P网络传播其他病毒木马或以恶意推广软件获利的策略十分灵活。 该版本Sality病毒有以下特点 1、破坏系统安全设置； 2、感染本地硬盘、可移动存储设备、远程共享目录下的可执行文件； 3、利用可移动、远程共享驱动器的自动播放功能进行感染； 4、将自身注入到其他进程中，以便能够将下载的DLL加载到目标进程； 5、创建一个对等（P2P）僵尸网络； 6、从URL列表下载并执行“剪切板大盗”木马，通过剪切板内容中的字符格式判断以太币或比特币钱包地址，并将剪切板内容替换为指定钱包，若用户在此时粘贴并进行转账操作，数字资产就会被盗。 根据腾讯御见威胁情报中心统计数据，此次Sality病毒攻击影响超过3万台电脑。从地区分布来看，Sality在全国各地均有感染，最严重地区分别为广东、江苏、河南、山东。 从感染行业分布来看，Sality影响最严重的依次为科技、制造业和房地产行业。 二、详细分析 Sality感染型病毒 Sality使用外壳程序保护，执行后首先解密出核心代码，然后跳转到入口执行。 创建互斥体”uxJLpe1m”以保证木马进程具有唯一实例。 枚举和删除位于以下注册表子项中的所有条目来阻止受感染的计算机进入安全模式。 HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot 将恶意代码指令注入到其他进程(排除属于系统，本地服务或网络服务的进程)中，从而允许代码将从远程服务器下载的外部程序加载到目标进程中，病毒使用基于每次注入进程PID命名的互斥锁来避免重复注入。 感染本地、可移动和远程共享驱动器上不受保护的可执行文件。修改可执行文件的入口点，以病毒代码替换原始文件代码，使得所有被感染程序启动时执行病毒功能。 在本地、可移动和远程共享驱动器根目录下创建autorun.inf，并在其中设置自动执行的文件指向拷贝到其中的病毒程序，使得网络共享盘和可移动盘被打开时病毒自动运行，继续传播感染病毒。 创建驱动程序，文件路径C:\WINDOWS\system32\drivers\<random>.sys，符号链接为“\DosDevices\amsint32”，该驱动程序用来阻止对各类安全软件供应商网站的访问。 构建基于UDP协议的P2P网络，通过P2P网络共享用于下载、解密和执行文件的URL列表。 获取内置的下载URL列表。 获取计时器转换成字符，并以“?%x=%d”格式拼接在URL的末尾。 目前URL使用的活跃域名如下： tudorbuildersfl.com energy-guru.com acostaphoto.com ptcgic.com cikmayedekparca.com brucegarrod.com cbbasimevi.com brandaoematos.com.br caglarteknik.com bharatisangli.in cacs.org.br butacm.go.ro boyabateml.k12.tr casbygroup.com iqhouse.kiev.ua 从下载的文件中解密出PE程序保存到%Temp%\win%s.exe。   剪切板大盗 感染型病毒Sality最终下载的是针对剪切板中的数字加密货币钱包地址进行替换的木马程序，木马启动后循环打开剪切板并获取剪切板中数据。 通过剪切板内容中的字符格式特点判断以太币或比特币钱包地址，并将切板内容替换为指定钱包，若用户在此时粘贴并进行转账操作，数字资产便落入黑客的口袋。 根据监测数据，Sality下载的盗取数字加密货币木马每一个月更换一次样本，我们从这些样本中提取到28个比特钱包，1个以太币钱包。查询钱包收益，木马已累计盗取比特币3.965个，以太币2.94个，这些数字资产按当前市场价格折合人民币约27万元。 三、安全建议 防御重点：使用腾讯电脑管家或腾讯御点防御感染型病毒的传播。 个人用户应避免从危险网站下载高风险软件，如游戏外挂、破解工具、盗版软件等。关闭U盘的自动播放功能，防止感染型病毒通过U盘传播。 企业用户应加强内网共享文件的管理，可通过配置企业安全策略来降低风险。具体防范措施如下： 1、禁用自动播放以防止自动启动网络和可移动驱动器上的可执行文件，并在不需要时断开驱动器的连接。如果不需要写访问权限，在可用选项下启用只读模式。 2、如果不需要使用文件共享，则用户应关闭文件共享。如果需要文件共享，则用户应使用ACL和密码保护来限制访问。 3、确保计算机的程序和用户使用完成任务所需的最低权限。当提示输入root或UAC密码时，需确保要求管理级访问的程序是合法应用程序； 4、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理； 5、及时安装系统补丁，尤其是在承载公共服务且可通过防火墙访问的计算机上，例如HTTP，FTP，邮件和DNS服务； 6、建议企业用户安装部署腾讯御点终端安全管理系统防御病毒攻击。腾讯御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。企业可登录腾讯安全主页申请免费试用（https://s.tencent.com/product/yd/index.html）。 IOCs Sality f90e3875bb0bb255b1f4aee5e32609be f76632ca9119490381be2c80dd705b29 f4749b0542f22db4a15ea9116e3d4158 Clipboardstealer b013271b23de42de21ad813266b5155b bce9b8ce30eb68f2661c21d979c16270 72392e93001dba2c3bc761eac28fd0c5 72392e93001dba2c3bc761eac28fd0c5 e0ff8d9617cdbc1284ccb906d93f774e 508d177fb70362076a564d0e3486de2a abbf96e689413786673a6c18d3602edc 1964b13bbaa11b68b28cd0e81e6c51d2 5633e7a29466dad62d682c795e839dad c7a52a04577263e9f76d48f4ce2aace0 d8b867e7802cbd34c672217a51aeca46 Domain tudorbuildersfl.com energy-guru.com acostaphoto.com ptcgic.com cikmayedekparca.com brucegarrod.com cbbasimevi.com brandaoematos.com.br caglarteknik.com bharatisangli.in cacs.org.br butacm.go.ro boyabateml.k12.tr casbygroup.com iqhouse.kiev.ua URL http[:]//tudorbuildersfl.com/wp-content/logo.gif http[:]//energy-guru.com/blog/styles.gif http[:]//acostaphoto.com/wp-content/styles.gif http[:]//ptcgic.com/wp-content/logo.gif http[:]//cikmayedekparca.com/images/logos.gif http[:]//brucegarrod.com/images/logos.gif http[:]//cbbasimevi.com/images/logos.gif http[:]//brandaoematos.com.br/images/logoi.gif http[:]//caglarteknik.com/logos.gif http[:]//bharatisangli.in/logoi.gif http[:]//cacs.org.br/novosite/logos.gif http[:]//butacm.go.ro/logos.gif http[:]//boyabateml.k12.tr/images/logos.gif http[:]//casbygroup.com/images/logos.gif http[:]//iqhouse.kiev.ua/wp-content/themes/iqhouse/img/style.gif BTC钱包 13vCFp3Vy7CurndiRNbpLaY6zM9HQqkVdA 13dcpcWqwUy8SqTmJLrwqFKUwhRCjX2yft 13wJMZru75JRy8FdGby3LJsELKCsd5MRRf 3HhDZVzqQMDYAohDKn6mqLCQCkhcfFYFrJ 3FnZdSVgaGXVGLPQtDXkjuqCEukXvArPyM 3FbZWGphdHFQkQ68jkksnsrh78T7YaUKqC 1BZrwyZBHLGvfHpbaXJuRAzGArm8WhJNkH 1LnAVGVMaE3eQMo15XYog5MLh9e6PsiHJH 1Az5j3DqBkrF5tEbdkmh4QRKJHi4xf5Ku4 1NWExenf5bHSLNFk8mUUTSJrCQa7zzwQtJ 1Lp4pvz22XPzfJp63RnvphGugo7ovJP4Mm 1Ps6xwyaN1VomuXnWv8zJLHfCvU6nQ53VS 1D4TwJ5GifCE2egLZuPJ65yN4L41UvZz71 14qPT6GX9r3XfAKzjLLNbpnUpT98tUwmUm 1M15x8b92b9kJybBofB3dDFBC9MaBv2V2A 18i1RNfixmmvFARtDwXwRWmgVguoS2kD1N 3HnSjByFQVZQt17eZURbLmWjn6PiSxeQ5S 19dNcWbQWFrdn1Un2YbJspCLz82P8DYWd5 32eNWBWZrTFBuHQwGShNQvWj6TGM8LqsQ9 12tUcJYmrqdcgQYQVMb2RXAaJ4MZEVd7Y2 1qMNdHVvqs8udpBVEMymm3SBTvvqynqD8 1Hm9Nrw6H4mpKvLs5MGSd8T1ZxcriBxSzc 32VKibW5UkTr7fvfQQuPXw32Brnbigp9ng 13d29ksg6nGdmy2zySn4mWSosRHuYMd9xr 13kBn9tJ9bzf5E9nzXN73ahbLWvdFZonTh 3FZjd1oXQ3utyTT8s9y8iJ6CAyxwPaVgWp 18ihjyRYde3ToUys9rCebRbeTDcpkAehq6 3QgsfCXS3tzhcvzbMnrcKdo6xFBJoBR3CJ ETH钱包 3D15c7341BBD7cCc193769de903ea711a2e4b43e 参考链接： https://www.symantec.com/security-center/writeup/2006-011714-3948-99

由于配置错误，Adobe使用的 Elasticsearch 数据库无需密码就能连接。这一故障导致近 750 万 Adobe Creative Cloud 用户的基本信息暴露在互联网上。 这些信息主要包括帐户信息，涵盖用户 ID、国家、电子邮件地址、以及用户使用的Adobe 产品，还有帐户创建日期、最后登录日期，用户是否是 Adobe 员工以及订阅和付款状态。不包括密码或财务信息。 10月19日，Security Discovery 的专家 Bob Diachenko 和 CompariTech 的技术记者Paul Bischoff 发现了这些被泄露的数据。两人通知了Adobe的安全团队，后者在当天对服务器进行了维护。 这一次的数据泄漏不像过去在其他公司发现的那样严重，因为它不包含密码，付款数据，甚至没有用户的真实姓名。 但是，尚不清楚其他人是否也访问了该数据库并下载了其内容。黑客有可能向那些暴露了电子邮件地址的用户发送钓鱼邮件，并盗取用户的 Creative Cloud 帐户拿去暗网销售。 Adobe 于10月25日在一篇博客文章中对这场事故作出了回应，并表示此次事故是因为配置错误，使得服务器被暴露在互联网上。     消息来源：ZDNet， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/_F1YQR1LoapIvO2doWHl9A   一、背景 近期腾讯安全御见威胁情报中心检测到大量借助钓鱼邮件传播的sodinokibi勒索病毒攻击中韩两国企业。中招用户被勒索0.15个比特币（市值7800元人民币），中招企业主要集中在广东、山东、江苏、上海、北京等地，主要受害企业包括IT公司、科研和技术服务机构，以及传统制造企业。 钓鱼邮件伪装成以“偿还债务”、“支付汇款建议”为主题，并在附件中添加包含勒索病毒的压缩文件，中文版为“您的账号.zip”、韩文版为“송장 10.2019.zip”，解压后分别为“付款发票.xls.exe”、“10 월 송장.xls.exe”，都是伪装成表格文件的sodinokibi勒索病毒。从钓鱼邮件内容格式、主题和投递的样本类型来看，此次针对中国和韩国的攻击为同一来源。 sodinokibi勒索病毒出现于2019年4月底，早期使用web服务相关漏洞传播。病毒主要特点为对使用到的大量字串使用RC4算法进行加密，使用RSA+salsa20的方式配合IOCP完成端口模型进行文件的加密流程，加密后修改桌面背景为深蓝色并创建勒索文本<random>-readme.txt，被该病毒加密破坏的文件暂时无法解密。 腾讯安全专家提醒用户务必小心处理来历不明的邮件，推荐修改系统默认的文件查看方式，选择查看已知文件类型的扩展名，就可以简单识别那些伪装成doc、xls文档图标的危险程序。目前，腾讯电脑管家和腾讯御点均可查杀该勒索病毒。 根据腾讯安全御见威胁情报中心数据，在一天之内攻击者使用伪造的近1000个邮箱地址针对国内目标发送超过5万封钓鱼邮件，此次邮件传播的Sodinokibi勒索病毒在国内的感染地区分布如下图所示，受害最严重地区为广东、山东、江苏、上海、北京等地。 此次Sodinokibi勒索病毒影响行业分布如下，受害最严重的包括IT行业、科研和技术服务行业以及制造业等。 二、钓鱼邮件 攻击中国的邮件样本 攻击者伪装成digis.net公司的人员Min Zhu Li作为发件人，邮件标题为“你需要偿还的债务”，附件文件为“您的账号.zip”，邮件内容是非正常显示的中文字符，最后一行为“财务选择”。 该附件压缩包解压后为伪装成xlsx文件的exe可执行程序“付款发票.xls.exe”，一旦误判为电子表格双击便会运行Sodinokibi勒索病毒。 攻击韩国的邮件样本 邮箱附件文件名为 “发票10.2019(译文)”，解压后是伪装成xls文件的PE程序“10 월 송장.xls.exe”，一旦双击便会运行Sodinokibi勒索病毒。     三、Sodinokibi勒索病毒 Sodinokibi（付款发票.xls.exe）运行后首先创建互斥体 “Global\AC00ECAF-B4E1-14EB-774F-B291190B3B2B”，以保证具有唯一实例。 然后通过外壳程序从内存中解密核心勒索payload。 payload执行后首先动态解密修正IAT，共157处。之前的版本分别为修正131处、138处，此次的样本新增了19处。 通过获取键盘布局信息获取机器所在地，然后在加密时避开以下国家（主要是俄语国家及部分东欧国家）。 样本内使用的大量明文字串使用RC4算法进行了加密处理，通过动态解密后使用。 解密出所需配置文件，包含以下关键信息。 RSA公钥信息： "pzprC6xbhNFhM/+qJI6gCrd2pnCgyRdai+B89OUhWAw=" 白名单过滤目录： ["programdata","program files (x86)","windows","program files","$windows.~ws","intel","mozilla","application data","perflogs","tor browser","$windows.~bt","google","$recycle.bin","appdata","msocache","boot","windows.old","system volume information"] 白名单过滤文件： ["ntldr","ntuser.dat","ntuser.dat.log","autorun.inf","thumbs.db","bootsect.bak","bootfont.bin","ntuser.ini","desktop.ini","boot.ini","iconcache.db"] 白名单过滤后缀： ["icns","msstyles","cpl","hlp","lnk","deskthemepack","cmd","ics","adv","dll","ico","exe","com","nls","bat","rtp","spl","msu","rom","key","ocx","ps1","msp","386","drv","lock","mod","wpx","cab","idx","sys","icl","nomedia","cur","scr","hta","themepack","bin","diagcfg","shs","ldf","theme","prf","msc","mpa","msi","diagcab","ani","diagpkg"] 结束进程列表： ["sqlbrowser","isqlplussvc","msaccess","onenote","wordpad","thebat64","outlook","msftesql","winword","xfssvccon","excel","mysqld_opt","ocomm","firefoxconfig","mysqld","ocssd","dbeng50","thunderbird","ocautoupds","tbirdconfig","sqlwriter","synctime","mysqld_nt","mydesktopqos","dbsnmp","oracle","mspub","mydesktopservice","sqbcoreservice","sqlagent","encsvc","agntsvc","thebat","infopath","steam","sqlservr","powerpnt","visio"] 删除服务列表： ["veeam","backup","memtas","svc$","mepocs","vss","sql","sophos"] 另外还包括以下内容： 开始加密前通过服务管理器枚举服务，找到并删除在配置文件中指定的服务。 删除系统卷影信息防止文件恢复。 枚举磁盘及磁盘中的文件。 在文件目录下写入勒索提示文档<random>-readme.txt。 使用RSA+salsa20的方式配合IOCP完成端口模型进行文件的加密流程。 加密完成后将文件添加随机名后缀，修改桌面背景为深蓝色，并在在桌面显示文本“All of your files are encrypted! Find <random>-readme.txt and follow instuctions”。 勒索提示文档<random>-readme.txt内容如下： 根据提示内容，有两种方法可以提交赎金和解密文档： 1、安装TOR Browser (暗网浏览器) 并访问指定页面 http://aplebzu47wgazapdqks6vrcv6zcnjppkbxbr6wketf56nf6aq2nmyoyd.onion/492CCF5D44A96A6E； 2、直接通过浏览器访问指定页面 https://decryptor.top/492CCF5D44A96A6E。 我们使用方法2访问进行查看，页面显示需要在6天之内购买并转账约0.15个比特币（约合人民币7800元）到比特币钱包35ekbqx8jFt9hiUWExDJKh8grznLaXGtQP，6天之后赎金会翻倍。 四、安全建议 1 企业用户针对该病毒的重点防御措施 1.该病毒主要通过垃圾邮件传播，需要企业用户小心处理电子邮件，打开文件夹选项中的“查看已知类型的扩展名”，若发现使用Office关联图标，又是含exe的多重扩展名，就表明风险极高，建议不要打开。 2. 对重要文件和数据（数据库等数据）进行定期非本地备份，普通终端电脑可以使用腾讯御点终端管理系统及腾讯电脑管家内置的文档守护者备份数据。 企业用户通用的防病毒措施 1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆； 2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问； 3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理； 4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器； 5、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码; 6、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 7、建议全网安装御点终端安全管理系统。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。尚未部署的企业可登录腾讯安全官网申请免费试用腾讯御点（https://s.tencent.com/product/yd/index.html）。 个人用户 1、勿随意打开陌生邮件，关闭Office执行宏代码； 2、使用腾讯电脑管家拦截病毒; 3、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。 IOCs 您的账号.zip 84f2c98a08c50db10996da7d80567695 송장 10.2019.zip 0bdbf296b7ccd864b74365449225ea22 미지급 송장.zip eb3a1a8f6db25217a85866e15bed866e sodinokibi 57191a04cf06228c0643cc99b252ad1e 0fd100bc752335d0023893cc2104019a 33d31fee52e03138f9582232da8df284 比特币钱包： 35ekbqx8jFt9hiUWExDJKh8grznLaXGtQP 垃圾邮件发件人邮箱地址(部分)： kostergaard@digis.net sbsoo@plantynet.com payment@scholaranswer.com gina@firegalwisdom.com micah@everettwalocksmith.com julia@bluechiptraining.com eric@homedames.com gh156@zrtg.com reed.pannell@metis-media.com me@bankim.net jenna@charlesandvalerie.com iszy@iszard.com jchauvet@corptw.com info@maestrobobbyramirez.com matt@sheetssupply.com nobouncewangyi03@haohua.chemchina.com operacional@swjexpress.com meredith@dawnfam.com leonardo.claudio@zap.co.ao cbaker@requisite-development.com jim@intelinternational.com info@trendestly.com andy@themktgco.com legare@legaresbeads.com karen@richert.ca info@yoasobi365.com john@codecommode.com customercare@coutureandtiaras.com mark@happywatch99.com support@logoman.ca azul@azulnight.com info@polvodellanta.mx marocco@studiosoftware.net timberpines@arnauds.net info@refrigerationottawa.ca zhangjq@postel.com.cn rizna.trinayana@exploraprima.com gazunta@gazunta.com social@thegirafe.com stratford@futurestepsintl.com frankdoerr@schlau.com jcampos@intica.cl hrd.ga@369-group.com emilio@karakey.com cbb@dalgashave.dk info@billetawoodphotography.com.au crenova@crenova.ma aude@rondvert.com nina@mypost.com pdseo@partydepotstore.com fabio.carvalho@alphaclube.com.br mauricio@infoxpert.com.br zhanglimin@sunhongs.com wangchunming@bqhszy.com lumingming@bjca.org.cn treefrog@go4more.de info@drhinkens.com jon@blossom-landscaping.com info@polkcountyfarms.org szczesny@sttb.pl rajat@ridobiko.com rajkishore.bhuyan@rakbgroup.com bondi@bangkokbites.com.au cofm604@domozmail.com burner@computerdoctors.org gaizers@sourcecode.co.th lisa@newquaycleaner.com steve.prime@primefamily.org michaellapeyrouse@hikag.com mengqj@seari.com.cn neva1945@surnet.cl cesarcabanillas@eprofsa.com tg.foot@tsf47.net info@stratacomm.com elacasta@inicia.es stephaniem@rittermail.com jackj@americananglers.net higor@icbrasil.inf.br postmaster@corpease.net redaccion@revistafantastique.com kathi@kathikirchmeier.com submissions@roofnexteriorsco.com pollyanacurcio@maismaquinas.com oliver@kane.ac peter@best-internet-security.uk info@locksmithincollegepark.com cw@zscg.com christopher@4sanchez.com pink-ma@barak.net.il hanlang@yaic.com.cn 参考资料： 警惕sodinokibi勒索病毒借助钓鱼邮件传播，被加密的文件暂不能解密

E-skimming 是指黑客将恶意代码植入电子商务网站，并窃取信用卡数据或个人身份信息的行为。联邦调查局（FBI）近期对企业发布警告，提醒他们注意此类型的攻击。 “此警告专门针对在线进行信用卡付款的中小型企业和政府机构。黑客会通过将恶意代码注入网站来盗取信息。他们可能已经通过钓鱼攻击和攻击服务器厂商获得了员工访问权限。”——FBI. E-skimming 最早于2016年出现并迅速发展。在过去的几年中，黑客在 Magecart 组织下进行了许多次攻击。 实现 e-skimming 的方式有多种，例如利用电子商务平台 Magento，OpenCart 中的漏洞等等。其他方法还包括通过供应链攻击破坏这些平台的插件，或者将信用卡读取脚本注入某个公司的网站，或者获取管理员权限并在电子商店中植入恶意代码。 Magecart  组织的黑客主要致力于利用软件盗窃者窃取支付卡数据。自2010年以来，安全公司至少盗取了十几个团体的活动 ，其中就包括  英国航空，  Newegg，  Ticketmaster，  MyPillow和Amerisleep以及  Feedify。 为防范黑客攻击，FBI 提供了如下建议： 1.使用最新的安全软件更新和修补所有系统。需要将防病毒和反恶意软件升级到最新版，并且开启防火墙。 2.更改所有系统上的默认登录凭据。 3.对员工进行网络安全教育，不要轻易点击邮件中的链接或附件。 4.隔离和分段网络系统，防止黑客连续攻击。     消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，就在微软披露了一场由伊朗人领导的网络运动以此来破坏2020年美国大选的几周后，Facebook宣布删除了一些旨在传播虚假信息的不真实账户、页面和群组。与此同时，这家社交网络公司还概述了几项将有助于在2020年美国大选之前“保护民主进程”的新战略。 Facebook网络安全政策主管Nathaniel Gleicher对此专门发表了一篇详细的帖子。据其披露，Facebook发现并清除了来自四个不同网络账户，包括100多个Facebook和Instagram虚假账户。其中三个可疑网络被发现跟伊朗有关，一个在跟俄罗斯有关，它们的大部分欺骗活动针对的则都是美国。 有趣的是，俄罗斯的活动主要被确定为来自Instagram，对此Facebook删除了50个可疑账号。Gleicher写道：“这次行动显示了一些跟互联网研究机构(IRA)的联系并有一个资源充足的行动的标志，其采取了持续的行动安全措施来隐藏他们的身份和位置。” 一个来自美国保守团体的表情包被一个跟俄罗斯有关的账号分享 社交媒体分析公司Graphika也独立核实了Facebook的调查并发布了一份相关报告。 Graphika报告中列出的一个例子：2016年被认定来自俄罗斯的一个网络迷因，2019年似乎又被重新利用 与此同时，Facebook还提出了一些新措施以帮助在2020年美国大选前对抗这些外国威胁。Facebook表示，它将通过明确识别网页所有者、标注国家控制的媒体来源以及为民选官员的账户提供更强的安全保护来提高透明度。 另外，Facebook还称，在第三方事实核查人员审查之前它将减缓被标记为可能虚假的内容的传播从而更快地防止虚假信息的病毒式传播。 “我们不会核实政治广告的真实性，”马克·扎克伯格最近在一次演讲中说道，“我们这样做不是为了帮助政客，而是因为我们认为人们应该能够自己看到政客们在说什么。如果内容有新闻价值，我们也不会撤下它，即使它跟我们的许多标准相冲突。” 作为对Facebook这一政策立场的回应，美国民主党总统候选人伊丽莎白·沃伦发文称，其团队曾在10月初在该平台购买了一则政治广告，而这则广告的内容并不真实。对此，外媒戏谑，扎克伯格的最新表态暗示了他将支持特朗普连任。     （稿源：cnBeta，封面源自网络。）