新型 YouPorn 勒索骗局出现,威胁要泄露用户性爱录像带
Bleeping Computer 网站披露,伪装成来自成人网站 YouPorn 电子邮件的色情勒索短信正在疯狂传播,网络犯罪分子声称受害者的色情视频已被上传到该成人网站,建议其付费删除。 “色情电子邮件”中,网络犯罪分子假装有受害者性行为的图片或视频,要求受害者支付费用,以谋求不公开发布这些图片或视频。 值得一提的是,此前色情勒索骗局一般是假装成黑客感染受害者设备并录制其进行性行为的视频,之后威胁受害者支付 500 至 5000 美元,否则就将这些音像分享给其家人和朋友。虽然色情短信勒索计划听起来很”傻“,但自 2018 年首次出现以来,却非常成功,一周内就获得了超过 5 万美元的收入。从那时起,威胁攻击者开始创造各种各样的电子邮件勒索骗局,例如假装杀手合同、炸弹威胁、中央情报局调查、威胁安装勒索软件等。 假冒 YouPorn 的新型色情短信诈骗 近期,许多用户在 Twitter 上分享一个新型色情短信勒索骗局,诈骗分子假装是来自成人网站 YouPorn,”告知“收件人有一段露骨视频已被上传到了成人网站网络。 这封假装从 info@youporn.com 发送的电子邮件的主题是 “上传内容: 需要反馈”,并警告称除非要求删除,否则该视频将在未来七天内发布到成人网站上。”假冒电子邮件中还写道,YouPorn 公司非常重视用户的安全和隐私,内部使用先进的技术来帮助检测和防止未经同意的私密图片和视频的传播,虽然检测工具很强大,但也依靠人工干预,以确保平台的安全性。 如果收件人已批准上传此内容,则无需采取任何进一步行动,视频将在未来七天内发布到 YouPorn 资料库中,七天过后,收件人还会有机会审查该内容,但是如果没有批准上传此内容,恳请收件人按照以下说明立即采取行动。 假冒 YouPorn 电子邮件的部分内容(来源: Bleeping Computer) 据悉,假冒电子邮件中还提供了一个链接,允许收件人免费删除视频(这些链接都是空的),邮件中列出了一系列付费选项,可用于从 YouPorn 和成人网络中的所有网站删除视频,这些服务的价格分别为 199 美元、699 美元或 1399 美元,每层都有额外的保护服务。 勒索邮件中写道,YouPorn 的 A 计划包括基本移除选项中的所有内容,外加对内容进行数字指纹识别、自动移除以及防止向内部庞大的合作伙伴网站网络(300 多个)重新上传的保护,为期一年,全部费用为 699 美元。 如果收件人需要最好的保护,YouPorn 推荐其计划 B,它包括计划 A 中的所有内容,以及 MediaWise 和 Safeguard 基于面部识别数据提供的为期三年的数字保护,这将确保任何带有收件人生物特征的内容都会被阻止,费用为 1399 美元。 电子邮件中包含提示用户通过向某个比特币地址发送付款信息来支付虚假移除服务的费用,勒索者目前使用了以下两个比特币地址。(地址已处理) xxxDxxxf1Y9nxxxxxxxx2em37KRjYePPmWggRce xxxxEVfxxxxxxxxxxxp88WRvH96QtB3XV 值得庆幸的是,到目前为止,上述两个比特币地址还没有收到任何付款。 最后,提醒广大用户,如果收到了这封邮件,请直接删除,虽然邮件内容听起来很吓人,但终究是一个骗局而已。 转自Freebuf,原文链接:https://www.freebuf.com/news/376971.html 封面来源于网络,如有侵权请联系删除
超3300万个邮箱密码泄露,一大波勒索邮件攻击正在到来
感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/7Ed3dnY1OfXJM7M4wh0FqQ 概述 或许你可能收到过类似的邮件:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。” 身边不少人收到过类似的勒索邮件,收到这些邮件,表示你的部分邮箱帐号密码泄露,对方或许有也或许没有你更多的隐私信息,如果你的网盘、网络相册不幸与邮箱使用相同的密码,那就真有可能一起泄露。腾讯安全御见威胁情报中心近期捕获到一起挖矿木马攻击事件,该木马病毒的独特亮点就是利用肉鸡电脑大量发送恐吓勒索邮件。 攻击者首先通过VNC爆破弱口令尝试登录服务器,得手后先下载门罗币挖矿木马挖矿,木马会关闭Windows安全中心,添加开机启动项,会感染U盘或移动硬盘,劫持比特币钱包等等。但这些都是再平常不过的挖矿木马常规套路,该挖矿木马最大的亮点是利用被感染的服务器去分别验证数以千万计的邮箱帐号密码,再群发恐吓勒索邮件。 每攻克一台服务器,攻击者就验证2万个邮箱地址。截止目前,该病毒已经攻克了1691台服务器,已验证的邮箱帐号超过3300万个,包括Yahoo、Google、AOL、微软在内的邮件服务均在被攻击之列,最终可能会有上亿个邮箱帐号被验证。如果邮箱帐号验证成功就向该邮箱发送欺诈勒索邮件,邮件内容就是“我知道了你的密码或隐私信息,你必须在X日内向XXX帐号支付价值XXX美元的比特币,否则,就公开你的隐私信息。” 分析发现,病毒主模块编写者为“Burimi”,且具有内网传播能力(感染U盘和网络共享目录),腾讯安全专家将其命名为“Burimi”挖矿蠕虫。目前,腾讯电脑管家、腾讯御点终端安全管理系统均可查杀该病毒。 详细分析: 木马启动后尝试用内置密码列表爆破VNC服务器 爆破成功后会在目标VNC服务器下载木马程序 木马启动后连接http[:]//193.32.161.77/v.exe下载v.exe,从文件的pdb信息看作者为“Burimi” 入口处检测虚拟机以及调试器,环境不匹配就会退出。 禁用安全中心提示,减少被用户发现的概率。 拷贝自身到c:\windows[random]\win[random].exe并设置run启动项,启动项名Microsoft Windows Driver 感染U盘以及网络磁盘,写入antorun.inf 劫持剪切板钱包地址,劫持到黑客的钱包地址,目前支持BTC,XMR等 BTC已经劫持到0.14697873个 从以下域名中下载1.exe~8.exe 挖矿模块2.exe 2.exe启动后释放文件 C:\ProgramData[random]\cfg C:\ProgramData[random]\cfgi C:\ProgramData[random]\windrv32 C:\ProgramData[random]\r.vbs windrv32挖矿模块,cfg是挖矿相关配置,包括矿池和账号 r.vbs设置挖矿模块启动项 邮件勒索模块3.exe 首先访问获取任务ID(URL暂不公布),从本次监控到的ID已达1691个。 每个任务文件携带20000个邮箱账户&密码。 由此可见,入侵者掌握的邮箱帐户数量已超过3300万个,包括yahoo、Gmail、Aol、msn、hotmail等美国知名邮箱服务均受影响。病毒会根据已泄露的用户密码来验证密码正确性,一旦验证成功,就会向该邮箱发送欺诈勒索邮件,声称知道受害用户的所有密码,并限时3天缴纳价值900美元的BTC,不然就把用户的所有隐私信息公布在网上。 黑客接收BTC的钱包地址:1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17,目前看已成功收到0.01BTC 安全建议 1、更换VNC连接密码为复杂密码,防止类似爆破攻击事件; 2、关闭不必要的网络文件共享、关闭计算的U盘自动播放等功能,减少中毒可能; 3、推荐使用腾讯御点或腾讯电脑管家清除“Burimi”蠕虫。 4、推测攻击者使用了已泄露的大量邮箱帐号做攻击尝试(可能远超3300万),我们建议使用yahoo、Gmail、Aol、msn、hotmail邮箱的网友,在收到勒索邮件之后,不必过度恐慌,不必支付比特币。注意更改邮箱帐号密码,启用双重验证,确保帐号安全。 也可以按以下步骤手工清理 删除文件 C:\ProgramData\FtqBnjJnmF[random]\cfg C:\ProgramData\FtqBnjJnmF[random]\cfgi C:\ProgramData\FtqBnjJnmF[random]\windrv32 C:\ProgramData\FtqBnjJnmF[random]\r.vbs c:\windows\48940040500568694\v.exe C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ ftUPeSPdpA.url[random] 删除注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Driver IOCs 钱包 1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17 1Gx8oRKKczwdB32yiLzVx5hsjAze6g5HHw qqax27xlp3mlj2xxvg8c907hsjl8rn2c6vvg02zqmk 24dZQuCGWPxHAo541yQ5Ry7diFui4r5PvPYw9569fHSJEZfv1uWdgtxFr6MNqj3PGR 4PGXzCGYQw7UemxRoRxCC97t7VaTr XkaCs9F83uMSNe8F42uX5VbBD9GVTSnp3D DAyF8DeCqJMJhSwKaTPfJH6FXT7jgw8Tnh 0x8b7f16faa3f835a0d3e7871a1359e45914d8c344 LWxEL2THVBbUK1hSjUf617WLRVEGR7iajp 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4g fuNBxLPc3BeMkLGaPbF5vWtANQksjQpiLQVUNjzt3UF PMtseqzh1KbDrGhzcBcXwgU3sJuWK65AJS t1YmUJ56BtdzoW5oMCxRdngdG4hJP5vKFca Domain soruuoooshfrohuo.su aoruuoooshfrohuo.su roruuoooshfrohuo.su toruuoooshfrohuo.su toruuoooshfrohuo.su uoruuoooshfrohuo.su foruuoooshfrohuo.su zeruuoooshfrohuo.su zzruuoooshfrohuo.su bbruuoooshfrohuo.su soruuoooshfrohoo.su aoruuoooshfrohoo.su roruuoooshfrohoo.su toruuoooshfrohoo.su toruuoooshfrohoo.su uoruuoooshfrohoo.su foruuoooshfrohoo.su zeruuoooshfrohoo.su zzruuoooshfrohoo.su bbruuoooshfrohoo.su soruuoooshfrohlo.su aoruuoooshfrohlo.su roruuoooshfrohlo.su toruuoooshfrohlo.su toruuoooshfrohlo.su uoruuoooshfrohlo.su foruuoooshfrohlo.su zeruuoooshfrohlo.su zzruuoooshfrohlo.su bbruuoooshfrohlo.su soruuoooshfrohfo.su aoruuoooshfrohfo.su roruuoooshfrohfo.su toruuoooshfrohfo.su toruuoooshfrohfo.su uoruuoooshfrohfo.su foruuoooshfrohfo.su zeruuoooshfrohfo.su zzruuoooshfrohfo.su bbruuoooshfrohfo.su ssofhoseuegsgrfnj.su unokaoeojoejfghr.ru osheoufhusheoghuesd.ru fafhoafouehfuh.su auoegfiaefuageudn.ru aiiaiafrzrueuedur.ru osuhughgufijfi.ru agnediuaeuidhegsf.su ouhfuosuoosrhfzr.su agnediuaeuidhegsf.su unokaoeojoejfghr.ru URL hxxp://thaus.to/1.exe hxxp://thaus.to/2.exe hxxp://thaus.to/3.exe hxxp://thaus.to/4.exe hxxp://thaus.to/5.exe hxxp://thaus.to/6.exe hxxp://thaus.to/7.exe hxxp://thaus.to/8.exe … IP 193.32.161.77 193.32.161.69 MD5 ef7ffba4b98df751763464f404d3010c f895a1875b3e112df7e4d548b28b9927 1d843f799da25d93d370969e126c32fa 3e26d2428d90c95531b3f2e700bf0e4c 33e45f80f9cbfd841242e8bb4488def1 另据最新情况,该病毒的两个服务器均已关闭,包括病毒下载服务器和勒索邮件发送任务服务器。也意味着,现有已感染的病毒仅剩下挖矿部分工作正常,发送勒索邮件的任务必须等待所有病毒更新,攻击者找到新的控制服务器,重新完成配置。