近期，这款名为 “ WannaCry ” 的蠕虫病毒席卷全球。中毒的电脑文件会被加密并需要支付款项后才可重新获得文件。不过，一些诈骗利用人们对该蠕虫的恐惧心理，声称可提供技术支持骗取钱财。英国欺诈和网络犯罪中心近日发布一则关于勒索病毒欺诈的警告。欺诈的伎俩非常典型。 首先，一个锁定的窗口会出现在系统界面。窗口伪装成来自微软技术支持中心，并提示用户的电脑已经被勒索蠕虫感染。之后，窗口诱导用户拨打窗口上的电话。电话会再诱导用户授权远程控制给骗子。骗子会运行微软移除工具，然后要求 415 美元作为报酬。 安全厂商 McAfee 也发现了一些安卓应用利用勒索病毒的心理诱导用户安装然后再弹出广告。建议网民上网时保持警惕，提高防范意识。 稿源：cnBeta；封面源自网络

Google、赛门铁克和卡巴斯基的安全研究人员上周报告了勒索软件 WannaCry 可能与朝鲜黑客组织 Lazarus Group 有关联的证据。现在，赛门铁克通过最新的官方博客报告了更多的证据。 在 5 月 12 日WannaCry 全球性爆发前，其早期版本曾在二月、三月和四月份用以执行少量目标性攻击。早期版本的 WannaCry 和 2017 年 5 月的版本基本相同，只是传播方式有所差别，区别是后者整合了 NSA 的代码。攻击者所使用的工具、技术和基础设施与之前 Lazarus 攻击事件有大量共同点： 在 WannaCry 于二月份的首次攻击之后，受害者网络上发现了与 Lazarus 有关恶意软件的三个组成部分—— Trojan.Volgmer 和 Backdoor.Destover 的两个变体，后者是索尼影业公司攻击事件中所使用的磁盘数据清除工具； Trojan.Alphanc 用以在三月和四月份中传播 WannaCry，该病毒是 Backdoor.Duuzer 的修正版，而 Backdoor.Duuzer 之前与 Lazarus 有所关联； Trojan.Bravonc 与 Backdoor.Duuzer 和 Backdoor.Destover 使用相同的 IP 地址以进行命令和控制，而后两者均与 Lazarus 有所关联；Backdoor.Bravonc 的代码混淆方法和 WannaCry 与 Infostealer.Fakepude（与 Lazarus 有所关联）相似。 稿源：solidot奇客，封面源自网络

据外媒 22 日报道，网络安全专家发现至少有 3 个黑客组织在勒索软件 WannaCry 爆发数周前就已利用 NSA EternalBlue SMB 漏洞开展大规模黑客活动。 黑客组织 “ Shadow Brokers ”（ 影子经纪人 ）于今年 4 月披露 SMB 协议漏洞后没多久，多个黑客组织就已利用该漏洞展开大规模网络攻击，例如自 4 月 24 日起就处于活跃状态的僵尸网络 Adylkuzz。 网络安全公司 Cyphort 在蜜罐服务器中检测到某黑客组织曾于 5 月初利用 SMB 漏洞提供远程访问木马（RAT）隐藏服务，尽管后者并未显示出类似于 WannaCry 勒索软件的网络蠕虫功能。但 Cyphort 分析报告指出，一旦该漏洞被成功利用，攻击者将发送加密 payload 感染目标系统、关闭 445 端口以防止其他恶意软件滥用同一漏洞。 此外，该报告还包括一些特殊威胁指标，例如 C＆C 服务器可以向恶意软件发送各种命令，其中包括监控屏幕、捕获音频与视频、读取击键记录、传输数据、删除文件、终止进程、下载执行文件等多种操作。 安全公司 Secdo 也表示，黑客组织早在 4 月中旬就已利用基于 EternalBlue 漏洞感染受损网络中的所有机器并渗透登录凭据。当月下旬，Secdo 安全专家还发现另一起利用 EthernalBlue 漏洞的攻击事件，或与利用僵尸网络分发后门的某中国黑客组织有关。此外，Heimdal 安全专家也于近期发现无文件恶意软件 UIWIX 利用 EternalBlue 漏洞在受感染系统的内存中运行。 总而言之，在勒索软件 WannaCry 肆意传播之前，至少有 3 个黑客组织已利用 NSA 黑客工具开展网络攻击活动。这在很大程度上意味着安全社区未能及时监控威胁或共享所观察到的攻击信息。 原作者： Pierluigi Paganini， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据 CNET 23 日报道，勒索病毒 WannaCry 的余波还未消散，更恐怖的新型病毒悄然来袭。上周末，研究人员发现新病毒 EternalRocks 比 WannaCry 更加厉害，居然一次利用 7 个 NSA 漏洞。安全专家表示，如果该病毒突然发动攻击，将带来 “ 末日 ” 般的恐怖后果。 全球勒索病毒 WannaCry 肆虐数天后，网上还出现了与它共用同一漏洞的新病毒 Adylkuzz。 据悉，该病毒并未勒索比特币，而是利用用户计算机挖掘虚拟货币。现在，则又轮到了 “ EternalRocks ” 。克罗地亚计算机紧急响应小组的网络安全专家米罗斯拉夫首先发现该异常现象并在 GitHub 上介绍了 EternalRocks 病毒。 NSA 泄露的工具大多与标准文档分享技术有关，它们来自微软 Windows Server Message Block，也是 WannaCry 快速传播的罪魁祸首。微软今年 3 月就已发布补丁，但由于多数用户未及时升级电脑，因此极易遭受攻击。 与 WannaCry 不同，现在 EternalRocks 还处于安静的潜伏状态，每当感染一台电脑，它就会下载 Tor（洋葱路由）个人浏览器并向病毒隐藏的服务器发送信号。紧接着，该病毒潜伏 24 小时后服务器将自动开启，其病毒开始下载并自我复制，这就意味着安全专家的研究进度会被拖慢一天。 如今，EternalRocks 虽然在不断传播，但还处在休眠状态。米罗斯拉夫警告称，这款病毒可能随时会武器化，它的策略与 WannaCry 的手段如出一辙，先感染大量电脑再集中爆发。对于此事，NSA 目前并未发表任何评论。 稿源：cnBeta；封面源自网络

近期爆发的 WannaCry 勒索软件攻击已引起全球大规模信息安全的恐慌。尽管 Windows XP 并非所有 Windows 系统中影响最为严重的版本，但缺乏安全更新的支持和补丁的修复使其极易遭受攻击。可惜的是，世界上仍有许多重要部门坚持使用 XP 系统，其中就包括英国 “ 三叉戟 ” 核潜艇，并且在未来内没有更新系统的升级计划。 安全专家发出警告，“ 三叉戟 ” 核潜艇极易成为黑客攻击的目标，而黑客很容易针对未补丁的漏洞开发破解工具，尤其是核潜艇这类如此重要的军事单位。近期爆发的 WannaCry 威胁是一次警告，未来仍将会有许多安全威胁。英国军方解释称 “ 三叉戟 ” 并未暴露在黑客攻击的威胁下，因为这些潜艇完全隔离且无网连接。但安全专家指出，网络犯罪分子能够在潜艇靠岸时通过植入进行攻击，然后在离开后激活感染。 Serviceteam IT 的 Sebastian Jesson-Ward 称：“ 尽管当潜艇出海时它们不会连接网络，但它们此时是具备网络安全抵抗性的。当它们靠近码头时仍然暴露在网络攻击的威胁下。” 英国国防部长 Michael Fallon 尚未就核潜艇系统问题进行置评，但指出所有潜艇都是完全安全的，并且在隔离环境下运行，这让黑客无法接触到它们。 稿源：cnBeta；封面源自网络

据美国知名媒体福布斯（ Forbes ）报道，勒索软件 WannaCry 于近期已感染至少两家美国医院医疗器械。 美国国家安全局（ NSA ）武器库于上周遭神秘黑客组织 “影子经纪人” 在线曝光，WannaCry 勒索软件肆意蔓延。据称，该勒索软件网络攻击活动主要是利用 NSA 研究人员开发的 “ Eternal Blue ” 工具通过早期版本的 Microsoft Windows 系统漏洞感染全球用户设备。 福布斯记者提供了一张已感染勒索软件的医疗设备图像，疑似全球知名企业拜耳（Bayer ）公司的放射学设备，其主要用于人体内部注射造影剂以辅助 MRI（核磁共振成像）扫描。（如下图） 勒索软件 WannaCry 感染该医疗设备，主要是因为它运行在（未打补丁的） Windows Embedded 操作系统中且支持 SMBv1 协议。目前，就连福布斯也并不知晓受感染的医院名称，但拜耳公司已证实收到两份美国客户系统报告。拜耳表示，勒索软件给医院带来的影响较有限，已在 24 小时内恢复正常，同时将于近期发布旗下产品基于 Microsoft Windows 设备的补丁。 此外，健康信息信任联盟（HITRUST）相关人士证实，勒索软件 WannaCry 目前也感染并锁定了全球知名企业西门子（Siemens ）公司的部分 Windows 医疗设备。 原作者： Pierluigi Paganini， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

过去一周，勒索软件 “ WannaCry ” 给全球许多使用旧版 Windows 操作系统的机构和普通用户带来了惨痛的经历。尽管微软早于 2017 年 3 月发布了安全补丁，但仍有许多未及时更新的用户中招。如果不能在限定时间内支付等值 300 美元比特币的赎金，他们只能眼睁睁地看着被加密的资料丢失。万幸的是，一位名叫 Marcus Hutchins 的研究人员，通过某个 “开关” 域名成功阻止了该恶意软件的传播。 其在分析恶意软件代码后发现，被 WannaCry 感染的计算机会尝试与某个 “ 由一长串无意义字符组成的域名 ” 通信。于是在好奇心的驱使下，白帽黑客尝试注册了该域名，结果竟然意外阻断了该恶意软件的传播。不过最新消息是，幕后黑手仍然试图让 WannaCry 死灰复燃，其策略是利用各种可能的手段来攻击上文所述的这个 “ 域名 ”—— 比如分布式拒绝服务（DDoS）攻击。 据有关媒体报道，僵尸网络已经向这个 “ 开关域名 ” 发起了一波又一波的 DDoS 攻击。当前我们暂不知道幕后主使的身份，但有研究人员认为这是一帮以牺牲无辜者的利益来取乐的人。最后，某位法国安全研究人员在几天前找到了一个或许有助于修复被 WannaCry 勒索软件加密文档的方法，并且推出了一款名叫 “ wannakiwi ” 的工具。 稿源：cnBeta，封面源自网络

朝鲜常驻联合国副代表金仁龙（音）19 日在纽约联合国总部举行的新闻发布会上表示，朝鲜与近期发生的大规模勒索软件攻击事件无关。同时他还表示，朝美两国对话的前提必须是美国停止对朝鲜的敌视政策。 美国媒体 16 日曾报道，情报官员和私企安全专家根据新数字线索表明，近期发生的大规模勒索软件攻击事件的嫌疑人或与朝鲜黑客组织有关，但仍缺乏决定性证据。 赛门铁克安全专家表示，WannaCry 勒索软件早期版本所用的一些工具，曾被用于攻击索尼影业，还曾在去年被用于攻击孟加拉国央行，也在今年 2 月份被用于攻击波兰的一家银行。该公司根据过去曾准确识别美国、以色列以及朝鲜发起的攻击发现，这些攻击活动中存在相似之处，致使所有攻击源头最终指向朝鲜。 不过，单凭这些线索尚不足以得出结论，因为黑客组织常常相互“借用”工具代码、翻新攻击方法。此外，一些有国家支持的黑客组织也会故意在代码中植入混淆信息，以蒙蔽取证调查人员。 稿源：据 观察者 内容整理，封面源自网络

根据卡巴斯基实验室通过其 Twitter 账号公布的数据，几乎所有的 WannaCry 受害者运行的是 Windows 7。 不同版本的 Windows 7 占到总感染系统的接近 98%， Windows XP 和 Windows 10 比例不到千分之一，其余主要是 Windows 2008 R2 Server。 Windows 7 是市场占有率最高的桌面操作系统，但其感染率显然不成比例的高。已经停止支持的 XP 并没有以前认为的那么令人担忧，微软是在勒索软件开始广泛传播之后紧急为 XP 释出了免费修复补丁。 稿源：solidot奇客，封面源自网络

近期，WannaCry 勒索软件肆虐全球。如果你认为这波网络攻击已经足够猛烈，那么你就错了。据外媒报道，下一波恶意软件 Adylkuzz 网络攻击活动即将来袭。不过，不同于其他勒索软件通过锁住设备牟取利益， Adylkuzz 是通过将各个设备变成僵尸网络军队的奴隶来为自己牟取利益。 Proofpoint 安全研究员指出，成千上万被感染的计算机将被转化成跟比特币类似的虚拟货币– Monero 的挖矿工具，而恶意软件 Adylkuzz 则通过跟 WannaCry 一样的服务器 — EternalBlue 展开传播。一旦该恶意软件进入计算机系统，它能够下载指令、挖矿机器人以及清除工具。据悉，Proofpoint 最早于 4 月 24 日发现此类攻击活动，但由于它于暗处操作，所以直到 WannaCry 席卷全球之后它才慢慢浮出水面，而许多用户目前甚至完全不知道自己所用设备已经遭到该恶意软件的网络攻击。 据了解，当感染 Adylkuzz 之后，电脑的性能就会出现下降的情况。此外，特定的一些 Windows 资源也将无法进行访问。据 Proofpoint 披露，在其中一个攻击中，一名黑客可以利用该恶意软件在感染设备上为自己赚取 2.2 万美元。 安全专家预测，Adylkuzz 的传播范围在未来甚至会比 WannaCry 还要广泛。而跟 WannaCry 一样的是， Adylkuzz 攻击的对象主要也是过时的系统设备。对此，安全研究人员建议用户将电脑的系统升级到微软推送的最新版，并禁用服务器消息块服务–当然前提是不需要它。 稿源：cnBeta，封面源自网络