记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

ERIS勒索病毒变种来袭,被加密的文件暂无法解密

一、概述腾讯安全御见威胁情报中心监测到,ERIS勒索病毒变种在国内有部分感染。ERIS勒索变种使用go语言编写,加密文件完成后会添加5字节的随机扩展后缀。病毒加密用户数据之后勒索0.05比特币(市值约4000元人民币)。由于该病毒使用RSA+Salsa20对文件进行加密,被加密后的文件暂时无法解密。ERIS勒索病毒为防止用户利用反删除工具恢复文件,该病毒会调用磁盘擦除工具cipher.exe将病毒完成数据加密后删除的原文件彻底破坏,使用户恢复数据的最后希望彻底破灭,我们提醒政企机构高度警惕,腾讯电脑管家、腾讯御点终端安全管理系统均可拦截该病毒。ERIS勒索病毒首次出现于2019年5月,该勒索家族病毒擅长通过垃圾邮件,L
发布时间:2019-08-09 17:25 | 阅读:24058 | 评论:0 | 标签:勒索软件 ERIS 加密

NSA泄露工具被用来传播加密货币挖矿机

普通网络犯罪和针对性攻击的区别在于:普通网络犯罪会将即时的经济目标作为主要动机,而针对性攻击可能还会有其他的目标,比如窃取知识产权。此外,攻击者的思维模式也是不同的。正常的网络犯罪分子需要考虑如何入侵更多的个人设备,而针对性攻击需要计划如何入侵和获取企业网络的访问权限,并尽可能地隐蔽。除此之外,针对性攻击活动常常包括扩展性的计划以及高度专业化的创建和使用。另一方面,正常的攻击者可能没有能力或资源来规划复杂的攻击活动,他们使用的工具更加通用,而且一般地下市场都有。近期,研究人员发现了一起融合了针对性攻击工具和常规网络犯罪的大规模攻击活动:攻击者使用了之前在针对性攻击中使用的复杂攻击来传播加密货币挖矿机和勒索软件这样的典型
发布时间:2019-07-24 12:25 | 阅读:37446 | 评论:0 | 标签:系统安全 加密货币 加密

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密

近日,腾讯安全御见威胁情报中心发现假冒GlobeImposter勒索病毒正在传播,攻击者疑通过MS SQL爆破入侵服务器,通过网络下载恶意脚本代码,继而执行加密和勒索流程。令人惊叹的是,这个所谓的“勒索病毒”执行极为简单,只是利用WinRAR加密压缩用户文件,之后再将一封GlobeImposter的勒索消息邮件修改后恐吓用户,通过邮箱联系索取酬金。腾讯安全提醒大家,如遇到此病毒,不要着急着缴纳赎金。该病毒加密压缩的密码明文写在病毒配置信息中,使用这个密码解压缩,文件就能完全恢复。分析被勒索服务器疑似被通过MSSQL爆破入侵成功,之后执行以下相关命令行进一步下载执行恶意代码:1)bitsadmin  
发布时间:2019-07-03 17:25 | 阅读:55875 | 评论:0 | 标签:勒索软件 系统安全 加密

利用ADB和SSH传播的新型加密货币挖矿僵尸网络现身

趋势科技在最近的研究中发现一种新的加密货币挖矿僵尸网络,它可以通过开放的ADB(Android Debug Bridge)端口进入,并借助SSH传播扩散。这种攻击方法利用了默认情况下打开的ADB端口没有身份验证的设置,类似于之前报告的Satori僵尸网络变体。这个僵尸网络的设计能够让它从受感染的主机传播到任何先前与主机建立SSH连接的系统。利用ADB的做法使得基于Android的设备很容易受攻击。趋势科技在21个不同国家/地区检测到该僵尸网络的活动,在韩国发现的比例最高。技术细节已经发现IP地址45 [.] 67 [.] 14 [.] 179连接到ADB运行设备或系统,然后进行多项活动。图1总结了攻击的感染链。图1.攻
发布时间:2019-06-30 12:25 | 阅读:34249 | 评论:0 | 标签:加密货币 僵尸网络 加密

谷歌发布新开源加密工具,敏感信息泄露的问题可能就此彻底解决!

前言据wired报道,谷歌将发布一个名为Private Join and Compute的开源加密工具。它有助于连接来自不同数据集的数字列,以计算在整个数学过程中加密和不可读数据的总和,计数或平均值。只有计算结果才能被所有各方解密和查看,这意味着你只能获得结果,而不能获得你未拥有的数据。该工具的加密原理可以追溯到20世纪70年代和90年代,但谷歌已经重新利用并更新它们,以便与当今功能更强大、更灵活的处理器配合使用。既可以分析数据,又不担心数据的泄漏,有这样的好事吗?这么多年来,个人隐私数据的事件不但发生,屡禁不止,就其根源,很大程度上是因为有人要利用这些大数据对用户的各种行为习惯进行分析。只要这个动机存在,用户的隐私泄
发布时间:2019-06-22 12:25 | 阅读:43256 | 评论:0 | 标签:安全工具 谷歌 加密

Pacha和Rocke组织竞争云端资源进行加密货币挖矿

Pacha组织是Intezer研究人员2019年2月发现的一个加密货币挖矿威胁单元,该组织主要攻击Linux服务器,并且应用了多种高级绕过和驻留技术。研究人员持续监控该组织攻击活动发现Pacha组织也在攻击云环境并尝试破坏和干扰其他加密货币挖矿组织,其中包括攻击云环境的Rocke组织。研究人员认为云环境未来将成为更多攻击者的目标。技术分析在监控Pacha组织时,研究人员发现于之前变种共享代码的新的Linux.GreedyAntd变种样本。虽然与之前变种共享了接近30%的代码量,但Pacha组织新变种的检测率仍然很低——1/60。主要的恶意软件基础设施与之前pacha组织攻击活动所使用的相同。Roche组织是Cisco
发布时间:2019-06-01 12:25 | 阅读:41622 | 评论:0 | 标签:加密货币 加密货币挖矿 加密

准备交赎金?当心Phobos勒索病毒二次加密!

背景概述近日,深信服安全团队接到多家企业反馈,服务器遭到勒索病毒攻击,重要数据被加密。经安全团队专家排查,该病毒是近期较为活跃的一款勒索病毒,通常通过RDP暴力破解+人工投放的方式进行攻击,攻击者成功入侵后,通常会关闭系统的安全软件防护功能,运行勒索病毒,加密后会修改文件后缀为[原文件名]+id[随机字符串]+[邮箱地址].phobos,相关的邮箱地址有[email protected]、[email protected]、[email protected]等。值得关注的是,该勒索病毒在运行过程中会进行自复制,并在注册表添加自启动项,如果没有清除系统中残留的病毒体,很可能会遭遇二次加密。勒
发布时间:2019-05-23 12:25 | 阅读:44694 | 评论:0 | 标签:勒索软件 加密

全盘加密又咋地!只要启动闪存,即可将其破解并提取其中的密码

何为全盘加密全盘加密(Full-disk encryption)对取证取证专家来说是个非常大的挑战。Android 的安全性问题一直备受关注,Google在Android系统的安全方面也是一直没有停止过更新,努力做到更加安全的手机移动操作系统。在Android的安全加密方面,加密分全盘加密和文件级加密(Android 7.0 引入)全盘加密在 Android 4.4中引入,在Android 5.0中做了比较大的更新。本文论述的就是全盘加密,以及如何通过启动一个闪存(flash drive)来破解这种加密方式。对于一般人来讲,全盘加密也许并不必要;然而,如果你需要处理像商业机密和不希望被其他人看见的隐私的话,那么全盘加密
发布时间:2019-05-10 12:25 | 阅读:59529 | 评论:0 | 标签:系统安全 全盘加密 加密

AESDDoS利用CVE-2019-3396进行远程代码执行、DDOS攻击和加密货币挖矿

CVE-2019-3396是Confluence Server与Confluence Data Center中的Widget Connector存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越与远程代码执行。Trendmicro的蜜罐系统近期检测到AESDDoS僵尸网络恶意软件变种,该变种利用了Atlassian Confluence服务器中Widget Connector宏的CVE-2019-3396漏洞。研究人员发现该恶意软件变种可以在运行有漏洞Confluence服务器和数据中心的系统上可以执行DDOS攻击、远程代码执行和加密货币挖矿。Atlassian已经着手修改这些问题,并建议用户尽快升级到最新版本
发布时间:2019-05-04 12:25 | 阅读:56754 | 评论:0 | 标签:漏洞 CVE-2019-3396 ddos 加密

加密、管控与审计,三维智能保护数据安全!

数据作为机构企业的重要资产,却每天都面临着各种泄露危险,据统计2018年公开披露的数据泄露事件达到6500起,涉及50亿条数据记录。这些泄露事件的发生无时无刻不在提醒着我们数据保护的重要性,然而在保护数据时,我们又该如何做到绝对的安全呢? 数据生成之后的存储、传输和使用,任何一个环节受到攻击,都会破坏其他安全措施的有效性。而现在网络应用的增多让窃取机密的途径变得更多,窃取者越来越缜密,窃取机密的方法常常在我们意料之外,想要保护好数据安全,就要确保信息数据的方方面面都在保护之中。 以数据为中心防范安全风险 想要防范这种来自多方面的风险就需要一套以数据为中心的安全保护方案,这个方案可以从数据生命周期(存储-传输-使用)的所有环节保护数据本身,还可以兼顾周围的网络应用以及服务器。 数据存储:保护存储在终端以及服务器中
发布时间:2019-04-15 18:15 | 阅读:68240 | 评论:0 | 标签:安全前沿 企业信息安全 企业防泄密 数据加密 加密

​Stop勒索病毒变种加密机制分析,部分情况下可解密恢复

一、概述近日,腾讯御见威胁情报中心监测到,stop勒索病毒变种(后缀.raldug)在国内有部分感染。分析发现,该版本病毒相比较于18年11月份开始活跃的DATAWAIT版本,在加密算法和病毒模块有了变化,由于该版本的stop勒索病毒在其基础设施工作正常、联网稳定情况下加密后的文件暂无法解密,我们提醒各政企机构注意防范。Stop勒索病毒家族在国内主要通过软件捆绑,垃圾邮件等方式进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒会留下名为_readme.txt的勒索说明文档,勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免。Stop勒索病毒还具有以下特性:1. 加密时,禁用任务管
发布时间:2019-04-15 12:25 | 阅读:63749 | 评论:0 | 标签:勒索软件 加密

Lazarus进军macOS平台和加密货币行业

Kaspersky研究人员根据威胁情报发现Lazarus APT组织开始攻击金融行业,尤其是加密货币交易。经济利益仍然是Lazarus的主要目标,其使用的技术、方法和步骤都是为了避免检查。2018年中旬,Kaspersky研究人员发布了关于Operation Applejeus的研究进展(https://securelist.com/operation-applejeus/87553/),分析了Lazarus开始关注加密货币交易。其中一个主要发现就是该组织攻击macOS的能力,然后Lazarus就开始在mac平台上扩展其攻击活动。通过分析攻击金融机构的活动,研究人员发现了一起从2018年11月开始的新的攻击活动,其中使
发布时间:2019-03-28 12:20 | 阅读:66694 | 评论:0 | 标签:Web安全 macOS 加密

解密在Emotet、Qbot和Dridex中使用的加密器

加密器是一类软件,可以加密、混淆和操纵恶意软件,使其更难以被安全程序检测到。Zscaler ThreatLabZ研究小组发现,Emotet、Qbot和Dridex在近期活动中都使用了一种常见的加密器,该加密器也同样能在一些Ursnif和BitPaymer的活动中检测到。Emotet和Dridex能够存活如此之久的原因之一,就是它们会通过使用各式各样的加密器来逃避检测,加密器会将原始二进制文件封装在内部,使对其的检测和分析变得更为复杂。Emotet是一种模块化恶意软件,主要功能是作为银行木马的下载器或dropper。在过去的四年里Emotet一直很活跃,它也是去年最流行的恶意软件系列之一。Dridex是一种源自Zeus
发布时间:2019-03-21 12:20 | 阅读:61515 | 评论:0 | 标签:技术 Emotet加密器 加密

Docker Control API和社区镜像被用来传播加密货币挖矿恶意软件

研究人员通过搭建容器蜜罐收集的数据进行分析来监控威胁,并且发现了一起利用使用Docker Hub上发布的容器镜像的伪造容器进行非授权的加密货币挖矿的恶意活动。该镜像被用来传播加密货币挖矿恶意软件。对于安全公司和安全研究人员来说,搭建没有任何安全防护措施和没有预装安全软件的蜜罐是常用的收集恶意样本的方式。但docker是有最佳实践和建议来防止这类错误的、不安全的配置的。蜜罐获取的流量和活动是为了获取针对容器平台本身的攻击而不是容器应用的。研究人员发现的这起攻击活动是不依赖于任何漏洞利用,也不依赖于某种docker版本的。发现错误配置和暴露的容器镜像是攻击者感染更多相关主机唯一需要做的。暴露后,Docker API会让用户
发布时间:2019-03-04 12:20 | 阅读:86395 | 评论:0 | 标签:事件 恶意软件 加密

窃取加密货币交易Cookie的Mac恶意软件——CookieMiner

Unit 42研究人员发现一款基于OSX.DarthMiner开发的恶意软件,该恶意软件的目标为Mac平台。因为恶意软件攻击与交易相关的cookie的这种方式,研究人员将恶意软件命名为CookieMiner。· 该恶意软件可以窃取受害者访问的与主流加密货币交易和加密货币钱包服务网站相关的浏览cookie。· 该恶意软件还可以窃取Chrome中保存的密码。· 该恶意软件还可以从iTunes备份中窃取iPhone中的文本信息。· 通过窃取的登陆凭证、web cookie、SMS数据和过去的攻击,研究人员认为攻击者可以绕过这些网站的多因子认证。如果成功的话,攻击者就可以获取受害者的交易账户和钱包
发布时间:2019-02-26 12:20 | 阅读:54837 | 评论:0 | 标签:Web安全 MAC恶意软件 加密

Razy恶意软件攻击浏览器扩展,窃取加密货币

Kaspersky研究人员在2018年发现一个在受害者计算机中安装恶意浏览器扩展或感染已安装的扩展的恶意软件。恶意软件可以关闭已安装的扩展的完整性检查,并为目标浏览器自动更新。Kaspersky安全产品检测到该恶意软件为Razy,通过恶意广告拦截模块进行传播,并伪装成合法软件在免费文件主机服务上进行分发。Razy的目的有很多,主要是与窃取加密货币相关。其主要工具是main.js脚本,可以:· 搜索网站上的加密货币钱包的地址,并将其替换为攻击者的钱包地址;· 伪造指向钱包的二维码图片;· 修改加密货币交易页面;· 欺骗Google和Yandex搜索结构。感染Razy木马工作在Google C
发布时间:2019-01-31 12:20 | 阅读:100732 | 评论:0 | 标签:Web安全 加密货币 加密

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云