记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

2019上半年勒索病毒家族概览

截至2019年6月,勒索病毒的活跃度依旧高居不下,相对于刚进入大众视野时的“蠕虫式”爆发,如今的勒索病毒攻击活动越发具有目标性、隐蔽性,攻击者通常会破坏入侵过程留下的证据,使得溯源排查难以进行;勒索变种也趋于“无特征化”,如使用随机后缀、勒索信息文件无明显特征等,难以分辨其家族。高发勒索家族从勒索病毒家族来看,国内高发的勒索病毒家族主要有GlobeImposter、GandCrab、CrySiS、CroptON、Attention等:受害行业分布从勒索病毒攻击目标来看,企业、科研教育成为勒索病毒的主要目标行业,总占比达到52%;在企业受害用户中,文件服务器、财务服务器等存储重要数据文件的服务器通常是攻击者的首要目标:受
发布时间:2019-06-25 17:25 | 阅读:10069 | 评论:0 | 标签:观察 勒索病毒

识别使用随机后缀的勒索病毒Golden Axe

背景概述国外安全研究员在3月发现了一款名为Golden Axe的勒索病毒,Golden Axe是一款用go语言编写的勒索病毒,使用基于RSA公匙加密体系的邮件加密软件PGP开源代码对文件进行加密。国外安全研究员在曝光Golden Axe勒索病毒时提到,该勒索病毒加密后缀为.UIK1J,但经过深信服安全团队对捕获样本的详细分析,该勒索软件实际上是加密后修改文件后缀为五位随机字符,每一次加密后生成的文件后缀都不相同;尽管不能通过加密后缀来识别该勒索病毒,但Golden Axe勒索病毒的勒索信息文件却具有很高的辨识度,命名为#instructions-ID#.txt/vbs/jpg。勒索特征1.加密后修改文件后缀为五位随机字
发布时间:2019-04-02 12:25 | 阅读:36526 | 评论:0 | 标签:勒索软件 勒索病毒

勒索病毒新常态,机构企业成主要攻击目标!

过去一年里,勒索软件的攻击数量虽然整体下降了,但是对机构企业的攻击却并不少,数据显示超过80%的勒索软件感染都是针对机构企业的。相比广撒网,更有选择性的攻击能为网络罪犯带来更多利益,所以现在网络犯罪团伙已经开始将目光放到机构企业身上。 “少而精”的勒索软件攻击! 对大型企业和组织机构发起的“少而精”的攻击已经是勒索软件进行数据劫持的新模式。在这个月里英联邦警署就遭遇了勒索软件袭击,导致部分数据被删除、数据被加密致无法访问、电子邮件服务被禁用以及文件无法调阅。挪威铝生产商在这个月的一份监管公告中也承认,网络攻击影响了该公司多个业务区的运营,严重的勒索软件攻击导致其全球计算机网络系统宕机,迫使该公司某些操作回到人工过程时代。 在我们国内,国家计算机病毒应急处理中心监测也发现,GandCrab V5.2勒索软件新变种
发布时间:2019-03-29 13:10 | 阅读:44089 | 评论:0 | 标签:安全前沿 勒索病毒 终端安全

勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击

概述腾讯御见威胁情报中心检测到,不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,包含“Min,Gap Ryong”及其他假冒的发件人约70余个,邮件附件名为“03-11-19.rar"。GandCrab勒索病毒是国内目前最活跃的勒索病毒之一,该病毒在过去一年时间经过5次大版本更新,腾讯威胁情报中心曾多次发布预警,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20
发布时间:2019-03-14 17:20 | 阅读:58274 | 评论:0 | 标签:技术 公安机关 勒索病毒 鱼叉邮件

UNNAMED1989勒索病毒分析报告

病毒简介2018年12月1日,国内出现首个要求使用微信支付的勒索病毒,在网络中引起不小的恐慌。该勒索病毒病毒使用E语言开发,是有史以来第一款使用中文开发的勒索病毒。病毒运行后会加密当前桌面和非系统盘中的指定文件,中毒后重启机器会弹出勒索信息提示框,并附带二维码提示用户使用微信扫码支付110元赎金进行文件解密。图:勒索主界面病毒分析瑞星对该勒索病毒的生命周期做了详细分析,发现该病毒具有一定危害性,但并没有达到公众对其恐慌的级别。该病毒作者应属于初级开发水平,没有任何技术含量可言,唯一的亮点是其传播途径“供应链污染”。1、加密算法简单,被勒索文件可以完全还原病毒作者声称文件使用DES加密算法加密,加密密钥被上传到服务器。瑞
发布时间:2018-12-07 12:20 | 阅读:62526 | 评论:0 | 标签:技术 勒索病毒 报告 瑞星

“微信支付”勒索病毒传播始末

UNNAMED1989“微信支付”勒索病毒让不少用户过了一个不平静的周末,文件无法正常打开,重要数据被加密。在用户一筹莫展之际,360安全卫士迅速推出了解密工具,帮用户解决了数据被加密的难题。但病毒从何而来,以后又该如何预防呢?本文将对这个事件做一次全面分析,帮助用户一起应对此类勒索病毒威胁。感染原理分析感染原理之前,我们先从此次勒索病毒的传播源说起,在之前的报告中,我们已经提到,受感染机器多是由于使用了“辅助外挂”,由这些外挂携带的木马下载器造成的感染。那为什么会有这么多的外挂软件同时携带这款病毒呢?是这些外挂作者开发了这个木马下载器和勒索病毒么?带着这个疑问,我们深入分析发现,受影响的软件集中在易语言编写的程序上,
发布时间:2018-12-05 17:20 | 阅读:60233 | 评论:0 | 标签:技术 勒索病毒 微信支付

“微信支付”勒索病毒制造者被锁定 传播、危害和疫情终极解密

12月1日,首个要求“微信支付”赎金的勒索病毒在国内爆发,根据“火绒威胁情报系统”监测和评估,截至4日晚,该病毒至少感染了10万台电脑,不光锁死电脑文件,还窃取了数万条多个平台的用户密码等信息。根据火绒团队的分析、溯源,该病毒使用“供应链污染”的方式传播。该病毒首先通过相关论坛,植入被大量开发者使用的“易语言”编程程序,进而植入他们编写的各种软件产品,所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款,其中多数是“薅羊毛”类灰色软件。图:部分被感染软件火绒团队发现,病毒制造者利用豆瓣等平台当作下发指令的C&C服务器。火绒团队通过逆向分析病毒的下发指令,成功解密出其中2台病毒服务器,发现大量被病毒窃
发布时间:2018-12-05 00:20 | 阅读:51048 | 评论:0 | 标签:技术 勒索病毒 微信支付

“微信支付”勒索病毒已被破解

一、概述前天(12月1日)突发的"微信支付"勒索病毒,已被火绒安全团队成功破解。被该病毒感染的用户可以下载破解工具,还原被加密的文件。据火绒安全团队分析,该勒索病毒开始勒索前,会在本地生成加密、解密相关数据,火绒工程师根据这些数据成功提取到了密钥。此外,该勒索病毒只加密用户的桌面文件,并会跳过一些指定名称开头的目录文件, 包括"腾讯游戏、英雄联盟、tmp、rtl、program",而且不会感染使用gif、exe、tmp等扩展名的文件。值得一提的是,该病毒会利用带有腾讯签名的程序调用病毒代码,来躲避安全软件的查杀。"火绒安全软件"已紧急升级,可拦截、查杀该病毒。
发布时间:2018-12-03 12:20 | 阅读:78129 | 评论:0 | 标签:勒索软件 勒索病毒

勒索病毒卷土重来,IP-guard为你支招!

被很多人遗忘的勒索病毒又来了,这次来的可不止是臭名昭著的Wannacry系列病毒,像GlobeImposter、Petya、 Satan等异种勒索病毒也开始对企业进行攻击和破坏,这些病毒不仅会入侵服务器以及数据库加密文件,还会直接感染主机加密磁盘文件,让企业业务难以开展,影响企业的正常运营。 勒索病毒再掀波澜,台积电被攻击停产! 说起近期被勒索病毒感染影响的企业,不得不提之前的台积电事件。8月初,台积电营运总部和新竹科学园区的的12英寸晶圆厂的电脑,遭到勒索病毒入侵,生产线全数停摆,几个小时之内,台积电在台湾北、中、南三处重要生产基地均未能幸免。媒体称,这次攻击台积电设备的是勒索病毒Wannacry,具体现象是电脑蓝屏,锁各类文档、数据库。 因为勒索病毒的攻击,台积电几个重要厂房全数生产线几乎被停摆,直至两天
发布时间:2018-09-14 18:10 | 阅读:80093 | 评论:0 | 标签:安全前沿 勒索病毒 预防勒索病毒

预警:GandCrabV4.0勒索病毒来袭

一、事件背景最近国外安全研究人员发现了GandCrab勒索病毒的V4.0最新版变种,深信服EDR安全团队马上对此事进行了相关跟进,第一时间获取到了相应的变种样本,确认此样本为GandCrab勒索家族的最新的变种,同样采用RSA1024加密算法,将系统中的大部分文档文件加密为.KRAB后缀的文件,然后对用户进行勒索。GandCrab勒索病毒从2018年1月被首次发现之后,仅仅半年的时候,就连续出现了V1.0,V2.0,V2.1,V3.0,V4.0等变种,非常活跃,同时在分析这款V4.0版本的样本的时候,发现部分网络功能似乎还不太完善,很有可能近期黑产团伙会推出它的更新版,目前此勒索病毒无法解密。该勒索病毒主要通过邮件、漏
发布时间:2018-07-06 12:20 | 阅读:115131 | 评论:0 | 标签:勒索软件 勒索病毒

Windows服务器下勒索木马的防护与对抗

摘要去年的WannCry勒索病毒,让全社会都关注到了这类新生的恶意软件。从去年下半年开始,勒索病毒在国内的攻击重点开始转向了各类服务器,尤其以windows服务器为主。黑客利用弱口令和各类系统漏洞,软件漏洞向服务器远程渗透投毒,经常出现一个服务集群多台主机被感染的情况,造成的影响轻则服务中断,有严重的更影响到整个公司的运营,已经成为影响企业安全的一大问题。趋势与拦截数据针对服务器的爆破攻击,一直是服务器主机面临的一大类安全风险,我们对过去近两个月来的爆破攻击拦截量进行了统计,虽然从数据波峰来看涨势并不明显,但波谷却一直在稳步提升,整体趋势还是有进一步提升的风险性。图1自去年(2017年)下半年以来,服务器入侵就成为了勒
发布时间:2018-04-27 12:20 | 阅读:94377 | 评论:0 | 标签:系统安全 勒索病毒

“爱马仕”敲诈者:敲诈者中的奢侈品

前言近期,我们发现一款名为”爱马仕”的勒索病毒又开始在国内传播,该勒索病毒此次的主要攻击目标是windows服务器。目前流行的服务器勒索病毒中,有超过九成是通过远程桌面进行传播的。该勒索病毒更让人头痛的一点是,它除了不加密exe、dll、ini、lnk几种类型的文件外,其余的类型的文件它都会加密。在这里再次提醒大家,开启服务器远程桌面时需要谨慎处理,万不可在使用弱口令的机器上开启,不要有侥幸心理。      图1.敲诈提示信息样本分析初始化工作· 磁盘容量不足不加密首先,勒索病毒会检测中招者磁盘的剩余量,如果获取磁盘剩余量失败或者是磁盘的容量不足4G,勒索病毒就会停止工作。图2.
发布时间:2018-04-17 12:20 | 阅读:82665 | 评论:0 | 标签:勒索软件 勒索病毒

勒索病毒入侵儿童医院,防御袭击需常态化!

节后流感高发,医院也开始变得人满为患,然而就在大家为流感忙得焦头烂额时,勒索病毒又来了。近日,国内两家省级医院服务器疑似遭最新勒索病毒攻击,致其系统瘫痪,同时数据库文件被加密破坏,已影响正常就医秩序。 据悉,其中一家湖南省儿童医院受到的影响最为严重,从2018年2月24日7点左右,全院所有的医疗系统均无法正常使用,经过查实,医院服务器中了疑似最新的勒索病毒,目前,黑客要求院方在6小时内为每台中招机器支付1个比特币,根据目前比特币最新的价格,1枚比特币约合人民币6.5万元左右。 勒索病毒有哪些危害? 勒索病毒的危害去年已经让我们充分见识了一次,勒索病毒感染后会对电脑和服务器中的重要文件、数据甚至整个硬盘进行加密锁定,文件、数据被加密后没法使用,造成整个电脑或服务器无法正常运行,从而使相关业务系统的无法正常运行,
发布时间:2018-03-01 18:10 | 阅读:118761 | 评论:0 | 标签:安全前沿 信息安全 内网安全 勒索病毒 终端安全

国产勒索病毒Xiaoba来袭 200秒交不上赎金就“撕票”

勒索病毒是个舶来品,无论是英文版的勒索信息,还是比特币这一赎金交付方式,都透漏着浓浓的国际化味道。而最近,360安全中心却拦截到一款国产化水平极高的勒索病毒,每个勒索细节都为国内中招者精心考虑,目的就是尽快收到赎金。病毒本地化让中招者付出的代价更大,倒计时200秒还不缴赎金,被加密的文件就会被全部销毁!360安全卫士拦截到“Xiaoba”勒索病毒这款新型勒索病毒名为“Xiaoba”,它会伪装成软件安装包扩散传播。为了让中招者放松警惕,病毒执行时会弹出“加载页面”,让人误以为是正常的软件安装现象,背地里实际上进行着悄悄加密的勾当,中招文件的后缀名均被更改为“Xiaoba”。“Xiaoba”伪造加载页面,诱导中招者放松警惕“Xiaoba”勒索病毒的国产化体现在诸多方面。除了勒索提示是中文版本之外,它还直接给出赎金缴
发布时间:2017-11-08 05:05 | 阅读:139506 | 评论:0 | 标签:威胁情报 Xiaoba 勒索病毒 国产

新型勒索病毒BadRabbit突袭东欧

近日一款新型勒索病毒BadRabbit在东欧爆发,乌克兰、俄罗斯的企业及基础设施受灾严重。与此前席卷欧洲的Petya类似,BadRabbit能在局域网内扩散,形成“一台感染、一片瘫痪”的局面。不过,用户无需过分担心,目前该病毒在国内并无活跃迹象,大家只要开启安全软件即可有效防御。360安全卫士已对Bad Rabbit勒索病毒实现拦截BadRabbit勒索病毒通过一些俄语系的新闻网站进行挂马传播,当中招者访问这些被挂马的网站,浏览器就会弹出伪装的Adobe flash player升级的对话框,一旦用户点击了“安装”按钮,就会自动下载勒索病毒。挂马网站弹出Flash升级弹窗,诱骗点击勒索病毒运行后会两次重启电脑,分别进行加密文档和锁定整个磁盘的操作,中招者无法进入系统,只能看到满屏的勒索提示。BadRabbit的
发布时间:2017-10-26 15:10 | 阅读:74180 | 评论:0 | 标签:牛闻牛评 Adobe flash BadRabbit 勒索病毒 弱密码

火力全开 猎捕“坏兔子”勒索病毒

10月24日,欧洲遭遇新一轮勒索病毒攻击,俄罗斯、乌克兰、土耳其、德国等国均受到影响,目前已经开始向美国扩散。该勒索病毒被命名为“Bad Rabbit”(中文译名:坏兔子),亚信安全将其检测为Ransom_BADRABBIT.SM和Ransom_BADRABBIT.SMA。该勒索软件将受害电脑的文件加密,让电脑无法使用,从而要求支付赎金。“坏兔子”勒索软件要求支付0.05比特币(合275美元)。经过研究人员深入分析,虽然 “坏兔子” 拥有部分与Petya勒索病毒相同的代码,但是最新的这波攻击不大可能造成Petya那种程度的全球性破坏。由于“坏兔子” 勒索病毒通过共享和弱密码在内网扩散,因此对企业危害较大。详解“坏兔子”勒索病毒攻击“坏兔子”勒索病毒通过水坑攻击传播,攻击者先在特定网站上注入包含URL的脚本文件,
发布时间:2017-10-25 22:15 | 阅读:136354 | 评论:0 | 标签:威胁情报 亚信安全 勒索病毒 坏兔子

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云