记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

勒索病毒也有地方标志?警惕后缀为“.beijing”的勒索病毒

0x0概述 近年来,老式勒索病毒依旧活跃,而新型勒索病毒花样百出,深信服安全云脑就捕获到一款具有“地方特色”的勒索病毒,其加密后缀为.beijing。 该病毒会加密指定后缀文件,在系统盘加密用户目录下的文件,并生成勒索提示文档(!RECOVER.txt),要求用户通过邮箱联系黑客,使用比特币支付赎金来解密个人文件。
发布时间:2020-08-11 13:11 | 阅读:10714 | 评论:0 | 标签:系统安全 .beijing AES算法加密 base 64加密 C IOC protobuf序列化 动态计算 勒索病毒

从索要赎金到破坏性攻击,勒索软件缘何成为网络战又一“利器”?

【导读】国际网络空间战争风云变幻。如今看似一场勒索事件的背后,或许早已暗藏起国家级黑客的操盘与运作。近日,国外研究机构最新报告表示:国家级黑客正在利用破坏性勒索软件进行纯粹性的攻击破坏性活动。通过对近年来勒索软件特性的深入剖析,智库认为,破坏性勒索软件或成重要“利器”,延续未来网络空间的战火。勒索软件(ransomware):一种具备强大加密功能的流行病毒。它往往以网络钓鱼、漏洞攻击的方式,向目标电脑植入病毒程序,通过加密或破坏磁盘上的文件甚至所有数据方式进行攻击,随后以解密密钥为筹码,向目标政府、企业或个人要求数额不等的赎金(比特币等)。
发布时间:2020-03-24 21:47 | 阅读:31263 | 评论:0 | 标签:厂商供稿 勒索病毒 网络战争 攻击

Deniz Kizi(美人鱼)打响2020年全球勒索病毒攻击的第一战

2019年已经过去了,在过去的一年时间里,各种勒索病毒运营团伙针对全球各国的企事业单位,大中小型企业不断发起网络攻击,全球几乎每天都有被勒索病毒攻击的新闻被曝光,勒索病毒攻击成为了2019年网络安全的最大威胁之一。 深信服安全团队在过去的一年里跟踪分析了多款新型的勒索病毒,比如2019年出现的几款流行的勒索病毒:Sodinokibi勒索病毒、Phobos勒索病毒、Maze勒索病毒、Buran勒索病毒、MegaCortex勒索病毒等,近期深信服安全团队跟踪观察到一款新型的勒索病毒Deniz Kızı(美人鱼),这款新型的勒索病毒打响了2020年全球勒索病毒攻击的第一。
发布时间:2020-02-24 12:31 | 阅读:60699 | 评论:0 | 标签:终端安全 Deniz Kizi 勒索病毒 美人鱼 攻击

网络“生死”战:谈医疗行业的网络安全隐患

这是病毒来袭的第49天,也是武汉封城的第26天。 我们经历了高铁停运、自我隔离、假期延长、远程办公……随着1月30日晚,世界卫生组织(WHO)宣布:将新型冠状病毒疫情列为“国际关注的突发公共卫生事件”(PHEIC)。中国抗击疫情再次进入一个小高潮。 但是,我们面对的不仅仅是病毒。 前几天,看到了这样一起APT攻击事件:360安全大脑捕获了一例利用肺炎疫情相关题材投递的APT攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,通过邮件投递攻击,并诱导用户执行宏,下载后门文件并执行。 较之以往更令人愤恨的是,网络攻击的手段是施加在对抗击疫情,不敢停歇的医疗工作领域。
发布时间:2020-02-17 08:10 | 阅读:37843 | 评论:0 | 标签:观点 勒索病毒 医疗行业 挖矿木马

疫情期间处理勒索病毒的收获

前言 在疫情期间,印度缺德黑客实施的APT攻击传的沸沸扬扬。我反手一个死亡之PING给印度。 与此同时,团队的小伙伴在月初就开始进行公益性质的勒索病毒协助。 在处理过程中,尽可能的保护未被污染的文件,已加密的文件解密起来难度相当大。 大家都明白新变种的病毒,很少有现成解密方式。
发布时间:2020-02-15 12:47 | 阅读:48018 | 评论:0 | 标签:企业安全 Satan 勒索病毒 变种 疫情

GandCrab勒索病毒就此销声匿迹了吗?

GandCrab勒索病毒是一种广泛使用的加密病毒,自2018年1月以来一直活跃在攻击第一线,目前恶意软件已经出现多种攻击性变种,包括 .GDCB,.KRAB,.CRAB,GandCrab 2,GandCrab 3,GandCrab 4,GandCrab v4.1,GanCrab v4.1.2和GanCrab v5(包括GandCrab 5.0.1,GandCrab 5.0.2,GandCrab 5.0.3,GandCrab 5.0.4,GandCrab 5.0.5,GandCrab 5.0.6和2019年4月发现的GandCrab 5.3)。
发布时间:2019-11-05 13:10 | 阅读:55555 | 评论:0 | 标签:勒索软件 GandCrab 勒索病毒

伪装成Office文档的sodinokibi勒索病毒大量攻击中韩企业

一、背景近期腾讯安全御见威胁情报中心检测到大量借助钓鱼邮件传播的sodinokibi勒索病毒攻击中韩两国企业。中招用户被勒索0.15个比特币(市值7800元人民币),中招企业主要集中在广东、山东、江苏、上海、北京等地,主要受害企业包括IT公司、科研和技术服务机构,以及传统制造企业。
发布时间:2019-10-25 13:10 | 阅读:48459 | 评论:0 | 标签:勒索软件 勒索病毒

2019年7月勒索病毒疫情分析

勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。从本月数据来看,反勒索服务反馈量有小幅度上升,其中Stop是反馈量上升最大的一个家族。360解密大师在本月新增了对LoopCipher勒索病毒家族的解密支持。感染数据分析相较于六月数据,本月反勒索服务的反馈量有小幅度的上升,其中以Stop的反馈量上升最大。同时在本月反馈中,勒索病毒的类型也是最为丰富的一次,共出现了29个不同家族勒索病毒。
发布时间:2019-08-10 00:25 | 阅读:106442 | 评论:0 | 标签:观察 勒索病毒

勒索病毒新姿势:伪装SpyHunter安全软件

GarrantyDecrypt扮演SpyHunter近日,国外安全研究人员曝光了一款伪装成安全软件SpyHunter的勒索病毒,其开发人员使用了SpyHunter的标识作为勒索软件的图标,同时将文件命名为“SpyHunters.exe”,通过钓鱼邮件附件进行传播,并在勒索文本中写道“Our company SpyHunter is guaranteed to decrypt your files.Creating and removing viruses is our vocation”。
发布时间:2019-08-05 17:25 | 阅读:84931 | 评论:0 | 标签:勒索软件 勒索病毒

2019上半年勒索病毒家族概览

截至2019年6月,勒索病毒的活跃度依旧高居不下,相对于刚进入大众视野时的“蠕虫式”爆发,如今的勒索病毒攻击活动越发具有目标性、隐蔽性,攻击者通常会破坏入侵过程留下的证据,使得溯源排查难以进行;勒索变种也趋于“无特征化”,如使用随机后缀、勒索信息文件无明显特征等,难以分辨其家族。
发布时间:2019-06-25 17:25 | 阅读:109497 | 评论:0 | 标签:观察 勒索病毒

识别使用随机后缀的勒索病毒Golden Axe

背景概述国外安全研究员在3月发现了一款名为Golden Axe的勒索病毒,Golden Axe是一款用go语言编写的勒索病毒,使用基于RSA公匙加密体系的邮件加密软件PGP开源代码对文件进行加密。国外安全研究员在曝光Golden Axe勒索病毒时提到,该勒索病毒加密后缀为.UIK1J,但经过深信服安全团队对捕获样本的详细分析,该勒索软件实际上是加密后修改文件后缀为五位随机字符,每一次加密后生成的文件后缀都不相同;尽管不能通过加密后缀来识别该勒索病毒,但Golden Axe勒索病毒的勒索信息文件却具有很高的辨识度,命名为#instructions-ID#.txt/vbs/jpg。
发布时间:2019-04-02 12:25 | 阅读:101822 | 评论:0 | 标签:勒索软件 勒索病毒

勒索病毒新常态,机构企业成主要攻击目标!

过去一年里,勒索软件的攻击数量虽然整体下降了,但是对机构企业的攻击却并不少,数据显示超过80%的勒索软件感染都是针对机构企业的。相比广撒网,更有选择性的攻击能为网络罪犯带来更多利益,所以现在网络犯罪团伙已经开始将目光放到机构企业身上。 “少而精”的勒索软件攻击! 对大型企业和组织机构发起的“少而精”的攻击已经是勒索软件进行数据劫持的新模式。在这个月里英联邦警署就遭遇了勒索软件袭击,导致部分数据被删除、数据被加密致无法访问、电子邮件服务被禁用以及文件无法调阅。
发布时间:2019-03-29 13:10 | 阅读:104431 | 评论:0 | 标签:安全前沿 勒索病毒 终端安全

勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击

概述腾讯御见威胁情报中心检测到,不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,包含“Min,Gap Ryong”及其他假冒的发件人约70余个,邮件附件名为“03-11-19.rar"。GandCrab勒索病毒是国内目前最活跃的勒索病毒之一,该病毒在过去一年时间经过5次大版本更新,腾讯威胁情报中心曾多次发布预警,该病毒作者也一直和安全厂商、执法部门斗智斗勇。
发布时间:2019-03-14 17:20 | 阅读:126039 | 评论:0 | 标签:技术 公安机关 勒索病毒 鱼叉邮件

UNNAMED1989勒索病毒分析报告

病毒简介2018年12月1日,国内出现首个要求使用微信支付的勒索病毒,在网络中引起不小的恐慌。该勒索病毒病毒使用E语言开发,是有史以来第一款使用中文开发的勒索病毒。病毒运行后会加密当前桌面和非系统盘中的指定文件,中毒后重启机器会弹出勒索信息提示框,并附带二维码提示用户使用微信扫码支付110元赎金进行文件解密。图:勒索主界面病毒分析瑞星对该勒索病毒的生命周期做了详细分析,发现该病毒具有一定危害性,但并没有达到公众对其恐慌的级别。该病毒作者应属于初级开发水平,没有任何技术含量可言,唯一的亮点是其传播途径“供应链污染”。
发布时间:2018-12-07 12:20 | 阅读:121693 | 评论:0 | 标签:技术 勒索病毒 报告 瑞星

“微信支付”勒索病毒传播始末

UNNAMED1989“微信支付”勒索病毒让不少用户过了一个不平静的周末,文件无法正常打开,重要数据被加密。在用户一筹莫展之际,360安全卫士迅速推出了解密工具,帮用户解决了数据被加密的难题。但病毒从何而来,以后又该如何预防呢?本文将对这个事件做一次全面分析,帮助用户一起应对此类勒索病毒威胁。感染原理分析感染原理之前,我们先从此次勒索病毒的传播源说起,在之前的报告中,我们已经提到,受感染机器多是由于使用了“辅助外挂”,由这些外挂携带的木马下载器造成的感染。
发布时间:2018-12-05 17:20 | 阅读:114932 | 评论:0 | 标签:技术 勒索病毒 微信支付

“微信支付”勒索病毒制造者被锁定 传播、危害和疫情终极解密

12月1日,首个要求“微信支付”赎金的勒索病毒在国内爆发,根据“火绒威胁情报系统”监测和评估,截至4日晚,该病毒至少感染了10万台电脑,不光锁死电脑文件,还窃取了数万条多个平台的用户密码等信息。根据火绒团队的分析、溯源,该病毒使用“供应链污染”的方式传播。该病毒首先通过相关论坛,植入被大量开发者使用的“易语言”编程程序,进而植入他们编写的各种软件产品,所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款,其中多数是“薅羊毛”类灰色软件。图:部分被感染软件火绒团队发现,病毒制造者利用豆瓣等平台当作下发指令的C&C服务器。
发布时间:2018-12-05 00:20 | 阅读:111267 | 评论:0 | 标签:技术 勒索病毒 微信支付

“微信支付”勒索病毒已被破解

一、概述前天(12月1日)突发的"微信支付"勒索病毒,已被火绒安全团队成功破解。被该病毒感染的用户可以下载破解工具,还原被加密的文件。据火绒安全团队分析,该勒索病毒开始勒索前,会在本地生成加密、解密相关数据,火绒工程师根据这些数据成功提取到了密钥。此外,该勒索病毒只加密用户的桌面文件,并会跳过一些指定名称开头的目录文件, 包括"腾讯游戏、英雄联盟、tmp、rtl、program",而且不会感染使用gif、exe、tmp等扩展名的文件。值得一提的是,该病毒会利用带有腾讯签名的程序调用病毒代码,来躲避安全软件的查杀。
发布时间:2018-12-03 12:20 | 阅读:132507 | 评论:0 | 标签:勒索软件 勒索病毒

预警:GandCrabV4.0勒索病毒来袭

一、事件背景最近国外安全研究人员发现了GandCrab勒索病毒的V4.0最新版变种,深信服EDR安全团队马上对此事进行了相关跟进,第一时间获取到了相应的变种样本,确认此样本为GandCrab勒索家族的最新的变种,同样采用RSA1024加密算法,将系统中的大部分文档文件加密为.KRAB后缀的文件,然后对用户进行勒索。GandCrab勒索病毒从2018年1月被首次发现之后,仅仅半年的时候,就连续出现了V1.0,V2.0,V2.1,V3.0,V4.0等变种,非常活跃,同时在分析这款V4.0版本的样本的时候,发现部分网络功能似乎还不太完善,很有可能近期黑产团伙会推出它的更新版,目前此勒索病毒无法解密。
发布时间:2018-07-06 12:20 | 阅读:173531 | 评论:0 | 标签:勒索软件 勒索病毒

Windows服务器下勒索木马的防护与对抗

摘要去年的WannCry勒索病毒,让全社会都关注到了这类新生的恶意软件。从去年下半年开始,勒索病毒在国内的攻击重点开始转向了各类服务器,尤其以windows服务器为主。黑客利用弱口令和各类系统漏洞,软件漏洞向服务器远程渗透投毒,经常出现一个服务集群多台主机被感染的情况,造成的影响轻则服务中断,有严重的更影响到整个公司的运营,已经成为影响企业安全的一大问题。趋势与拦截数据针对服务器的爆破攻击,一直是服务器主机面临的一大类安全风险,我们对过去近两个月来的爆破攻击拦截量进行了统计,虽然从数据波峰来看涨势并不明显,但波谷却一直在稳步提升,整体趋势还是有进一步提升的风险性。
发布时间:2018-04-27 12:20 | 阅读:139361 | 评论:0 | 标签:系统安全 勒索病毒

“爱马仕”敲诈者:敲诈者中的奢侈品

前言近期,我们发现一款名为”爱马仕”的勒索病毒又开始在国内传播,该勒索病毒此次的主要攻击目标是windows服务器。目前流行的服务器勒索病毒中,有超过九成是通过远程桌面进行传播的。该勒索病毒更让人头痛的一点是,它除了不加密exe、dll、ini、lnk几种类型的文件外,其余的类型的文件它都会加密。在这里再次提醒大家,开启服务器远程桌面时需要谨慎处理,万不可在使用弱口令的机器上开启,不要有侥幸心理。
发布时间:2018-04-17 12:20 | 阅读:126920 | 评论:0 | 标签:勒索软件 勒索病毒

勒索病毒入侵儿童医院,防御袭击需常态化!

节后流感高发,医院也开始变得人满为患,然而就在大家为流感忙得焦头烂额时,勒索病毒又来了。近日,国内两家省级医院服务器疑似遭最新勒索病毒攻击,致其系统瘫痪,同时数据库文件被加密破坏,已影响正常就医秩序。 据悉,其中一家湖南省儿童医院受到的影响最为严重,从2018年2月24日7点左右,全院所有的医疗系统均无法正常使用,经过查实,医院服务器中了疑似最新的勒索病毒,目前,黑客要求院方在6小时内为每台中招机器支付1个比特币,根据目前比特币最新的价格,1枚比特币约合人民币6.5万元左右。
发布时间:2018-03-01 18:10 | 阅读:181920 | 评论:0 | 标签:安全前沿 信息安全 内网安全 勒索病毒 终端安全

国产勒索病毒Xiaoba来袭 200秒交不上赎金就“撕票”

勒索病毒是个舶来品,无论是英文版的勒索信息,还是比特币这一赎金交付方式,都透漏着浓浓的国际化味道。而最近,360安全中心却拦截到一款国产化水平极高的勒索病毒,每个勒索细节都为国内中招者精心考虑,目的就是尽快收到赎金。病毒本地化让中招者付出的代价更大,倒计时200秒还不缴赎金,被加密的文件就会被全部销毁!360安全卫士拦截到“Xiaoba”勒索病毒这款新型勒索病毒名为“Xiaoba”,它会伪装成软件安装包扩散传播。为了让中招者放松警惕,病毒执行时会弹出“加载页面”,让人误以为是正常的软件安装现象,背地里实际上进行着悄悄加密的勾当,中招文件的后缀名均被更改为“Xiaoba”。
发布时间:2017-11-08 05:05 | 阅读:204339 | 评论:0 | 标签:威胁情报 Xiaoba 勒索病毒 国产

新型勒索病毒BadRabbit突袭东欧

近日一款新型勒索病毒BadRabbit在东欧爆发,乌克兰、俄罗斯的企业及基础设施受灾严重。与此前席卷欧洲的Petya类似,BadRabbit能在局域网内扩散,形成“一台感染、一片瘫痪”的局面。不过,用户无需过分担心,目前该病毒在国内并无活跃迹象,大家只要开启安全软件即可有效防御。360安全卫士已对Bad Rabbit勒索病毒实现拦截BadRabbit勒索病毒通过一些俄语系的新闻网站进行挂马传播,当中招者访问这些被挂马的网站,浏览器就会弹出伪装的Adobe flash player升级的对话框,一旦用户点击了“安装”按钮,就会自动下载勒索病毒。
发布时间:2017-10-26 15:10 | 阅读:122463 | 评论:0 | 标签:牛闻牛评 Adobe flash BadRabbit 勒索病毒 弱密码

火力全开 猎捕“坏兔子”勒索病毒

10月24日,欧洲遭遇新一轮勒索病毒攻击,俄罗斯、乌克兰、土耳其、德国等国均受到影响,目前已经开始向美国扩散。该勒索病毒被命名为“Bad Rabbit”(中文译名:坏兔子),亚信安全将其检测为Ransom_BADRABBIT.SM和Ransom_BADRABBIT.SMA。该勒索软件将受害电脑的文件加密,让电脑无法使用,从而要求支付赎金。“坏兔子”勒索软件要求支付0.05比特币(合275美元)。经过研究人员深入分析,虽然 “坏兔子” 拥有部分与Petya勒索病毒相同的代码,但是最新的这波攻击不大可能造成Petya那种程度的全球性破坏。
发布时间:2017-10-25 22:15 | 阅读:215043 | 评论:0 | 标签:威胁情报 亚信安全 勒索病毒 坏兔子

【干货分享】应急响应案例分析与经验分享

阅读: 27网站首页图片被篡改;服务器被上传大量博彩文件,且rm -rf不能删除;服务器中了勒索病毒,文件被加密……出现以上情况如何应急?别着急,绿盟科技一线交付工程师手把手教你应急响应,快快来学习吧!应急响应准则:有迹可循,倒推分析攻击者:漏洞->攻击行为->攻击迹象应急人员:攻击迹象->攻击者->行为分析->定位漏洞文章目录案例一:网站首页图片被篡改案例二:服务器被上传大量博彩文件,且rm -rf不能删除案例三:服务器中了勒索病毒,文件被加密经验分享案例一:网站首页图片被篡改攻击者入侵成功后可能会对网站进行篡改,比如上传黑页、博彩页面、webshell等。

绿盟答疑|为什么设置了由外到内全部禁止的策略,依然感染了勒索病毒?

阅读: 18企业网络,部署了各种安全设备,尤其是互联网网关的地方,防火墙设置了安全策略,从外面过来的一概不允许进入。蠕虫勒索究竟是如何进入到企业网络内部的呢?文章目录蠕虫型勒索对全球企业造成破坏蠕虫勒索的初始传播TAC是检测和防御勒索软件的秘密武器NGTP解决方案蠕虫型勒索对全球企业造成破坏距离Petya勒索蠕虫爆发过去整整一个月,对于中招的企业,不啻一场噩梦。航运一哥马士基,分布在全球的港口IT系统,很多主机感染勒索软件,导致航运调度系统无法正常工作,货物和船舶失联,引起了相关制造、物流企业的骚动,甚至一度影响了马士基在证券市场的表现。
发布时间:2017-08-02 01:05 | 阅读:137898 | 评论:0 | 标签:技术前沿 NotPetya Petya WannaCry 下一代威胁防御解决方案 勒索病毒 威胁防御 数据恢复 绿盟 威

Petya和NotPetya的关键技术性区别

阅读: 1有关Petya和NotPetya的文章这段时间已经铺天盖地了。大家都知道Petya和NotPetya是利用了永恒之蓝的漏洞,修改用户主引导记录(MBR),从而实现文件的加密。可是它们之间的具体区别是什么呢?本篇文章着重从技术角度分析了Petya和NotPetya的关键不同点。文章目录区别点1:XOR key区别点2:Mini-Kernel的责任区别点3:重启风格区别点4:骷髅显示区别点5:勒索信息区别点1:XOR keyPetya和NotPetya都是读取MBR并用一个简单的XOR key对其进行加密。
发布时间:2017-07-10 16:00 | 阅读:173533 | 评论:0 | 标签:安全分享 安全意识 技术前沿 MBR勒索病毒 NotPetya Petya Petya 技术分析 勒索病毒 永恒之蓝

勒索病毒催生的企业安防新思路

阅读: 16WannaCry和Petya肆虐的这段期间,绿盟君在朋友圈得到了前所未有的关注。各路IT英雄纷至沓来,争相“致以慰问”:作为攻防界的老司机,绿盟君需要唠一唠这事儿。快快拿出西瓜,搬起小板凳,坐到黑板面前来吧!其实早在WannaCry爆发的两个月之前,微软就发布了针对该漏洞的补丁MS17-010。可是,为什么还是有那么多的组织中招呢?这就要涉及到补丁圈那欲说还休的二三事了。及时更新补丁:知易行难为了网络安全起见,一般企业都会制定补丁更新策略,可能一周一打补丁,可能一月一打补丁。微软也有沿袭已久的“周二补丁日”,目的就是提供补丁规律性。
发布时间:2017-07-05 00:40 | 阅读:165337 | 评论:0 | 标签:安全分享 Petya Ransomware TAC威胁检测 WannaCry 勒索病毒 未知威胁检测 绿盟科技 网络安全

ADS

标签云