记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

GandCrab勒索病毒就此销声匿迹了吗?

GandCrab勒索病毒是一种广泛使用的加密病毒,自2018年1月以来一直活跃在攻击第一线,目前恶意软件已经出现多种攻击性变种,包括 .GDCB,.KRAB,.CRAB,GandCrab 2,GandCrab 3,GandCrab 4,GandCrab v4.1,GanCrab v4.1.2和GanCrab v5(包括GandCrab 5.0.1,GandCrab 5.0.2,GandCrab 5.0.3,GandCrab 5.0.4,GandCrab 5.0.5,GandCrab 5.0.6和2019年4月发现的GandCrab 5.3)。在这么短短的两年时间里,GandCrab经历了很多版本的更新迭代,传播感染多式
发布时间:2019-11-05 13:10 | 阅读:10080 | 评论:0 | 标签:勒索软件 GandCrab 勒索病毒

伪装成Office文档的sodinokibi勒索病毒大量攻击中韩企业

一、背景近期腾讯安全御见威胁情报中心检测到大量借助钓鱼邮件传播的sodinokibi勒索病毒攻击中韩两国企业。中招用户被勒索0.15个比特币(市值7800元人民币),中招企业主要集中在广东、山东、江苏、上海、北京等地,主要受害企业包括IT公司、科研和技术服务机构,以及传统制造企业。钓鱼邮件伪装成以“偿还债务”、“支付汇款建议”为主题,并在附件中添加包含勒索病毒的压缩文件,中文版为“您的账号.zip”、韩文版为“송장 10.2019.zip”,解压后分别为“付款发票.xls.exe”、“10 월 송장.xls.exe”,都是伪装成表格文件的sodinokibi勒索病毒。从钓鱼邮件内容格式、主
发布时间:2019-10-25 13:10 | 阅读:15877 | 评论:0 | 标签:勒索软件 勒索病毒

2019年7月勒索病毒疫情分析

勒索病毒的蔓延,给企业和个人都带来了严重的安全威胁。360安全大脑针对勒索病毒进行了全方位的监控与防御。从本月数据来看,反勒索服务反馈量有小幅度上升,其中Stop是反馈量上升最大的一个家族。360解密大师在本月新增了对LoopCipher勒索病毒家族的解密支持。感染数据分析相较于六月数据,本月反勒索服务的反馈量有小幅度的上升,其中以Stop的反馈量上升最大。同时在本月反馈中,勒索病毒的类型也是最为丰富的一次,共出现了29个不同家族勒索病毒。图1.近12个月勒索病毒反馈统计对本月勒索病毒家族占比分析看:GlobeImposter家族占比21.21%居首位, phobos和Stop两个家族则以14.20%和13.65%的占
发布时间:2019-08-10 00:25 | 阅读:55307 | 评论:0 | 标签:观察 勒索病毒

勒索病毒新姿势:伪装SpyHunter安全软件

GarrantyDecrypt扮演SpyHunter近日,国外安全研究人员曝光了一款伪装成安全软件SpyHunter的勒索病毒,其开发人员使用了SpyHunter的标识作为勒索软件的图标,同时将文件命名为“SpyHunters.exe”,通过钓鱼邮件附件进行传播,并在勒索文本中写道“Our company SpyHunter is guaranteed to decrypt your files.Creating and removing viruses is our vocation”。(我们公司 Spy Hunter 保证解密您的文件,创建和删除病毒是我们的职业)事实上,该勒索病毒是GarrantyDecrypt&
发布时间:2019-08-05 17:25 | 阅读:40743 | 评论:0 | 标签:勒索软件 勒索病毒

2019上半年勒索病毒家族概览

截至2019年6月,勒索病毒的活跃度依旧高居不下,相对于刚进入大众视野时的“蠕虫式”爆发,如今的勒索病毒攻击活动越发具有目标性、隐蔽性,攻击者通常会破坏入侵过程留下的证据,使得溯源排查难以进行;勒索变种也趋于“无特征化”,如使用随机后缀、勒索信息文件无明显特征等,难以分辨其家族。高发勒索家族从勒索病毒家族来看,国内高发的勒索病毒家族主要有GlobeImposter、GandCrab、CrySiS、CroptON、Attention等:受害行业分布从勒索病毒攻击目标来看,企业、科研教育成为勒索病毒的主要目标行业,总占比达到52%;在企业受害用户中,文件服务器、财务服务器等存储重要数据文件的服务器通常是攻击者的首要目标:受
发布时间:2019-06-25 17:25 | 阅读:58342 | 评论:0 | 标签:观察 勒索病毒

识别使用随机后缀的勒索病毒Golden Axe

背景概述国外安全研究员在3月发现了一款名为Golden Axe的勒索病毒,Golden Axe是一款用go语言编写的勒索病毒,使用基于RSA公匙加密体系的邮件加密软件PGP开源代码对文件进行加密。国外安全研究员在曝光Golden Axe勒索病毒时提到,该勒索病毒加密后缀为.UIK1J,但经过深信服安全团队对捕获样本的详细分析,该勒索软件实际上是加密后修改文件后缀为五位随机字符,每一次加密后生成的文件后缀都不相同;尽管不能通过加密后缀来识别该勒索病毒,但Golden Axe勒索病毒的勒索信息文件却具有很高的辨识度,命名为#instructions-ID#.txt/vbs/jpg。勒索特征1.加密后修改文件后缀为五位随机字
发布时间:2019-04-02 12:25 | 阅读:58360 | 评论:0 | 标签:勒索软件 勒索病毒

勒索病毒新常态,机构企业成主要攻击目标!

过去一年里,勒索软件的攻击数量虽然整体下降了,但是对机构企业的攻击却并不少,数据显示超过80%的勒索软件感染都是针对机构企业的。相比广撒网,更有选择性的攻击能为网络罪犯带来更多利益,所以现在网络犯罪团伙已经开始将目光放到机构企业身上。 “少而精”的勒索软件攻击! 对大型企业和组织机构发起的“少而精”的攻击已经是勒索软件进行数据劫持的新模式。在这个月里英联邦警署就遭遇了勒索软件袭击,导致部分数据被删除、数据被加密致无法访问、电子邮件服务被禁用以及文件无法调阅。挪威铝生产商在这个月的一份监管公告中也承认,网络攻击影响了该公司多个业务区的运营,严重的勒索软件攻击导致其全球计算机网络系统宕机,迫使该公司某些操作回到人工过程时代。 在我们国内,国家计算机病毒应急处理中心监测也发现,GandCrab V5.2勒索软件新变种
发布时间:2019-03-29 13:10 | 阅读:75132 | 评论:0 | 标签:安全前沿 勒索病毒 终端安全

勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击

概述腾讯御见威胁情报中心检测到,不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,包含“Min,Gap Ryong”及其他假冒的发件人约70余个,邮件附件名为“03-11-19.rar"。GandCrab勒索病毒是国内目前最活跃的勒索病毒之一,该病毒在过去一年时间经过5次大版本更新,腾讯威胁情报中心曾多次发布预警,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20
发布时间:2019-03-14 17:20 | 阅读:81228 | 评论:0 | 标签:技术 公安机关 勒索病毒 鱼叉邮件

UNNAMED1989勒索病毒分析报告

病毒简介2018年12月1日,国内出现首个要求使用微信支付的勒索病毒,在网络中引起不小的恐慌。该勒索病毒病毒使用E语言开发,是有史以来第一款使用中文开发的勒索病毒。病毒运行后会加密当前桌面和非系统盘中的指定文件,中毒后重启机器会弹出勒索信息提示框,并附带二维码提示用户使用微信扫码支付110元赎金进行文件解密。图:勒索主界面病毒分析瑞星对该勒索病毒的生命周期做了详细分析,发现该病毒具有一定危害性,但并没有达到公众对其恐慌的级别。该病毒作者应属于初级开发水平,没有任何技术含量可言,唯一的亮点是其传播途径“供应链污染”。1、加密算法简单,被勒索文件可以完全还原病毒作者声称文件使用DES加密算法加密,加密密钥被上传到服务器。瑞
发布时间:2018-12-07 12:20 | 阅读:93393 | 评论:0 | 标签:技术 勒索病毒 报告 瑞星

“微信支付”勒索病毒传播始末

UNNAMED1989“微信支付”勒索病毒让不少用户过了一个不平静的周末,文件无法正常打开,重要数据被加密。在用户一筹莫展之际,360安全卫士迅速推出了解密工具,帮用户解决了数据被加密的难题。但病毒从何而来,以后又该如何预防呢?本文将对这个事件做一次全面分析,帮助用户一起应对此类勒索病毒威胁。感染原理分析感染原理之前,我们先从此次勒索病毒的传播源说起,在之前的报告中,我们已经提到,受感染机器多是由于使用了“辅助外挂”,由这些外挂携带的木马下载器造成的感染。那为什么会有这么多的外挂软件同时携带这款病毒呢?是这些外挂作者开发了这个木马下载器和勒索病毒么?带着这个疑问,我们深入分析发现,受影响的软件集中在易语言编写的程序上,
发布时间:2018-12-05 17:20 | 阅读:82838 | 评论:0 | 标签:技术 勒索病毒 微信支付

“微信支付”勒索病毒制造者被锁定 传播、危害和疫情终极解密

12月1日,首个要求“微信支付”赎金的勒索病毒在国内爆发,根据“火绒威胁情报系统”监测和评估,截至4日晚,该病毒至少感染了10万台电脑,不光锁死电脑文件,还窃取了数万条多个平台的用户密码等信息。根据火绒团队的分析、溯源,该病毒使用“供应链污染”的方式传播。该病毒首先通过相关论坛,植入被大量开发者使用的“易语言”编程程序,进而植入他们编写的各种软件产品,所有使用这些软件产品的电脑都可能被感染。活跃的染毒软件超过50款,其中多数是“薅羊毛”类灰色软件。图:部分被感染软件火绒团队发现,病毒制造者利用豆瓣等平台当作下发指令的C&C服务器。火绒团队通过逆向分析病毒的下发指令,成功解密出其中2台病毒服务器,发现大量被病毒窃
发布时间:2018-12-05 00:20 | 阅读:75920 | 评论:0 | 标签:技术 勒索病毒 微信支付

“微信支付”勒索病毒已被破解

一、概述前天(12月1日)突发的"微信支付"勒索病毒,已被火绒安全团队成功破解。被该病毒感染的用户可以下载破解工具,还原被加密的文件。据火绒安全团队分析,该勒索病毒开始勒索前,会在本地生成加密、解密相关数据,火绒工程师根据这些数据成功提取到了密钥。此外,该勒索病毒只加密用户的桌面文件,并会跳过一些指定名称开头的目录文件, 包括"腾讯游戏、英雄联盟、tmp、rtl、program",而且不会感染使用gif、exe、tmp等扩展名的文件。值得一提的是,该病毒会利用带有腾讯签名的程序调用病毒代码,来躲避安全软件的查杀。"火绒安全软件"已紧急升级,可拦截、查杀该病毒。
发布时间:2018-12-03 12:20 | 阅读:97515 | 评论:0 | 标签:勒索软件 勒索病毒

勒索病毒卷土重来,IP-guard为你支招!

被很多人遗忘的勒索病毒又来了,这次来的可不止是臭名昭著的Wannacry系列病毒,像GlobeImposter、Petya、 Satan等异种勒索病毒也开始对企业进行攻击和破坏,这些病毒不仅会入侵服务器以及数据库加密文件,还会直接感染主机加密磁盘文件,让企业业务难以开展,影响企业的正常运营。 勒索病毒再掀波澜,台积电被攻击停产! 说起近期被勒索病毒感染影响的企业,不得不提之前的台积电事件。8月初,台积电营运总部和新竹科学园区的的12英寸晶圆厂的电脑,遭到勒索病毒入侵,生产线全数停摆,几个小时之内,台积电在台湾北、中、南三处重要生产基地均未能幸免。媒体称,这次攻击台积电设备的是勒索病毒Wannacry,具体现象是电脑蓝屏,锁各类文档、数据库。 因为勒索病毒的攻击,台积电几个重要厂房全数生产线几乎被停摆,直至两天
发布时间:2018-09-14 18:10 | 阅读:104521 | 评论:0 | 标签:安全前沿 勒索病毒 预防勒索病毒

预警:GandCrabV4.0勒索病毒来袭

一、事件背景最近国外安全研究人员发现了GandCrab勒索病毒的V4.0最新版变种,深信服EDR安全团队马上对此事进行了相关跟进,第一时间获取到了相应的变种样本,确认此样本为GandCrab勒索家族的最新的变种,同样采用RSA1024加密算法,将系统中的大部分文档文件加密为.KRAB后缀的文件,然后对用户进行勒索。GandCrab勒索病毒从2018年1月被首次发现之后,仅仅半年的时候,就连续出现了V1.0,V2.0,V2.1,V3.0,V4.0等变种,非常活跃,同时在分析这款V4.0版本的样本的时候,发现部分网络功能似乎还不太完善,很有可能近期黑产团伙会推出它的更新版,目前此勒索病毒无法解密。该勒索病毒主要通过邮件、漏
发布时间:2018-07-06 12:20 | 阅读:142311 | 评论:0 | 标签:勒索软件 勒索病毒

Windows服务器下勒索木马的防护与对抗

摘要去年的WannCry勒索病毒,让全社会都关注到了这类新生的恶意软件。从去年下半年开始,勒索病毒在国内的攻击重点开始转向了各类服务器,尤其以windows服务器为主。黑客利用弱口令和各类系统漏洞,软件漏洞向服务器远程渗透投毒,经常出现一个服务集群多台主机被感染的情况,造成的影响轻则服务中断,有严重的更影响到整个公司的运营,已经成为影响企业安全的一大问题。趋势与拦截数据针对服务器的爆破攻击,一直是服务器主机面临的一大类安全风险,我们对过去近两个月来的爆破攻击拦截量进行了统计,虽然从数据波峰来看涨势并不明显,但波谷却一直在稳步提升,整体趋势还是有进一步提升的风险性。图1自去年(2017年)下半年以来,服务器入侵就成为了勒
发布时间:2018-04-27 12:20 | 阅读:114529 | 评论:0 | 标签:系统安全 勒索病毒

“爱马仕”敲诈者:敲诈者中的奢侈品

前言近期,我们发现一款名为”爱马仕”的勒索病毒又开始在国内传播,该勒索病毒此次的主要攻击目标是windows服务器。目前流行的服务器勒索病毒中,有超过九成是通过远程桌面进行传播的。该勒索病毒更让人头痛的一点是,它除了不加密exe、dll、ini、lnk几种类型的文件外,其余的类型的文件它都会加密。在这里再次提醒大家,开启服务器远程桌面时需要谨慎处理,万不可在使用弱口令的机器上开启,不要有侥幸心理。      图1.敲诈提示信息样本分析初始化工作· 磁盘容量不足不加密首先,勒索病毒会检测中招者磁盘的剩余量,如果获取磁盘剩余量失败或者是磁盘的容量不足4G,勒索病毒就会停止工作。图2.
发布时间:2018-04-17 12:20 | 阅读:102516 | 评论:0 | 标签:勒索软件 勒索病毒

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云