记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华勒索软件的攻击响应和处理方法
近年来,勒索软件是全球范围内快速增长的威胁之一,并且被认为是全球网络攻击的领导者,因为它能导致许多组织和个人面临一些安全问题和巨大损失。勒索软件攻击的成本仅在一年内就超过了10亿美元,而且勒索软件攻击数量扔日益增加。勒索软件对于一些犯罪分子来说,就是一个用赎金来换取钥匙的恶意游戏。随着受害者的赎金持续增长,致使勒索软件成为了一个数十亿美元的产业。所以,想要把它连根拔起没那么容易。本文中我们将看到针对复杂勒索软件攻击的响应及处理方法。勒索软件的共同点勒索软件的一个共同点是,所有的勒索软件变种,都使用了非常强大的加密方法(2048 RSA密钥)。另外提一句,据专业人士估计需要大约6.4万亿年才能破解一台普通台式计算机的RS
Clop勒索软件分析
Clop是一类相对较新的勒索软件,于今年2月出现在公众视野中,Clop背后团队的主要目标是加密企业的文件,收到赎金后再发送解密器。目前Clop仍处于快速发展阶段。本文将对clop勒索软件的技术细节做分析,并分享其背后的运作信息。在过去的几个月里我们观察到的变体中,Clop的创作者使用了一些我们以前从未见过的创新技术。鉴于Clop有许多变种,在本文中,我们只将重点放在它的主要版本及少部分变种上。Clop第一版第一版Clop中签署了以下证书:图1.程序签名,以避免AV检测对恶意二进制文件签名后,有一定几率通过安全解决方案的检测。但在我们观察到该版本的几天后,此证书就被撤销了,转而在另一版本出现了一个新证书:图2.新版本中的
从赎金角度看勒索病毒演变
自2017年一场全球性互联网灾难——Wannaycry爆发,勒索病毒正式进入人们的视野,如同打开了潘多拉的盒子。近年来,勒索病毒无论是传播方式,还是代码结构,都一直在“进化”。但今天,我们不谈技术,单单从经济角度,谈一谈勒索病毒在交易过程中的演变。交易过程即支付赎金的过程,从另外一个角度探索,勒索病毒为何会如此“繁荣”?为了更好回答这个问题,我们不急于直入主题,先来谈谈历史背景。Tor洋葱网络(暗网)1995年,美国海军实验室开始研发一种匿名通信机制,可以避免人们的行迹在Internet上被追溯到。他们把这个技术叫做Onion Router,即“洋葱路由”,其形成的网络也叫Tor。2004年底,Tor正式对普通用户发布
发布时间:2019-08-30 18:10 |
阅读:8558 | 评论:0 |
标签:勒索软件
警惕Ouroboros勒索病毒来袭,已有医疗、电力系统受攻击
一、概述腾讯安全御见威胁情报中心通过蜜罐系统监测到Ouroboros勒索病毒在国内有部分传播,监测数据表明,已有湖北、山东等地的医疗、电力系统的电脑遭遇该勒索病毒攻击。经分析发现,该病毒的破坏仅在部分有限的情况可解密恢复,但在病毒按预期运行,基础设施完善情况下,暂无法解密。Ouroboros勒索病毒首次出现于2019年8月中旬,目前发现其主要通过垃圾邮件渠道传播,由于其PDB路径中包含Ouroboros故因此得名,该病毒加密文件后会添加.Lazarus扩展后缀。腾讯安全提醒各政企机构提高警惕,避免打开来历不明的邮件。Ouroboros勒索病毒受害者的求助贴Ouroboros勒索病毒的主要特点:1.病毒会删除硬盘卷影副本
发布时间:2019-08-30 18:10 |
阅读:9346 | 评论:0 |
标签:勒索软件
数码单反相机竟然也可以被黑客实施勒索攻击!不信吗!请拿出你的佳能相机过过目!
图片传输协议(PTP)现代单反相机不再使用胶片来捕捉和再现图像,而是使用图片传输协议(PTP)。图片传输协议最初主要涉及图像传输,现在这个协议包含了几十个不同的命令,支持从拍照到升级相机固件的任何操作。以前大多数用户使用USB数据线将相机连接到个人电脑,但新款相机现在支持WiFi连接。这意味着,曾经只有USB连接设备才能访问的PTP/USB协议,现在也变成了每个近距离支持wifi的设备都可以访问的PTP/IP协议。在一次演讲中,Daniel Mende (ERNW)展示了佳能EOS相机当时支持的每一种网络协议可能遭受的所有不同的网络攻击。在演讲的最后,Daniel讨论了PTP/IP网络协议,展示了攻击者可以通过从网络嗅
师出同门,勒索不休:GandCrab退役后SODINOKIBI登场
2019年4月,Cybereason Nocturnus团队遇到了一种名为Sodinokibi(又名Sodin、REvil)的新型勒索软件。Sobinokibi具有很强的隐蔽性,采取了多种措施来防止检测。Sodinokibi的作者疑似与另一勒索软件的作者——GandCrab有关。GandCrab是一款于近退役的勒索软件,因为其幕后团队称自己“已赚到了足够多的钱”。在过去的勒索软件事件中,全球有近40%的感染是由GandCrab造成的。如果这种关联是准确的,那么Sodinokibi可能有朝GandCrab为目标发展的潜质。勒索软件对许多组织机构来说仍然是一个巨大的商业隐患,像Sodinokibi和GandCrab这样的高
亚马逊 S3 存储桶勒索软件攻防详解(下)
S3 勒索软件概述正如本博文的第一部分所阐述的,S3勒索软件是一种可以对公司造成极大影响的攻击。 S3勒索软件是指攻击者能够访问受害者的 S3 存储桶,然后用自身的新副本替换每个对象,但用攻击者的 KMS 密钥进行加密。 受害者将不再能够访问他们自己的 S3对象,需要服从攻击者的要求才能获得这些对象(或者花费额外的时间成本冒着去当局或 AWS 进行事件响应的风险)。方法 # 3: 在你的账户中记录和监控活动你应该始终在你的帐户中启用 AWS CloudTrail。 理想情况下,CloudTrail 应该覆盖所有账户的所有区域,记录读写管理事件,记录 S3 存储桶 和 Lambda 函数的数据事件,启用日志文件加密,并启
Sodinokibi勒索病毒运营团伙猖獗,针对国内用户大肆敛财
近日,全国多省大中型企业持续遭到勒索病毒攻击,经深信服安全团队分析排查,均为一款名为“Sodinokibi”的勒索病毒作祟。该勒索病毒家族的运营团伙近期异常活跃,针对国内众多行业发起攻击,以“先攻破一台,再覆盖全网”的手法,对用户内网主机投放勒索进行加密,受灾最严重的企业内网服务器基本瘫痪,每次遭受攻击解密所需赎金不下20万人民币。蔓延迅猛,来势汹汹早于今年4月,深信服安全团队首次发现了这款继承了GandCrab代码结构的勒索病毒,将其命名为“DeepBlue”勒索变种,其特点为使用随机加密后缀,并且加密后会修改主机桌面背景为深蓝色:随后,国内外安全厂商纷纷发布Sodinokibi勒索病毒相关报告。深信服安全团队追踪S
亚马逊 S3 存储桶勒索软件攻防详解(上)
攻击向量简介通过我们的云安全研究,我们在犀牛安全实验室(Rhino Security Lab)开发出了一个概念验证的”云勒索软件",该勒索软件使用 KMS 加密亚马逊 S3存储桶内的 AWS 帐户对象。 攻击者利用这个勒索软件获得对受害者系统的访问控制权限,并对受害者系统上的敏感数据进行加密。 与此同时,攻击者还会威胁受害者,告知受害者,如果受害者不在某一时限内付款,就会删除或公开发布数据。 通常,这些攻击的目标是服务器、工作站和类似的设置,但与许多攻击一样,这种攻击也有"云等效"的性质。S3勒索软件是非常具有破坏性的,我们的研究和博客文章并不打算以任何方式协助攻击者实施攻击。 由于这个原
ERIS勒索病毒变种来袭,被加密的文件暂无法解密
一、概述腾讯安全御见威胁情报中心监测到,ERIS勒索病毒变种在国内有部分感染。ERIS勒索变种使用go语言编写,加密文件完成后会添加5字节的随机扩展后缀。病毒加密用户数据之后勒索0.05比特币(市值约4000元人民币)。由于该病毒使用RSA+Salsa20对文件进行加密,被加密后的文件暂时无法解密。ERIS勒索病毒为防止用户利用反删除工具恢复文件,该病毒会调用磁盘擦除工具cipher.exe将病毒完成数据加密后删除的原文件彻底破坏,使用户恢复数据的最后希望彻底破灭,我们提醒政企机构高度警惕,腾讯电脑管家、腾讯御点终端安全管理系统均可拦截该病毒。ERIS勒索病毒首次出现于2019年5月,该勒索家族病毒擅长通过垃圾邮件,L
Shade活跃,中国将成为下一个受害者?
Shade光顾 ?2014年底,国外安全人员首次发现Shado勒索软件,其目标主要是俄罗斯,但近期,这个历史悠久的勒索软件已经开始“光顾”俄罗斯以外的国家,这表明,开发商正在增加其受害者集的广度。Shade又名“Ransom.Troldesh”,通过钓鱼邮件进行传播。从2018年第四季度到2019年第一季度,Shade攻击事件数量飙升,其感染企业多数是高科技类别组织,教育和电信也是他们青睐的目标。“袭击就像鲨鱼一样,它们的攻击尽可能多而有效,当它们达到不需要进一步攻击的水平时,才会停止。”鉴于此,深信服安全团队将会持续关注Shade攻击活动。勒索特征勒索病毒运行之后,桌面背景被改变,如下所示:勒索病毒生成10个勒索信息
ESET最近发现了一款新的Android勒索软件,它通过向受害者的手机的联系人列表发送恶意短信继续传播
最近ESET研究人员发现了一个新的Android勒索软件家族,它们试图通过向受害者的手机的联系人列表发送恶意短信继续传播。在Android勒索软件遭遇两年的衰退之后,一个新的Android勒索软件家族又出现了。目前,该家族已经被ESET Mobile Security检测到,并被定义为Android / Filecoder.C。目前该勒索软件正在通过各种在线论坛进行传播。借助受害者的联系人列表,然后将带有恶意链接的短信进一步传播。由于目标范围狭窄,并且在执行过程中存在缺陷,这种新的勒索软件的攻击力还是有限的。但是,如果幕后的开发者开始定位更广泛的用户群,Android / Filecoder.C勒索软件可能会成为一个严
勒索病毒新姿势:伪装SpyHunter安全软件
GarrantyDecrypt扮演SpyHunter近日,国外安全研究人员曝光了一款伪装成安全软件SpyHunter的勒索病毒,其开发人员使用了SpyHunter的标识作为勒索软件的图标,同时将文件命名为“SpyHunters.exe”,通过钓鱼邮件附件进行传播,并在勒索文本中写道“Our company SpyHunter is guaranteed to decrypt your files.Creating and removing viruses is our vocation”。(我们公司 Spy Hunter 保证解密您的文件,创建和删除病毒是我们的职业)事实上,该勒索病毒是GarrantyDecrypt&
勒索组织INDRIK SPIDER半路分家,DoppelPaymer应运而生
CrowdStrike研究团队近日确定了BitPaymer勒索软件的一类新变种,并将其命名为DoppelPaymer。自2019年6月以来,DoppelPaymer涉及了一系列恶意勒索活动,其中就包括美国德克萨斯州埃德库奇市和智利的农业部的袭击事件。DoppelPaymer与BitPaymer大部分代码是相同的,不过也存在许多差异。BitPaymer之前一直由INDRIK SPIDER恶意组织运营,这个转变可能意味着INDRIK SPIDER有成员出走,并自行将Dridex银行木马和BitPaymer融合到了一起,开启了专属于自己的犯罪道路。INDRIK SPIDER起源INDRIK SPIDER是一个复杂的网络犯罪集
新型勒索软件MegaCortex的分析
英国网络安全公司Sophos在今年5月发现了一种名为MegaCortex的新勒索软件,根据当时的监测情况,MegaCortex已在美国、加拿大等多地区传播,该病毒攻击目标为大型企业,其通过域控服务器下发勒索病毒。在加密计算机时,勒索软件会给加密文件附加一个扩展名,有时候是.aes128ctr。也就是说名为marketing.doc的文件将被加密并重命名为marketing.doc.aes128ctr。目前尚不清楚这些扩展是否是静态的。与以往勒索病毒不同的是,本次勒索赎金不要求受害者支付加密货币,而是要求受害者购买他们的软件。在本文中,我们将对MegaCortex 勒索软件进行一些详细介绍并对攻击者加密受害者的计算机过程
发布时间:2019-07-24 12:25 |
阅读:40346 | 评论:0 |
标签:勒索软件
Sodinokibi勒索病毒利用Flash漏洞强势来袭
自GandCrab宣布停止运营以来,勒索病毒攻击事件并没有随着GandCrab的退出而减少,全球各地每天仍有用户因为数据遭到加密而损失惨重。在后来居上的各个勒索病毒家族中,Sodinokibi勒索已经成为了现在全球最流行的勒索病毒之一,也叫称为GandCrab的”接班人”。Sodinokibi勒索病毒的部分变种在加密后会将受害主机的屏幕设置成深蓝色,因此也被称为“DeepBlue”勒索,早在该勒索病毒活动的初期,深信服安全团队就已捕获到其利用Confluence漏洞(CVE-2019-3396)进行攻击的案例:《警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种》详细链接: https://mp
公告
关注公众号hackdig,学习最新黑客技术