记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

WastedLocker勒索软件技术分析

7月23日,导航设备和智能设备制造商Garmin遭受了大规模的服务中断,随后官方确认受到了网络攻击。截至7月29日,受影响的线上服务还未完全恢复。研究人员分析后发现,攻击者使用了一个木马WastedLocker,本文对该木马进行技术分析。 命令行参数 研究人员分析发现WastedLocker使用了命令行接口,可以处理多个控制运行方式的参数。 -p <directory-path> 优先处理:木马首先会加密指定的目录,然后将其加入到排除的列表中来避免再次二次处理,然后加密设备上剩余的其他目录。
发布时间:2020-08-06 14:07 | 阅读:11243 | 评论:0 | 标签:系统安全 base64编码 directory-path RSA 密钥 UAC WastedLocker 勒索软件 参数

勒索软件调查:Ryuk依然是最大威胁

思科Talos事件响应(CTIR)团队近日的事件响应趋势调研显示,Ryuk依然是最大威胁,且已经连续四个季度在勒索软件威胁领域占据主导地位。调查结果显示,Ryuk的运营商正在改变策略,给受新冠疫情影响的组织带来更大的风险。CTIR总经理Sean Mason表示,Ryuk在过去一年一直是对客户的最大勒索软件威胁,尽管该团队还观测到了其他勒索软件家族,包括Phobos和Maze。Mason解释说,在过去的几个季度中,Ryuk的发展方式表明其运营商正在改变攻击策略,“我们确实看到了Ryuk的一种新的攻击趋势,不一定会借助商品木马感染,这种新手法可能会使它在一段时间内难以被发现,并导致感染增加。
发布时间:2020-06-17 17:03 | 阅读:18948 | 评论:0 | 标签:厂商供稿 行业动态 首页动态 Ryuk 勒索软件

付不付赎金?勒索软件民调结果差异巨大

近年来勒索软件已经成为威胁企业和个人数据安全的最大威胁之一。但是对于企业遭受勒索软件攻击的责任归属,是否应当赔付个人用户,以及是否应当支付赎金方面,各国消费者调查结果呈现较大分歧。根据Veritas Technologies的最新调查研究,有40%的消费者认为企业领导者应对企业遭受的勒索软件攻击负责。此外,研究表明,大多数公众认为应当从遭受勒索软件攻击的企业中获得赔偿,65%的受访者希望获得赔偿,甚至9%的受访者希望将CEO送进监狱。
发布时间:2020-06-15 19:22 | 阅读:15620 | 评论:0 | 标签:牛闻牛评 首页动态 勒索软件 赎金

RobbinHood勒索软件另辟渠道,通过驱动漏洞干翻杀毒软件

概述 2月初,奇安信病毒响应中心在日常样本监控过程中发现了一款名为“RobbinHood”的勒索软件通过使用“另类”的方式关闭并删除杀软,经分析,在执行过程中会释放并加载带有漏洞的技嘉驱动程序,之后会对该驱动程序进行漏洞利用,关闭Windows DSE机制,一旦利用成功便会迅速加载没有签名的Rootkit,Rootkit主要功能为结束并删除指定的进程和杀软,上述操作完成后开始加密。
发布时间:2020-03-14 11:31 | 阅读:47709 | 评论:0 | 标签:系统安全 RobbinHood 勒索软件 驱动漏洞 漏洞

数据显示:美国只有38%的政府工作人员接受了勒索软件预防培训

IBM调查显示,有73%的政府人员担心勒索软件会威胁到全国各地的城市。与自然灾害和恐怖袭击相比,更多人担心对社区的网络攻击。 2019年,美国有100多个城市受到勒索软件的攻击。新的Harris Poll中的数据发现,勒索软件的攻击可能将更加广泛,每6个受访者中有1个透露其所在部门受到勒索软件攻击的影响。 尽管这些攻击事件有所增加,但接受调查的员工中有一半的人没有任何培训,只有38%的员工接受了全面的勒索软件预防培训。此外,根据接受调查的州和地方政府IT 或安全专业人员中,有52%的人认为用于管理网络攻击的预算仍然停滞不前。
发布时间:2020-03-12 10:54 | 阅读:37135 | 评论:0 | 标签:网络安全 勒索软件 培训 美国

不交“赎金”就打爆!出海游戏企业如何应对DDoS勒索

近年来,中国互联网出海已成燎原之势,游戏出海,网络先行。但是,DDoS 攻击却始终是环绕在出海游戏企业头顶的噩梦。近期,UCloud安全中心就接到一例关于DDoS勒索攻击的求助,最终经过完备的云上安全防护,成功逼退黑客。一、不交“赎金”就打爆!2019年12月下旬,某游戏公司突然遭到70G流量的DDoS攻击,并基于前期购买的UCloud高防服务抵抗住了这一波攻击。游戏公司负责人G先生本以为这就是一次小打小闹,黑客方应该已经知难而退。没有料到的是,这仅仅是一次攻击的前奏曲。当天晚上,G先生便收到了来自黑客组织的勒索消息。
发布时间:2020-03-11 20:13 | 阅读:43872 | 评论:0 | 标签:厂商供稿 DDoS 云安全 勒索软件 游戏出海 网络安全 网络攻击 黑客攻击 ddos

勒索软件五大家族的攻击目标与方法

勒索软件是劫持数据以索求赎金的一类恶意软件,面世已颇有些年头。第一起勒索软件攻击发生在1991年,当时一位生物学家通过平邮将载有首个勒索软件PC Cyborg的软盘寄给其他研究艾滋病的科学家。新千年第一个十年中期,采用加密技术的首款勒索软件Archiveus出现,其密码至今仍可在维基百科页面上找到——尽管此勒索软件早已被安全社区击溃。10年代初,“警方”系勒索软件包浮出水面;此类勒索软件因假冒司法机构发出的违法警告并索取“罚款”而得名,开始利用新一代匿名支付服务避开监管渔利。21世纪第二个十年里,一种新的勒索软件趋势浮现:网络罪犯首选加密货币作为赎金支付方式。
发布时间:2020-03-04 15:54 | 阅读:29729 | 评论:0 | 标签:术有专攻 首页动态 五大家族 勒索软件 深度分析 攻击

头号威胁:2020年勒索软件重装上阵

2020年,热度飙升的勒索软件已经成为与APT并列的最危险的网络安全威胁。针对性、复杂化和高伤害成本是2020年勒索软件加速“进化”的三大特征。重装上阵过去一年中业界多家安全厂商对勒索软件监测发现:勒索软件在陷入一段时间低潮后,已经全面恢复活力,攻击势头上升,频率也在增加。Juniper Network威胁实验室负责人Mounir Hahad指出了勒索软件攻击再次激增的两大深层原因:首先,加密货币价格的变化无常。很多加密货币劫持者都利用受害者电脑挖掘开源加密货币门罗币(Monero);随着门罗币价格的下跌,某个时候,加密货币劫持者就会意识到挖矿还不如勒索软件攻击赚钱。
发布时间:2020-03-04 15:54 | 阅读:34440 | 评论:0 | 标签:牛闻牛评 首页动态 2020年 勒索软件

Geerban勒索病毒正在爆破传播,还用了数十款密码抓取工具

一、概述腾讯安全御见威胁情报中心接受到用户求助,称其公司内服务器文件被全盘加密,被加密文件全部修改为.geer类型。经远程协助查看,攻击者疑似通过RDP弱口令登录成功后投毒,再将系统日志全部清除,并尝试在其机器上部署一系列扫描、对抗工具、密码抓取工具达数十个之多,攻击者利用这些工具,对内网其它机器实施攻击,以扩大勒索病毒对该企业网络的破坏数量,勒索更多不义之财。由于该病毒使用RSA+salsa20加密文件,暂无有效的解密工具,我们提醒各政企机构高度警惕,尽快消除危险因素,强化内网安全。 二、分析该勒索病毒编写极为简洁,仅使用22个函数来完成加密过程。
发布时间:2019-12-20 18:25 | 阅读:36445 | 评论:0 | 标签:勒索软件 Geerban

卡巴斯基:2019年在勒索软件围攻下的市政组织

当今,人们对安全措施必要性的整体认识正在增强,因此也反向促使着网络犯罪分子不断精进他们的攻击目标。回顾过去三年,在所有被恶意软件攻击的用户中,勒索软件的占比似乎呈现出下降趋势——2017年上半年的比例为3.53%,2019年上半年比例为2.94%。虽然这一变化看似不大,但现实中勒索软件往往能够造成严重的损害,我们也不应掉以轻心。图1.受勒索软件攻击的用户在被恶意软件攻击的所有用户中占比卡巴斯基观察到,每半年间大约有90万至120万的用户受到勒索软件攻击。
发布时间:2019-12-20 13:25 | 阅读:30573 | 评论:0 | 标签:观察 勒索软件

Matrix勒索病毒最新变种GSAFE曝光,单台赎金高达十万人民币

近日,深信服安全团队捕获到Matrix勒索病毒最新GSAFE变种,该勒索病毒使用Delphi语言编写,加密文件的同时,会将文件名修改为[邮箱].随机字符-随机字符.变种标识的格式,随后释放名为#GSAFE_README#.rtf的勒索信息文件:在近期的攻击中,黑客索要单台主机的赎金竟高达2.5个比特币(换算人民币约13万),而在今年年初,勒索病毒攻击事件中单台主机的赎金仅为0.2~0.8个比特币(换算人民币约1~4万):截至目前,该勒索病毒没有破解方法,暂无公开的解密工具,一旦数据被加密,受害者将陷入高额赎金和数据丢失两种艰难抉择的境地中。
发布时间:2019-12-04 13:25 | 阅读:37566 | 评论:0 | 标签:勒索软件 Matrix勒索病毒

新的勒索软件DeathRansom开始声名大噪

近日,一款新的勒索软件问世-DeathRansom。这个勒索软件一开始很不稳定,但是现在它的所有问题都已经解决,并已经开始感染受害者并加密他们的数据。当DeathRansom第一次传播时,它假装对文件进行加密,但是研究人员和用户发现,他们只需要删除附加的.wctc扩展名,文件就可以再次使用。不过,从11月20日左右开始,情况有所变化。不仅受害者的文件真正被加密,而且在勒索软件识别网站ID Ransomware上,有大量与DeathRansom有关的上传。
发布时间:2019-12-01 13:25 | 阅读:37456 | 评论:0 | 标签:勒索软件 DeathRansom

一家人就是要整整齐齐,GarrantyDecrypt勒索病毒最新变种居然做出这种事!

近日,深信服安全团队追踪到GarrantyDecrypt勒索病毒的最新变种,该变种会加密其所能访问的除Windows目录以外的所有文件,可谓寸草不生。由于其采用RSA+salsa20算法加密,目前该勒索样本加密的文件无解密工具。
发布时间:2019-11-22 13:25 | 阅读:39356 | 评论:0 | 标签:勒索软件 GarrantyDecrypt

利用IQY(Excel Web Query)文件分发,Buran勒索病毒又出新变种

近日,深信服安全团队关注到一项新的垃圾邮件活动用来传播Buran勒索病毒,其通过传播IQY(Microsoft Excel Web Query)附件,诱导用户打开附件,该附件通过请求网上数据执行powershell,用来进行病毒母体的下载。该家族之前使用”Rig Exploit Kit”工具包(使用CVE-2018-8174-微软IE浏览器远程命令执行漏洞)进行攻击,可以看到勒索病毒在使用多种技术以及方式进行攻击,让受害者防不胜防。
发布时间:2019-11-21 13:25 | 阅读:47999 | 评论:0 | 标签:勒索软件 Buran勒索病毒

破解 “.YOUR_LAST_CHANCE” 勒索病毒攻击

勿抱幻想说起勒索病毒,近年来最为人所熟知的要数2017年爆发的WannaCry,其以一己之力引发了席卷全球的大骚乱——波及150多个国家,超30万名用户中招,累计损失逾80亿美金,并在医疗、金融、能源等关系国计民生的重要行业制造了一系列严重危机事件…今天,距离大魔王WannaCry风波平息已过去两年多的时间,但安全仍未占据主动!如果你已经开始忘记勒索病毒曾经秀过的肌肉,安华金和在此严肃认真地给予友情提醒:相关数据显示,我国2018全年共监测到超430万台计算机遭受勒索病毒攻击,平均每天约1.2万台。
发布时间:2019-11-19 18:25 | 阅读:35994 | 评论:0 | 标签:勒索软件

新型勒索软件PureLocker现身,被Cobalt、FIN6等多个威胁组织使用

Intezer和IBM X-Force研究团队近期发现了一类新的勒索软件——PureLocker,它由一位资深的恶意软件即服务(MaaS)供应商在暗网上出售,并被Cobalt、FIN6等多个威胁组织使用。攻击者利用它对企业的生产服务器发起定向勒索攻击。PureLocker与“more_eggs”后门恶意软件密切相关,它由PureBasic编程语言编写,针对的操作系统包括Windows和Linux。PureLocker逃避检测的技术十分巧妙,出现几个月后才被安全人员发现,下面将介绍PureLocker的一些技术细节。
发布时间:2019-11-15 13:10 | 阅读:41360 | 评论:0 | 标签:勒索软件 PureLocker

​京广多地超2万台电脑被挖矿 攻击者利用永恒之蓝漏洞横向扩散

一、背景腾讯安全御见威胁情报中心检测到挖矿木马家族Lcy2Miner感染量上升,工程师对该病毒的感染进行回溯调查。结果发现,有攻击者搭建多个HFS服务器提供木马下载,并在其服务器web页面构造IE漏洞(CVE-2014-6332)攻击代码,当存在漏洞的电脑被诱骗访问攻击网站时,会触发漏洞下载大灰狼远程控制木马。接着由远控木马下载门罗币挖矿木马和“永恒之蓝”漏洞攻击模块,然后利用“永恒之蓝”漏洞攻击工具在企业内网攻击传播,最终攻击者通过组建僵尸网络挖矿牟利。截止目前该团伙已通过挖矿获得门罗币147个,市值约6.5万元人民币。
发布时间:2019-11-12 18:10 | 阅读:52597 | 评论:0 | 标签:勒索软件 漏洞

比特币价格回暖,Satan勒索再次变种袭击我国

概述勒索圈有个任性的病毒家族Satan,无论比特币价格如何波动,解密要价都是1 BTC。此次,趁着比特币价格回暖,Satan勒索病毒推出了最新的变种,通过勒索提示信息,可以发现该变种实现了更完整的国产化,作者会提示用户通过火币网购买比特币,或者安装lantern在LocalBitcoins上进行购买,通过这些迹象猜测,Satan团伙中可能加入了某些中国黑客。被加密的文件后缀为[密钥].session。病毒母体为c.exe,文件编译的时间为11月3号。勒索追踪病毒运行后,通过抓包发现,它会与C&C服务器111.90.159.105进行通信,上传加密文件信息、主机信息、病毒运行状态信息。
发布时间:2019-11-11 13:10 | 阅读:48044 | 评论:0 | 标签:勒索软件 Satan

警惕Medusalocker勒索变种攻击企业,中毒被勒索1比特币

一、概述腾讯安全御见威胁情报中心监测到,Medusalocker勒索病毒在国内有部分感染,该病毒出现于2019年10月,已知该病毒主要利用钓鱼欺诈邮件及垃圾邮件传播。该病毒早期版本加密文件完成后添加扩展后缀.encrypted,最新传播病毒版本加密文件后添加.ReadTheInstructions扩展后缀。由于病毒使用了RSA+AES方式对文件进行加密,在未得到作者手中的RSA私钥时,暂无解密工具。攻击者会向受害者勒索1BTC(比特币),市值约6.5万元。我们提醒政企机构高度警惕,腾讯电脑管家及腾讯御点终端安全管理系统均可查杀拦截该勒索病毒。
发布时间:2019-11-08 13:10 | 阅读:56739 | 评论:0 | 标签:勒索软件 MedusaLocker

GandCrab勒索病毒就此销声匿迹了吗?

GandCrab勒索病毒是一种广泛使用的加密病毒,自2018年1月以来一直活跃在攻击第一线,目前恶意软件已经出现多种攻击性变种,包括 .GDCB,.KRAB,.CRAB,GandCrab 2,GandCrab 3,GandCrab 4,GandCrab v4.1,GanCrab v4.1.2和GanCrab v5(包括GandCrab 5.0.1,GandCrab 5.0.2,GandCrab 5.0.3,GandCrab 5.0.4,GandCrab 5.0.5,GandCrab 5.0.6和2019年4月发现的GandCrab 5.3)。
发布时间:2019-11-05 13:10 | 阅读:51730 | 评论:0 | 标签:勒索软件 GandCrab 勒索病毒

伪装成Office文档的sodinokibi勒索病毒大量攻击中韩企业

一、背景近期腾讯安全御见威胁情报中心检测到大量借助钓鱼邮件传播的sodinokibi勒索病毒攻击中韩两国企业。中招用户被勒索0.15个比特币(市值7800元人民币),中招企业主要集中在广东、山东、江苏、上海、北京等地,主要受害企业包括IT公司、科研和技术服务机构,以及传统制造企业。
发布时间:2019-10-25 13:10 | 阅读:45513 | 评论:0 | 标签:勒索软件 勒索病毒

MedusaLocker勒索病毒Debug版本泄露,看我如何高效检测防御

前言近日,一个叫MedusaLocker的勒索病毒在国外安全圈被炒的沸沸扬扬,原因是该病毒的多个版本被泄露了出来,其中包括了黑客开发过程中的Debug版本。近期,深信服借助强大的威胁情报来源,观察到菲律宾等东南亚国家,及国内不少企业接连中了该病毒,有持续爆发的趋势,深信服安全团队对该病毒进行追踪,实现检测与防御。正常情况下,为了防止被追踪,黑客分发恶意软件之前,都会对敏感信息进行抹除的,而这个Debug版本的MedusaLocker,很有可能是黑客在开发过程中不慎泄露的,Debug版本包含了较多的样本信息,我们可以通过研究它,制定有效的检测防御方案。
发布时间:2019-10-23 13:10 | 阅读:40606 | 评论:0 | 标签:勒索软件 MedusaLocker

DEADMIN LOCKER勒索病毒预警:黑客携带全套工具内网横行

近日,深信服安全团队捕获到针对国内企业的新型勒索病毒攻击事件,攻击者通过爆破获得跳板机权限后,利用全套黑客工具包对内网主机进行渗透,人工投放勒索病毒进行加密,该勒索病毒加密邮箱与后缀为硬编码的字符串“.[[email protected]].DEADMIN”,并在勒索信息文件中自命名为DEADMIN LOCKER,该勒索暂无公开解密工具。
发布时间:2019-10-18 13:10 | 阅读:51277 | 评论:0 | 标签:勒索软件 DEADMIN LOCKER

Phobos勒索软件变种分析报告

1、概述近日,安天CERT在梳理网络安全事件时发现Phobos勒索软件家族新变种,该勒索软件家族于2019年初被发现,并不断更新病毒变种。此变种最早于2019年9月末被发现,其传播方式主要为RDP暴力破解和钓鱼邮件。此勒索软件变种使用“RSA+AES”算法加密文件,暂时没有解密工具。程序运行后不仅加密文档文件还会加密可执行文件,并在加密后创建两种类型的勒索信,一种为txt格式,另一种为hta格式。Phobos勒索软件家族在全球多个行业扩散,感染面积大,变种更新频繁。
发布时间:2019-10-17 18:10 | 阅读:44853 | 评论:0 | 标签:勒索软件

以Linux系统为目标:分析新型Golang语言勒索软件

0x00 概述在过去的两个月中,我一直在研究使用Golang编写的逆向软件,并对其进行逆向工程。Go语言,也成为Golang,是Google设计的一种静态类型的、已编译的编程语言,目前在恶意软件开发社区中正在变得越来越流行。在本文中,我将分析一个新发现的Golang勒索软件,该软件主要针对Linux系统发动攻击。0x01 Go二进制样本分析我们所分析的样本是已经stripped的ELF可执行文件。Stripped后的可执行文件会使逆向工作变得更加困难,因为我们还需要做一些额外的工作,来还原stripped后的二进制文件中的符号。但幸运的是,有一个redress工具可以为我们提供帮助。
发布时间:2019-10-17 13:10 | 阅读:48313 | 评论:0 | 标签:勒索软件 Golang linux

NEMTY勒索病毒V1.6变种节日期间高发,企业用户须小心防范

一、概述腾讯安全御见威胁情报中心监测到NEMTY勒索病毒v1.6变种在国庆期间的感染量有明显上升,NEMTY勒索病毒出现于今年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。NEMTY 1.6变种病毒加密文件完成后会添加“._NEMTY_random_7个随机字符”扩展名后缀,由于该病毒由于近期在国内感染有明显上涨趋势,被加密破坏的文件暂无法解密,我们提醒各企业提高警惕。NEMTY病毒在国内主要依靠垃圾邮件,RIG EK(网页挂马漏洞利用工具包)传播,最新1.6版本较老本版病毒除增加少量病毒环境判断条件外,对其文件加密算法,密钥生成算法进行了更新。
发布时间:2019-10-11 13:10 | 阅读:40965 | 评论:0 | 标签:勒索软件 Nemty

安全预警:Buran勒索病毒传入我国,用户宜小心处理不明邮件

一、 概述腾讯安全御见威胁情报系统捕获到一款通过邮件向用户投递附带恶意宏的word文档,若用户下载邮件附件,启用宏代码,就会下载激活勒索病毒,导致磁盘文件被加密。该勒索病毒会在注册表和加密文件中写入“buran”字符串,故命名为buran勒索病毒。根据腾讯安全御见威胁情报中心的监测数据,该勒索病毒的感染主要在境外,有个别案例已在国内出现,腾讯安全专家提醒中国用户小心处理来历不明的邮件,不打开陌生人发送的用途不明的Office文档,不要启用宏功能。
发布时间:2019-10-10 18:10 | 阅读:45611 | 评论:0 | 标签:勒索软件 Buran

新型勒索软件Nemty分析

FortiGuard Labs在调查Sodinokibi勒索软件家族时,发现了一类名为Nemty的新勒索软件,它可能跟臭名昭著的GandCrab勒索软件存在关联,其传播方式则与Sodinokibi相同。Sodinokibi也是一种与GandCrab非常相似的恶意软件。本文将讨论Nemty的技术方面,目前它仍处于早期开发阶段。发现我们分析的第一个样本来自@BotySrt的twitter bot帐户,该帐户发布了指向Sodinokibi和Buran恶意软件的Pastebin链接。
发布时间:2019-09-26 13:10 | 阅读:45720 | 评论:0 | 标签:勒索软件 Nemty

数千台Linux主机被勒索,该如何打好防御战?

近日,国外安全媒体先后报道了一款名为Lilocked的Linux勒索病毒,该勒索病毒目前为止已感染了6000+台Linux主机,加密后缀为.lilocked。俄国的安全研究员认为,Lilocked很有可能是通过Exim邮件转发软件的最新远程执行漏洞CVE-2019-15846进行传播的。其实,这个勒索病毒从今年7月中旬就已经出现了,只不过当时“表现平平”,并没有引起大众的关注,但是在近期感染量突增,有爆发感染的趋势。
发布时间:2019-09-17 13:10 | 阅读:48262 | 评论:0 | 标签:勒索软件 Linux勒索病毒

勒索软件的攻击响应和处理方法

近年来,勒索软件是全球范围内快速增长的威胁之一,并且被认为是全球网络攻击的领导者,因为它能导致许多组织和个人面临一些安全问题和巨大损失。勒索软件攻击的成本仅在一年内就超过了10亿美元,而且勒索软件攻击数量扔日益增加。勒索软件对于一些犯罪分子来说,就是一个用赎金来换取钥匙的恶意游戏。随着受害者的赎金持续增长,致使勒索软件成为了一个数十亿美元的产业。所以,想要把它连根拔起没那么容易。本文中我们将看到针对复杂勒索软件攻击的响应及处理方法。勒索软件的共同点勒索软件的一个共同点是,所有的勒索软件变种,都使用了非常强大的加密方法(2048 RSA密钥)。
发布时间:2019-09-05 13:25 | 阅读:52617 | 评论:0 | 标签:勒索软件 勒索攻击

ADS

标签云