记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华Ryuk勒索软件完全报告
虽然圣诞节前夕全家在一起聚餐很快乐,但还是有很多企业在此期间陷入了困境。没有任何防备,对于Tribune出版社和Data Resolution的人来说,一场悄无声息的攻击正在通过他们的网络慢慢传播——加密数据和终止操作。而这次攻击来自一个相当新的名为Ryuk的勒索软件家族。Ryuk于2018年8月首次亮相,与我们分析的许多其他勒索软件家族不同,不是因为功能,而是它感染系统的方式很新颖。让我们来看看这个难以捉摸的新威胁。什么是Ryuk?是什么让它与其他勒索软件攻击不同?企业如何在未来阻止它以及类似威胁?一、何为Ryuk?Ryuk首次出现于2018年8月(August 2018),虽然在全球范围内并不是非常活跃,但至少有三
FilesLocker2.1圣诞特别版勒索病毒与早期版本解密工具
近日,深信服EDR安全团队跟踪到多个客户感染了FilesLocker勒索病毒,其中最新版本的已更新到了FilesLocker2.1,这是一个专门为了庆祝圣诞节而设计命名的版本,中招客户除了系统被加密破坏之外,还有来自勒索作者的节日问候。FilesLocker是一款代理型勒索软件,勒索病毒制造者只负责制作勒索病毒本身,传播方式通过招中间代理的方式来实现,故传播方式多种多样。其中,最新版本的FilesLocker2.1版本最后会在桌面生成中英文的勒索信息提示文件,并弹出勒索窗口。并且还会从https://i.loli.net/2018/12/31/5c29eac523516.bmp 下载一张图片设置为桌面壁纸,画面颇为欢乐
发布时间:2019-01-07 12:20 |
阅读:13745 | 评论:0 |
标签:勒索软件
JungleSec勒索软件通过IPMI远程控制台感染受害者
自11月初以来,名为JungleSec的勒索软件通过不安全的IPMI(智能平台管理接口)卡感染受害者。在11月初的报道中,受害者使用的操作系统有Windows、Linux和Mac,但报道并未透露具体感染过程。自那以后,BleepingComputer已与多个受害者联系,他们的Linux服务器均感染了JungleSec勒索软件。根据反馈,这些服务器均通过不安全的IPMI设备感染。IPMI是内置于服务器主板中的管理接口(或作为附加卡安装),允许管理员远程管理计算机、打开和关闭计算机电源、获取系统信息以及访问提供远程控制台访问权限的KVM。这对于管理服务器非常有用,尤其是在租用其他公司服务器时。但是,如果未正确配置IPMI接
揭秘勒索界海王如何横扫中国
一、谁是勒索界当之无愧的海王?2018年是一个勒索病毒高发的年度,可谓百(can)花(bu)争(ren)艳(du),勒索家族变种、传播方式层出不穷,所谓你方唱罢我登台,直接把CHINA当作了屠宰场,年初宰到了年尾,明年估计形势会更不乐观。但大家是否会好奇,勒索病毒这么多,到底哪一家“强”呢?深信服EDR安全团队,综合了2018年一整年的数据(感染案例,实际数据会更多),得出这位最终的勒索届年度海王为:GandCrab勒索病毒,中文外号咸水国巨蟹。下图,是这只巨蟹横行过的区域,包括新疆、广东、安徽、青海、江西、福建、浙江、山西、吉林、贵州、天津、北京、上海、河北、山东、辽宁、江苏、四川等,基本覆盖大半个中国,以东部沿海最
GhostPetya骷髅头勒索病毒袭卷半导体行业
近日,国内半导体行业爆发勒索病毒,造成业务大面积瘫痪,深信服安全团队率先接到情报并进行处置,发现其攻击手段与早期Petya勒索病毒有相似之处,但又有很大不同,其攻击方式包括控制域控服务器、钓鱼邮件、永恒之蓝漏洞攻击和暴力破解,威力巨大,可在短时间内造成内网大量主机瘫痪并弹出骷髅头!深信服已将其命名为GhostPetya骷髅头勒索病毒,并且制定了完善的防御措施和解决方案。中招主机,其勒索信息如下,黑客索要0.1个比特币赎金。病毒分析1.以读写的模式,打开主机\.PhysicalDrive0、\.PhysicalDrive1、\.PhysicalDrive2、\.PhysicalDrive3、\.I等磁盘,如下所示:2.然
“微信支付”勒索病毒已被破解
一、概述前天(12月1日)突发的"微信支付"勒索病毒,已被火绒安全团队成功破解。被该病毒感染的用户可以下载破解工具,还原被加密的文件。据火绒安全团队分析,该勒索病毒开始勒索前,会在本地生成加密、解密相关数据,火绒工程师根据这些数据成功提取到了密钥。此外,该勒索病毒只加密用户的桌面文件,并会跳过一些指定名称开头的目录文件, 包括"腾讯游戏、英雄联盟、tmp、rtl、program",而且不会感染使用gif、exe、tmp等扩展名的文件。值得一提的是,该病毒会利用带有腾讯签名的程序调用病毒代码,来躲避安全软件的查杀。"火绒安全软件"已紧急升级,可拦截、查杀该病毒。
Oracle数据库勒索病毒自检工具
一、事件背景近日,Oracle数据库勒索病毒又活跃了,其实这并非新病毒,早在2年前,即2016年11月就发现了,深信服一直持续关注此病毒。我们提醒用户,无需过渡恐慌,只要不要乱下载PL/SQL破解版工具就不会中招!不确认是否中招的用户,我们这里率先提供简单!有效!的自检工具,一键运行,无需安装,即可快速判断是否感染了Oracle数据库勒索病毒。话不多说,直接上Oracle勒索病毒自检工具:http://edr.sangfor.com.cn/tool/SfCheckPLSQL.zip中毒截图证明如下:深信服安全团队早在5月28号就接到多起Oracle数据库被勒索的案例,中毒之后数据库显示如下勒索信息:提取到相应的样本之后
发布时间:2018-11-21 12:21 |
阅读:27078 | 评论:0 |
标签:勒索软件
警惕“黑心”勒索病毒再度来袭
一、样本简介BlackHeart(黑心)勒索病毒家族是一款使用NET语言进行编写的勒索病毒,之前深信服EDR安全团队已经报道过它的变种家族样本捆绑知名的远程软件AnyDesk进行传播,此次深信服EDR安全团队发现的是它的一个家族的最新的变种,加密算法仍然使用AES+RSA,加密后的文件无法还原,加密后的文件后缀名为mariacbc。BlackHeart(黑心)勒索病毒也是SF勒索病毒家族成员之一,SF家族的勒索病毒,一共有如下几类:· Spartacus(斯巴达克斯勒索病毒)· Satyr(萨克斯勒索病毒)· BlackRouter(BlackRouter勒索病毒)· BlackHeart
发布时间:2018-11-07 17:20 |
阅读:35885 | 评论:0 |
标签:勒索软件
BlackoutV3.0勒索病毒分析报告
一、样本简介Blackout勒索病毒家族是一款使用.NET语言编写的勒索病毒,它会将原文件名加密为BASE64格式的加密后的文件名,首次发现是在2017年7月份左右,样本使用了代码混淆的方式防止安全分析人员对样本进行静态分析,此次发现的Blackout勒索病毒样本经过分析确认是V3.0版本的Blackout家族最新变种样本,采用RSA+AES加密算法对文件进行加密,加密后的文件无法解密还原。二、详细分析1.样本使用.NET语言进行编写,如下所示:2.反编译NET程序,样本经过了混淆处理,如下所示:3.样本去混淆,如下所示:经过调试发现此款Blackout勒索病毒是V3.0版本的最新变种样本blut3,如下所示:4.获取
发布时间:2018-11-06 17:20 |
阅读:32886 | 评论:0 |
标签:勒索软件
KrakenCryptor勒索家族分析报告
一、样本简介近日,深信服安全团队在分析安全云脑全网威胁数据时,发现了一个在国内出现的新勒索家族KrakenCryptor,发现版本为KrakenCryptor2.0.7。该版本为目前发现的最新版本,且从10月22号以来,陆陆续续有客户通过安全云脑对该样本进行检测。该勒索软件最新版本使用RSA+AES加密算法,加密后缀也随机生成。二、详细分析1.样本是用.net框架编写的,并且样本经过混淆,如图所示:图 1图 2 样本代码混淆2.将样本去混淆,便开始对它的研究。跟一般勒索软件类似,该版本也会给受害者设定一个缴纳赎金的时限,超过一个周以后就会涨价。如图所示,这是给受害者的收费计时,不过并未在图形界面上展示,且这个
发布时间:2018-11-03 12:20 |
阅读:38243 | 评论:0 |
标签:勒索软件
警惕Rapid勒索病毒新变种
近日,深信服安全团队接到国内企业反馈,称其中了勒索病毒。我们第一时间获取到了相应的病毒样本,确认此样本为Rapid勒索家族的变种,同样采用RSA+AES加密算法,将系统中的大部分文档文件加密为no_more_ransom后缀名的文件,然后对用户进行勒索。Rapid勒索病毒在2017年爆发过一次,原始版本的加密后缀为.rapid。本次发现这次变种,国内还是首次发现,疑似这个家族开始活跃,目前此勒索病毒无法解密。该勒索病毒主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,会加密局域网共享目录文件夹下的文件。病毒分析Rapid勒索进程为info.exe。
GandCrab勒索软件的最新版本中开始引入加密和混淆功能
众所周知,勒索软件如今的迭代速度非常快,不过像Crypter如此之快的迭代速度也不多见。Crypter是在今年1月份首次被发现的,如今它已经更新换代到第5版(10月发现的版本已经到了5.0.2版本)了,且加入了crypter(加密和混淆软件)技术。在这篇文章中,McAfee实验室的研究人员将对Crypter最新版本进行仔细分析和研究,包括开发者如何改进代码(虽然在某些情况下这些代码还是会出现错误)。 不过目前,McAfee网关和安全终端产品能够保护用户免受已知变种的攻击。GandCrab开发者的研发和纠错能力是很强的,他们已迅速采取行动改进那些容易出错的代码,并添加了用户评论,以激发安全机构、执法机构等组织对它的持续研
千面万化的Android特洛伊木马GPlayed
一种新发现的Android恶意软件在复杂性和灵活性方面提升了标准,为运营人员提供了适应各种任务的能力。网络犯罪分子目前正在对GPlayed进行测试,但恶意软件分析人员警告称,它已经成为严重的威胁。模块化体系结构通过插件扩展其功能,无需重新编译和更新设备上的软件包即可添加插件。功能广泛操作人员还可以注入脚本并将.NET代码发送到受感染的Android,GPlayed编译和执行。它是使用Xamarin环境为移动应用程序构建的,并使用一个名为“eCommon”的DLL,它“包含与平台无关的支持代码和结构”。此模型显示了进化的新步骤,代码可以从桌面平台迁移到移动平台,从而产生混合威胁。它在设备上伪装成Play商店应用程序,使用
IC3、DHS、FBI联合发布RDP攻击预警
9月27日,美国网络犯罪举报中心(Internet Crime Complaint Center,IC3)联合美国国土安全部(DHS)、FBI发布了关于通过Windows Remote Desktop Protocol (RDP)实施攻击的预警。与RDP相关的攻击主要是勒索软件,攻击者黑进暴露RDP服务的设备进行数据窃取、后门安装和其他攻击活动。US-Cert的预警信息中称:随着暗网中出售RDP Access的数量越来越多,RDP这样的远程管理工具从2016年成为一种攻击面,攻击者已经开发出许多识别和利用有漏洞的RDP session来窃取登陆凭证并勒索其他用户敏感信息。FBI和DHS建议:企业和个人用户要了解远程访问
PyLocky勒索软件分析
虽然勒索软件在今天的威胁形势中明显受到限制,但它仍然是网络犯罪的主要内容。事实上,在2018年上半年,勒索活动略有增加,通过不断变种来绕过安全解决方案,保持与时俱进,在这个案例中, PyLocky勒索软件(由趋势科技检测为RANSOM_PYLOCKY.A)伪装成已存在的勒索软件,并且跟他们一样声名狼藉,甚至有过之而无不及。在7月下旬和整个8月,我们观察到大量垃圾邮件在传播PyLocky勒索软件。尽管它在勒索信中号称是Locky,但PyLocky与Locky无关。 PyLocky是用Python编写的, 并与PyInstaller一起打包,PyInstaller是一个用于将基于Python的程序打包为独立可执行
GandCrab v5勒索软件利用ALPC任务调度程序漏洞
GandCrab v5勒索软件已开始使用最近披露的任务计划程序ALPC漏洞获取受感染计算机的系统权限。微软在2018年9月的周二补丁日修补了这个漏洞,但是据显示计算机仍旧容易受到EternalBlue影响,有些企业的安装更新过程会很慢。任务计划程序ALPC漏洞是由Twitter上的安全研究人员揭露的0 day漏洞。使用时,该漏洞将允许使用系统权限执行可执行文件,允许以完全管理权限执行命令。GandCrab对此漏洞的使用最初是由名为Valthek的恶意软件分析人员发现的,他在Twitter上发布了相关内容。Valthek告诉BleepingComputer,这个漏洞与安全研究员Kevin Beaumont在他的Githu
公告
关注公众号hackdig,学习最新黑客技术