记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华Globelmposter勒索病毒最新“十二主神”预警
近日,深信服安全团队观察到Globelmposter勒索病毒又出现最新变种,加密后缀有Ares666、Zeus666、Aphrodite666、Apollon666等,目前国内已有多家大型医院率先发现感染案例!Ares是希腊神话里的战神阿瑞斯,Zeus是主神宙斯,Aphrodite是爱与美之女神阿佛洛狄忒,Apollon是光明、音乐、预言与医药之神阿波罗,通过查阅资料意外发现,以上四位均是奥林匹斯十二主神,也就是古希腊宗教中最受崇拜的十二位神。从上图,可以看到,目前已经出现了四个以奥林匹斯十二主神名字+666的加密后缀版本,我们将此Globelmposter勒索病毒变种命名为Globelmposter“十二主神”版本,
WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密
近日,腾讯安全御见威胁情报中心发现假冒GlobeImposter勒索病毒正在传播,攻击者疑通过MS SQL爆破入侵服务器,通过网络下载恶意脚本代码,继而执行加密和勒索流程。令人惊叹的是,这个所谓的“勒索病毒”执行极为简单,只是利用WinRAR加密压缩用户文件,之后再将一封GlobeImposter的勒索消息邮件修改后恐吓用户,通过邮箱联系索取酬金。腾讯安全提醒大家,如遇到此病毒,不要着急着缴纳赎金。该病毒加密压缩的密码明文写在病毒配置信息中,使用这个密码解压缩,文件就能完全恢复。分析被勒索服务器疑似被通过MSSQL爆破入侵成功,之后执行以下相关命令行进一步下载执行恶意代码:1)bitsadmin
一起双网卡服务器被黑引发的勒索事件
事件溯源在六月一个风和日丽的早上,深信服安全团队接到了客户紧急反馈,数据库突然连接不上,业务中断,怀疑遭到了黑客攻击。介入排查后发现,数据库启动失败的原因是数据库组件丢失,系统找不到指定的文件。排查服务器目录,惊奇地发现了一个敏感的文件,!!!READ_ME_FIRST!!!.txt,通过文件名称来看,很有可能是一个勒索信息文件,因此推测该数据库服务器遭到了勒索:打开该txt文件,通过文件信息得知,系统的文件都已被加密了,需要联系黑客购买密钥进行解密,好,不就是几个比特币的事吗,我们…才不买呢。客户本想直接恢复镜像还原数据库,但在安全团队的建议下保留了环境进行溯源工作,找出病毒入侵的原因进行加固,避免再次遭
建筑行业出现集中式感染CrySiS勒索病毒,深信服率先提供解决方案
近日,深信服接到多个建筑行业客户反馈,服务器被加密勒索,经过跟踪分析,拿到了相应的样本,确认样本为CrySiS勒索病毒jack变种。截止目前,黑产团队多次通过社会工程、RDP暴力破解等方式有针对性的入侵建筑行业,提醒该行业客户提高警惕。由于相同行业之间,往往有互通性,一定要做好有效的隔离保护措施。CrySiS勒索病毒曾在2017年5月万能密钥被公布之后,消失了一段时间,2018年重新开始活跃,2019年CrySiS勒索呈现规模化、产业化运作,植入到用户的服务器进行攻击。此次变种其加密后的文件的后缀名为.jack,由于CrySiS采用AES+RSA的加密方式,目前无法解密。勒索信息,特意提示ALL FIELS ENCRY
不死的EternalBlue(永恒之蓝)
2017年,Shadow Brokers将从美国国家安全局NSA窃取的软件漏洞利用攻击泄露在网上,之后1个月知名勒索软件WannaCry就席卷全球。现在已经过去2年了,Eternalblue仍然占据着美国的头版头条。本文就Eternalblue和Eternalblue为什么可以不死进行简要分析。EternalblueCVE-2017-0143到CVE-2017-0148漏洞是Windows 7, Windows Server 2008, Windows XP和运行在445端口上的Windows 10系统中使用的Microsoft SMBv1服务器系列漏洞。原始Eternalblue可执行文件中硬编码的字符串表明攻击的W
新型勒索病毒Attention感染医疗与半导体行业
背景概述近日,深信服安全团队检测到一种新的勒索病毒正在活跃,攻击者针对制造行业、医疗行业等目标,通过社会工程、RDP远程爆破等方式手动投放勒索病毒,且进行加密后会人工删除勒索病毒体和入侵日志。该勒索病毒加密后会修改文件后缀为大写的随机[10-12]个英文字母,使用RAS+AES算法加密文件,并释放勒索信息文件,运行后会进行自复制,但通常情况下复制体会被攻击者手动删除。深信服安全团队将该勒索病毒命名为Attention勒索病毒,并进行了详细的分析。勒索特征1.勒索信息文件YOUR FILES ARE ENCRYPTED.TXT,如下所示:2.加密后的文件后缀为大写字母的随机[10-12]个英文字母,前三个字母相同,如下所
对Anatova勒索软件进行一番深度分析后发现,它可能是新旧两代勒索技术的分水岭!
前言今年1月,迈克菲实验室(McAfee Labs)发现了一款攻击威力远胜于 Ryuk 的勒索软件,该勒索软件通常将自己伪装成流行的游戏或者应用程序欺骗用户下载执行,运行后,它会主动请求管理员权限以便对用户磁盘文件进行加密,之后再索取赎金。根据对Anatova的分析可以发现该勒索软件的开发者是一个经验十足的恶意代码编写者,至今发现的多个样本中包含了不同的密钥和部分不同的函数,该勒索软件还预留了模块化扩展的功能,因此其可能衍生出更多的恶意行为。当前主要在美国和欧洲部分国家发现了该勒索软件的踪迹,该勒索软件有简单的绕过分析设备的功能,并根据系统语言版本决定是否进行加密勒索行为,使用了RSA+Salsa20的方式进行加密,中
攻击MySQL服务器传播GandCrab勒索软件
研究人员在实验室环境中搭建了一个蜜罐系统,监听着SQL服务器使用的默认端口(TCP/3306端口)。该蜜罐系统发现来自美国机器的攻击。研究人员监控了僵尸网络生成的网络流量和行为,发现该Linux蜜罐下载了一个Windows可执行文件。攻击者首先用SQL数据库命令在上传helper DLL到服务器,然后作为数据库函数调用该DLL来提取IP地址位于加拿大魁北克省的主机上的GandCrab payload。数据库服务器下载GandCrabSQL攻击攻击的第一阶段是攻击者连接到数据库服务器,然后确定他运行的是MySQL。因为蜜罐系统模拟了MySQL,因此攻击的后面部分就非常顺利。攻击者释放的SQL命令然后,攻击者使用set命令
Shade勒索软件“开疆扩土”,将目标转移俄罗斯之外
Shade勒索软件(又名为Troldesh)是一款历史悠久的勒索软件,于2014年底首次出现,攻击目标主要是针对Microsoft Windows系统的主机,利用恶意垃圾邮件(malspam)和漏洞利用工具包进行传播。最近一篇关于Shade的研究报告中指出,Shade背后的攻击者的侧重于俄语目标,因为载体往往是俄语电子邮件,但实际上Shade也有非常多的通过英语垃圾邮件进行传播的迹象。我们回顾了Shade勒索软件的最近的攻击趋势,结果表明,Shade勒索软件的影响群体中,欧美国家占比非常高。事实上,受Shade勒索软件影响的前五个国家不是俄罗斯或前苏联国家,它们分别是是美国、日本、印度、泰国和加拿大,俄罗斯只
JSWorm勒索病毒变种通过垃圾邮件传播,该勒索病毒已可被解密
近日,腾讯御见威胁情报中心监测到,JSWORM勒索病毒JURASIK变种版本在国内有所传播。JSWORM勒索病毒首次出现于2019年1月,目前已知通过垃圾邮件传播。分析国内变种病毒时间戳信息可知编译时间为2019年5月中旬,加密完成后添加.JURASIK扩展后缀。经分析可知,目前该病毒版本可解密,国外也有安全人员也在2019.5.21发布了对应版本的解密工具(针对国内传播病毒版本使用上需要手动修改勒索信)。但随着该病毒版本的不断迭代,该病毒依然对企业有一定程度的威胁,我们提醒各政企机构提高警惕。病毒运行后会获取C盘序列号,当前用户名,机器mac信息作为文件加密Key对获取到的本地信息(磁盘卷序列号-mac-用户名)与硬
准备交赎金?当心Phobos勒索病毒二次加密!
背景概述近日,深信服安全团队接到多家企业反馈,服务器遭到勒索病毒攻击,重要数据被加密。经安全团队专家排查,该病毒是近期较为活跃的一款勒索病毒,通常通过RDP暴力破解+人工投放的方式进行攻击,攻击者成功入侵后,通常会关闭系统的安全软件防护功能,运行勒索病毒,加密后会修改文件后缀为[原文件名]+id[随机字符串]+[邮箱地址].phobos,相关的邮箱地址有[email protected]、[email protected]、[email protected]等。值得关注的是,该勒索病毒在运行过程中会进行自复制,并在注册表添加自启动项,如果没有清除系统中残留的病毒体,很可能会遭遇二次加密。勒
内网公网全覆盖、Win/Linux两开花:深入分析Satan勒索软件的传播技术
一、概述Satan勒索软件自2017年初首次出现,从那时起,威胁行为者不断改进恶意软件,以更加有效地感染受害者,并最大化其利润。例如,FortiGuard实验室发现了一项恶意活动,该恶意活动还利用加密货币恶意软件作为额外的Payload,以最大限度地从受害者身上获取利润。这个文件加密恶意软件,除了同时支持Linux和Windows平台之外,还利用众多漏洞,通过公开和外部网络进行传播。实际上,FortiGuard实验室已经发现了一个新的变种,它所利用的特定漏洞数量再次有所增加。本文详细描述Satan恶意软件如何从内部网络和外部网络中找到新的目标。二、新型漏洞利用该恶意软件的初始传播工具,Windows上的conn.exe
利用反病毒软件开展恶意活动:Dharma勒索软件分析
概述Dharma勒索软件自2016年以来一直存在,该勒索软件持续瞄准全世界范围内的用户和组织,并已经成功实现了大量感染。在2018年11月,勒索软件感染了位于德克萨斯的一家医院,对医院主机中大量存储的记录进行加密,该事件也随即成为一起知名的勒索病毒攻击事件。但幸运的是,医院没有支付赎金,并且成功恢复了所有被破坏的数据。Trend Micro近期使用一种新型技术,发现了新的Dharma勒索软件样本。该样本使用软件安装来分散用户的注意力,从而帮助隐藏恶意活动。Dharma勒索软件攻击者滥用反病毒工具我们对Dharma勒索软件的新样本进行了分析,分析显示,该恶意软件仍然通过恶意邮件实现分发。具体而言,他们使用的是典型的恶意邮
警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种
背景概述近日,深信服安全团队捕获到利用Confluence新型漏洞传播勒索病毒的事件,已有政企机构受到攻击,黑客团伙通过漏洞利用入侵服务器,上传Downloader脚本文件,连接C&C端下载运行勒索病毒。通过样本中提取的IP进行关联,该攻击事件与利用Confluence漏洞(CVE-2019-3396)传播GandCrab勒索病毒攻击事件有密切的关联。经深信服安全团队分析,该勒索病毒在功能代码结构上与“侠盗”病毒GandCrab非常相似,同时应用了多种反调试和混淆方式,进行调试时会导致主机蓝屏,且似乎还处于不断调试的阶段,与“侠盗”团队有很大关联,确认是GandCrab勒索病毒最新变种。该勒索病毒使用RSA+A
谨防“神秘人”勒索病毒X_Mister偷袭
一、样本简介近期,国外某安全论坛公布了一款类似Globelmposter的新型勒索病毒,此勒索病毒的某些行为与Globelmposter类似,因联系邮箱中带有x_mister而被命名为X_Mister勒索病毒,该勒索病毒使用RSA+DES算法加密文件,自身不具备横向感染功能,通常由攻击者对目标进行RDP爆破后手动投放,或通过垃圾邮件传播,且加密完成后会进行自删除。深信服安全团队第一时间获取到相应的样本,并对样本进行了详细分析。二、勒索病毒特征1.勒索信息文本文件HOW TO BACK YOUR FILES.txt,如下所示:2.加密后的文件名,[原文件名]+[Mr-X666],如下所示:三、详细分析1. 获取
Stop勒索病毒变种加密机制分析,部分情况下可解密恢复
一、概述近日,腾讯御见威胁情报中心监测到,stop勒索病毒变种(后缀.raldug)在国内有部分感染。分析发现,该版本病毒相比较于18年11月份开始活跃的DATAWAIT版本,在加密算法和病毒模块有了变化,由于该版本的stop勒索病毒在其基础设施工作正常、联网稳定情况下加密后的文件暂无法解密,我们提醒各政企机构注意防范。Stop勒索病毒家族在国内主要通过软件捆绑,垃圾邮件等方式进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒会留下名为_readme.txt的勒索说明文档,勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免。Stop勒索病毒还具有以下特性:1. 加密时,禁用任务管
公告
关注公众号hackdig,学习最新黑客技术