记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华破解 “.YOUR_LAST_CHANCE” 勒索病毒攻击
勿抱幻想说起勒索病毒,近年来最为人所熟知的要数2017年爆发的WannaCry,其以一己之力引发了席卷全球的大骚乱——波及150多个国家,超30万名用户中招,累计损失逾80亿美金,并在医疗、金融、能源等关系国计民生的重要行业制造了一系列严重危机事件…今天,距离大魔王WannaCry风波平息已过去两年多的时间,但安全仍未占据主动!如果你已经开始忘记勒索病毒曾经秀过的肌肉,安华金和在此严肃认真地给予友情提醒:相关数据显示,我国2018全年共监测到超430万台计算机遭受勒索病毒攻击,平均每天约1.2万台。其中,企业成为勒索病毒最为热衷的攻击对象——在全球十大流行勒索病毒家族中,有九个都涉及企业攻击。仅2019年上
发布时间:2019-11-19 18:25 |
阅读:618 | 评论:0 |
标签:勒索软件
新型勒索软件PureLocker现身,被Cobalt、FIN6等多个威胁组织使用
Intezer和IBM X-Force研究团队近期发现了一类新的勒索软件——PureLocker,它由一位资深的恶意软件即服务(MaaS)供应商在暗网上出售,并被Cobalt、FIN6等多个威胁组织使用。攻击者利用它对企业的生产服务器发起定向勒索攻击。PureLocker与“more_eggs”后门恶意软件密切相关,它由PureBasic编程语言编写,针对的操作系统包括Windows和Linux。PureLocker逃避检测的技术十分巧妙,出现几个月后才被安全人员发现,下面将介绍PureLocker的一些技术细节。初步分析分析的Windows样本是一个32位DLL,伪装成一个名为Crypto ++的C ++加密库:在查
京广多地超2万台电脑被挖矿 攻击者利用永恒之蓝漏洞横向扩散
一、背景腾讯安全御见威胁情报中心检测到挖矿木马家族Lcy2Miner感染量上升,工程师对该病毒的感染进行回溯调查。结果发现,有攻击者搭建多个HFS服务器提供木马下载,并在其服务器web页面构造IE漏洞(CVE-2014-6332)攻击代码,当存在漏洞的电脑被诱骗访问攻击网站时,会触发漏洞下载大灰狼远程控制木马。接着由远控木马下载门罗币挖矿木马和“永恒之蓝”漏洞攻击模块,然后利用“永恒之蓝”漏洞攻击工具在企业内网攻击传播,最终攻击者通过组建僵尸网络挖矿牟利。截止目前该团伙已通过挖矿获得门罗币147个,市值约6.5万元人民币。同时,中毒电脑被安装大灰狼远控木马,该木马具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种
比特币价格回暖,Satan勒索再次变种袭击我国
概述勒索圈有个任性的病毒家族Satan,无论比特币价格如何波动,解密要价都是1 BTC。此次,趁着比特币价格回暖,Satan勒索病毒推出了最新的变种,通过勒索提示信息,可以发现该变种实现了更完整的国产化,作者会提示用户通过火币网购买比特币,或者安装lantern在LocalBitcoins上进行购买,通过这些迹象猜测,Satan团伙中可能加入了某些中国黑客。被加密的文件后缀为[密钥].session。病毒母体为c.exe,文件编译的时间为11月3号。勒索追踪病毒运行后,通过抓包发现,它会与C&C服务器111.90.159.105进行通信,上传加密文件信息、主机信息、病毒运行状态信息。对该IP进行追踪,发现该C&
警惕Medusalocker勒索变种攻击企业,中毒被勒索1比特币
一、概述腾讯安全御见威胁情报中心监测到,Medusalocker勒索病毒在国内有部分感染,该病毒出现于2019年10月,已知该病毒主要利用钓鱼欺诈邮件及垃圾邮件传播。该病毒早期版本加密文件完成后添加扩展后缀.encrypted,最新传播病毒版本加密文件后添加.ReadTheInstructions扩展后缀。由于病毒使用了RSA+AES方式对文件进行加密,在未得到作者手中的RSA私钥时,暂无解密工具。攻击者会向受害者勒索1BTC(比特币),市值约6.5万元。我们提醒政企机构高度警惕,腾讯电脑管家及腾讯御点终端安全管理系统均可查杀拦截该勒索病毒。中毒后尝试与病毒作者邮件沟通,对方开价勒索1BTC购买解密工具,市值约6.5万
GandCrab勒索病毒就此销声匿迹了吗?
GandCrab勒索病毒是一种广泛使用的加密病毒,自2018年1月以来一直活跃在攻击第一线,目前恶意软件已经出现多种攻击性变种,包括 .GDCB,.KRAB,.CRAB,GandCrab 2,GandCrab 3,GandCrab 4,GandCrab v4.1,GanCrab v4.1.2和GanCrab v5(包括GandCrab 5.0.1,GandCrab 5.0.2,GandCrab 5.0.3,GandCrab 5.0.4,GandCrab 5.0.5,GandCrab 5.0.6和2019年4月发现的GandCrab 5.3)。在这么短短的两年时间里,GandCrab经历了很多版本的更新迭代,传播感染多式
伪装成Office文档的sodinokibi勒索病毒大量攻击中韩企业
一、背景近期腾讯安全御见威胁情报中心检测到大量借助钓鱼邮件传播的sodinokibi勒索病毒攻击中韩两国企业。中招用户被勒索0.15个比特币(市值7800元人民币),中招企业主要集中在广东、山东、江苏、上海、北京等地,主要受害企业包括IT公司、科研和技术服务机构,以及传统制造企业。钓鱼邮件伪装成以“偿还债务”、“支付汇款建议”为主题,并在附件中添加包含勒索病毒的压缩文件,中文版为“您的账号.zip”、韩文版为“송장 10.2019.zip”,解压后分别为“付款发票.xls.exe”、“10 월 송장.xls.exe”,都是伪装成表格文件的sodinokibi勒索病毒。从钓鱼邮件内容格式、主
MedusaLocker勒索病毒Debug版本泄露,看我如何高效检测防御
前言近日,一个叫MedusaLocker的勒索病毒在国外安全圈被炒的沸沸扬扬,原因是该病毒的多个版本被泄露了出来,其中包括了黑客开发过程中的Debug版本。近期,深信服借助强大的威胁情报来源,观察到菲律宾等东南亚国家,及国内不少企业接连中了该病毒,有持续爆发的趋势,深信服安全团队对该病毒进行追踪,实现检测与防御。正常情况下,为了防止被追踪,黑客分发恶意软件之前,都会对敏感信息进行抹除的,而这个Debug版本的MedusaLocker,很有可能是黑客在开发过程中不慎泄露的,Debug版本包含了较多的样本信息,我们可以通过研究它,制定有效的检测防御方案。由于Twitter上没有公布该样本的MD5,只好在VT上根据关键字进行
DEADMIN LOCKER勒索病毒预警:黑客携带全套工具内网横行
近日,深信服安全团队捕获到针对国内企业的新型勒索病毒攻击事件,攻击者通过爆破获得跳板机权限后,利用全套黑客工具包对内网主机进行渗透,人工投放勒索病毒进行加密,该勒索病毒加密邮箱与后缀为硬编码的字符串“.[[email protected]].DEADMIN”,并在勒索信息文件中自命名为DEADMIN LOCKER,该勒索暂无公开解密工具。在被勒索的主机上获取到攻击者留下的全套黑客工具包,包含从密码收集到远程登录等一系列内网渗透工具,可谓是一应俱全,其中包含较为小众的AutoMIMI、Lazy、rdp_con、gmer等工具,甚至包含名为!RDP的快捷方式,用于启动本地远程桌面连接:病毒名称:DEADMIN L
Phobos勒索软件变种分析报告
1、概述近日,安天CERT在梳理网络安全事件时发现Phobos勒索软件家族新变种,该勒索软件家族于2019年初被发现,并不断更新病毒变种。此变种最早于2019年9月末被发现,其传播方式主要为RDP暴力破解和钓鱼邮件。此勒索软件变种使用“RSA+AES”算法加密文件,暂时没有解密工具。程序运行后不仅加密文档文件还会加密可执行文件,并在加密后创建两种类型的勒索信,一种为txt格式,另一种为hta格式。Phobos勒索软件家族在全球多个行业扩散,感染面积大,变种更新频繁。安天CERT分析发现,Phobos勒索软件家族与2016年出现的CrySIS/Dharma勒索软件家族所使用的加密方式、部分代码段、勒索信外观与内容,以及用
发布时间:2019-10-17 18:10 |
阅读:8908 | 评论:0 |
标签:勒索软件
以Linux系统为目标:分析新型Golang语言勒索软件
0x00 概述在过去的两个月中,我一直在研究使用Golang编写的逆向软件,并对其进行逆向工程。Go语言,也成为Golang,是Google设计的一种静态类型的、已编译的编程语言,目前在恶意软件开发社区中正在变得越来越流行。在本文中,我将分析一个新发现的Golang勒索软件,该软件主要针对Linux系统发动攻击。0x01 Go二进制样本分析我们所分析的样本是已经stripped的ELF可执行文件。Stripped后的可执行文件会使逆向工作变得更加困难,因为我们还需要做一些额外的工作,来还原stripped后的二进制文件中的符号。但幸运的是,有一个redress工具可以为我们提供帮助。Redress软件是用于分析使用Go
NEMTY勒索病毒V1.6变种节日期间高发,企业用户须小心防范
一、概述腾讯安全御见威胁情报中心监测到NEMTY勒索病毒v1.6变种在国庆期间的感染量有明显上升,NEMTY勒索病毒出现于今年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。NEMTY 1.6变种病毒加密文件完成后会添加“._NEMTY_random_7个随机字符”扩展名后缀,由于该病毒由于近期在国内感染有明显上涨趋势,被加密破坏的文件暂无法解密,我们提醒各企业提高警惕。NEMTY病毒在国内主要依靠垃圾邮件,RIG EK(网页挂马漏洞利用工具包)传播,最新1.6版本较老本版病毒除增加少量病毒环境判断条件外,对其文件加密算法,密钥生成算法进行了更新。从该变种的感染数据看,国庆期间有明显上
安全预警:Buran勒索病毒传入我国,用户宜小心处理不明邮件
一、 概述腾讯安全御见威胁情报系统捕获到一款通过邮件向用户投递附带恶意宏的word文档,若用户下载邮件附件,启用宏代码,就会下载激活勒索病毒,导致磁盘文件被加密。该勒索病毒会在注册表和加密文件中写入“buran”字符串,故命名为buran勒索病毒。根据腾讯安全御见威胁情报中心的监测数据,该勒索病毒的感染主要在境外,有个别案例已在国内出现,腾讯安全专家提醒中国用户小心处理来历不明的邮件,不打开陌生人发送的用途不明的Office文档,不要启用宏功能。二、 详细分析1、word附件用户打开word文档,恶意宏代码会从hxxp://54.39.233.131/word1.tmp处下载勒索病毒到C:/Wind
新型勒索软件Nemty分析
FortiGuard Labs在调查Sodinokibi勒索软件家族时,发现了一类名为Nemty的新勒索软件,它可能跟臭名昭著的GandCrab勒索软件存在关联,其传播方式则与Sodinokibi相同。Sodinokibi也是一种与GandCrab非常相似的恶意软件。本文将讨论Nemty的技术方面,目前它仍处于早期开发阶段。发现我们分析的第一个样本来自@BotySrt的twitter bot帐户,该帐户发布了指向Sodinokibi和Buran恶意软件的Pastebin链接。 图1.指向Sodinokibi payload的链接这些链接指向使用反射式PE注入(Reflective PE Inject
数千台Linux主机被勒索,该如何打好防御战?
近日,国外安全媒体先后报道了一款名为Lilocked的Linux勒索病毒,该勒索病毒目前为止已感染了6000+台Linux主机,加密后缀为.lilocked。俄国的安全研究员认为,Lilocked很有可能是通过Exim邮件转发软件的最新远程执行漏洞CVE-2019-15846进行传播的。其实,这个勒索病毒从今年7月中旬就已经出现了,只不过当时“表现平平”,并没有引起大众的关注,但是在近期感染量突增,有爆发感染的趋势。使用Google搜索"#README.lilocked"关键字,可以关联到约6340个结果,也就是说,公网上已知的Linux主机,有近6340个主机被该病毒勒索了,然而事实上被勒索的Li
勒索软件的攻击响应和处理方法
近年来,勒索软件是全球范围内快速增长的威胁之一,并且被认为是全球网络攻击的领导者,因为它能导致许多组织和个人面临一些安全问题和巨大损失。勒索软件攻击的成本仅在一年内就超过了10亿美元,而且勒索软件攻击数量扔日益增加。勒索软件对于一些犯罪分子来说,就是一个用赎金来换取钥匙的恶意游戏。随着受害者的赎金持续增长,致使勒索软件成为了一个数十亿美元的产业。所以,想要把它连根拔起没那么容易。本文中我们将看到针对复杂勒索软件攻击的响应及处理方法。勒索软件的共同点勒索软件的一个共同点是,所有的勒索软件变种,都使用了非常强大的加密方法(2048 RSA密钥)。另外提一句,据专业人士估计需要大约6.4万亿年才能破解一台普通台式计算机的RS
公告
关注公众号hackdig,学习最新黑客技术