记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华Geerban勒索病毒正在爆破传播,还用了数十款密码抓取工具
一、概述腾讯安全御见威胁情报中心接受到用户求助,称其公司内服务器文件被全盘加密,被加密文件全部修改为.geer类型。经远程协助查看,攻击者疑似通过RDP弱口令登录成功后投毒,再将系统日志全部清除,并尝试在其机器上部署一系列扫描、对抗工具、密码抓取工具达数十个之多,攻击者利用这些工具,对内网其它机器实施攻击,以扩大勒索病毒对该企业网络的破坏数量,勒索更多不义之财。由于该病毒使用RSA+salsa20加密文件,暂无有效的解密工具,我们提醒各政企机构高度警惕,尽快消除危险因素,强化内网安全。 二、分析该勒索病毒编写极为简洁,仅使用22个函数来完成加密过程。病毒涉及到的部分敏感操作均使用NT函数,希望借此躲过一些3环
卡巴斯基:2019年在勒索软件围攻下的市政组织
当今,人们对安全措施必要性的整体认识正在增强,因此也反向促使着网络犯罪分子不断精进他们的攻击目标。回顾过去三年,在所有被恶意软件攻击的用户中,勒索软件的占比似乎呈现出下降趋势——2017年上半年的比例为3.53%,2019年上半年比例为2.94%。虽然这一变化看似不大,但现实中勒索软件往往能够造成严重的损害,我们也不应掉以轻心。图1.受勒索软件攻击的用户在被恶意软件攻击的所有用户中占比卡巴斯基观察到,每半年间大约有90万至120万的用户受到勒索软件攻击。图2.2017年上半年至2019年上半年受到勒索软件攻击的用户数量各类形形色色的勒索软件其原理都是共通的:将计算机上的文件转换为加密数据,并要求受害者赎金换取文件解密。
Matrix勒索病毒最新变种GSAFE曝光,单台赎金高达十万人民币
近日,深信服安全团队捕获到Matrix勒索病毒最新GSAFE变种,该勒索病毒使用Delphi语言编写,加密文件的同时,会将文件名修改为[邮箱].随机字符-随机字符.变种标识的格式,随后释放名为#GSAFE_README#.rtf的勒索信息文件:在近期的攻击中,黑客索要单台主机的赎金竟高达2.5个比特币(换算人民币约13万),而在今年年初,勒索病毒攻击事件中单台主机的赎金仅为0.2~0.8个比特币(换算人民币约1~4万):截至目前,该勒索病毒没有破解方法,暂无公开的解密工具,一旦数据被加密,受害者将陷入高额赎金和数据丢失两种艰难抉择的境地中。早在今年1月,深信服安全团队曝光过该Matrix勒索病毒的另一变种“PRCP变种
新的勒索软件DeathRansom开始声名大噪
近日,一款新的勒索软件问世-DeathRansom。这个勒索软件一开始很不稳定,但是现在它的所有问题都已经解决,并已经开始感染受害者并加密他们的数据。当DeathRansom第一次传播时,它假装对文件进行加密,但是研究人员和用户发现,他们只需要删除附加的.wctc扩展名,文件就可以再次使用。不过,从11月20日左右开始,情况有所变化。不仅受害者的文件真正被加密,而且在勒索软件识别网站ID Ransomware上,有大量与DeathRansom有关的上传。Ransomware上载数据尽管自最初的激增以来人数有所减少,但我们仍然看到新受害者不断涌入,这意味着DeathRansom很可能正在进行活跃的传播。不幸的是
一家人就是要整整齐齐,GarrantyDecrypt勒索病毒最新变种居然做出这种事!
近日,深信服安全团队追踪到GarrantyDecrypt勒索病毒的最新变种,该变种会加密其所能访问的除Windows目录以外的所有文件,可谓寸草不生。由于其采用RSA+salsa20算法加密,目前该勒索样本加密的文件无解密工具。文件被加密后会被加上.bigbosshorse后缀:在被加密的目录下会生成一个名为”#Decryption#”的txt文件,显示受害者的个人ID序列号以及黑客的联系方式等:病毒详细分析病毒文件从对样本的分析中未发现有主动传播行为,病毒本体为一个Win32 exe程序,其编译时间为2019/11/16:病毒在执行完加密行为后会进行自删除:加密准备删除磁盘卷影:禁止Windows故障恢复画
利用IQY(Excel Web Query)文件分发,Buran勒索病毒又出新变种
近日,深信服安全团队关注到一项新的垃圾邮件活动用来传播Buran勒索病毒,其通过传播IQY(Microsoft Excel Web Query)附件,诱导用户打开附件,该附件通过请求网上数据执行powershell,用来进行病毒母体的下载。该家族之前使用”Rig Exploit Kit”工具包(使用CVE-2018-8174-微软IE浏览器远程命令执行漏洞)进行攻击,可以看到勒索病毒在使用多种技术以及方式进行攻击,让受害者防不胜防。据悉,Buran勒索病毒实为VegaLocker勒索病毒的变种,两者在加密后都会修改文件后缀为生成的用户ID,勒索信息文件结构也十分相似:左图为VegaLocker勒索病毒,右图为Buran
破解 “.YOUR_LAST_CHANCE” 勒索病毒攻击
勿抱幻想说起勒索病毒,近年来最为人所熟知的要数2017年爆发的WannaCry,其以一己之力引发了席卷全球的大骚乱——波及150多个国家,超30万名用户中招,累计损失逾80亿美金,并在医疗、金融、能源等关系国计民生的重要行业制造了一系列严重危机事件…今天,距离大魔王WannaCry风波平息已过去两年多的时间,但安全仍未占据主动!如果你已经开始忘记勒索病毒曾经秀过的肌肉,安华金和在此严肃认真地给予友情提醒:相关数据显示,我国2018全年共监测到超430万台计算机遭受勒索病毒攻击,平均每天约1.2万台。其中,企业成为勒索病毒最为热衷的攻击对象——在全球十大流行勒索病毒家族中,有九个都涉及企业攻击。仅2019年上
发布时间:2019-11-19 18:25 |
阅读:10384 | 评论:0 |
标签:勒索软件
新型勒索软件PureLocker现身,被Cobalt、FIN6等多个威胁组织使用
Intezer和IBM X-Force研究团队近期发现了一类新的勒索软件——PureLocker,它由一位资深的恶意软件即服务(MaaS)供应商在暗网上出售,并被Cobalt、FIN6等多个威胁组织使用。攻击者利用它对企业的生产服务器发起定向勒索攻击。PureLocker与“more_eggs”后门恶意软件密切相关,它由PureBasic编程语言编写,针对的操作系统包括Windows和Linux。PureLocker逃避检测的技术十分巧妙,出现几个月后才被安全人员发现,下面将介绍PureLocker的一些技术细节。初步分析分析的Windows样本是一个32位DLL,伪装成一个名为Crypto ++的C ++加密库:在查
京广多地超2万台电脑被挖矿 攻击者利用永恒之蓝漏洞横向扩散
一、背景腾讯安全御见威胁情报中心检测到挖矿木马家族Lcy2Miner感染量上升,工程师对该病毒的感染进行回溯调查。结果发现,有攻击者搭建多个HFS服务器提供木马下载,并在其服务器web页面构造IE漏洞(CVE-2014-6332)攻击代码,当存在漏洞的电脑被诱骗访问攻击网站时,会触发漏洞下载大灰狼远程控制木马。接着由远控木马下载门罗币挖矿木马和“永恒之蓝”漏洞攻击模块,然后利用“永恒之蓝”漏洞攻击工具在企业内网攻击传播,最终攻击者通过组建僵尸网络挖矿牟利。截止目前该团伙已通过挖矿获得门罗币147个,市值约6.5万元人民币。同时,中毒电脑被安装大灰狼远控木马,该木马具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种
比特币价格回暖,Satan勒索再次变种袭击我国
概述勒索圈有个任性的病毒家族Satan,无论比特币价格如何波动,解密要价都是1 BTC。此次,趁着比特币价格回暖,Satan勒索病毒推出了最新的变种,通过勒索提示信息,可以发现该变种实现了更完整的国产化,作者会提示用户通过火币网购买比特币,或者安装lantern在LocalBitcoins上进行购买,通过这些迹象猜测,Satan团伙中可能加入了某些中国黑客。被加密的文件后缀为[密钥].session。病毒母体为c.exe,文件编译的时间为11月3号。勒索追踪病毒运行后,通过抓包发现,它会与C&C服务器111.90.159.105进行通信,上传加密文件信息、主机信息、病毒运行状态信息。对该IP进行追踪,发现该C&
警惕Medusalocker勒索变种攻击企业,中毒被勒索1比特币
一、概述腾讯安全御见威胁情报中心监测到,Medusalocker勒索病毒在国内有部分感染,该病毒出现于2019年10月,已知该病毒主要利用钓鱼欺诈邮件及垃圾邮件传播。该病毒早期版本加密文件完成后添加扩展后缀.encrypted,最新传播病毒版本加密文件后添加.ReadTheInstructions扩展后缀。由于病毒使用了RSA+AES方式对文件进行加密,在未得到作者手中的RSA私钥时,暂无解密工具。攻击者会向受害者勒索1BTC(比特币),市值约6.5万元。我们提醒政企机构高度警惕,腾讯电脑管家及腾讯御点终端安全管理系统均可查杀拦截该勒索病毒。中毒后尝试与病毒作者邮件沟通,对方开价勒索1BTC购买解密工具,市值约6.5万
GandCrab勒索病毒就此销声匿迹了吗?
GandCrab勒索病毒是一种广泛使用的加密病毒,自2018年1月以来一直活跃在攻击第一线,目前恶意软件已经出现多种攻击性变种,包括 .GDCB,.KRAB,.CRAB,GandCrab 2,GandCrab 3,GandCrab 4,GandCrab v4.1,GanCrab v4.1.2和GanCrab v5(包括GandCrab 5.0.1,GandCrab 5.0.2,GandCrab 5.0.3,GandCrab 5.0.4,GandCrab 5.0.5,GandCrab 5.0.6和2019年4月发现的GandCrab 5.3)。在这么短短的两年时间里,GandCrab经历了很多版本的更新迭代,传播感染多式
伪装成Office文档的sodinokibi勒索病毒大量攻击中韩企业
一、背景近期腾讯安全御见威胁情报中心检测到大量借助钓鱼邮件传播的sodinokibi勒索病毒攻击中韩两国企业。中招用户被勒索0.15个比特币(市值7800元人民币),中招企业主要集中在广东、山东、江苏、上海、北京等地,主要受害企业包括IT公司、科研和技术服务机构,以及传统制造企业。钓鱼邮件伪装成以“偿还债务”、“支付汇款建议”为主题,并在附件中添加包含勒索病毒的压缩文件,中文版为“您的账号.zip”、韩文版为“송장 10.2019.zip”,解压后分别为“付款发票.xls.exe”、“10 월 송장.xls.exe”,都是伪装成表格文件的sodinokibi勒索病毒。从钓鱼邮件内容格式、主
MedusaLocker勒索病毒Debug版本泄露,看我如何高效检测防御
前言近日,一个叫MedusaLocker的勒索病毒在国外安全圈被炒的沸沸扬扬,原因是该病毒的多个版本被泄露了出来,其中包括了黑客开发过程中的Debug版本。近期,深信服借助强大的威胁情报来源,观察到菲律宾等东南亚国家,及国内不少企业接连中了该病毒,有持续爆发的趋势,深信服安全团队对该病毒进行追踪,实现检测与防御。正常情况下,为了防止被追踪,黑客分发恶意软件之前,都会对敏感信息进行抹除的,而这个Debug版本的MedusaLocker,很有可能是黑客在开发过程中不慎泄露的,Debug版本包含了较多的样本信息,我们可以通过研究它,制定有效的检测防御方案。由于Twitter上没有公布该样本的MD5,只好在VT上根据关键字进行
DEADMIN LOCKER勒索病毒预警:黑客携带全套工具内网横行
近日,深信服安全团队捕获到针对国内企业的新型勒索病毒攻击事件,攻击者通过爆破获得跳板机权限后,利用全套黑客工具包对内网主机进行渗透,人工投放勒索病毒进行加密,该勒索病毒加密邮箱与后缀为硬编码的字符串“.[[email protected]].DEADMIN”,并在勒索信息文件中自命名为DEADMIN LOCKER,该勒索暂无公开解密工具。在被勒索的主机上获取到攻击者留下的全套黑客工具包,包含从密码收集到远程登录等一系列内网渗透工具,可谓是一应俱全,其中包含较为小众的AutoMIMI、Lazy、rdp_con、gmer等工具,甚至包含名为!RDP的快捷方式,用于启动本地远程桌面连接:病毒名称:DEADMIN L
Phobos勒索软件变种分析报告
1、概述近日,安天CERT在梳理网络安全事件时发现Phobos勒索软件家族新变种,该勒索软件家族于2019年初被发现,并不断更新病毒变种。此变种最早于2019年9月末被发现,其传播方式主要为RDP暴力破解和钓鱼邮件。此勒索软件变种使用“RSA+AES”算法加密文件,暂时没有解密工具。程序运行后不仅加密文档文件还会加密可执行文件,并在加密后创建两种类型的勒索信,一种为txt格式,另一种为hta格式。Phobos勒索软件家族在全球多个行业扩散,感染面积大,变种更新频繁。安天CERT分析发现,Phobos勒索软件家族与2016年出现的CrySIS/Dharma勒索软件家族所使用的加密方式、部分代码段、勒索信外观与内容,以及用
发布时间:2019-10-17 18:10 |
阅读:18895 | 评论:0 |
标签:勒索软件
公告
关注公众号hackdig,学习最新黑客技术