记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

潜伏10+年,蠕虫病毒incaseformat今日作恶!

收录于话题 #分析报告 2个 TAG: incaseformat 蠕虫 传播TLP: 白(报告转发及使用不受限制)日期: 2021-01-13事件背景近日,微步在线收到国内多家客户反馈办公设备被名为 incaseformat 蠕虫病毒感染,受害者机器中除了系统盘以外,其他文件全部被删除。incaseformat 蠕虫病毒发现至今已有10多年历史,一般通过 U 盘进行传播,该蠕虫病毒会遍历删除系统盘以外的文件,并在根目录下创建名为 incaseformat.log 的空文件,由于病毒代码中设置变量值的错误,导致计算当前系统时间出错,所以直到 2021 年 1 月 13 日才被触发。
发布时间:2021-01-13 23:31 | 阅读:16225 | 评论:0 | 标签:病毒

被“incaseformat”蠕虫病毒删除文件?不要慌,腾讯iOA、御点、管家都能杀,文件也能恢复

收录于话题 有网友反应遭遇“incaseformat”病毒攻击,硬盘除C盘外,其他分区文件被删除,仅保留一个名为“incaseformat.log”的0字节文件。腾讯安全专家分析后发现,这是一个很古老的蠕虫病毒。腾讯iOA、腾讯御点、腾讯电脑管家均可查杀。即使病毒已产生破坏,被删除的文件恢复的概率也较高。该病毒在非Windows目录下运行时,并不会删除文件,但会修改注册表启动项,实现开机自启动,拷贝自身到windows目录下(C:Windowstsay.exe、C:Windowsttry.exe),同时设置注册表runonce的msfsa项。
发布时间:2021-01-13 23:31 | 阅读:17341 | 评论:0 | 标签:病毒

蠕虫病毒“incaseformat”23日还会发作 火绒无需升级即可查杀

收录于话题  今日,火绒工程师接到大量用户求助,称电脑中除C盘之外的其他文件都被删除,且磁盘中可能被创建“incaseformat”文本文档。经火绒工程师查看现场后发现,是用户电脑感染了带有“定时器”逻辑的蠕虫病毒。火绒用户无需担心,火绒安全软件(个人版、企业版)无需升级即可对该病毒进行拦截并查杀。 火绒工程师分析发现,此次的病毒与常见的蠕虫病毒不同,除了具有伪装文件夹图标,隐藏原始文件夹的危害以外,还设置了定时删除文件的逻辑。
发布时间:2021-01-13 20:57 | 阅读:16959 | 评论:0 | 标签:病毒

【安全事件】沉睡多年的incaseformat蠕虫病毒今日被唤醒!

收录于话题 通告编号:NS-2021-00022021-01-13TAG:incaseformat、Worm.Win32.Autorun、数据删除、数据恢复病毒危害:此病毒会删除所有非系统分区的文件。版本:1.01事件背景2021年1月13日,绿盟科技应急响应团队接到全国多个客户反馈感染所谓的incaseformat病毒,涉及政府、医疗、教育、运营商等多个行业,且感染主机多为财务管理相关应用系统。感染主机表现为所有非系统分区文件均被删除,由于被删除文件分区根目录下均存在名为incaseformat.log的空文件,因此网络上将此病毒命名为incaseformat。
发布时间:2021-01-13 20:57 | 阅读:14225 | 评论:0 | 标签:安全 病毒

2020年勒索病毒年度报告

由于疫情的影响,2020年很多人都是居家办公学习,网络用户快速增长,而网络攻击的事件也是呈现同比增加。甚至网络攻击变得更加复杂,并可能同时危害成千上万个设备。如今,网络攻击种类繁多,其中最令人恐惧的便是勒索软件,一种通过加密主机数据文件从而勒索赎金的病毒程序。
发布时间:2021-01-07 21:43 | 阅读:14337 | 评论:0 | 标签:勒索 病毒

谷歌修复 Chrome 新创建文件被 Windows 10 反病毒软件锁定的 Bug

Google Chrome 刚刚修复了一个影响浏览器在 Windows 10 操作系统上创建新文件的 Bug 。此前在使用“ImportantFileWriter”输出某些文件时,反病毒软件可能会阻止 Google Chrome 浏览器执行包括新建书签等在内的操作。 据悉,为安全起见,反病毒软件通常会临时锁定系统上新生成的文件,直到对其完成了反病毒扫描、并排除了恶意活动的可能。
发布时间:2021-01-06 11:36 | 阅读:10001 | 评论:0 | 标签:安全快讯 Google 网络安全 windows 病毒

VelVet病毒分析报告—针对韩国用户的IOS应用

 最近暗影安全实验室发现了一款主要针对韩国用户的IOS恶意程序,该病毒的主要行为是安装启动后读取用户手机通讯录信息并上传到指定服务器,具有隐私窃取行为。 样本信息文件名称:9b24219f0504bf1aed074b9ab1ed73ec.ipa文件MD5:9B24219F0504BF1AED074B9AB1ED73EC安装名称:VelVet 行为及代码分析该APP运行后显示登录界面,输入数据后点击号码认证,APP会请求通讯录权限。
发布时间:2021-01-04 11:29 | 阅读:10703 | 评论:0 | 标签:iOS ios 病毒

记一次对Linux挖矿病毒kswapd0的分析和清除

一个朋友的Linux服务器早上呼我,说服务器好卡,让我帮忙看下,于是我就通过给的宝塔,登陆下服务器,然后习惯性top下,好家伙,kswapd0 跑的死死的,难怪卡。那这个 kswapd0 是啥玩意呢?还是root级的,pid是 2743,通过 ll /proc/2743,我们看进程里啥玩意。看到了执行了 一个 /root/.configre/a/kswapd0 ,这个就太形迹可疑了,这完全是病毒程序呀,还在/root/.configrc/ 目录里。
发布时间:2020-12-29 16:16 | 阅读:20608 | 评论:0 | 标签:攻防实践 linux 病毒

朝鲜国家黑客入侵新冠病毒疫苗研发机构和政府部门

卡巴斯基最近发布的APT报告显示,朝鲜黑客组织Lazarus Group已经入侵了参与新冠病毒(COVID-19)疫苗研发机构。根据报告,Lazarus于9月和10月分别渗透了一家制药公司和一个政府卫生部的网络在进入目标网络后,Lazarus黑客部署了Bookcode(Lazarus专用)和具有后门功能的wAgent恶意软件。卡巴斯基安全专家Seongsu Park在APT报告中说:“这两种攻击都利用了重叠程度不大的不同恶意软件集群。”“但是,我们可以确认他们都与Lazarus团伙有联系,并且我们还发现了在利用后的流程中存在重叠。
发布时间:2020-12-29 10:55 | 阅读:11859 | 评论:0 | 标签:入侵 黑客 病毒

勒索病毒防御方法+线上应急工具箱大全

收录于话题 #勒索 1 #病毒 1 #木马 1 #应急 1 #防火墙 1 一、勒索病毒加密原理简单来说勒索病毒就是使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财和赎金。用户数据资产包括:文档、邮件、数据库、源代码、图片、压缩文件等。赎金形式包括真实货币、比特币或其它虚拟货币。勒索病毒作者会设定一个支付时限,有时赎金数目会随着时间的推移而上涨。有时即使用户支付了赎金,最终也还是无法正常使用系统,无法还原被加密的文件。总的来说,勒索病毒是劫持数据以索求赎金的一类恶意软件,会导致重要数据损坏、财产损失和信息泄露等严重危害。
发布时间:2020-12-28 14:33 | 阅读:17120 | 评论:0 | 标签:防御 勒索 病毒

物联网安全:病毒攻击

收录于话题 一、计算机病毒的定义与特征计算机病毒(Computer Virus)是人为制造的、能够进行自我复制的、对计算机资源具有破坏作用的一组程序或指令的集合,这是计算机病毒的广义定义。计算机病毒把自身附着在各种类型的文件上或寄生在存储媒介中,能对计算机系统和网络进行各种破坏,同时能够自我复制和传染。在1994年2月18日公布的《中华人民共和国计算机信息系统安全保护条例》中,计算机病毒被定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。
发布时间:2020-12-25 17:12 | 阅读:14758 | 评论:0 | 标签:攻击 物联网 安全 病毒

北京中科网威新品发布基于深度学习的病毒检测引擎

未知病毒,特征检测引擎永远的痛随着网络技术的发展,当今网络病毒包含大量的已知病毒变种和新型未知病毒,病毒具有传播速度更快、破坏能力更强、使用更多的加壳和隐藏技术等特点,使病毒检测工作面临着巨大挑战。目前主流的病毒检测方法是使用特征码扫描技术,其基本原理是:提取已知病毒样本中的一段二进制特征码,该特征码能唯一识别该类病毒,将此特征数据添加到病毒特征库中,在病毒检测时搜索病毒特征库查找是否存在匹配的病毒特征数据来检测是否存在病毒。该技术能快速和准确地识别已知病毒,但无法识别新型未知病毒,同时大量已知病毒变种的传播无疑给检测过程带来很大的阻碍。
发布时间:2020-12-22 16:12 | 阅读:18448 | 评论:0 | 标签:中科网威 病毒检测引擎 学习 病毒

勒索病毒介绍及常见处理流程

一.什么是勒索病毒?勒索病毒,是一种新型电脑病毒,主机感染勒索病毒文件后,会在主机上运行勒索程序,遍历本地所有磁盘指定类型文件进行加密操作,加密后文件无法读取。然后生成勒索通知,要求受害者在规定时间内支付一定价值的虚拟币才能恢复数据,否则会被销毁数据。从直观现象而言,勒索病毒的现象主要包含以下两种场景:a)服务器文件被加密,例如加密成.java后缀或者其他奇怪的后缀名称,在桌面提示需要支付比特币赎金到某个账户,如果不支付将导致文件永远不可用,如下图所示:b)内网主机成片出现蓝屏现象,蓝屏的代码提示srv.sys驱动出现问题,如下图所示。
发布时间:2020-12-21 18:12 | 阅读:19407 | 评论:0 | 标签:安全学院 勒索 病毒

百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击

背景概述 近日,深信服安全团队捕获到一起利用MSSQL暴力破解投放勒索病毒的攻击事件,攻击者通过MSSQL的xp_cmdshell执行系统命令,从C&C服务器下载并执行勒索病毒。执行的相关命令如下:     经安全专家分析,攻击者所使用的程序均通过.NET进行Gzip压缩封装,最终将C++编写的PE解压后注入到CasPol.exe进程(.NET的码访问安全性策略工具)执行,经分析为Remcos远控和GlobeImposter勒索病毒。
发布时间:2020-12-18 14:32 | 阅读:20414 | 评论:0 | 标签:.net C ClassLibrary3.dll GlobeImposter GzipStream类 MSSQL Web

记一次阿里云服务器被中病毒处理过程

记一次阿里云服务器被中病毒处理过程早上醒来看到阿里云的紧急通知短信,就马上进入app看下1、起床之后,买了早饭没吃,先打开电脑,使用top查看
发布时间:2020-12-18 10:33 | 阅读:14852 | 评论:0 | 标签:网络学院 病毒

Phorpiex僵尸网络不甘作渠道,尝试自运营Knot勒索病毒

收录于话题 长按二维码关注腾讯安全威胁情报中心一、概述腾讯安全团队检测到Phorpiex僵尸网络正在推广Knot勒索病毒,Knot勒索病毒将自身加密文件密钥配置存放在Phorpiex僵尸网络的资产45.182.189.251上。以往Phorpiex僵尸网络主要作为其它勒索病毒的传播渠道来牟利,本次投递的Knot勒索病毒从代码相似性和C2服务器的共用性来看,更像Phorpiex僵尸网络团伙直接运营。推测Phorpiex僵尸网络已不满足于仅仅作为其他勒索病毒的传播渠道牟利,开始直接利用所掌控的僵尸网络资源传播自行开发的勒索病毒来获取更大的利益了。
发布时间:2020-12-17 19:06 | 阅读:15790 | 评论:0 | 标签:僵尸网络 勒索 病毒

针对医院的新型勒索病毒Hospit曝光,疫情抬头期间更需关注信息安全!

收录于话题 #病毒文件分析 4个 背景概述近日,深信服安全团队捕获到一种新型勒索病毒,加密文件后缀为.guanhospit。该勒索病毒具有很强的行业特征,截止至目前国内已发现多起感染案例,均为医疗单位。深信服安全团队将其命名为Hospit家族。感染病毒后,会将数据库、文档等重要文件加密,其采用了非对称加密算法,加密后的文件目前无法解密。由于其主要针对医疗行业进行攻击,而该行业具有很大的业务紧迫性,并且当前国内出现疫情反复的情况,一旦被勒索,将导致业务中断,造成的损失不可估量,这又会导致这个行业的受害者为了快速恢复业务,而选择给黑客支付赎金的方式。
发布时间:2020-12-16 19:55 | 阅读:17486 | 评论:0 | 标签:勒索 安全 病毒

病毒作者利用破解去广告腾讯视频噱头投递CS后门

背景近日接到用户反馈,发现一起通过腾讯视频精简包投毒事件。经过分析,发现该安装包携带Cobalt Strike后门病毒。用户安装腾讯视频精简包并运行腾讯视频主程序后,就会激活后门病毒。病毒可以接收C&C服务器指令,具备服务创建,进程注入,远程shell等功能。
发布时间:2020-12-16 15:20 | 阅读:13986 | 评论:0 | 标签:后门 破解 病毒

苹果发布 iOS 12.5 增加旧设备的病毒通知功能并修复漏洞

与iOS 14.3同时发布的iOS 12.5更新为老款iPhone机型带来了冠状病毒暴露通知系统。此外,它还提供了安全补丁,修复了上一次更新中已知的漏洞。苹果上一次更新iOS 12是在11月发布的iOS 12.4.9。随着周一的最新更新,该公司正在扩大可添加到区域暴露通知网络的设备数量。 暴露通知系统由苹果和谷歌开发,如果用户接触过COVID-19检测呈阳性的人,就会向用户发出警报。它依靠匿名的短程蓝牙识别器,并不收集任何位置数据或个人身份信息。该系统完全是可选加入,必须由用户激活。当地的卫生部门也必须支持该系统才可以运作,因此用户应该检查自己所在的州或地区是否具备相关的通知功能。
发布时间:2020-12-15 12:52 | 阅读:17904 | 评论:0 | 标签:安全快讯 iOS iPhone 安全漏洞 漏洞 ios 病毒

最有希望的新冠病毒疫苗BNT162b2遭非法访问

收录于话题 最有希望的新冠病毒疫苗上市在即,欧洲管理机构的批准也在最后阶段,但联合开发疫苗的机构周五声称,由于管理机构被入侵,相关数据遭“非法访问”。位于阿姆斯特丹的欧洲药品管理局(EMA)首先披露了此次入侵事件。EMA在声明中表示,针对此次事件已经与执法机构开启了联合调查。但EMA并未透露入侵事件何时发生以及其他入侵的具体细节。几乎是当天同一时间段,医药公司Pfizer和生物科技公司BioNTech发表联合声明:“今天,我们收到EMA的通知。该机构受到网络攻击,Pfizer和BioNTech放在EMA服务器上的新冠病毒疫苗BNT162b2的数据,被非法访问。
发布时间:2020-12-14 00:53 | 阅读:31078 | 评论:0 | 标签:病毒

(实战)记一次对steam盗号病毒的发现到拿下病毒的服务器

收录于话题 以下文章来源于家国安全 ,作者夜无名 家国安全 网络安全的视角,从小家到大国。 投稿作者:夜无名事情起缘事情起缘于上周的一个无聊的周末,周末总是无聊而又乏味,好基友每周也准时约我吃鸡,可奈何我这个穷逼买!不!起!号!怎么办呢?对!卡盟,随便百度了一个某某卡盟,果然里面各种各样的游戏的账号都有,而且大部分的都是黑号,至于什么是黑号就不多说了(像这种倒卖黑号的也是一条产业链),就随便下了个订单。果不其然,并不是简简单单的直接发账号密码给你,而且还需要你下载所谓的登录器,有些安全意识的朋友都知道陌生可执行的文件千万不要随便去运行。下载下来后,AV软件不出所料的报红了。
发布时间:2020-12-11 21:21 | 阅读:20396 | 评论:0 | 标签:病毒

富士康遭巨额勒索,面对勒索病毒威胁,怎样给文档打“疫苗”?

今年勒索软件的攻击频率和强度比以往更强,波音、佳能、Garmin(佳明)、SKhynix等众多大型企业都纷纷遭殃,近日富士康墨西哥的一家工厂也遭到了勒索软件攻击,大约100GB未加密的数据被窃取。 攻击者还加密了与运营有关的资料,并要求富士康支付1804.0955枚比特币,价值约2.3亿元,以换取加密密钥和不公布被盗数据的承诺,因为未支付赎金,被窃取的部分业务文件、报告等内部资料已经被公布在网络上。 从富士康遭勒索的事件中可以清晰看到,勒索者目前不仅仅只是非法加密企业的文档,让企业无法正常工作后索要赎金,“窃取企业大量未加密的文档并威胁公开”也已经成为其勒索巨额赎金的常见方式。
发布时间:2020-12-11 11:51 | 阅读:18406 | 评论:0 | 标签:数据安全前沿 企业加密软件 企业文件加密 勒索病毒 数据安全 勒索 病毒

成人游戏传播后门病毒 小心BT种子下载站

收录于话题 #病毒分析报告 66个 【快讯】近期,火绒接到一起用户感染病毒的求助,火绒工程师查看分析后,确认为后门病毒。经过溯源发现,该病毒被打包进数款成人类游戏,并在成人游戏BT种子下载站等地传播。当下载游戏运行后,便会激活其中的后门病毒,执行挖矿模块。火绒用户无需担心,火绒安全软件最新版已对上述病毒进行拦截查杀。
发布时间:2020-12-09 22:58 | 阅读:15879 | 评论:0 | 标签:后门 病毒

3601_lpk劫持病毒分析

收录于话题 本文为看雪论优秀文章看雪论坛作者ID:WPeace1. 样本概况1.1 样本信息病毒名称:3601劫持病毒所属家族:Trojan-DDoS.Win32.Macri.atk大小:245
发布时间:2020-12-05 21:02 | 阅读:21974 | 评论:0 | 标签:病毒

Medusalocker勒索病毒,小心全网被加密

背景概述 近日,深信服安全团队接到用户的勒索求助,排查发现是一款名为MedusaLocker的勒索软件家族。该勒索病毒家族具有一些独特的功能,它不仅会感染本地计算机,而且还会通过网络进行扩散,对其他主机进行加密。 为了最大程度地在受感染机器上成功加密文件,并且保证用户能够支付赎金,MedusaLocker勒索病毒不会对可执行文件进行加密。其使用AES和RSA-2048的组合,使得加密的文件解密变成不太可能。 在本文中,我们将介绍MedusaLocker勒索病毒的工作原理。
发布时间:2020-12-04 13:01 | 阅读:23701 | 评论:0 | 标签:CMSTP GetTokenInformation MedusaLocker skynet.exe SMB共享 加密公钥

新型网络攻击被曝光,将导致DNA科学家创造出可怕的病毒

近期,安全研究专家发现了一种新型的网络攻击,这种网络攻击将导致DNA科学家错误地创造出影响极其严重的可怕病毒,而这项研究也足以证实新型“生物黑客”技术的潜在危险。除此之外,这种开发出来的新型网络攻击也突显了针对生物研究领域的网络攻击在将来所能产生的后果。就在本周一,来自以色列本·古里安大学的研究小组对外正式介绍了这种攻击技术,并且表示“毫不知情”的生物学家以及科学家在这种攻击面之下,将有可能成为旨在将生物战提升到另一个层次的网络攻击的受害者。众所周知,新冠疫情正在全球范围内迅速蔓延,而全世界的科学家现在都在努力推动新冠病毒疫苗的研发以拯救全人类。
发布时间:2020-12-03 12:55 | 阅读:15613 | 评论:0 | 标签:攻击 病毒

“研发”病毒!生物黑客可发动远程DNA攻击

内盖夫本·古里安大学(BGU)的研究人员最近发现了一种端到端的网络生化攻击——DNA注入攻击(是的你没看错,不是DNS注入),可欺骗不知情的生物学家在实验室中制造危险的毒素甚至未知的病毒。生物黑客的远程DNA注入攻击研究者在《自然》上发表的论文“网络生物安全,合成生物工程面临远程DNA注入威胁”(下载链接在文末)指出,过去人们认为生物黑客需要与危险物质物理接触才能生产有毒物质和病毒,但如今恶意软件或生物黑客通过“远程DNA注入攻击”可以很容易地替换生物工程师计算机上的DNA片段,通过篡改DNA序列排序,创建一个能产生毒素的DNA序列,甚至一个全新的病毒。
发布时间:2020-12-02 17:15 | 阅读:13669 | 评论:0 | 标签:威胁情报 DNA攻击 生物黑客 攻击 黑客 远程 病毒

针对 DNA 供应链的攻击可导致病毒生成

周一,内盖夫本古里安大学的学者描述了生物学家和科学家如何成为生物科学领域网络攻击的受害者。 在全球科学家正研发COVID-19疫苗的时候,本·古里安的研究小组表示,黑客不再需要物理接触“危险”物质即可生产“病毒”。相反,黑客可以通过网络攻击诱骗科学家合成病毒。 该研究报告《网络生物安全性:合成生物学中的远程DNA注射威胁》最近发表在学术期刊《自然生物技术》上。 该报告描述了恶意软件如何替换DNA测序中的生物学家计算机上的子字符串。具体而言,合成双链DNA和统一筛选协议v2.0系统提供者的筛选框架指南中的弱点可以混淆程序。
发布时间:2020-12-01 13:50 | 阅读:17663 | 评论:0 | 标签:恶意软件 网络攻击 攻击 病毒

勒索病毒解密工具DarkSide

越来越多的黑客组织使用勒索病毒对企业发起攻击,勒索病毒带来的暴利让一些技术高超的老牌的APT黑客组织也流下了口水,通过使用勒索病毒定向攻
发布时间:2020-12-01 11:12 | 阅读:25610 | 评论:0 | 标签:勒索 解密 病毒

WannaMine4.0病毒主程序分析

收录于话题 本文为看雪论优秀文章看雪论坛作者ID:WPeace1. 样本概况1.1 样本信息病毒名称:WannaMine4.0所属家族:木马蠕虫大小:6690304 bytesMD5:064
发布时间:2020-11-29 20:43 | 阅读:17685 | 评论:0 | 标签:病毒

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云