记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

GandCrab勒索病毒就此销声匿迹了吗?

GandCrab勒索病毒是一种广泛使用的加密病毒,自2018年1月以来一直活跃在攻击第一线,目前恶意软件已经出现多种攻击性变种,包括 .GDCB,.KRAB,.CRAB,GandCrab 2,GandCrab 3,GandCrab 4,GandCrab v4.1,GanCrab v4.1.2和GanCrab v5(包括GandCrab 5.0.1,GandCrab 5.0.2,GandCrab 5.0.3,GandCrab 5.0.4,GandCrab 5.0.5,GandCrab 5.0.6和2019年4月发现的GandCrab 5.3)。在这么短短的两年时间里,GandCrab经历了很多版本的更新迭代,传播感染多式
发布时间:2019-11-05 13:10 | 阅读:11959 | 评论:0 | 标签:勒索软件 GandCrab 勒索病毒

Sodinokibi勒索病毒利用Flash漏洞强势来袭

自GandCrab宣布停止运营以来,勒索病毒攻击事件并没有随着GandCrab的退出而减少,全球各地每天仍有用户因为数据遭到加密而损失惨重。在后来居上的各个勒索病毒家族中,Sodinokibi勒索已经成为了现在全球最流行的勒索病毒之一,也叫称为GandCrab的”接班人”。Sodinokibi勒索病毒的部分变种在加密后会将受害主机的屏幕设置成深蓝色,因此也被称为“DeepBlue”勒索,早在该勒索病毒活动的初期,深信服安全团队就已捕获到其利用Confluence漏洞(CVE-2019-3396)进行攻击的案例:《警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种》详细链接: https://mp
发布时间:2019-07-24 12:25 | 阅读:78337 | 评论:0 | 标签:勒索软件 GandCrab Sodinokibi 漏洞

攻击MySQL服务器传播GandCrab勒索软件

研究人员在实验室环境中搭建了一个蜜罐系统,监听着SQL服务器使用的默认端口(TCP/3306端口)。该蜜罐系统发现来自美国机器的攻击。研究人员监控了僵尸网络生成的网络流量和行为,发现该Linux蜜罐下载了一个Windows可执行文件。攻击者首先用SQL数据库命令在上传helper DLL到服务器,然后作为数据库函数调用该DLL来提取IP地址位于加拿大魁北克省的主机上的GandCrab payload。数据库服务器下载GandCrabSQL攻击攻击的第一阶段是攻击者连接到数据库服务器,然后确定他运行的是MySQL。因为蜜罐系统模拟了MySQL,因此攻击的后面部分就非常顺利。攻击者释放的SQL命令然后,攻击者使用set命令
发布时间:2019-05-28 12:25 | 阅读:50428 | 评论:0 | 标签:勒索软件 GandCrab

警惕“侠盗”团伙利用新型漏洞传播GandCrab勒索“蓝屏”变种

背景概述近日,深信服安全团队捕获到利用Confluence新型漏洞传播勒索病毒的事件,已有政企机构受到攻击,黑客团伙通过漏洞利用入侵服务器,上传Downloader脚本文件,连接C&C端下载运行勒索病毒。通过样本中提取的IP进行关联,该攻击事件与利用Confluence漏洞(CVE-2019-3396)传播GandCrab勒索病毒攻击事件有密切的关联。经深信服安全团队分析,该勒索病毒在功能代码结构上与“侠盗”病毒GandCrab非常相似,同时应用了多种反调试和混淆方式,进行调试时会导致主机蓝屏,且似乎还处于不断调试的阶段,与“侠盗”团队有很大关联,确认是GandCrab勒索病毒最新变种。该勒索病毒使用RSA+A
发布时间:2019-04-29 12:25 | 阅读:68559 | 评论:0 | 标签:勒索软件 GandCrab 漏洞

传播GandCrab和Ursnif的攻击活动分析

概要Carbon Black ThreatSight团队研究人员发现一起攻击活动,如果攻击成功,可以同时感染Ursnif恶意软件和GandCrab勒索软件。整个攻击活动使用多种不同的方法,其中包括红队、大量网络犯罪分子常用的技术。攻击活动最开始通过含有word附件的钓鱼邮件,word附件中嵌入了宏文件,研究人员一共发现了180个变种。宏可以调用编码的PowerShell脚本,然后使用一系列技术来下载和执行Ursnif和GandCrab变种。整个攻击活动的攻击链如图1所示:图1: 攻击概览技术分析承载文件攻击活动中攻击者用.doc格式的word文档进行初始阶段传递。研究人员一共发现大约180个word变种,这些文档最大的
发布时间:2019-02-05 12:20 | 阅读:139117 | 评论:0 | 标签:勒索软件 GandCrab Ursnif

含有紧急出口图的垃圾邮件推送GandCrab勒索软件

研究人员近日发现一起新的垃圾邮件活动,垃圾邮件活动会发送收件人所在建筑物的紧急出口图给收件人,紧急出口图同时也被用户安装GandCrab勒索软件。据Myonlinesecurity.co.uk消息,之前在传播Ursnif银行木马的服务器现在开始推送GandCrab v5.1勒索软件了。BleepingComputer决定深入分析传播的垃圾邮件和文件,以确定活动的工作原理。最新的垃圾邮件活动假装发送给接收者所在建筑物的紧急出口图。邮件称来自Rosie L. Ashton,主题是Up to datе еmеrgеnсy еxit map(最新紧急出口图),附件中有一个名为Emergencyexitmap.doc的word文
发布时间:2019-01-27 12:20 | 阅读:69701 | 评论:0 | 标签:Web安全 GandCrab

GandCrab最新样本分析

研究人员之前已经对GandCrab及其变种进行了分析。近期,研究人员又发现新的GandCrab样本协木马恶意软件出现。最新的GandCrab样本并不依赖PowerShell进行加密。在该变种中,PowerShell主要用于传播第一阶段恶意软件到终端用户。除此之外,恶意软件的操作通过多个进程进行传播。 图1: 攻击概览GandCrab是一个高级的攻击活动,提供给技术实力一般的一些威胁单元让他们可以自己发起勒索软件活动。图2:  Sand Blast Agent Forensics报告的攻击鸟瞰图 以PowerShell作为入口点根据SandBlast Agent提供的取证报告,发现攻击是用命
发布时间:2019-01-24 12:20 | 阅读:86946 | 评论:0 | 标签:勒索软件 GandCrab

揭秘勒索界海王如何横扫中国

一、谁是勒索界当之无愧的海王?2018年是一个勒索病毒高发的年度,可谓百(can)花(bu)争(ren)艳(du),勒索家族变种、传播方式层出不穷,所谓你方唱罢我登台,直接把CHINA当作了屠宰场,年初宰到了年尾,明年估计形势会更不乐观。但大家是否会好奇,勒索病毒这么多,到底哪一家“强”呢?深信服EDR安全团队,综合了2018年一整年的数据(感染案例,实际数据会更多),得出这位最终的勒索届年度海王为:GandCrab勒索病毒,中文外号咸水国巨蟹。下图,是这只巨蟹横行过的区域,包括新疆、广东、安徽、青海、江西、福建、浙江、山西、吉林、贵州、天津、北京、上海、河北、山东、辽宁、江苏、四川等,基本覆盖大半个中国,以东部沿海最
发布时间:2018-12-15 00:20 | 阅读:88514 | 评论:0 | 标签:勒索软件 GandCrab

GandCrab勒索软件的最新版本中开始引入加密和混淆功能

众所周知,勒索软件如今的迭代速度非常快,不过像Crypter如此之快的迭代速度也不多见。Crypter是在今年1月份首次被发现的,如今它已经更新换代到第5版(10月发现的版本已经到了5.0.2版本)了,且加入了crypter(加密和混淆软件)技术。在这篇文章中,McAfee实验室的研究人员将对Crypter最新版本进行仔细分析和研究,包括开发者如何改进代码(虽然在某些情况下这些代码还是会出现错误)。 不过目前,McAfee网关和安全终端产品能够保护用户免受已知变种的攻击。GandCrab开发者的研发和纠错能力是很强的,他们已迅速采取行动改进那些容易出错的代码,并添加了用户评论,以激发安全机构、执法机构等组织对它的持续研
发布时间:2018-10-16 17:20 | 阅读:108011 | 评论:0 | 标签:勒索软件 GandCrab 加密

用于恶意广告活动的Fallout Exploit Kit传播GandCrab勒索软件

在2018年8月底,FireEye发现了一个新的漏洞利用工具包(EK),作为影响日本,韩国,中东,南欧和亚太地区其他国家用户的恶意广告活动的一部分。该活动的第一个实例于2018年8月24日在域名finalcountdown [.] gq上观察到。总部位于东京的研究人员nao_sec于8月29日确定了此活动的一个实例,并在博客中将漏洞攻击套件称为Fallout Exploit Kit。作为研究的一部分,我们观察了与广告系列相关的其他域名、区域和有效载荷。除了nao_sec博客文章中提到的在日本传播的SmokeLoader,GandCrab勒索软件在中东传播,我们将在这篇博文中重点关注GandCrab。如果用户配置文件与感
发布时间:2018-09-12 12:20 | 阅读:116796 | 评论:0 | 标签:勒索软件 GandCrab exp

GandCrab v4.x的活动表

在过去的两个月里,FortiGuard Labs一直在监控GandCrab因其灵巧的开发方法而引发的更新。其中一些更新包括重大更改,而有些则很微小。在此期间,研究人员见证了勒索软件作者和韩国安全公司Ahnlab之间就其7月中旬发布的免疫工具进行了一系列针锋相对的争斗。在某些时候,威胁攻击者甚至发布了针对Ahnlab反病毒应用程序的拒绝服务攻击的POC。本报告简述了GandCrab自2018年7月发布4.0版以来的发展。关于同一主题的最新研究博客请参阅。 一、GandCrab v4.x 时间轴下图显示了过去两个月GandCrab开发过程中产生的各种版本和事件。一般来说,它可视化了GandCrab的开发速度,包括
发布时间:2018-09-10 12:20 | 阅读:101769 | 评论:0 | 标签:勒索软件 GandCrab

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云