GandCrab勒索软件是一种恶意软件威胁，可以对受影响的计算机上的数据进行加密，并要求支付赎金以换取解密工具。该加密病毒于今年1月底首次出现，此后研究人员确定了GandCrab的几种不同版本，其中包括GDCB，GandCrab v2，GandCrab v3，GandCrab v4和GandCrab v5。该勒索软件的最新版本已于大约一个月前于2018年9月被发现。此勒索软件的功能和加密机制自首次出现以来就得到了发展-最初的三个版本使用RSA和AES加密算法来锁定受感染设备上的数据，版本4及更高版本使用了其他更复杂的密码，例如Salsa20。恶意软件研究人员认为，这样做主要是出于速度方面的考虑，因为Salsa20密码要快得多。选择要加密的文件的模式也已发展。原始版本已检查文件以针对文件扩展名的特定列表进行加密，而第二个及所有后续GandCrab版本则具有排除列表，并对未出现在该列表中的所有其他文件进行加密。所需赎金的数额也有所增加。 GandCrab主要通过垃圾邮件，漏洞利用工具包，伪造更新和破解的合法软件进行分发。所有GandCrab案例的一个特征是，该勒索软件向加密文件添加了特定的扩展名。根据文件的恶意软件感染计算机的类型，这些文件扩展名可以是.gdcb，.krab，.crab，.lock或5到10个随机字母的组合。 GandCrab的初始版本在代码中存在一个严重错误，该错误将解密密钥保留在受感染计算机的内存中，因此一家反恶意软件公司与Europol和罗马尼亚警察合作，迅速开发了一个解密器并免费提供在NoMoreRansom.org上下载。但是，几乎在此之后，恶意软件作者已经发布了已修复该缺陷的更新版本，以便解密器不再适用于所有后续版本。目前，尚无针对当前发行的GandCrab勒索软件的免费解密工具，因此用户在网上冲浪或打开电子邮件时应格外小心。抵制勒索软件的最佳技巧可能是将所有有价值的数据备份到外部存储设备上。 GandCrab的前三个版本遵循基本例程...

RobinHood勒索软件（RobbinHood Ransomware或RobbinHood File Extension Ransomware）是一种勒索软件木马，用于以提高也门人民的知名度和资金为借口来骚扰计算机用户。实际上，没有证据支持RobinHood Ransomware的创建者具有利他动机的理论。骗子有可能使用RobinHood勒索软件来牟利，就像大多数加密勒索软件特洛伊木马程序的创建者如今一样。但是，对于RobinHood Ransomware而言，勒索要求非常高，因此，任何个人计算机用户在遭受攻击时都不太可能会支付RobinHood Ransomware勒索。采取预防措施来防范诸如RobinHood Ransomware之类的勒索软件木马，这种木马正变得越来越普遍。 也门也有罗宾·胡德 RobinHood Ransomware感染几乎没有什么不同。 RobinHood勒索软件几乎与大多数其他加密勒索软件木马相同。 RobinHood勒索软件将加密受害者的文件，然后要求勒索赎金，以换取恢复受影响文件所必需的解密密钥。 RobinHood勒索软件包含声称为也门人民服务的消息，其中提及沙特阿拉伯在也门杀害无辜者。 RobinHood勒索软件可以通过多种方式安装在受害者的计算机上。与RobinHood Ransomware链接的最常见分发方法是损坏的网站和链接，通常使用垃圾邮件消息或社交媒体上的策略进行分发。 RobinHood勒索软件包括一个宣传图片而不是标准的赎金票据，更改了受害者的桌面图片，以反映其据称为也门人民筹款的目的。 RobinHood勒索软件将加密大量文件，尤其是针对与Microsoft Office相关的媒体文件，照片和文档。 RobinHood Ransomware的桌面图像显示为“ HELP YEMEN”，并包含一条消息，指示受害者采取若干步骤进行恢复。 RobinHood...

WanaCrypt0r勒索软件是一种加密木马，具有类似于蠕虫的攻击策略。截至2017年5月12日，WanaCrypt0r勒索软件被公认为是最具威胁性和最广泛使用的加密木马之一。WanaCrypt0r勒索软件在第一版发布到真实世界时成功入侵了一百四十个国家的数十万个系统。攻击的首当其冲是俄罗斯的PC用户和英国的National Healthcare System。该木马成功地阻止了对连接到国家医疗保健系统的大多数计算机的访问，并且在俄罗斯记录了涉及WanaCrypt0r勒索软件的案例中近70％。 WanaCrypt0r勒索软件是一个独立的勒索软件木马，它能够感染运行Windows XP和Windows Server 2003的易受攻击的计算机。受害最大的国家是俄罗斯联邦，乌克兰，印度，英国和台湾。 谁在用WanaCrypt0r勒索攻击背后？ WanaCrypt0r Ransomware背后的恶意软件作者利用了NSA发现的漏洞，该漏洞已被一群称为“影子经纪人”的黑客出售。该小组想出售NSA盗用的一套工具，但没人愿意购买他们的“产品”，并且该小组将所有可用资源上传到Internet。显然，WanaCrypt0r的创建者发现了一个漏洞，其代码为CVE-2017-0145，又名“ EternalBlue”，该漏洞使程序员可以将专门制作的数据包发送到SMB服务器，并在接收器端执行损坏的代码。攻击者设法安装了“ DoublePulsar”后门木马，这使他们能够将WanaCrypt0r勒索软件引入受感染的计算机和与其连接的其他计算机。 WanaCrypt0r勒索软件是持久威胁吗？...

Krampus-3PC是专门针对Apple移动设备的威胁。 Krampus-3PC恶意软件的作者已确保对其威胁进行了多次检查，以确定该设备是否由Apple制造。所有未使用Apple设备的用户都可以幸免。 Krampus-3PC恶意软件的另一个有趣特征是，它可以完全在线运行。由于受影响的设备上不会留下任何不安全活动的痕迹，因此这使威胁可以非常安静地开展活动。 传播方式 Krampus-3PC威胁似乎是在恶意广告活动的帮助下分发的。奇怪的是，Krampus-3PC的创建者没有使用幕后的促销网络来执行此操作，而是利用了合法广告公司的优势。攻击者使用了一种相当狡猾的技术来实现这一目标-与其选择尽早添加损坏的代码，不如尽早添加损坏的代码。通过这样做，攻击者设法绕过了广告网络所采取的安全措施。由于有报道指出数百个合法博客，新闻出版物，涵盖时事的论文等已经受到威胁，并且不知不觉中正在托管Krampus-3PC威胁，因此这一技巧已被证明相当成功。 从用户收集个人数据 如果您遇到了Krampus-3PC恶意软件，您可能会很快注意到您正在通过各种网站重定向，直到它最终显示一个用于仿冒用户凭据的伪造页面。 Krampus-3PC威胁使用的另一种技巧是向用户显示欺诈性的“杂货店奖励”消息。此虚假警报的目的是诱骗用户提供其个人详细信息，例如电话号码，姓名，地址，电子邮件地址，等，除非他们不填写详细信息，否则他们将不会获得奖金。如果用户给出了他们的电话号码，则攻击者可能会开始用短信轰炸他们，其目的是获得目标来提供其登录凭据。 Krampus-3PC恶意软件的作者在网络犯罪领域可能很有经验。根据用于确定移动设备制造商的方法，网络安全研究人员得出的结论是，这种威胁很可能是一群高技能网络骗子的产物。...

如今，随着全球智能手机的数量不断增加，针对移动设备的恶意软件类型也越来越多。其中包括一种威胁，通常称为点击欺诈。通常，点击欺诈涉及网站的黑幕管理员，该网站的广告向低薪工人支付薪水，或使用机器人点击其网站上存在的广告，以从在其平台上投放广告的当事方产生更多收入。但是，点击欺诈也可以采用其他形式，例如提高移动应用程序的统计数据。游击队威胁就是这种情况-这是一个Android木马，其目标是劫持移动设备并使用它们来人为地植入Google Play商店中托管的各种应用程序的统计信息。 传播方式 游击木马的创建者一直在通过可在Google Play商店中找到的虚假应用程序分发此威胁。这使我们相信，此威胁的作者已经绕过了Google Play商店的开发人员成功进行的安全检查。但是，有问题的应用程序没有携带Guerilla Android Trojan的不安全有效载荷。相反，它们将作为下载器运行。一旦用户下载并安装了伪造的应用程序，它将迅速连接攻击者的C＆C（命令与控制）服务器，并获取Guerilla Trojan的不安全有效载荷。 游击恶意软件的目的 当游击恶意软件启动并运行时，它将消耗大量数据，因为对该威胁进行了编程，以查找托管在Google Play商店中的特定应用程序，将其下载，给予正面评价，然后将其删除。因此用户不会注意到他们的移动设备上发生了未经授权的活动。 除了攻击的点击欺诈之外，游击威胁还可能对受感染的主机造成更大的破坏。这是因为Guerilla恶意软件还可以充当特洛伊木马，这将使其操作员在受感染的Android设备上植入其他威胁。...

越来越多的网络骗子对开发针对运行OSX的恶意软件的系统感兴趣。但是，还有其他针对Mac用户的可疑个人。与成熟的网络犯罪分子不同，这些可疑的参与者并不参与创建恶意软件，而是发布低质量的应用程序和扩展程序，夸大其功能并故意误导用户。一个有效的例子是SearchAdditionally应用程序。此应用程序仅与运行OSX的设备兼容。 推送黑幕广告并收集浏览数据 SearchAdditionally应用程序的作者声称，他们的创建将通过提供更多相关的结果来大大提高用户的搜索结果。但是，事实并非如此。下载并安装SearchAdditionally应用程序的用户可能会被弹出窗口和各种广告所吸引。诸如SearchAdditionally应用程序之类的阴暗应用程序倾向于通过推送合法应用程序和广告网络不会推广的狡猾服务和低质量产品来显示广告。除了用不需要的广告轰炸用户之外，SearchAdditionally工具还可以收集其Web浏览数据。此类信息通常出售给广告网络，或由SearchAdditionally应用程序的开发人员使用，以便他们可以向用户提供更多相关的结果。 传播方式 如果您偶然发现SearchAdditionally工具，则可能是浏览了为促进这项可疑服务而付费的狡猾网站。还可能将SearchAdditionally应用程序作为免费软件捆绑包的一部分进行传播。许多用户在匆忙完成安装过程而又不注意重要细节的情况下，没有注意到系统上植入的其他软件。...

自Internet诞生以来，就已经存在在线计划。网上骗子使用的无数技巧中包括虚假的技术支持策略。通常，这些策略会涉及虚假网站，该网站被设计为在用户访问欺诈性警报后立即显示它们。这些警报倾向于声称用户的系统已受到威胁的威胁或发生了系统错误。这是一种社会工程技巧，旨在迫使用户采取他们通常不会采取的措施。这些策略之一为用户提供了“停止代码：CRITICAL_PROCESS_DIED”消息。接下来，建议用户立即与“ Microsoft支持”联系以解决问题。但是，威吓性警报是不合法的，并且向用户提供的电话号码与Microsoft Corporation无关。 骗子们倾向于推假产品和假技术支持 大多数宣传策略的骗子声称用户的系统处于严重危险中，他们倾向于尝试推销昂贵的，伪造的反恶意软件解决方案，这些解决方案无法为用户提供任何价值。有些甚至试图让用户订阅价格过高且无用的技术支持，他们声称这将在系统可能遇到的任何技术紧急情况下为他们提供帮助。但是，“ CRITICAL_PROCESS_DIED”策略背后的狡猾参与者会为用户提供一个欺诈性网站，该网站会敦促用户将其登录凭据填写到空白字段中，这是一种典型的网络钓鱼攻击。网络骗子往往会收集用户的登录凭据，或者将其出售给其他网络罪犯，或者将其用于不安全的目的；无论哪种方式，其数据已被泄露的用户都将面临严重的麻烦。 “ CRITICAL_PROCESS_DIED”骗局的作者提供了一个电话号码，敦促用户与他们联系（855）723-3755。尽管骗子们声称这是一个电话号码，将为用户提供Microsoft团队的技术支持，但是一旦您使用搜索引擎查找有问题的电话号码，您将看到许多来自用户的报告，指出使用此电话号码操作的个人负责各种骗局。...

霍华迪（Hoardy）后门特洛伊木马是一种威胁，已在针对高知名度个人的几次攻击中使用。该木马是一个名为跳蚤组织的黑客组织的创建，其最臭名昭著的战役是在2014年G20峰会之前进行的，针对的是高级政客。此后，Hoardy后门特洛伊木马程序已被用于其他一些阴暗的操作中。通常，采用Hoardy后门的黑客攻击活动不会持续很长时间，这使专家们认为，攻击者的目标很可能会迅速获取尽可能多的信息，并停止行动以继续留在受害者的雷达之下。 传播方式 为了传播Hoardy后门特洛伊木马，跳蚤黑客组织正在使用网络钓鱼电子邮件，他们将这些电子邮件专门定制为看起来合法。目标将收到一封电子邮件，其中包含已损坏的，宏观修饰的附件，被屏蔽为无害的Microsoft Office文档。敦促用户启动附件，如果他们屈从了，文档中隐藏的宏脚本会将Hoardy后门特洛伊木马植入目标系统。 能力 Hoardy木马通过篡改Windows注册表系统来确保对受感染计算机的持久性，这将确保计算机启动后立即启动威胁。接下来，Hoardy木马将与操作员的C＆C（命令与控制）服务器建立连接。 Hoardy后门特洛伊木马程序经过编程，可以收集有关受感染系统的基本数据，然后将收集到的信息泄露给攻击者的C＆C服务器。 Hoardy后门木马能够： 在受感染的计算机上执行远程命令。 从其操作员的C＆C服务器上载和启动文件。 从特定的URL下载并启动文件。 自我更新。 自行删除。 尽管跳蚤黑客组织倾向于追求高调的目标，但是Hoardy后门特洛伊木马在功能上并不令人印象深刻。 Hoardy...

信息窃取者是全球网络犯罪分子最喜欢的黑客工具之一。这是因为这种恶意软件类型通常规模很小，这使其可以执行可能非常成功的静默操作。信息窃取者可以允许其操作员从邮件应用程序，电子邮件客户端，网页等收集信息。通常，信息窃取者连接到其创建者的C＆C（命令与控制）服务器，并虹吸所有收集的数据，直接发给攻击者。 Khalesi恶意软件属于infostealer类，它似乎在野外活跃。 传播与持久性 Khalesi信息窃取程序很可能通过多种分发方式进行传播，例如恶意广告活动，虚假应用程序下载，垃圾邮件活动，盗版媒体和软件等。仍然忽略了其系统上存在恶意软件的事实。在破坏主机后，Khalei信息窃取者将通过创建Windows计划任务来获得持久性。这样可以确保即使用户重新启动计算机，Khalesi信息窃取程序也将在PC再次打开后立即运行。 Khalesi信息窃取程序收集的数据将立即存储在％TEMP％文件夹中。然后，收集到的数据将被泄漏到攻击者的C＆C服务器。 能力 已知该信息窃取者从以下方面收集数据： 加密货币钱包： Namecoin。 以太坊。 门罗。 电子琴。 字节币。 游戏平台： Battle.Net。 蒸汽。 邮件应用程序： 不和谐。 Skype。 电报。 PSI。 皮金 网页浏览器： 谷歌浏览器。 火狐浏览器。 IE浏览器。 基于铬的浏览器。 为了避免恶意软件分析人员对它们的创建进行剖析，Khalei信息窃取程序的作者已确保威胁能够检测到它是否在沙盒环境中运行。这是通过检查主机上是否有可能与恶意软件调试链接的软件来完成的。如果测试结果为阳性，则Khalesi信息窃取者将停止操作并停止所有活动。...

有许多Web浏览器扩展声称可以执行各种有用的任务，但是其中很多都不是它们声称的那样。 TheEasyWayPro是一个很好的例子。该Web浏览器扩展声明它将为用户提供有用的指导和方便的地图。此扩展程序的开发人员可能针对经常远足或喜欢旅行的用户。但是，TheEasyWayPro扩展程序并未为其用户提供任何独特的功能。相反，此扩展程序利用了现有的免费服务，例如Google Maps。这意味着无需安装TheEasyWayPro即可使用其提供的服务，因为这些服务已经免费且可以公开使用。 更改用户的默认搜索引擎 选择将TheEasyWayPro添加到其Web浏览器的用户可能会遇到一些令人沮丧的效果。 TheEasyWayPro扩展程序可能会篡改其Web浏览器的设置，并用其选择的一个（即Srchbar.com）替换您的默认搜索引擎。这不算是不安全的活动，但它具有侵入性，并且可能会降低您的Web浏览质量。 归类为PUP 尽管未归类为恶意软件，但防病毒解决方案已将此Web浏览器扩展标记为PUP（可能不需要的程序）。这是由于TheEasyWayPro扩展程序声称自己没有提供任何唯一值给用户。由于TheEasyWayPro没有提供任何有用的工具，并且在未警告用户或征得其同意的情况下更改了用户的Web浏览器设置，因此建议用户删除该扩展。...

Startrafficc.com网站是一个晦涩的网页，它使用可疑的策略欺骗用户执行他们原本不会执行的操作。换句话说，Startrafficc.com的管理员利用各种社会工程手段来实现他们的目标。有时，可疑网站的管理员会使用其平台来传播威胁性恶意软件，这些恶意软件可能会严重损害用户的系统。但是，Startrafficc.com网站的运营商不会采取这种完全不安全的策略。相反，他们使用自己的网站向用户发送垃圾广告。 社会工程技巧 Startrafficc.com页面的运营商声称，如果用户希望查看其网站上托管的内容，则需要单击向其显示的“允许”按钮。如果用户不喜欢它，然后单击“允许”按钮，他们将启用Startrafficc.com页面向他们发送Web浏览器通知。 Startrafficc.com网站包中的另一个窍门是试图误导用户单击“允许”按钮，声称这是让他们确认自己已年满18岁的一种方法。这可能会诱使某些用户认为，如果他们单击“允许”按钮，将会观看成人内容。但是，通过单击按钮，用户将使Startrafficc.com网站启用Web浏览器通知，以使它们混乱。 推广狡猾的产品和服务 要求显示Web浏览器通知的显示权限并不总是一个阴招–知名网站使用Web浏览器通知为访问者提供有用和有用的信息。但是，对于类似Startrafficc.com页面之类的可疑网站而言，情况并非如此。这个阴暗的网站可能会宣传合法的网页不会同意宣传的狡猾服务或低质量产品。诸如Startrafficc.com页面之类的网站也经常参与将PUP（潜在有害程序）或其他潜在不安全软件推送到其访问者上。...

红色代码（CodeRed）是一种计算机蠕虫，早在2000年代初期就影响了MS ISS Web服务器。在其流行的顶峰时期，它影响了将近一半的主机系统。 红色代码使用较旧的ISS Web服务器的简单但有效的漏洞。该蠕虫通过使用特别长的符号字符串（在这种情况下为netter N）来溢出软件缓冲区，从而导致缓冲区溢出。反过来，这又允许恶意软件执行所需的任意代码并进一步传播，同时使进程中的主机遭受破坏。 感染了Code Red蠕虫的服务器的页面已替换为以下文本： 你好！欢迎使用http：// www点蠕虫dot com！被中国人砍死！ 蠕虫的设置方式还使其可以根据受害者的系统时钟，根据每月的一天执行不同的任务。在每个月的前19天，红色代码将尝试将自身传播到新系统，在线搜索更多ISS服务器。在20日到27日之间，蠕虫会在包括白宫在内的许多预定Web服务器上发起DoS攻击。在每个月的最后几天，红色代码将什么也不做。 在首次发现并找出Code...

Windows Defender防病毒使用Mislead-ing：Win32 / Lod！MSR检测名称来表示用户系统上可能存在的潜在威胁。至关重要的是，威胁的检测不是基于软件或文件本身的关键，而是应用启发式方法来识别潜在的不安全行为。每个合法的反恶意软件应用程序在查找和识别用户计算机上可能存在的潜在恶意软件时都使用这种技术。但是，即使上述防病毒工具预先向您发送了Misleading：Win32 / Lod！MSR检测警报，也不表示您的系统上必然存在不安全的活动。有时，从可信赖来源下载的无害文件可能会触发误报，并产生Mislead-ing：Win32 / Lod！MSR警报。 使用第三方安全工具扫描有问题的文件 但是，尽管不能保证在您出现Misleading：Win32 / Lod！MSR警报时，您的计算机上仍然存在问题，但忽略Windows De的警告仍然不是一个好主意。 -fender防病毒软件。如果您碰巧看到此警报，即使就您认为安全的文件而言，最好使用第三方反恶意软件工具来扫描已标记为可疑行为的文件。 通常，“误导：Win32 / Lod！MSR”警报似乎令人生畏，但请不要忘记，有时它可能会无意间扩大威胁范围，甚至标记完全无害的文件。有时，警报可能与磁盘清理，注册表优化等有关。PUP（可能不需要的程序）可能会产生Misleading：Win32 / Lod！MSR警报，最好在以下位置删除PUP：立即从系统中提问。如果收到“误导：Win32 /...

网络骗子对创建针对运行OSX的设备的威胁越来越感兴趣。网络安全专家发现的这种最新威胁之一就是AppleJeus。 AppleJeus威胁是具有若干有趣功能的特洛伊木马后门。 AppleJeus木马的作者正在使用伪造的数字资产货币交易所进行传播。敦促任何想要使用该服务的用户下载数字资产交易平台。但是，一旦用户下载并安装文件，AppleJeus Trojan后门将被静默植入到他们的系统中。除了针对Mac电脑的这种威胁的变体之外，澳大利亚政府还开发了一种仿效Win-dows系统的仿制品。 Windows威胁的变体没有任何令人印象深刻的品质，但是OSX副本具有一些令人好奇的方面，值得探讨。 损坏的文件托管在GitHub上 为了欺骗用户并破坏他们的系统，Ap-pleJeus Trojan后门被屏蔽为名为“ Celas”或“ JMT Trading”的虚假交易所。这两项服务都是组合在一起的，没有与任何真正的公司或企业链接。 AppleJeus后门程序的创建者选择将威胁的损坏文件托管在合法平台GitHub上。该文件的名称是“ JMT-Trader.pkg”。该威胁的作者将这个文件托管在GitHub这样的信誉良好的平台上，这一事实可能会欺骗某些用户，使他们认为没有任何麻烦可言，并且该服务是真实的。 获得持久性 为了在混乱的主机上保持持久性，Ap-pleJeus后门将使用安装脚本部署文件集合，然后生成一个新的启动守护程序，该守护程序将确保每次重新启动计算机时威胁都在运行。完成攻击的此步骤需要管理员特权，但这对于威胁的作者来说不是问题。 AppleJeus Trojan后门程序将向用户显示提示，敦促他们填写管理员凭据并为安装开绿灯。 尽管威胁可以执行的命令列表很短，但对于攻击者而言，它们足以对受感染机器几乎完全控制。 AppleJeus后门可以： 将文件上传到受感染的主机。 在受感染的主机上执行文件。 在受感染的主机上执行远程命令。 自我终结。...

Lazarus Ransomware是一种新的文件锁定特洛伊木马，已被专家广泛发现。就像大多数这种类型的恶意软件一样，Lazarus Ransomware将对您的计算机进行承诺，偷偷地锁定您的文件，然后索要资金以换取解密密钥，该解密密钥可以消除对数据造成的破坏。 传播和加密 目前尚不清楚在Lazarus Ransomware的传播中使用了哪些感染媒介，或者该威胁的作者是否将某些地区或人口作为目标。 Lazarus Ransomware的创建者可能使用伪造的电子邮件来分发此数据锁定特洛伊木马。这样的垃圾邮件活动通常会包含误导性的欺诈性邮件和看似无害的附件，而附件实际上是宏观的。打开包含宏的附件可能会导致您的系统感染了Lazarus Ransomware。其他类似的分发技术是洪流跟踪器，伪造的盗版媒体和软件，虚假的应用程序更新和下载等。Lazarus Ransomware的目标是各种文件，因此请放心所有图像，音频文件，视频，文档，演示文稿，电子表格，数据库，档案和其他流行文件将最肯定地被这个讨厌的特洛伊木马加密。当Lazarus Ransomware锁定文件时，它还会在文件名的末尾附加新的扩展名-'[ ] [recoverydata52@protonmail.com]。 赎金记录 当Lazarus Ransomware完成加密过程后，它将使用臭名昭著的Petya Ransomware活动中使用的图像来更改受害者的墙纸。幸运的是，Lazarus勒索软件绝不隶属于功能更强大且危险程度更高的Petya勒索软件 。赎金消息可以在名为“ ReadMe.txt”的文件中找到。在该消息中，Lazarus Ransomware的作者声明他们愿意免费解密一个文件，以便使用户确信他们能够恢复损坏的数据。受害人有望通过“ recoverydata52@protonmail.com”上的电子邮件或通过Tel-egram即时消息传递服务@ book545与攻击者联系。 与Lazarus...

网络犯罪书籍中最受青睐的技巧之一是模仿合法的服务或产品来欺骗毫无戒心的用户。 Microsoft-one.com的作者完全做到了这一点-他们对网页进行了裁剪，使其类似于真实的Microsoft网站，以便用户不会质疑其合法性并盲目地信任它。 产生假警报 如果您访问过Microsoft-one.com网站，则可能是浏览了低质量的内容。通常，晦涩难懂的网页与可传播所有可疑内容的可疑广告网络共同工作，而且很可能它们也参与了Microsoft-one.com网站的推广。启动Microsoft-one.com网站的主页后，用户将被重定向到Microsoft的官方网页。此技巧可能意味着说服用户相信Microsoft-one.com网站的合法性。这听起来可能不太麻烦，但是Microsoft-one.com网站的辅助人员并不止于此。他们在Microsoft-one.com页面上建立了子目录，这些目录显示虚假的弹出窗口，试图说服用户尽快更新其Microsoft Office或Windows Antivi-rus服务。 避开要求您安装软件或应用更新的网站 用户应记住，可以直接从应用程序本身更新Windows服务（例如Windows Antivirus或Microsoft Office），并且没有理由在其他地方查找更新。此外，请记住，敦促您安装软件或应用更新的网站不应该被信任，因为通常情况下会发生某些事情。专家们尚未设法确定Microsoft-one.com网站试图传播哪种软件，但我们强烈建议您远离它。这个阴暗的网站可能正在尝试将PUP（可能不需要的程序）推送给用户。但是，Microsoft-one.com网页的管理员也可能参与分发更具威胁性的软件，例如勒索软件或各种特洛伊木马。...

许多可疑的在线演员创建网站的唯一目的是通过浏览器的通知功能向用户发送不需要的广告。参与此行为的网站之一是Rex-news1.club页面。 垃圾邮件用户的垃圾广告 Rex-news1.club网站管理员的主要目标是诱骗用户让他们按权限显示Web浏览器通知。诸如Rex-news1.club网页之类的阴暗网站的创建者经常利用各种社会工程技巧来实现其目标。 Rex-news1.club网站的访问者被误认为该网站托管了有趣的内容，如果要查看该内容，则必须单击“允许”按钮以启用媒体播放器。但是，媒体播放器是假的，单击“ Al-low”按钮将仅使Rex-news1.club网站的运营商能够通过Web浏览器通知开始向您发送垃圾广告。合法的网页将通知用于各种有利于其访问者的目的，而Rex-news1.club网站的唯一目标是通过不断的广告宣传各种狡猾的服务和低质量的产品。不仅会向您展示不相关的广告，而且还会推销一些非常阴暗的内容，例如成人视频，流媒体非法盗版媒体的网站，虚假赠品等。...

全世界许多网络骗子都依赖Trojan下载程序来渗透目标系统并向其中注入其他恶意软件。为了使恶意软件研究人员的工作更加困难，传播特洛伊木马下载程序的参与者通常会严重混淆其代码，并使他们的创作看起来无害。这样，特洛伊木马下载程序可能会成功避免反恶意软件工具的检测和安全检查。最近，网络安全专家发现了一个新的Trojan下载程序，声称其在线受害者-IconDown。 IconDown下载器被认为是一个名为BlackTech的黑客组织的创建。 针对日本的企业 BlackTech黑客集团被认为起源于亚洲，因为他们的大多数目标都位于该地区。恶意软件专家一直在关注BlackTech集团，而且很明显，他们倾向于主要关注在各个行业运营的日本公司。 IconDown Trojan下载器的功能并不强大，但是BlackTech黑客组织在混淆这种威胁的目的时已实施了一种有趣的技术。此方法称为隐写术。 使用隐写术进行攻击 BlackTech黑客小组似乎使用了精心设计的网络钓鱼电子邮件来渗透目标主机。这些电子邮件将包含已损坏的附加文档，该文档在启动时将触发IconDown威胁的有效负载的执行。接下来，IconDown Trojan下载程序将使用隐写术获取次要有效载荷，该威胁旨在将其植入受感染的系统中。该下载程序获取包含特定字符串的图像，这有助于查找256字节的数据，这些数据用作攻击者所需的RC4密钥。然后，将找到IconDown下载程序从图像文件中需要的其余数据，并将其收集到Portable Executable文件中并启动。...