迈克勒索软件

最近检测到的勒索软件威胁之一称为Mike Ransomware,它似乎是HildaCrypt Ransomware的变体。但是,HildaCrypt勒索软件和Mike勒索软件之间存在一个显着差异。后者是伪装成臭名昭著的STOP勒索软件的副本。恶意软件研究人员尚未确定Mike Ransomware的作者为什么会采用这种不同寻常的方法。 传播和加密 尚不知道在此数据锁定特洛伊木马的传播中采用了什么感染媒介。包含受感染附件的垃圾邮件以及伪造的应用程序更新以及合法应用程序的虚假盗版副本是与勒索软件威胁传播相关的最受欢迎的传播方法。当Mike Ransomware渗透到系统时,它将扫描存在的数据以找到文件,这些文件将在以后锁定。一旦Mike Ransomware执行了加密过程,所有新锁定的文件都将添加一个新的扩展名-'.mike'。这意味着,一旦加密过程完成,最初称为“ nbg.mp3”的文件将被重命名为“ nbg.mp3.mike”。 赎金记录 Mike Ransomware还删除了一个名为“ _readme.txt”的赎金票据。几乎所有属于STOP勒索软件系列的勒索软件威胁都带有名为“ _readme.txt”的勒索记录,并且由于Mike Ransomware冒充STOP Ransomware变种,因此攻击者选择采用相同的名称。在说明中,攻击者要求支付980美元的费用。但是,他们还声称,在袭击发生后72小时内与他们取得联系的受害者将获得50%的折扣,赎金将降至490美元。像往常一样,赎金必须采用比特币的形式,因为这有助于网络骗子保持匿名。 Mike Ransomware的作者甚至使用了大多数STOP Ransomware变体使用的相同电子邮件地址-“ gorentos@bitmessage.ch”和“ gerentoshelp@firemail.cc”。 如果您是Mike Ransomware的受害者,请不要担心,因为它不是STOP...

于October 20, 2019发表在Ransomware

HildaCrypt勒索软件

2019年10月初,网络安全研究人员发现了一个新的文件锁定木马。它的名字叫HildaCrypt Ransomware。 HildaCrypt勒索软件采用与大多数勒索软件威胁相同的方法。它扫描渗透的系统以找到感兴趣的文件,使用加密算法锁定目标数据,然后要求付款以换取解密密钥,该密钥用于解锁受影响的文件。 传播和加密 传播HildaCrypt Ransomware所使用的方法仍然未知。对于HildaCrypt勒索软件,最流行的传播勒索软件威胁的方法可能正在发挥作用,例如欺诈性应用程序更新,流行软件解决方案的伪造盗版副本以及大规模垃圾邮件活动。 HildaCrypt勒索软件渗透并扫描目标系统后,它将触发其加密过程。一旦HildaCrypt勒索软件锁定了文件,它将在文件名的末尾附加一个新的扩展名-.HILDA。因此,如果您有一个名为“ aged-gold.jpeg”的图像,则加密后,HildaCrypt勒索软件将其名称更改为“ aged-gold.jpeg.HILDA”。 赎金记录 HildaCrypt勒索软件在受害者的桌面上放了一个名为“ READ_IT.txt”的赎金票据。使用所有大写字母命名勒索笔记是大多数勒索软件作者的常用方法。通常这样做是为了引起用户的注意,并确保他们阅读了攻击者的消息。 HildaCrypt勒索软件的创建者没有提及特定的赎金费用。但是,他们坚持要求受害者通过电子邮件与他们联系-“ hildaseriesnetflix125@tutanota.com”和“ hildaseriesnetflix125@horsefucker.org”。 我们建议您不要与这种最新的数据加密木马背后的网络犯罪分子联系。这类狡猾的演员经常张开牙齿,几乎从不向受害者提供他们承诺的解密密钥。更好的方法是下载并安装合法的防病毒应用程序,并使用它尽快从计算机中删除HildaCrypt...

于October 20, 2019发表在Ransomware

Bora勒索软件

网络安全专家检测到越来越多的勒索软件威胁在网络上传播。其中一些是项目,这些项目是从头开始构建的,而另一些则是已经存在且已建立好的文件锁定特洛伊木马的副本。 传播和加密 Bora Ransomware是最近检测到的数据加密木马之一。这个新发现的威胁属于臭名昭著的STOP Ransomware家族。研究Bora勒索软件的专家无法查明与该勒索软件威胁的传播有关的感染媒介。通常,文件锁定特洛伊木马程序通过垃圾邮件活动来传播。有时,勒索软件的作者还选择使用伪造的软件更新和流行应用程序的欺诈性盗版变种。像大多数此类威胁一样,Bora Ransomware在设法危害系统后立即运行快速扫描。这是为了确定威胁已针对的文件位置。完成此步骤后,Bora Ransomware将开始攻击的下一个阶段。加密过程。所有锁定的文件将被赋予一个新的扩展名-'.bora'。例如,加密过程完成后,名为“ fishtank.jpeg”的文件将重命名为“ fishtank.jpeg.bora”。 赎金记录 在攻击的最后一步,Bora Ransomware删除了一个名为“ _readme.txt”的赎金字样,其中指出: '注意! 不用担心,您可以返回所有文件! 您的所有文件(例如照片,数据库,文档和其他重要文件)都将使用最强的加密和唯一的密钥进行加密。 恢复文件的唯一方法是为您购买解密工具和唯一密钥。 该软件将解密您所有的加密文件。 你有什么保证? 您可以从PC发送加密文件之一,而我们将免费对其进行解密。 但是我们只能免费解密1个文件。文件中不得包含有价值的信息。 您可以获取并查看视频概述解密工具: https://we.tl/t-sTWdbjk1AY 私钥和解密软件的价格为980美元。 如果您在72小时内联系我们,可享受50%的折扣,这就是您的价格为490美元。 请注意,如果不付款,您将永远无法恢复数据。...

于October 20, 2019发表在Ransomware

电信机器人

TeleBots APT(高级持续威胁)被认为起源于俄罗斯联邦。虽然,此信息尚待确认。恶意软件专家确定,某些TeleBots成员还可能参与了其他黑客组织(如GreyEnergy , Sandworm团队和BlackEnergy)发起的威胁活动。人们普遍认为,TeleBots黑客组织早在2015年就参与了针对乌克兰电网的臭名昭著的网络攻击。这一活动意义重大,特别是因为它是此类攻击中的第一个,大规模的黑客攻击导致完全停电根本不常见。 2017年,TeleBots集团还追赶位于乌克兰的与行业和金融相关的目标。 TeleBots APT创建了Petya Ransomware和NotPetya Ransomware 在2015年竞选活动结束后,TeleBots黑客组织已停止使用BlackEnergy威胁。但是,自那时以来,他们已将新工具引入其黑客库。 TeleBots小组被认为是臭名昭著的Petya Ransomware和NotPetya Ransomware的幕后黑手。恶意软件研究人员估计,仅NotPetya勒索软件已对各种企业和公司造成了超过100亿美元的损失。大多数勒索软件威胁会加密目标文件,但Petya Ransomware和NotPetya Ransomware会追随硬盘驱动器的MBR(主启动记录),这使得从攻击中恢复(即使有可能)极其困难,除非操作员威胁决定协助您。 KillDisk勒索软件 除了Petya Ransomware和NotPetya Ransomware之外,TeleBots黑客组织还开发了另一种讨厌的有害生物-KillDisk Ransomware 。 KillDisk...

于October 20, 2019发表在Malware

灰色能源

GreyEnergy APT(高级持久威胁)被认为是被称为BlackEnergy APT的具有破坏性的黑客组织的继任者。网络安全专家认为这两个黑客组织有关联的原因有几个: 当BlackEnergy APT从网络犯罪世界中消失时,GreyEnergy黑客组织就出现了。 GreyEnergy和BlackEnergy APT都倾向于使用灵活,轻量级的黑客工具来操作,这些工具易于修改和控制。 两个黑客组织的大部分努力都集中在波兰和乌克兰。 它们都倾向于针对关键部门,例如工业或能源相关机构。 GreyEnergy和BlackEnergy APT构建和使用的基础设施似乎密切相关。 改变方法 但是,似乎同时属于这两个黑客集团的个人似乎已经改变了策略。在大多数情况下, BlackEnergy以其极具破坏性的趋势而闻名,并且似乎不太在乎隐藏其轨迹或放置在低谷上。这与GreyEnergy APT所采用的方法完全相反。他们要更加谨慎,以免受到恶意软件研究人员的监视,而且它们传播的威胁噪声和破坏性也较小。已经注意到,GreyEnergy集团开展的许多活动都涉及一个微型后门特洛伊木马,该木马被用作攻击者向渗透主机上施加更强大威胁的网关。为了确保他们的威胁尽可能安静地运行,GreEnergy APT一直在利用无文件恶意软件。此外,GreyEnergy黑客小组一直在研究多个“恶意软件清除程序”。这些工具使恶意软件操作员能够擦除可能残留在受害者系统上的有害活动的任何痕迹。 过去,BlackEnergy小组的目标是大肆破坏,而今天开始运作的GreyEnergy APT主要集中在间谍活动上。一旦GreyEnergy小组渗透到系统中,他们很可能会停留在低位,并通过记录击键,拍摄桌面屏幕快照,提取感兴趣的文件,收集文档,收集登录凭据和其他数据来从主机收集信息。有时,GreyEnergy APT不会使用私人开发的黑客工具,而是会使用公开可用的正版应用程序,例如Mimikatz...

于October 20, 2019发表在Malware

减速器

Turla APT(高级持久威胁)是来自俄罗斯的恶意黑客团体。它们也被称为Uroboros,Snake,Waterbug和Venomous Bear。 Turla APT在网络犯罪领域非常流行,并且多年来进行了许多破坏性的黑客活动。一些恶意软件研究人员认为,黑客组织可能是由克里姆林宫赞助的,但这一信息尚未得到证实。他们的大多数战役都集中在白俄罗斯和乌克兰等前苏联国家,但他们也已在伊朗开展了行动。 Relator RAT(远程访问木马)是Turla APT相当庞大的武库中的一种黑客工具。据信,Reducor RAT是COMpfun威胁的升级版本。 COMpfun Trojan的主要目的是用作第一阶段的有效载荷,而Reductor RAT则进一步配备了武器,对潜在受害者构成了更大的威胁。 监视受害者的TLS流量 研究人员认为,Reducor RAT可能会通过文件共享网站进行传播。但是,大多数相关文件已从这些平台上删除,这意味着研究此威胁相当困难。恶意软件专家设法从该威胁受到威胁的系统中检索了一些与Reductor RAT有关的数据,因此设法了解了更多有关该木马的信息。他们发现,Reductor RAT能够用非法副本替换浏览器安装程序可执行文件,并且可以危害TLS流量并重定向到受损的主机。攻击者通过添加唯一的基于硬件和软件的标识符来确保用户的句柄是个性化和可追溯的。这样,即使流量仍被加密,因此也可以将其监视目标服务器的网络流量,因此不能将其视为数据泄漏。 如果受害者尝试下载文件,则Reductor RAT能够用损坏的二进制文件替换所需的文件。研究人员已经确定,Reducor RAT的运营商尚未利用威胁的这种功能,但是它随时准备就绪,可以随时使用。 其他减速器RAT功能 减速器RAT的其他一些功能包括: 收集有关受害者软件和硬件的信息。 发出远程命令。 列出并控制正在运行的进程。 能够运行上载和下载的文件。 捕获桌面和选项卡的屏幕截图。 Turla...

于October 20, 2019发表在Remote Administration Tools

Muhstik勒索软件

名为Muhstick Ransomware的威胁的作者对其威胁进行了轻微修改。但是,它仍然与它所基于的勒索软件变种相似。 Muhstick Ransomware似乎是eCh0raix Ransomware和QNAPCrypt Ransomware的变体。这些文件加密木马均以QNAP NAS(网络连接存储)设备为目标。通常,用户可能会将重要数据或敏感信息存储在NAS设备上,因为它们被认为比通常将数据保存在硬盘上更为安全。 一旦Muhstick Ransomware渗透到NAS设备,它将开始对存储在其中的所有信息进行加密。接下来,放置一个名为“ README_FOR_DECRYPT.txt”的赎金票据,供受害者阅读。与大多数勒索软件威胁一样,Muhstick Ransomware作者会要求受害者支付一笔可观的赎金。通常,勒索软件的创建者要求以比特币的形式支付赎金,因为这有助于他们保持匿名。 免费提供超过2,800个解密密钥 最近,德国开发人员的系统被Muhstick Ransomware感染。用户似乎已被该勒索软件威胁锁定了关键数据,并决定最好支付攻击者要求的670欧元勒索费用。但是,软件开发人员并未止步于此。他决定投入一些时间和精力来研究Muhstick Ransomware,并遇到了一些问题,最终帮助了许多其他处于相同情况的用户。在进行与Muhstick Ransomware相关的研究时,开发人员设法访问了攻击者的数据库,该数据库似乎持有为遭受受害者攻击的每个人生成的所有解密密钥。 该数据库包含2800多个解密密钥。收集密钥后,开发人员将所有密钥都上传到Pastebin.com上并公开提供。这意味着任何成为Muhstick Ransomware受害者的人都可以免费解密其数据。此外,由于Muhstick Ransomware基于QNAPCrypt Ransomware和eCh0raix...

于October 20, 2019发表在Ransomware

Reco勒索软件

文件加密木马仍然是任何网络犯罪分子工具包中最重要的部分–这些破坏性的网络威胁是匿名网络骗子的完美勒索工具,因为它们通过将受害者的文件作为人质来给他们提供了非常强大的讨价还价筹码。不幸的是,从勒索软件攻击中恢复通常是一项不可能的任务,受害者最终不得不向攻击者寻求永远免费提供的帮助。 Reco Ransomware是值得关注的最新文件锁定器之一,对其行为的更深入分析表明,它并不是一个全新的威胁–它基于STOP Ransomware项目,并使用相同的文件加密例程破坏受害者的档案。 Reco Ransomware的作者用来传播其威胁程序的发行技术可能会有所不同–他们的一些首选技巧是: 包含伪造附件的网络钓鱼电子邮件。 在warez网站上托管的文件。 盗版软件和媒体。 通过恶意广告活动宣传的虚假下载和更新。 搞混不可靠的数字内容不是一个好主意,因此我们建议您避免从torrent跟踪器或其他不可靠来源下载程序和媒体。此外,您永远不应依赖安全的浏览习惯来独自保留勒索软件-建议您购买信誉良好的网络安全软件套件,以使潜在有害文件远离计算机。 Reco勒索软件会长期损坏您的文件-备份可能是唯一的救助方案 由于这种文件锁定器能够加密多种文件格式并使其内容无法访问,因此无法阻止Reco Ransomware的攻击将带来灾难性的后果。为Reco Ransomware的每个受害者随机生成完成数据解密过程所需的信息,并将其传输到勒索软件作者拥有的控制服务器。他们提供了将这些关键信息出售给受害者的服务,但价格却相当高-前72小时为490美元,此后为980美元。自然,Reco Ransomware背后的骗子要求通过比特币交易接收付款,因为这可以保留其匿名性,也使受害者无法撤消交易。可以在文件'_readme.txt'中找到攻击者消息的完整版本,该文件应该存在于被Reco Ransomware感染的所有计算机上。...

于October 20, 2019发表在Ransomware

APT35

APT35(高级持续威胁)是一个黑客团体,据信源于伊朗。这个黑客组织也以其他几个别名而闻名-新闻广播员团队,磷,可爱的小猫和Ajax安全团队。 APT35黑客组织通常参与出于政治动机的活动和出于经济动机的活动。 APT35黑客组织倾向于将精力集中在针对人权活动家的参与者,各种媒体组织以及主要的学术领域。大多数运动在美国,以色列,伊朗和英国进行。 热门APT35活动 APT35最臭名昭著的一项操作是针对HBO于2017年进行的一项操作。其中,APT35泄漏了超过1TB的数据,其中包括员工的个人详细信息和节目,目前尚未正式发布。另一个臭名昭著的APT35战役使之成为现实,其中还涉及美国空军叛逃者。有关个人协助APT35访问机密政府数据。 2018年,APT35小组建立了一个网站,该网站旨在模仿一家合法的以色列网络安全公司。唯一的区别是假网站的域名稍有变化。该活动帮助APT35获得了该公司某些客户的登录详细信息。最近一次臭名昭著的活动涉及APT35,该活动已于2018年12月进行。在此行动中,APT35小组以“ Charming Kitten”的别名活动。这次行动针对的是在经济制裁以及当时对伊朗实施的军事制裁方面具有影响力的各种政治活动家。 APT35小组冒充与目标相同领域的高级专业人员。攻击者使用量身定制的网络钓鱼电子邮件,其中包含伪造的附件以及虚假的社交媒体资料。 APT35的DownPaper恶意软件 DownPaper工具是后门特洛伊木马,主要用作第一阶段的有效负载,并具有以下功能: 与攻击者的C&C(命令和控制)服务器建立连接,并接收要在渗透主机上执行的命令和有害有效负载。 通过篡改Windows注册表获得持久性。 收集有关受感染系统的信息,例如硬件和软件数据。 执行CMD和PowerShell命令。...

于October 10, 2019发表在Malware

APT28

APT28(高级持续威胁)是一个起源于俄罗斯的黑客组织。他们的活动可以追溯到2000年代中期。恶意软件研究人员认为,APT28小组的活动是由克里姆林宫资助的,因为它们通常针对外国政治人物。 APT28黑客组织最著名的名称是Fancy Bear,但在其他各种别名下也得到认可-Sofacy Group,STRONTIUM,Sednit,Pawn Storm和Tsar Team。 花式熊进行的臭名昭著的黑客运动 专家认为,花式熊参与了2016年民主党全国委员会的黑客攻击,一些人认为这对同年举行的总统选举的结果有一定影响。同年,由于涉及俄罗斯运动员的丑闻,花式熊组织也将目标对准了世界反兴奋剂机构。 Fancy Bear获得的数据随后被发布并公开提供。数据显示,一些兴奋剂测试呈阳性的运动员后来被豁免。世界反兴奋剂机构的报告指出,非法物质是用于“治疗用途”的。在2014年至2017年期间,Fancy Bear小组参与了针对美国,俄罗斯,乌克兰,波罗的海国家和摩尔多瓦的媒体名人的各种运动。花式熊追捕在媒体公司工作的个人以及独立记者。所有目标都参与了在乌克兰东部发生的俄罗斯与乌克兰冲突的报道。在2016年和2017年,德国和法国举行了大选,花式熊集团也很可能也将手指放在这些馅饼上。两国官员报告说,使用鱼叉式网络钓鱼电子邮件作为感染媒介的运动已经开展,但他们表示,黑客攻击没有任何后果。 花式熊的工具 为了逃避网络安全研究人员的窥探,Fancy Bear黑客小组确保确保定期更改其C&C(命令和控制)基础结构。该小组拥有一系列令人印象深刻的黑客工具,它们是私人开发的-X-Agent,Xtunnel,Sofacy,JHUHUGIT,DownRange和CHOPSTICK。通常,Fancy Bear而不是直接传播,而是更喜欢将其恶意软件托管在第三方网站上,这些网站是他们用来模仿合法页面来欺骗受害者的。...

于October 10, 2019发表在Malware

Potao Express

Potao Express是一个黑客团体,以他们开发的两种工具(FakeTC和Potato)而闻名。该黑客组织自2011年以来一直活跃,但自2017年以来,恶意软件研究人员一直在密切观察其活动。 假货 FakeTC恶意软件是称为“ TrueCrypt”的合法工具的欺诈副本。 FakeTC恶意软件的作者正在使用俄罗斯网站进行传播。攻击者仅选择他们所针对的某些用户,只有这些目标会收到FakeTC恶意软件,而所有其他用户将获得真正的应用程序TrueCrypt。这样,FakeTC恶意软件的创建者更有可能受到安全专家的监视。 FakeTC威胁为攻击者提供了有关受害者的信息。 FakeTC恶意软件的作者还能够在渗透的主机上执行其他任务。传统上,FakeTC恶意软件被部署为第一阶段的有效负载。 宝涛 Potao威胁是一个后门特洛伊木马,它使攻击者能够在受感染计算机上植入其他恶意软件。这可以通过执行系统上已经存在的文件或从Web下载并执行文件来实现。 Potao副本往往是由FakeTC威胁提供的。 自2011年以来变化不大 Potao Express黑客小组使用的首批工具之一是Potao恶意软件,该恶意软件自2011年以来一直是其武器库的一部分。PotaoExpress小组倾向于将工作重点放在前苏联国家(乌克兰,俄罗斯,白俄罗斯)的目标上和佐治亚州。但是,Potao Express黑客组织似乎主要针对位于乌克兰的媒体公司和军事机构。 Potao Express小组背后的人员还针对一个名为MMM的组织,该组织在俄罗斯和乌克兰经营庞氏骗局。众所周知,Potao Express黑客组织使用了带有损坏链接的虚假SMS消息。该链接伪装成一个交付跟踪网站。但是,这并不是Potao黑客组织采用的唯一感染媒介,因为他们倾向于定期更改其传播方式。 Potao Express小组已经运作了至少八年,但他们的活动相距甚远,以致于恶意软件研究人员无法更好地了解活动背后的人员。有人猜测Potao...

于October 10, 2019发表在Malware

精力充沛的熊

精力充沛的熊是一个被视为APT(高级持续威胁)的黑客组织。这个黑客组织也以另外两个别名而闻名:蹲伏的雪人和蜻蜓。精力充沛的熊倾向于瞄准工业部门以及能源部门的高级人才。充满活力的熊组通常会随着时间改变其偏好区域。总的来说,他们的大多数目标都集中在美国和欧洲,但是在2016年和2017年,他们的大部分努力都集中在土耳其。 大多数目标都在工业和能源领域内运作 精力充沛的熊倾向于使用各种攻击性技术以及极富创造力的方法将恶意软件传播到预定目标。 Energetic Bear通常会破坏服务器并将其转变为损坏的主机,这会传播可执行代码以在访问受感染网站的用户的系统上运行。这就是所谓的水坑攻击。 Energetic Bear使用的另一种攻击技术是将受损的系统用作其C&C(命令与控制)基础结构的一部分。这些被劫持的设备然后用于转储收集的数据和日志。 活力熊使用的工具 充满活力的熊小组采用了一系列公开可用的软件解决方案: 细分。 拍板 PHPMailer。 混合。 Wpscan。 子清单3r。 Sqlmap。 Nmap。 SMBTrap。 Dirsearch。 充满活力的熊小组使用Wpscan应用程序检测远程WordPress网站上可能存在的任何潜在漏洞。为了通过SMB协议定位任何数据,黑客小组采用了SMBTrap工具。可以使用同一应用程序收集受害者的密码NTML哈希。如果他们在这项工作中取得了成功,则攻击者可以在以后执行哈希传递攻击。 精力充沛的熊在其战役中使用PHP Shell 当Energetic Bear设法破坏主机时,只要系统连接到Internet,他们就可以在其上植入特定的Web Shell(PHP)。这些PHP Shell的主要目的是允许其操作员在受感染的计算机上执行远程命令。这使攻击者几乎可以完全控制受感染的系统。在研究与Energetic Bear操作链接的PHP文件时,网络安全研究人员发现,攻击者可能使用网络钓鱼电子邮件活动来传播恶意软件。...

于October 10, 2019发表在Malware

Kuub勒索软件

所有可疑的个人都试图跳上“勒索软件”的火车,因为文件锁定特洛伊木马程序被视为一种快速简便的方法,可以在毫无戒心的在线用户的基础上产生一定的收入。大多数勒索软件威胁以类似的方式运行-用户系统感染木马病毒,该木马程序立即执行扫描,查找感兴趣的文件,然后加密过程锁定目标数据,最后,威胁将丢弃勒索信息。 传播和加密 Kuub勒索软件是最近发现的数据加密木马之一,它不会偏离前面解释的路径。 Kuub勒索软件属于广受欢迎的STOP勒索软件家族。尚不清楚攻击者在Kuub Ransomware的传播中采用了哪些感染媒介。一些专家推测,包含感染附件,虚假应用程序更新以及流行软件的假冒盗版变种的垃圾邮件可能是攻击者使用的传播方法之一。当Kuub Ransomware渗透到主机时,它将对其进行扫描,并在触发加密过程后不久。完成此步骤后,您会注意到Kuub Ransomware已将新的扩展名附加到锁定文件-“ .kuub”。这意味着您将文件锁定特洛伊木马命名为“ nocturnal-creatures.jpeg”,该文件将重命名为“ nocturnal-creatures.jpeg.kuub”。 赎金记录 Kuub勒索软件在用户桌面上留下了赎金记录。注释的名称为“ _readme.txt”。注释中的消息指出,赎金为比特币形式的490美元。但是,攻击者警告说,除非在72小时内支付赎金,否则价格会翻一番,达到980美元。 Kuub Ransomware的作者要求通过电子邮件“ gerentoshelp@firemail.cc”和“ gorentos@bitmessage.ch”与他们联系。 您应该忽略负责Kuub Ransomware的网络骗子的要求。试图与这样的阴暗人士讨价还价没有什么好处。相反,请考虑下载并安装合法的反恶意软件解决方案,这将帮助您从系统中安全删除Kuub...

于October 10, 2019发表在Ransomware

'Winlogui.exe'矿工

全球有几位用户报告说,他们的系统上运行着未知进程。有问题的进程是“ Winlogui.exe”。 “ Winlogui.exe”的创建者已确保在名称中添加“ Win”部分,该部分通常表示合法的Windows相关进程,并且不会引起任何怀疑。但是,事实并非如此。 “ Winlogui.exe”进程表明存在加密货币矿工。加密货币矿工使用大量的CPU往往会对主机产生负面影响,从而导致整个系统运行缓慢和性能不佳。在其系统上植入了加密货币矿工的用户可能会极大地影响其浏览质量。邪恶的参与者在目标系统上植入了加密货币矿工,以自己创造现金,同时还使用大量电力并缩短了渗透设备的使用寿命。 传播方式 恶意软件研究人员无法查明'Winlogui.exe'Miner传播背后的确切传播方法。攻击者可能使用了恶意广告活动,盗版应用程序以及媒体,伪造的软件更新,洪流跟踪器等。 自我保存技术 例如,“ Winlogui.exe”矿工的作者确保了他们的威胁能够检测到用户何时尝试使用链接到系统性能分析的应用程序,例如Windows Task Manager。如果检测到此类活动,“ Winlogui.exe”矿工将停止活动,以使用户不会注意到正在使用多少额外的CPU,并会发现某些信息不正确。该矿工还篡改Windows注册表,以确保每次重新引导系统时都会启动损坏的可执行文件。为了强制在Windows启动时启动该矿机,将链接器文件(.lnk)添加到启动目录,该文件链接到“ Winlogui.exe”。 如果您发现系统性能不佳,请使用性能分析工具找出问题所在。但是,像“...

于October 10, 2019发表在Trojans

柠檬鸭

恶意软件研究人员继续发现采用各种加密劫持恶意软件的威胁性活动越来越多。最新发现是Lemon_Duck威胁。看来,大多数涉及这种加密劫持恶意软件的活动最初都集中在亚洲。但是,此后,Lemon_Duck恶意软件已遍及全球,每天都在造成越来越多的受害者。 Lemon_Duck威胁的作者似乎主要针对公司,因为这通常比追求普通用户更有利可图。 Lemon_Duck威胁的创建者旨在破坏尽可能多的系统,建立一个加密货币矿工,并使用受感染主机的处理能力来挖掘加密货币。当然,所有现金都将转移到攻击者的加密货币钱包中。 蛮力攻击 Lemon_Duck的目标是连接到Web的知名不安全服务(包括Microsoft SQL(MS-SQL))感染主机。此威胁检查两个已知的Web服务SMB(445),MS-SQL(1433),以及在感染主机时默认情况下运行Lemon_Duck的一个Web服务。 Lemon_Duck威胁使用密码执行蛮力攻击,试图将其强制进入目标主机。再次执行与前面提到的蛮力攻击类似的操作,除了这次,攻击者使用散列来获取对目标NTLM(NT Lan计算机)服务的访问权限。 当Lemon_Duck恶意软件设法渗透到系统时,它可以: 用恶意LNK文件破坏USB驱动器。 以易受攻击的Samba服务为目标,并利用EternalBlue漏洞在主机之间传播。 尝试使用蛮力字典攻击向RDP授权。 收集有关主机的信息 为了对受感染的主机保持持久性,Lemon_Duck威胁向Windows启动文件夹中添加了一个“ lnk”文件。除了通过渗透系统中植入的加密货币挖矿机挖掘加密货币之外,Lemon_Duck恶意软件还可以使用WMI(Windows管理规范)服务执行远程命令。 Lemon_Duck恶意软件可确保连接到攻击者的C&C(命令与控制)服务器,并每小时向他们提供信息。 Lemon_Duck威胁正在窃取其操作员的信息包括有关受感染系统上存在的用户帐户的数据以及软件和硬件信息。...

于October 10, 2019发表在Malware