Beamed Ransomware 是一种有害威胁,具有锁定受害者数据的必要入侵能力。大多数勒索软件类型的威胁旨在针对众多不同的文件类型,以最大限度地提高它们造成的损害。 因此,受影响的用户通常将无法访问他们的文档、PDF、图像、照片、档案、数据库等。当 Beamed Ransomware 加密文件时,它还会在该文件的名称中添加“.beamed”作为新的扩展名。受害者还会注意到被破坏的设备上出现了一个名为“RIP YO DOCUMENTS.txt”的陌生文本文件。文件内将有一份赎金记录,详细说明了攻击者的要求。 通常,勒索软件威胁的操作者试图以专业人士的身份出现,以说服用户支付赎金将导致数据完全恢复。但是,Beamed Ransomware 不遵循此行为。相反,网络犯罪分子的信息包含一些针对受影响用户的脏话。该说明还指出,预计受害者将支付 200 美元的比特币。 Beamed Ransomware 的注释全文如下: 'HELLO R****D MORON IDIOT P**O U JUST GOT FUCKED BEAMED, YOU COULD PAY UP $200 IN BITCOIN TO UNLOCK bc1qt5vjdkvl4qvslhkss23hxpq3tu5u5dd4xq65je iF NOT GET FUCKED Total Encrypted...
DUCKTAIL 恶意软件
网络犯罪分子正在使用一种被跟踪为 DUCKTAIL 恶意软件的特制恶意软件威胁来破坏和收集受害者的 Facebook 业务帐户。该威胁被认为是越南黑客组织的威胁武器库的一部分,根据 WithSecure Intelligence 研究人员的一份报告,它很可能自 2021 年以来就被用于攻击行动。 需要指出的是,涉及 DUCKTAIL 的攻击是高度集中的,选择的目标是高级个人或相关人员。通过破坏选定的目标,攻击者可以获得访问权限并控制特定的 Facebook 业务页面。专家指出,随着黑客增加新的能力和方法来避免 Facebook 的安全性,DUCKTAIL 正在继续发展。 一旦它在受害者的机器上执行,DUCKTAIL 首先检查是否存在特定的 Web 浏览器——Chrome、Firefox、Edge 和 Brave。接下来,威胁将尝试识别必要的 cookie 路径并提取与 Facebook 相关的任何内容。威胁探测 2FA(双因素身份验证)是否处于活动状态,并在必要时尝试获取恢复代码。除了 cookie,DUCKTAIL 还可以提取用户代理、地理位置、2FA 代码、令牌等。 一旦它破坏了相关的 Facebook 帐户,该威胁将收集所有类型的数据,包括姓名、关联帐号、广告支出、支付周期、广告帐户权限、待处理用户、所有者、成员角色、客户数据、链接的电子邮件、验证状态等等。 DUCKTAIL...
保护手表.xyz
发现自己被带到 Protectwatch.xyz 网站的用户应该小心。观察到这个可疑的网站运行欺骗性的在线策略,试图利用其访问者。每个用户看到的确切方案可能会有所不同,因为该站点可能能够根据访问者的 IP 地址和地理位置等因素来修改其行为。 Protectwatch.xyz 传播的潜在技巧之一是“您访问过非法受感染网站”方案的变体。它包括向用户展示各种虚假的安全恐慌以及对他们的计算机或设备进行假定威胁扫描的伪造结果。当然,没有任何网站能够自行进行此类扫描。 Protectwatch.xyz 网站的欺骗行为还包括假装其虚假声明来自信誉良好的安全供应商,在这种情况下是 McAfee。实际上,McAfee Corp. 与任何这些流氓网站都没有联系。 Protectwatch.xyz 的运营商可能的目标是通过推动访问者购买促销产品的订阅来赚取非法佣金。或者,该网站可能会使用其虚假恐慌作为传播配备广告软件、浏览器劫持程序甚至拥有数据收集功能的侵入性...
联邦快递公司电子邮件诈骗
网络犯罪分子正在传播带有损坏文件附件的引诱电子邮件。活动中使用的垃圾邮件显示为好像来自 FedEx。假电子邮件的标题可能是“Re: CR-FEDEX_TN-270036844357_DT-_CD-20220301_CT-0833”的变体。消息本身将声称它正在向收件人发送一份机械设备装运报告。应该包含此不存在的货件详细信息的文件将在用户的计算机上放置恶意软件威胁。用户应该记住,联邦快递公司与这些威胁性电子邮件没有任何联系。 感染受害者设备的确切恶意软件威胁可能取决于网络犯罪分子的具体目标。例如,RAT(远程访问木马)会潜入系统,打开后门访问,并允许攻击者执行大量侵入性操作。通常,RAT 可以收集信息、操纵文件系统、执行任意命令并获取携带更专业恶意软件的其他不安全有效负载。...
SpaceEnergy
臭名昭著的 AdLoad 广告软件系列继续被不道德的人用于创建侵入性 PUP(可能不需要的程序)。这些烦人的应用程序专门针对 Mac 用户,并且在大多数情况下都配备了广告软件功能。为避免在其计算机或设备中允许此类可疑程序,用户在安装来自不熟悉来源的软件产品时应始终保持谨慎。毕竟,PUP 通常通过旨在隐藏其安装的策略进行传播,例如软件包或虚假安装程序/更新。 SpaceEnergy 正是这样的AdLoad应用程序。如果它已成功部署到用户的 Mac,该应用程序将激活其功能并开始运行令人讨厌的广告活动。生成的广告可以采用各种形式——弹出窗口、横幅、文本链接等,并可能严重破坏设备上的用户体验。更重要的是,用户可能会遇到宣传可疑甚至不安全目的地的广告。广告软件推广恶作剧网站、网络钓鱼门户、可疑的面向成人的平台等并不少见。 但是,PUP 也可能很容易拥有其他不需要的功能。例如,PUP 因监视系统上执行的浏览活动而臭名昭著。该应用程序可以监控用户的浏览历史、搜索历史和点击的 URL。一些 PUP...
Vveo 勒索软件
Vveo 勒索软件是属于 STOP/Djvu 恶意软件家族的威胁。尽管它只是另一种变体,但 Vveo 对受感染设备造成损害的能力仍然很大。事实上,受影响的设备将受到数据加密,这将使大多数文档、PDF、图片、存档、数据库和其他文件类型完全无法访问和无法使用。受害者会注意到所有加密文件现在都将“.vveo”附加到其原始名称作为新扩展名。 遵循在其他STOP/Djvu变体中观察到的典型行为,Vveo 还将其赎金记录作为名为“_readme.txt”的文本文件删除。该消息指出,希望从攻击者那里获得解密软件工具和必要的解密密钥的受害者必须支付 980 美元的赎金。但是,如果用户在前 72 小时内联系黑客,他们应该只需要支付一半的费用。此外,可以将单个加密文件附加到发送的消息中以免费解密。 当然,相信网络犯罪分子的话可能并不明智。网络犯罪分子可能会拿走勒索的钱并继续他们的其他威胁行动,或者无法恢复他们锁定的所有文件。 Vveo Ransomware 注释的全文是: '注意力! 不用担心,您可以归还所有文件!您的所有文件(如图片、数据库、文档和其他重要文件)都使用最强的加密和唯一密钥进行加密。恢复文件的唯一方法是为您购买解密工具和唯一密钥。该软件将解密您所有的加密文件。你有什么保证?您可以从您的 PC 发送一个加密文件,我们免费对其进行解密。但我们只能免费解密 1 个文件。文件不得包含有价值的信息。您可以获取并查看视频概述解密工具: hxxps://we.tl/t-qh3zK3eowM私钥和解密软件的价格是 980 美元。如果您在 72 小时前与我们联系,可享受 50% 的折扣,您的价格为 490 美元。请注意,您永远不会在不付款的情况下恢复您的数据。如果超过 6...
Redeemer 2.0 勒索软件
网络犯罪分子已发布了先前确定的勒索软件威胁Redeemer Ransmware Trojan 的更新版本。与前身相比,新的 Redeemer 2.0 勒索软件大大提高了威胁能力。该威胁现在可以感染运行 Windows 11 的系统,并且其加密过程不再导致受影响设备的操作系统变得不稳定或遭受严重损坏。 Redeemer 2.0 还更改了它锁定的文档、PDF、档案、数据库、照片和其他文件的图标。 威胁将“.redeem”附加到目标文件的名称作为新扩展名。至于详细说明攻击者指示的赎金记录,它将在系统登录屏幕之前显示为一条消息,并以名为“Read Me.TXT”的文本文件的形式放置。 Redeemer 2.0 Ransomware 的消息没有透露黑客勒索受害者的确切金额。但是,它确实指示受影响的用户购买至少 10 个 Monero (XMR) 代币,以该加密货币的当前价格计算,其价值约为 1600 美元。付款后,用户被告知通过笔记中的电子邮件地址与攻击者联系。 Redeemer 2.0 Ransomware 的使用说明全文为: '由 Cerebrate 制造 - 恐惧论坛 TOR [-] [Q1] 发生了什么,我无法打开我的文件并且他们更改了扩展名? [A1] 您的文件已被暗网勒索软件操作 Redeemer 加密。 [Q2] 有什么方法可以恢复我的文件吗? [A2] 是的,您可以恢复您的文件。然而,这将花费你 XMR(门罗币)的钱。 [Q3] 有什么方法可以不付费恢复我的文件? [A3] 不付款就不可能您的文件。 Redeemer 使用最安全的算法和复杂的加密方案来保证安全。如果没有正确的密钥,您将永远无法重新访问您的文件。 [Q4] 什么是 XMR(门罗币)?...
POLINA 勒索软件
网络安全专家警告用户注意另一个有害的勒索软件威胁。该恶意软件被追踪为 POLINA 勒索软件,其加密过程可能会影响许多不同的文件类型。与大多数此类威胁一样,POLINA 勒索软件将使受害者的数据处于无法使用和无法访问的状态。所有受影响的文件都将在其原始名称后附加“.POLINA”。 该威胁还会在受感染的设备上放置一个名为“READ_HELP.txt”的文本文件。文件里面是一张勒索字条,上面有恶意软件受害者的说明。根据消息,攻击者要求支付赎金,以换取发回所谓的解密软件工具。然而,这些说法完全没有根据,因为赎金票据缺乏免费解密几个小文件的典型服务。相反,它包含的唯一有意义的细节是一个电子邮件地址和一个电报帐户——“myfilesrecovery@proton.me”和“hxxps://t.me/filesrecovery”,它们可以用作通信渠道。 交付的索要赎金消息的全文是: 'All of your files have been ENCRYPTED with POLINA RANSOMWARE Your computer was infected with a ransomware. Your files have been encrypted and you won't be able to decrypt them without our help. What can I do to get my files back? You can buy our special decryption software, this software will allow you to recover all of your data and remove the...
硝基窃取者
Nitro Stealer 是网络犯罪分子可用于网络间谍和数据收集攻击的有害威胁。这种类型的恶意软件通常具有相当大的隐身能力,以确保长时间存在于被破坏的设备上,从而最大限度地增加黑客获取机密或敏感数据的机会。 信息收集器可以携带更广泛的侵入性功能。这些威胁可能会在受感染的系统上建立键盘记录例程,以捕获每次按下的键盘按钮或鼠标点击。他们可能会监控设备上的网络活动、捕获任意屏幕截图、控制连接的摄像头和麦克风进行录音、提取浏览器 cookie 或访问与消息传递客户端、VPN、流行的桌面应用程序等相关的信息。许多窃取者还可以影响加密货币钱包应用程序。...
沙克逊商店
Shaxon.shop 是一个运行各种在线策略的不可信网站。登陆页面的用户在处理显示的消息时应谨慎。在 Shaxon.shop 上确认遇到的其中一个技巧是“黑客在看着你!”的变体。但该网站也可能有其他骗局作为其保留曲目的一部分。 观察到的计划针对 iPhone 用户,并试图让他们相信他们的 iPhone 连接已被破坏。虚假的恐慌会告诉用户他们只有两分钟的时间来解决这个问题,然后不存在的攻击者继续将他们的浏览历史和照片发送到设备的整个联系人列表中。 Shaxon.shop 依靠这些完全捏造的恐慌来促使用户安装作为“推荐保护应用程序”呈现的推广应用程序。然而,在大多数情况下,下载的程序被证明是一个带有广告软件、浏览器劫持程序甚至数据监控功能的侵入性 PUP。即使应用程序是合法应用程序,用户仍然不应从他们在 Internet...
“极客小队”电子邮件诈骗
不择手段的骗子正在发送引诱电子邮件,伪装成来自百思买子公司 Geek Squad 的信息。虚假电子邮件包含 Geek Squad 徽标,并声称收件人对 Geek Total Protection 的订阅已自动续订。因此,服务费用为 499.99 美元。为了使虚假声明看起来更合法,欺骗性电子邮件还包含捏造的详细信息,例如发票号、续订日期、服务名称等。请务必记住,Geek Squad 与 Geek Squad 没有任何联系。到这些电子邮件...
Antivirus-here.com
Antivirus-here.com 是一个不值得信任的网站,创建它的唯一目的似乎是宣传各种在线策略。用户很少有意访问诸如此类的阴暗页面。相反,大多数用户被带到那里是由于流氓广告网络或侵入性 PUP(潜在不需要的程序)引起的不需要的重定向。 Antivirus-here.com 上遇到的一种方案是“您的 PC 感染了 5 种病毒!”的变体。该站点将向用户展示对其设备进行假定威胁扫描的结果。该站点将声称已检测到 5 个必须尽快删除的有害威胁。与大多数此类计划一样,Antivirus-here.com 也利用合法且信誉良好的公司(在本例中为 McAfee)的名称、品牌、徽标等。凭借其所有虚假的安全警报和警告,可疑页面试图吓唬访问者购买 McAfee 安全解决方案的订阅。 请务必注意,McAfee Corp. 与任何使用其名称的流氓网站都没有关联。欺诈者可能试图根据通过不可信页面进行的所有交易来赚取非法佣金。用户还应记住,这些网站通常会试图引诱他们启用推送通知。由于与此功能相关的浏览器权限,恶作剧页面将能够开始在设备上生成侵入性广告。这些广告可能会宣传更多的骗局、网络钓鱼门户、伪装成有用应用程序的 PUP...
DigitGuild
DigitGuild 是另一个针对 Mac 用户的侵入式广告软件应用程序。此外,经过分析,infosec 研究人员确认该应用程序属于多产的AdLoad广告软件家族。大多数广告软件、浏览器劫持程序和其他 PUP(可能不需要的程序)不具备任何有用的特性,因此用户极不可能自愿安装。取而代之的是,他们的运营商采用了各种可疑的方法,试图将应用程序的安装隐藏在用户的视线之外。最常见的两种策略是软件包和虚假安装程序/更新。 诸如 DigitGuild 之类的广告软件应用程序主要专注于通过提供不需要的广告来将其在设备上的存在货币化。广告可能采用不同的形式——弹出窗口、横幅、文本链接等,很少宣传合法的系列、服务或产品。在大多数情况下,用户将看到关于恶作剧页面、网络钓鱼门户、阴暗的在线投注/游戏平台、更多伪装成看似真实的应用程序的 PUP 等的可疑广告。用户还应记住,与生成的广告交互可能会触发强制重定向这可能会导致其他同样可疑的目的地。 PUP...
Sakura Ransomware
Sakura Ransomware 是一种破坏性威胁,专门用于阻止受害者访问自己的数据。该威胁会影响各种不同的文件类型,每个加密文件都将处于不可用状态。通常,攻击者是唯一拥有恢复数据所需的解密密钥的人。然而,Sakura Ransomware 似乎仍在开发或测试阶段,进一步限制了受害者可用的选项。 威胁的加密程序功能齐全,所有目标文件的原始名称都将附加“.Sakura”。 Sakura Ransomware 还将提供带有说明的赎金记录,以名为“read_it.txt”的文本文件的形式放在被破坏的设备上。此外,该恶意软件将用新的桌面背景替换当前的桌面背景。 Sakura Ransomware 留下的说明指出,网络犯罪分子只会接受使用比特币加密货币支付的赎金。它们还允许用户发送最多 3 个锁定的文件,这些文件据称可以免费解密。问题是用户应该用来联系黑客的两个电子邮件地址丢失了。相反,注释包含两个占位符名称 - “test@test.com”和“test2@test.com”。 Sakura Ransomware 的消息全文为: '别担心,您可以归还所有文件! 您的所有文件(如文档、照片、数据库和其他重要文件)均已加密 我们给您什么保证? 您可以发送 3 个加密文件,我们免费解密。 您必须按照以下步骤解密您的文件: 1)写在我们的电子邮件:test@test.com(如果24小时内没有回复,请检查您的垃圾邮件文件夹 或写信给我们这个电子邮件:test2@test.com) 2)获取比特币(您必须支付比特币的解密费用。 付款后,我们将向您发送解密所有文件的工具。)...
Nitro22 勒索软件
Nitro22 勒索软件是一种有害威胁,可以针对个人用户以及企业实体进行部署。 Nitro22 勒索软件专门针对大量文件类型而设计,主要是包含重要数据的文件类型,并通过不可破解的加密算法锁定它们。受害者将无法访问他们的文档、PDF、档案、数据库、图像等。然后,攻击者将勒索他们的目标以获取金钱,以换取潜在的数据恢复。 作为入侵设备的一部分,Nitro22 Ransomware 还将修改它锁定的文件的原始名称。它通过将“.nitro”附加到它们的名称作为新扩展名来实现。该恶意软件会将名为“#Decryption#.txt”的文本文件拖放到受害者的设备上,同时还会用新图像更改当前桌面背景。新的桌面壁纸和文本文件都包含来自攻击者的指令。 背景图片将为受害者提供两个电子邮件地址——“nitro22@onionmail.org”和“nitro22@msgsafe.io”,作为联系 Nitro22 勒索软件背后网络犯罪分子的一种方式。但是,在文本文件中找到的正确赎金记录包含更多详细信息。根据它,威胁的运营商运行双重勒索方案,他们在执行加密过程之前从被破坏的设备中收集机密信息。威胁行为者还规定了 48 小时的时间限制。如果他们在该时间范围内没有收到受害者的信息,他们威胁要么将收集到的信息出售给任何感兴趣的第三方,要么免费向公众发布。文本文件提到了一个名为 Nitro22 的 Skype 帐户形式的附加通信通道。 通过文本文件传递的整个消息是: '你好! 对您来说不幸的是,一个主要的 IT 安全漏洞让您容易受到攻击,您的文件已被加密 如果你想恢复它们,写 Skype: 硝基22 电子邮件 : nitro22@onionmail.org nitro22@msgsafe.io...