Gucci僵尸网络

Gucci僵尸网络是一个最近发现的僵尸网络,主要针对IoT(物联网)设备。随着越来越多的小工具变得“智能”并连接到互联网,网络罪犯对破坏物联网设备的兴趣与日俱增。但是,这并不是针对物联网机器的热潮的唯一原因。物联网设备经常很容易受到渗透的侵害,因为其生产者似乎并未花费太多精力来保护它们免受网络攻击。 与某些笔记本电脑和台式机兼容 重要的是要注意,Gucci僵尸网络并不仅限于物联网设备。在研究了威胁之后,专家发现Gucci恶意软件的作者使用了二进制文件,该二进制文件还与台式机和笔记本电脑典型的x86架构兼容。托管与Gucci僵尸网络链接的可执行文件的服务器似乎位于荷兰。 恶意软件研究人员破坏了Gucci僵尸网络后端 在进一步研究Gucci僵尸网络的情况后,网络安全研究人员设法找到了攻击者的C&C(命令与控制)服务器。网络罪犯已确保除非拥有合法的登录凭据,否则任何人都无法进入服务器。但是,这种安全措施还不够,因为恶意软件专家通过使用蛮力技术“猜测”登录凭据来设法渗透到服务器,从而使他们可以完全访问攻击者的系统。 Gucci僵尸网络移至未知服务器 但是,在恶意软件研究人员设法攻破Gucci僵尸网络的后端后不久,其运营商就确保了其运行的安全,并停止了针对他们的网络安全运动。目前,尚不知道Gucci僵尸网络托管在哪台服务器上,但是很明显它仍处于活动状态并可以运行。 用于大规模DDoS活动 Gucci僵尸网络的运营商似乎主要使用它来发起大规模DDoS(分布式拒绝服务)攻击。这些攻击似乎针对各种服务,服务器和系统的整个网络。 Gucci僵尸网络能够执行大量的DDoS技术,从而使攻击者更容易造成更大的伤害,并减少受害者以任何有意义的方式保护自己的可能性。...

于October 10, 2019发表在Botnets

奥术偷取者

奥术偷窃者V是一种信息窃取者,可以追溯到似乎是一群源自俄罗斯的网络骗子。随着网络安全专家发现与创建Arcane Stealer V有关的某人的Twitter,Discord和Telegram个人资料,这一点变得很清楚。在个人资料的所有个人资料中,相关人士都表示他/她是俄罗斯公民。 仅售$ 9 奥术偷窃者V的作者选择将其作为一项服务在线出售给其他道德可疑的可疑个人。尽管Arcane Stealer V并不是市场上最高端的信息窃取者,但它具有某些可赎回的品质,例如其极低的价格。仅需$ 9,您就可以使用Arcane Stealer V的全部功能。这些包括收集: 与Steam相关的文件。 加密货币钱包。 与FileZilla相关的文件。 不和谐会话文件。 电报会话文件。 插入会话文件。 Microsoft Office文档。 兼容七种浏览器 此外,Arcane Stealer V可以使操作员从以下浏览器收集浏览器信息,例如自动填充数据,登录凭据和cookie: 谷歌浏览器。 歌剧。 Yandex。 朋友。 Kometa。 火炬。 轨道 免费的客户支持和教程 Arcane Stealer V的创造者通过向客户提供免费的技术支持,确保达到令人印象深刻的客户满意度。可以在Telegram上找到此威胁的作者,他们很乐意为客户提供有关操作Arcane Stealer V的详细说明。该威胁还提供了教程和用户友好的界面,对于经验不足的网络用户来说,甚至更容易欺骗者操作恶意软件。 如前所述,Arcane Stealer V不被视为顶级信息窃取者。但是,其开发人员也正在出售威胁的源代码。这意味着,如果技能更高的网络犯罪分子掌握了Arcane Stealer V,则可以进一步将这种威胁武器化,并轻松地将其转化为更强大的威胁。为避免成为Arcane Stealer...

于October 10, 2019发表在Stealers

FTCODE勒索软件

最近,另一种勒索软件威胁已经抬起头来。它的名称是FTCODE Ransomware,它似乎不属于任何流行的勒索软件系列。尚不知道是否有针对FTCODE Ransomware的免费和公开可用的解密工具。 传播和加密 尚未确定该威胁的传播涉及哪些感染媒介。处理数据锁定特洛伊木马的网络罪犯倾向于使用几种经典的传播方法-包含带有宏内容的附件,欺诈性应用程序更新以及流行软件的假冒盗版的电子邮件。通常,勒索软件威胁趋向于针对各种文件,以确保将造成足够的损害,并且用户可以考虑支付勒索。通常,图像,文档,视频,音频文件等文件将是诸如FTCODE Ransomware这样的威胁的主要目标。 FTCODE勒索软件将运行扫描以找到这些文件,然后触发其加密过程。加密文件后,FTCODE Ransomware在文件名的末尾应用新扩展名-.FTCODE。例如,如果您在加密过程完成后最初拥有一张名为“ paper-pale.jpeg”的照片,则该文件将被重命名为“ paper-pale.jpeg.FTCODE”。为了确保用户不太可能免费获取损坏的文件,FTCODE Ransomware还将从受感染的主机中清除卷影副本。此外,FTCODE Ransomware还将篡改系统还原模块并将其禁用,从而几乎不可能取回任何数据。 赎金记录 然后,FTCODE勒索软件将删除一个名为“ READ_ME_NOW.htm”的勒索字条。在说明中,攻击者会指导受害者如何下载和安装TOR浏览器,因为他们的付款处理是在基于TOR的付款门户上进行的。 FTCODE勒索软件的作者指出,在攻击的前三天内,勒索费用为500美元。但是,如果受害者未能在此期限内付款,则赎金将开始定期增加: 3至5天-$ 2,500。 5至10天-$ 5,000。 在10到30天之间-$ 25,000。 最后,攻击者声称,如果在攻击发生后三十天内未处理费用,则解密密钥将被永久清除,这意味着受害者将无法获取任何加密数据。...

于October 10, 2019发表在Ransomware

诺德索克

许多网络骗子都对名为LOLBins(非生活二进制文件)的黑客技术产生了兴趣。由于威胁者通过合法的应用程序和服务开展了威胁活动,因此它使网络犯罪分子可以绕过反恶意软件工具,从而使运营商不为所动。最近,恶意软件研究人员发现了一种采用LOLBins技术的新威胁-Nodersok。这种威胁的作者走得更远,并确保在攻击的每个阶段都执行这些技术,从而使Nodersok成为一种威胁,它非常安静地运行。 将受损的计算机转变为代理服务器 Nodersok威胁的创建者正在使用它感染主机,并通过使用名为Node.JS框架的代理脚本向主机注入代理服务器,将其转变为代理服务器。目前尚不清楚他们计划如何使用渗透机,但是它们可能会被用作Nodersok创作者快速增长的基础架构的一部分,或者仅用于大规模垃圾邮件活动中。 大多数受害者是普通用户 Nodersok的活动主要集中在美国和欧洲。据报道,受害者已经有成千上万,这令人印象深刻。网络安全专家估计,受感染的主机中有3%属于公司,这意味着几乎所有成为Nodersok恶意软件受害者的PC均属于常规用户。 如何进行攻击 Nodersok威胁作为其攻击的一部分执行一些任务: 损坏的广告会传递“ .hta”文件,该文件托管在用户的正版云服务上。 如果用户运行该文件,则注入的JavaScript代码将触发“ .xsl”或“ .js”文件的下载。 一旦第二个文件渗入系统,它将开始解密过程,这将解锁PowerShell命令。 接下来,显示的PowerShell命令将启用威胁,以在主机上植入其他LOLBins。 其他LOLBins 如果Nodersok威胁成功并且设法下载了额外的LOLBins,则用户可能会遇到麻烦,因为这些工具包括: 前面提到的Node.JS框架。 与Node.JS框架相关的模块,允许操作员将主机转变为休眠的代理服务器。 一个网络数据包捕获工具包,称为Windivert。 一个shellcode,使攻击者可以在受感染的主机上获得管理员特权。...

于October 10, 2019发表在Malware

Masad偷窃者

Masad Stealer是一种黑客工具,在各种黑客论坛上也可以作为服务出售。为了吸引潜在买家的兴趣,eh Masad Stealer的作者提供了免费的精简版威胁,与完整版相比,其功能自然有限。 Masad Stealer的全武器版本售价为85美元。 在电报上操作 Masad Stealer的运营商已选择将其恶意软件的攻击活动托管在消息传递应用程序Telegram中,而其中的漫游器将充当C&C(命令与控制)服务器。该应用程序已经流行了一段时间,并且在全球范围内拥有超过200,000,000用户。这是一种有趣且狡猾的方法,因为试图在如此庞大的平台上跟踪攻击者几乎是不可能的。 它可以收集加密货币钱包并作为快船操作 Masad Stealer既可以充当收集加密货币钱包的工具,又可以充当“夹子”。被归类为快船的威胁是一种恶意软件,它可以检测用户将哪些行文本复制到剪贴板上。快船通常寻找文本字符串,这表明加密货币钱包的地址已被复制。一旦检测到此错误,剪辑器将确保将用户复制的地址替换为其操作员的加密货币钱包的地址。由于加密货币钱包的地址通常很长,因此大多数用户在想要将加密货币转移到钱包时往往会忽略他们粘贴的内容。经营Masad Stealer的人似乎已经收集了价值超过9,000美元的比特币。 Masad Stealer具备检测以下服务和应用程序相关的文本字符串的功能: QIWI PAY,Dash,Web Money,Ripple,Bicond,Emerecoin,ByteCoin,Yandex Money,Bitcoin Cold,Lisk,Via,Steam Trade Link,Qtum,Stratis,Monero,Ethereum,Neo,ZCASH,ADA,Dogecoin等 它可以收集信息 Masad Stealer除了收集加密货币钱包并作为削波器恶意软件进行操作之外,还可以从受感染的系统中窃取敏感数据。它能够收集: 蒸过相关文件。 电报登录凭据。 不一致的登录凭据。...

于October 10, 2019发表在Stealers

'Patern32@protonmail.com'勒索软件

公众倾向于将恶意软件创建者视为具有黑暗力量的高技能个人,几乎就像现代的黑人魔术师一样。尽管确实有一些符合此描述的人,但大多数操作恶意软件威胁的人并非如此。网络骗子经常会相互借用代码,并对其进行稍微改动以适应他们的喜好和需求。当今的勒索软件威胁就是这种情况–“ Patern32@protonmail.com”勒索软件。 传播和加密 一旦研究人员发现“ Patern32@protonmail.com”勒索软件并对其进行了调查,很明显,这种威胁是Omerta Ransomware的变体。传播“ Patern32@protonmail.com”勒索软件时所采用的传播方法可能会有所不同–从带有包含宏条附件的邮件的大规模垃圾邮件活动到带有威胁的流行应用程序的伪造盗版副本。一旦“ Patern32@protonmail.com”勒索软件破坏了主机,将进行简短扫描。这将帮助威胁找到感兴趣的文件。接下来,“ Patern32@protonmail.com”勒索软件将开始锁定其定位的所有文件。加密文件后,“ Patern32@protonmail.com”勒索软件将通过在文件名末尾附加“。[patern32@protonmail.com] .omerta”扩展名来更改其名称。例如,一个名为“ dark-sun.mp3”的音频文件将被重命名为“ dark-sun.mp3。[patern32@protonmail.com] .omerta”。 赎金记录 在下一步中,一个名为“如果您想将所有文件都退还给我,请仔细阅读。TXT”的赎金票据将被放置在受害者的桌面上。在说明中,攻击者声称将根据您与他们取得联系的速度来确定赎金。 “ Patern32@protonmail.com”勒索软件的运营商要求通过电子邮件联系并提供电子邮件地址-“ patern32@protonmail.com”。...

于October 10, 2019发表在Ransomware

启动勒索软件

大多数网络犯罪分子倾向于使用已经可用的代码来构建新的威胁,因为从头开始编写整个恶意软件绝对不是任何人都能轻松完成的任务。许多勒索软件的作者倾向于借用已经建立的数据锁定特洛伊木马的代码,并对其略作更改以适应其目的。 传播和加密 Boot勒索软件是最近发现的勒索软件威胁之一,该设备属于臭名昭著的STOP Ransomware家族,该家族在整个2019年都非常活跃。恶意软件专家不知道Boot Ransomware的传播涉及哪些感染媒介。这个文件加密木马的作者极有可能正在使用最常见的传播方法,例如虚假的应用程序更新和包含受感染附件的垃圾邮件。攻击的第一步是对渗透系统中存在的数据进行扫描。这用于查找所有文件,Boot Ransomware已对其进行编程。目标文件类型的列表通常很长,并且包含所有流行的文件,以确保最大程度的破坏。然后,将触发加密过程。 Boot Ransomware锁定文件后,它也更改了名称。该木马在所有受影响文件的文件名末尾添加了“ .boot”扩展名。这意味着一旦加密过程完成,最初称为“ hazel-eyes.jpeg.boot”的文件将重命名为“ hazel-eyes.jpeg.boot”。 赎金记录 当攻击的此阶段结束时,Boot Ransomware会在用户的桌面上放置勒索信息。该笔记称为“ _readme.txt”,内容为: '注意! 不用担心,您可以返回所有文件! 您的所有文件(例如照片,数据库,文档和其他重要文件)都将使用最强的加密和唯一的密钥进行加密。 恢复文件的唯一方法是为您购买解密工具和唯一密钥。 该软件将解密您所有的加密文件。 你有什么保证? 您可以从PC发送加密文件之一,而我们将免费对其进行解密。 但是我们只能免费解密1个文件。文件中不得包含有价值的信息。 您可以获取并查看视频概述解密工具: https://we.tl/t-NrkxzoMm4o 私钥和解密软件的价格为980美元。...

于October 10, 2019发表在Ransomware

LOCKED_PAY勒索软件

大多数网络罪犯不是公众倾向于认为他们是高技能的人。例如,在构建勒索软件时,大多数网络骗子都不是从头开始构建这种威胁类型,而是依赖其赖以创建的开源项目。今天存在问题的勒索软件LOCKED_PAY勒索软件就是这种情况。似乎LOCKED_PAY Ransomware的作者使用了JigSaw Ransomware构建器工具来创建自己的勒索软件威胁。但是,在借用和更改代码时,LOCKED_PAY勒索软件的作者犯了一些错误,从而导致其勒索软件威胁无法锁定任何数据。因此,LOCKED_PAY勒索软件将无法加密您的任何文件。 感染载体 尚不知道在LOCKED_PAY勒索软件的传播中应用了哪些感染媒介,尽管有人推测,包含宏码附件的电子邮件可能是在传播此威胁时使用的传播方法之一。一旦LOCKED_PAY Ransomware渗透到您的PC,它就会扫描您的数据并找到目标文件。恶意软件研究人员发现,LOCKED_PAY Ransomware打算将其应用于目标文件的扩展名是“ .LOCKED_PAY”。大多数勒索软件威胁都会以文本文件的形式发出勒索便条,但是LOCKED_PAY勒索软件的作者已选择在新的应用程序窗口中显示其勒索消息。攻击者在其信息中指出,赎金为800门罗币或0.005 BTC(在键入此信息时约为40美元)。 LOCKED_PAY Ransomware的作者尚未提供任何联系方式。通常,这不是一个好兆头,这意味着即使您支付了赎金,也无法与攻击者取得联系并可能收到解密密钥。 如何摆脱LOCKED_PAY勒索软件...

于October 10, 2019发表在Ransomware

Axzyte勒索软件

尽管有其名称,Axzyte Ransomware仍不属于勒索软件威胁类别。这是伪造的威胁,意在类似于文件锁定特洛伊木马,但实际上与真正的勒索软件威胁无关。大多数数据加密木马会潜入您的系统,扫描您的文件,对其进行加密,然后勒索您。有时,能力较弱的行为者无法添加有效的加密模块。但是,对于Axzyte Ransomware,其创建者根本没有尝试添加这种功能。 勒索软件开发人员的主要目标是什么 通常,制造勒索软件威胁的网络骗子将最终目标仅是一件事-现金。 Axzyte Ransomware并非如此。 Axzyte Ransomware的创造者并不是为了赚钱而是为了成名。在勒索消息中,他们要求受害者订阅其名为“ Axzyte New Production”的YouTube频道,该频道目前有约100个订阅者,证明他们的操作到目前为止还不是很成功。此外,Axzyte Ransomware的作者要求受害者转到YouTube频道,看似是攻击者的竞争对手,他们不仅不喜欢他们的视频,而且还报告了该频道,因此有可能被删除。 幸运的是,Axzyte勒索软件不会危害您的文件 始终最好不要理会像Axzyte Ransomware的创作者这样的笨拙演员的要求。无需遵守他们的要求,尤其要记住您的文件是安全的,并且Axzyte Ransomware没有真正破坏任何数据的方法。尽管Axzyte...

于October 10, 2019发表在Ransomware

Kronos勒索软件

最近,网络安全研究人员发现了一种新的勒索软件威胁。这个全新的文件锁定木马名为Kronos Ransomware。在深入研究之后,恶意软件专家发现了该项目与已知的Zeropadypt Ransomware之间的惊人相似之处。这使研究人员认为,这两个数据加密木马都可能由相同的参与者负责。但是,它们尚未能够破解其中任何一个,因此还没有免费的,公开可用的解密工具。但是,如果您成为Kronos Ransomware的受害者,我们建议您每天继续检查解密工具。 Kronos勒索软件的发行 研究人员不知道在Kronos Ransomware的传播中使用的确切传播方法。有人推测,Kronos Ransomware背后的行为不端的演员可能使用了伪造的软件更新,流行应用程序的伪造盗版副本以及大量垃圾邮件电子邮件活动来传播其威胁性创作。一旦Kronos Ransomware成功破坏了系统,它将进行简短扫描。扫描完成后,将找到所有感兴趣的数据。然后,Kronos Ransomware将通过开始其加密过程来进行攻击。所有新锁定的文件都将更改其名称。此威胁将'.email = [jacdecr@tuta.io] ID = []。KRONOS'扩展名添加到受影响的文件。 通过加密过程后,Kronos Ransomware会丢弃赎金记录。注释的名称为“ HowToDecrypt.txt”。在勒索消息中,Kronos Ransomware的创建者坚持要求用户通过电子邮件与他们联系。他们提供了一个与受害者联系的电子邮件地址,即“ jacdecr@tuta.io”。攻击者要求以比特币的形式支付赎金,这是一个标准要求,要记住,加密货币有助于网络骗子保护其匿名性。 删除Kronos勒索软件 您应该忽略网络犯罪分子的要求,例如负责Kronos Ransomware的要求。这样粗略的人不值得信任。相反,您应该考虑获取合法的反恶意软件应用程序,这将有助于您从系统中安全删除Kronos...

于October 10, 2019发表在Ransomware

李勒索软件

恶意软件专家找到了一个新的文件加密木马。它被称为Li Ransomware,但也以另一个名称– Scarab-Li Ransomware闻名。与大多数勒索软件威胁一样,如果Li Ransomware设法渗透到您的系统中,它将扫描您的文件,对其进行加密,然后要求您提供现金以换取解密密钥。 大多数从事制造勒索软件威胁的网络骗子在技术上都没有大多数普通用户倾向于相信的那样。大多数文件锁定木马不是唯一的项目,而是其他项目的变体。 Li Ransomware也是如此。这种勒索软件威胁基于广受欢迎的圣甲虫勒索软件 。这种臭名昭著的威胁在2018年造成了很多麻烦,因为它是最受欢迎和分布最广的勒索软件系列之一。 传播方式 研究人员不能完全确定在Li Ransomware的传播过程中使用了哪种传播方法。 Li勒索软件传播所涉及的感染媒介可能包括伪造的软件更新,包含受感染附件的垃圾邮件和流行应用程序的虚假盗版副本。 Li Ransomware针对很长的文件类型列表。所有目标文件都将经过此数据锁定木马的加密过程。 Li Ransomware锁定文件后,它还通过在文件名末尾添加'.li'扩展名来更改其名称。攻击者将文件重命名更进一步,因为他们还通过应用base64编码方案对受影响文件的名称进行了编码。 赎金记录 在攻击的下一阶段,Li Ransomware删除了名为“ DECRYPT YOUR FILES.txt”的赎金记录。在说明中,要求通过电子邮件“ liweixin888@protonmail.com”和“ firstmaillog@protonmail.com”与攻击者联系。 Li Ransomware的作者声称,如果受害者支付了赎金,将向他们发送解密密钥,这将解锁所有受影响的文件。 不建议与网络骗子联系。他们会试图欺骗您给他们钱,但可能永远不会兑现他们给您所需解密工具的承诺。相反,您应该下载并安装合法的防病毒软件套件,这将帮助您从计算机上清除Li...

于October 10, 2019发表在Ransomware

LonleyCrypt勒索软件

越来越多的阴暗行为者开始制造勒索软件威胁。有些人是技术娴熟的人,他们会从头开始构建恶意软件,而另一些人只是借用现成的代码并对其进行更改以满足他们的需求。 分配方法 LonleyCrypt勒索软件是最新发现的勒索软件威胁之一。在发现并研究了该数据锁定特洛伊木马之后,网络安全专家推测这可能是一个正在进行的项目。 LonleyCrypt Ransomware的作者可能会使用垃圾邮件活动来传播这种威胁。一旦渗透到您的计算机中,LonleyCrypt Ransomware将通过执行简短扫描来找到所有感兴趣的文件。接下来,LonleyCrypt勒索软件将触发加密过程。所有经过LonleyCrypt Ransomware加密过程的文件的扩展名都将更改。此文件加密木马添加了'。 LonleyEncryptedFile'扩展名位于所有受影响文件的文件名的末尾。这意味着您原先名为“ NBG.mp3”的文件将被重命名为“ NBG.mp3”。 LonleyCrypt勒索软件将其锁定后的“ LonleyEncryptedFile”。 赎金记录 作为大多数勒索软件威胁,LonleyCrypt勒索软件将删除包含用户说明的勒索便条。但是,注释使用中文,这意味着攻击者很可能主要针对位于中国的用户。注释的一部分如下: 请在24小时内删除,否则后果自负。...

于October 10, 2019发表在Ransomware

Shade8勒索软件

网络骗子对勒索软件威胁的兴趣与日俱增。尽管有些能力很强的人从头开始构建文件锁定特洛伊木马程序没有问题,但其他人则倾向于使用已经可用的代码。新发现的Shade8 Ransomware就是这种情况。 加密过程 发现此新数据加密木马后,恶意软件专家得出结论,这是流行的HiddenTear Ransomware的变体。但是,好消息是,由于Shade8 Ransomware背后的网络罪犯使用了HiddenTear Ransomware的开源构建器工具包,几乎不费力气地更改代码,这意味着该威胁是可解密的。如果Shade8 Ransomware设法破坏了您的系统,它将扫描您的文件。找到要查找的文件后,Shade8 Ransomware将开始加密过程,该过程将锁定所有标记的文件。 Shade8 Ransomware为所有加密文件添加了“ .shade8”扩展名。例如,名为“ dream.mp3”的音频文件将重命名为“ dream.mp3.shade8”。 赎金记录 在攻击的下一阶段,Shade8勒索软件会将其赎金记录放在受害者的桌面上。该注释称为“ READ_THIS.txt”。 Shade8勒索软件还将以新图像为背景,也可以将其视为勒索消息。注释和图像均表明用户必须通过电子邮件– 4shadow@protonmail.com与攻击者联系。 如果您是Shade8 Ransomware的不幸受害者之一,则可以使用称为“ HiddenTear...

于October 10, 2019发表在Ransomware

Pack14勒索软件

勒索软件威胁在网络犯罪世界中非常流行。通常,攻击是以类似的方式进行的-威胁会渗透到系统中,锁定所有目标文件,然后放下赎金字样,告知用户如果他们要解密其数据,则必须付费。 传播方式 最近发现的Pack14 Ransomware不会偏离这个广为人知的道路。恶意软件研究人员无法确定Pack14 Ransomware传播中使用的确切方法是什么。有人认为,此文件加密木马的创建者可能正在使用流行软件工具的盗版伪造副本,大量垃圾邮件电子邮件活动以及虚假的应用程序更新来传播Pack14 Ransomware。 Pack14 Ransomware进入用户系统后,将立即执行扫描。扫描找到Pack14 Ransomware编写的所有文件之后,攻击的下一步将开始–加密过程。 Pack14勒索软件将锁定所有文件并添加'ckey( ).email(data1992@protonmail.com).pack14'扩展到其名称。如果您之前将图片命名为“ Two-Lions.jpeg”,则Pack14勒索软件会将其重命名为“ Two-Lions.jpeg.ckey( )。电子邮件(data1992@protonmail.com).pack14。” 赎金记录 接下来,Pack14勒索软件将其赎金记录放在受害者的桌面上,以进行攻击。注释的名称为“ !!! Readme !!! Help !!!。txt”。在注释中,Pack14 Ransomware的作者未说明确切的赎金费用,这是用户接收解密密钥所需要的。但是,他们给出了希望与之联系的电子邮件地址-“ data1992@protonmail.com”。他们还提到受害者必须在电子邮件中包括“ CKEY”一词。 我们建议您不要与任何类型的网络犯罪分子打交道。这些人的道德问题值得怀疑,他们会很乐意拿走您的钱,飞入夕阳中,而不会真正拖延交易的进行。相反,您应该使用合法的反恶意软件工具,并使用它从计算机中安全删除Pack14...

于October 10, 2019发表在Ransomware

M3gac0rtx勒索软件

在勒索软件威胁方面,没有人是安全的。锁定文件特洛伊木马的某些作者针对政府机构和大公司,有时设法从中牟取巨额资金。但是,其他通常较小的演员也不会回避针对常规用户的攻击。 分配方法 越来越多的网络骗子开始创建和传播勒索软件,恶意软件研究人员正努力跟上。 M3gac0rtx勒索软件是最近发现的此类威胁之一。一旦网络安全专家研究了该文件锁定特洛伊木马,他们发现这是臭名昭著的MegaCortex Ransomware的变体。攻击者很可能依赖包含宏约束附件的电子邮件来传播M3gac0rtx勒索软件。渗透到PC后,M3gac0rtx勒索软件将对其进行扫描以找到所有感兴趣的文件。扫描完成后,此文件锁定特洛伊木马程序将开始加密过程。一旦M3gac0rtx勒索软件锁定了文件,它也会通过在文件名后附加'.m3gac0rtx'扩展名来更改其名称。例如,您名为“ September-2019.doc”的文档将重命名为“ September-2019.doc.m3gac0rtx”。 赎金记录 接下来是删除赎金票据。 M3gac0rtx勒索软件会将其笔记放在用户的桌面上。该注释称为“!-!_ README _!-!. rtf”。 M3gac0rtx勒索软件的作者未指定勒索费用,但请确保它可能是一笔不小的数目。攻击者指出,受害者不应尝试通过任何第三方软件解锁其数据。相反,他们坚持要求受害者通过电子邮件与他们联系。他们为用户提供了两个电子邮件地址,希望可以通过该电子邮件地址与他们联系以获取进一步的说明-“ janayshakennin95@mail.com”和“ marzocchizadok95@mail.com”。...

于October 10, 2019发表在Ransomware