老树

LaoShu威胁是一种专用于Mac系统的恶意软件。 LaoShu的目标是从受感染的主机收集敏感数据。 LaoShu Trojan是通过电子邮件传播的,该电子邮件往往包含受感染的PDF文件。这是涉及老挝木马的最新活动,攻击者似乎已选择将假电子邮件掩盖为知名交付公司发送的合法邮件。电子邮件将指出用户拥有一个尚未领取的软件包,并且附件的PDF文件包含有关此问题的更多信息。在某些情况下,电子邮件中会包含一个ZIP附件,而不是PDF文件,该附件会携带PDF文件。一些用户报告说,欺诈性电子邮件将他们重定向到了一个网站,该网站似乎是所讨论的快递公司的官方页面。但是,经过调查,网络安全分析师发现这是一个由攻击者托管的虚假网站,其设计看起来像是运送公司的原始网页。 老挝木马的创建者依赖于OSX的布局。用户下载了假定的PDF文件后,他们将能够在最近的下载中看到它。但是,仅当恶意文件实际上是应用程序时,它才看上去是PDF文件。这意味着打开恶意文件将使LaoShu Trojan渗透您的系统。启动文件后,OSX的安全措施将警告用户该文件可能很危险。忽略警告并继续操作的用户将被重定向回Safari浏览器,而不是像他们期望的那样看到PDF文件。这是一个巧妙的技巧,旨在使用户误以为打开文件时出了点问题。如果用户不进行深入研究,他们可能甚至不会意识到自己的系统已被感染,因为LaoShu Trojan会以静默方式运行。 在目标主机上成功安装LaoShu Trojan后,它将扫描系统中是否存在PPT,PPTX,DOC,DOCX,XLS和XLSX文件。如果检测到此类文件,LaoShu威胁将确保将它们收集在ZIP存档中,然后将其传输到木马运营商的C&C(命令与控制)服务器。 LaoShu恶意软件还可以从攻击者的C&C服务器下载文件,甚至运行shell命令。这些附加功能将使LaoShu Trojan能够更改系统设置或向受感染主机注入其他威胁。根据一些报告,已知LaoShu...

于February 20, 2020发表在Malware

JackSparrow勒索软件

JackSparrow勒索软件是一种全新的数据加密木马。 JackSparrow勒索软件上存在的某些功能类似于属于另一个名为Harma Ransomware勒索软件的木马的功能 ,这种类型的威胁令人讨厌,尤其是因为它们会加密所有用户数据并试图对其进行勒索。 JackSparrow勒索软件很可能能够加密一长串文件类型,以确保最大程度的破坏。 传播和加密 有许多不同的传播方法可用于分发勒索软件威胁。最受欢迎的邮件之一是垃圾电子邮件活动。目标用户将在其收件箱中收到一封电子邮件,其中包含伪造的邮件,试图说服他们打开附件。但是,该文件是宏观的,会立即损害其系统。网络犯罪分子还可以选择使用假冒的应用程序更新,恶意广告,洪流跟踪程序和其他感染媒介。 JackSparrow勒索软件将应用加密算法并锁定受感染主机上的所有数据。 JackSparrow勒索软件为锁定文件的文件名添加了新扩展名-“ .encrypted”。但是,JackSparrow Ransomware的创建者没有将新扩展名添加到文件名的末尾,而是选择将其放在原始扩展名之前。这意味着名为“ marble-tiles.jpeg”的文件将重命名为“ marble-tiles.encrypted.jpeg”。 赎金记录 攻击者的赎金消息将出现在名为“ JackSparrow”的新窗口中。在说明中,JackSparrow勒索软件的创建者说,他们将要求100枚Monero硬币(约合8,600美元)作为赎金。 JackSparrow勒索软件的作者要求通过电子邮件–“ jacksparrow@protonmail.com”进行联系。 最好忽略攻击者的要求。无法保证网络罪犯会提供受害者需要恢复其文件的解密密钥。这就是为什么您应该投资信誉良好的防病毒工具来帮助您从计算机上删除JackSparrow...

于February 19, 2020发表在Ransomware

MOOL勒索软件

网络安全研究人员发现了一种新的文件锁定木马,并将其命名为MOOL Ransomware。该MOOL勒索属于家庭的2019年最活跃的数据加密木马的-在停止勒索 。仅在2019年,恶意软件专家就发现了200多个潜伏在网络中的STOP Ransomware副本。 传播和加密 勒索软件威胁的创造者使用各种技巧来分发其威胁创造。关于勒索软件威胁,最常用的传播方法包括恶意广告活动,伪造的软件下载和更新,洪流跟踪器,流行应用程序或媒体的假副本以及包含带有宏词的附件的垃圾邮件。 MOOL Ransomware可能能够加密多种文件类型,包括图像,文档,音频文件,视频,数据库,档案等。为了安全地锁定目标文件,MOOL Ransomware将应用加密算法。用户可能会注意到锁定文件的名称已更改。这是由于MOOL Ransomware在文件名中附加了新的扩展名-“ .mool”。例如,原先名为“ emerald-forrest.gif”的文件将其名称更改为“ emerald-forrest.gif.mool”。所有锁定的文件将不再可执行。 赎金记录 然后,MOOL勒索软件会在用户系统上放下赎金记录。攻击者的赎金消息包含在名为“ _readme.txt”的文件中。在赎金说明中,MOOL Ransomware的作者未提及特定的赎金费用。但是,他们为受害者提供了两个电子邮件地址-“ helpmanger@firemail.cc”和“ helpmanager@iran.ir”。攻击者很可能会向与他们联系的用户提供更多信息和进一步的说明。 不建议尝试与MOOL Ransomware的作者联系。即使是支付了所要求的赎金的用户,也不太可能获得可以解锁其数据的解密工具。最好使用可信赖的合法防病毒应用程序删除MOOL...

于February 19, 2020发表在Ransomware

公开建议搜索

PublicAdviseSearch应用程序是为Safari浏览器设计的Web浏览器附加程序。 PublicAdviseSearch附加组件的创建者很可能将其作为具有有用功能的工具进行推广,以增强其用户的搜索结果。不幸的是,这种情况并非如此。 PublicAdviseSearch Web浏览器扩展可以视为PUP(潜在有害程序)。但是,PublicAdviseSearch加载项未链接到任何不安全的活动,因此在浏览器中安装了该插件的用户无需担心系统或数据的安全性。 PublicAdviseSearch加载项可能有权访问您的Web浏览器历史记录,并有权更改网站内容。这意味着PublicAdviseSearch加载项可能会在用户访问的网站上插入不需要的广告。一些用户报告在浏览Web时显示的广告数量增加。 PublicAdviseSearch扩展还可以将用户重定向到附属网站。...

于February 19, 2020发表在Potentially Unwanted Programs

Upzis.com

Upzis.com网站的页面不向访问者提供任何有价值的内容。这个狡猾的网站的唯一目的是劫持用户的Web浏览器通知。网上有无数的网站使用此方案。 Upzis.com网站可能声称拥有有趣的内容,从而诱骗用户访问它。但是,事实并非如此。 Upzis.com网页上没有内容。该网站将向其用户打招呼-将要求他们单击其屏幕上的“允许”按钮。通常,诸如Upzis.com页面之类的网站会声称,除非用户单击“允许”按钮,否则他们将无法查看他们正在寻找的内容。但是,这样做会使假网站获得显示Web浏览器通知的权限。 Upzis.com页面将使用此权限向其用户轰炸不需要的广告。广告很有可能会推销不安全的产品和虚假服务,因此最好忽略Upzis.com网站上的相关通知。...

于February 19, 2020发表在Browser Hijackers

Woollike.com

经常浏览不可靠网站(例如非法流媒体平台或洪流页面)的用户可能会访问Woollike.com页面。这个假冒的网站不包含任何有价值的内容,最好不要浪费时间。值得庆幸的是,Woollike.com网站与恶意软件的发布无关,因此用户不必担心其数据或系统的健康状况。 Woollike.com页面启动后,将要求用户按照他们给出的说明进行操作。该网站要求访问者单击向其显示的“允许”按钮。通常,诸如Woollike.com网站之类的晦涩页面会声称托管有趣的视频或其他媒体类型,这些视频或内容可能会引起用户的注意。但是,如果用户要访问媒体,则必须单击“允许”按钮。正如我们提到的那样,Woollike.com网站没有托管任何媒体,这仅是一种诱使用户误导其允许该网站显示Web浏览器通知的技巧。一旦Woollike.com网站获得了它的许可,它将开始用不必要的广告充斥用户。 Woollike.com网站可能推出了假冒产品或不可靠的服务,因此建议用户不要与该页面附带的广告进行互动。...

于February 19, 2020发表在Browser Hijackers

Videolive.best

Videolive.best网站的运营商已选择利用许多假网站所使用的非常常见的技巧-伪造的验证码提示。 Videolive.best网站可能声称托管实时流或吸引人的视频,从而误导用户启动它。但是,Videolive.best网站上没有内容可供查看。 用户将被要求完成验证码以证明他们不是机器人。但是,CAPTCHA测试是伪造的,按照Videolive.best网站提供的说明进行操作,将使虚假页面具有显示Web浏览器推送通知的权限。这看起来似乎不是问题,但是Videolive.best网站使用该权限向其用户发送垃圾广告。如果用户已关闭其Web浏览器并正在看电影或玩电子游戏,则垃圾邮件广告甚至可能继续。这将很快变得非常恼人。此外,Videolive.best网站可能正在推广假冒产品和不可靠的服务。专家警告用户不要参与Videolive.best网站附带的广告。...

于February 19, 2020发表在Browser Hijackers

搜索光学

SearchOptical应用程序是为Mac设计的程序。但是,此应用程序被列为PUP(可能有害的程序),最好尽快将其从计算机中删除。 SearchOptical应用程序很可能会升级为旨在增强用户搜索结果的工具。但是,SearchOptical程序不太有用,因为它似乎没有包含任何独特功能。在用户系统上安装SearchOptical应用程序后,该应用程序将可以访问其Web浏览器的历史记录。这意味着该幕后的应用程序将监视用户的浏览习惯以收集有关他们的信息。 SearchOptical应用程序似乎还能够更改用户访问的网站的内容。 SearchOptical应用程序可能会使用它来在用户访问的网页中注入不需要的广告。这可能会导致显示异常多的广告,这可能会降低用户的浏览质量。与SearchOptical应用程序关联的某些广告可能正在宣传低质量的产品或虚假服务,因此最好将其忽略。...

于February 19, 2020发表在Potentially Unwanted Programs

Dataf0ral1.com

Dataf0ral1.com网站不是一个值得信任的页面,最好让用户避免使用它。这个狡猾的网站旨在促进潜在的不安全应用程序。 Dataf0ral1.com网站可能被用于推送各种特洛伊木马,间谍软件,键盘记录程序和其他恶意软件。 合法的反恶意软件厂商已将此网站列为不安全的网站,并且可能有害。访问Dataf0ral1.com网站的用户可能习惯于浏览托管有黑幕或非法内容的低质量网站。 Dataf0ral1.com页面可能声称托管一个有趣的视频,可能会引起用户的注意。但是,该网站将声称,除非用户更新其Adobe Flash Player,否则他们将无法查看内容。然后,用户将注意到一个弹出窗口,该窗口将提供Adobe Flash Player的更新。但是,您不应与Dataf0ral1.com网站附属的任何弹出窗口或其他广告互动,因为它们可能会促进不安全的应用程序。...

于February 19, 2020发表在Browser Hijackers

ONIX勒索软件

网络安全分析师偶然发现了一个新的讨厌的木马,称为ONIX Ransomware。该文件加密木马似乎不是任何流行的勒索软件威胁的副本,而这些勒索软件威胁经常被各种网络骗子所利用。 传播和加密 尚未报道在ONIX Ransomware发行中采用的传播方法是什么。据推测,垃圾邮件运动可能是其中心。通常,用户会收到包含虚假消息和受感染附件的电子邮件。勒索软件威胁也经常通过恶意活动,虚假的应用程序更新和下载,洪流跟踪程序等传播。ONIX勒索软件将扫描受感染计算机上的数据,然后开始加密过程。数据锁定木马将使用安全的加密算法来锁定目标文件。用户会注意到,ONIX Ransomware更改了其文件名。这是由于所有新锁定的文件都将具有'.ONIX'扩展名。例如,加密过程结束后,名为“ silver-moon.mp3”的文件将重命名为“ silver-moon.mp3.ONIX”。 赎金记录 ONIX勒索软件会在用户系统上放置一个名为“ TRY_TO_READ.html”的勒索信息。 ONIX勒索软件的作者未指定勒索费用。相反,他们坚持要求受害者与他们取得联系,以获取有关赎金和如何处理付款的进一步指示。攻击者更喜欢通过电子邮件进行通信,并为此目的提供了两个地址-“ ad_finem@tutanota.com”和“ adfinem001@cock.li”。攻击者可能会要求以比特币付款,因为这有助于他们保护自己的匿名性,从而使执法人员识别它们的可能性降低。 尽管ONIX Ransomware的创建者做出了所有承诺,但仍拒绝与他们合作的冲动。无法保证他们会继续进行交易。始终最好避免完全联系网络犯罪分子。相反,您应该考虑投资购买正版的防病毒软件解决方案,以帮助您从PC上删除ONIX...

于February 18, 2020发表在Ransomware

混合勒索软件

Blend Ransomware是臭名昭著的Dharma Ransomware的新发现变体。大多数散布勒索软件威胁的网络骗子倾向于借用现有数据加密木马的代码,并对其进行微调以适应他们的需求。与从头开始构建一个全新的文件锁定特洛伊木马程序相比,这可以节省他们的时间和精力。 传播和加密 Blend Ransomware可能是通过宏链接电子邮件分发的。有问题的电子邮件将包含虚假消息,其目的是诱骗用户执行附件。如果用户打开附件,则他们的系统将受到威胁的威胁。恶意软件,伪造的盗版软件和媒体以及虚假的应用程序更新是其他流行的感染媒介之一,通常用于传播勒索软件威胁。 Blend Ransomware成功攻陷系统后,它将扫描其中的数据。接下来,Blend Ransomware将触发一个加密过程,该过程将锁定所有文件。所有新锁定的文件都将被重命名,因为Blend Ransomware会附加一个'.id- 。[helips@protonmail.com] .blend”扩展名。这意味着您原先名为“ green-clover.jpeg”的文件将被重命名为“ green-clover.jpeg.id- 。[helips@protonmail.com] .blend”。加密过程完成后。 赎金记录 在下一步的攻击中,Blend Ransomware会在受害者的桌面上放下赎金记录。注释的名称是“ RETURN FILES.txt”。大量勒索软件作者倾向于使用所有大写字母来命名携带勒索消息的文件,以引起用户的注意。 Blend Ransomware的赎金记录中没有太多信息。攻击者没有说明赎金是多少。与Blend Ransomware的创建者联系后,用户可能会收到更多信息。 Blend Ransomware的作者为用户提供了一个可以联系到他们的电子邮件地址-“ helips@protonmail.com”。...

于February 18, 2020发表在Ransomware

狐狸小猫

自2017年以来,恶意软件研究人员一直密切关注名为Fox Fox的黑客活动。与大多数针对日常用户的黑客操作不同,Fox Kitten的活动是针对备受关注的目标。牢记目标的性质,因此由经验丰富,技术精湛的黑客组织开展“狐狸小猫”运动是有道理的。参与“狐狸小猫”运动的黑客组织将追击来自IT部门,航空领域,政府机构,石油工业和其他组织的目标。臭名昭著的APT34 (也称为OilRig)和APT39被怀疑参与了Fox Kitten竞选活动。据信所有涉及的APT都来自伊朗。攻击者似乎主要依靠易受攻击的RDP(远程桌面协议)服务和VPN(虚拟专用网络)来破坏其目标。 收集敏感数据 参与“狐狸小猫”运动的攻击者的主要目标是-长期访问受感染的系统。这将使网络骗子能够从其引人注目的目标收集敏感甚至机密信息。目前尚不清楚进行“狐狸小猫”运动的网络犯罪分子打算如何处理收集到的数据。这场运动的罪犯还利用他们控制的网络对同一部门的其他公司发起了供应链攻击。 可能会清除重要文件 众所周知,Fox Kitten行动中涉及的某些网络骗子过去曾进行过磁盘擦除活动。对于福克斯小猫运动的目标而言,这是个坏消息,因为这可能意味着攻击者可能会选择清除受感染系统上存在的数据,这肯定会造成很多破坏。 Fox Kitten行动中使用的大多数黑客工具都是由进行攻击的网络犯罪分子开发的。但是,在某些情况下,参与Fox Fox小猫活动的网络骗子使用了诸如Plink,Ngrok和FRP之类的合法应用程序。 Fox Kitten操作中使用的大多数威胁是自定义VBScript启动器,端口映射工具和Trojan后门。...

于February 18, 2020发表在Malware

“您有46个小时才能付款”电子邮件欺诈

多个人报告了一种针对在线用户的新策略。它被称为“您有46个小时才能付款”电子邮件骗局。在开始讨论之前,一个好消息是,“您有46小时才能付款”策略中涉及的电子邮件内容是伪造的,您不必为私人信息的安全性而烦恼。 “您有46个小时才能付款”策略背后的提法依赖于旨在吓users用户遵守其要求的社交工程技术。欺诈性电子邮件中指出,“您有46个小时才能付款”策略背后的个人已经成功获取了用户在网上享受成人娱乐时的视频。接下来,欺诈者声称,除非他们付费,否则相关视频将被发送给受害者的朋友,家人和同事。骗子要求以比特币的形式支付500美元。许多网络骗子选择使用像比特币这样的加密货币,因为它允许他们保留自己的匿名性并避免负面影响。...

于February 18, 2020发表在Adware

Windows-lupdate.com

Windows-lupdate.com页面是数不胜数的虚假网站之一,这些网站试图以各种技巧来利用其访问者。一种非常常用的方法是显示虚假警报和通知,声称用户的系统已感染威胁。这是Windows-lupdate.com网站的创建者采用的方法。 用户一旦打开Windows-lupdate.com网站,就会收到多个警告,指出他们的PC受到了威胁,并且需要尽快解决此问题,否则,他们可能会面临进一步的麻烦。欺诈页面的操作员已确保访问者屏幕上显示的通知看起来像Windows发出的合法警报。这将减少用户发现某些事情肯定不正确的机会。...

于February 18, 2020发表在Browser Hijackers

MyDocsToPDF搜索

MyDocsToPDF搜索Web浏览器扩展声称为其用户提供了一组有用的功能。 MyDocsToPDF Search加载项作为一种工具出售,主要帮助用户将其文档转换为PDF文件。但是,由MyDocsToPDF Search Web浏览器扩展提供的服务可能有用,但绝不是唯一的。 MyDocsToPDF Search声称提供的每项服务已经可以免费在线获得。这意味着不需要安装第三方软件即可将文档转换为PDF文件。 除了不提供任何独特功能外,MyDocsToPDF Search附加组件还可能在不咨询您的情况下将更改应用于Web浏览器。这种可疑的行为是MyDocsToPDF Search加载项被网络安全研究人员列为PUP(潜在有害程序)的原因。似乎MyDocsToPDF搜索将Pdfsrch.com网站设置为用户Web浏览器上的新标签页。这意味着用户执行的每个搜索查询都将通过Pdfsrch.com网站运行。由于经常优先考虑促销内容,因此MyDocsToPDF搜索Web浏览器扩展的附属搜索引擎提供的搜索结果可能不是最相关的。 最好从Web浏览器中删除MyDocsToPDF...

于February 19, 2020发表在Potentially Unwanted Programs