Dwqs Ransomware

Dwqs Ransomware 是一种具有威胁性的恶意软件和文件加密器,当它在计算机内部时,它可以阻止机器的用户访问他们最有价值的文件。为此,Dwqs Ransomware 使用了一种高效的加密技术。所有这些都是为了让 Dwqs Ransomware 可以向受害者索取赎金,以发送解密受影响文件所需的解密密钥。 加密后,受害者会发现他们的文件包含一个新的文件扩展名 .dwqs,这是由 Dwqs Ransomware 添加到他们的。由于 Dwqs Ransomware 属于 Stop/Djvu Ransomware 系列,因此要求的赎金为 980 美元,如果受害者在攻击后的前 72 小时内与黑客联系,则可以减少到 490 美元。为了联系,受害者应该使用电子邮件restorealldata@firemail.cc,该电子邮件在赎金记录中被告知。如果他们没有得到答案,受害者可以使用保留电子邮件 gorentos@bitmessage.ch。网络骗子还提供了他们的 Telegram 帐户 @datarestor。 Dwqs Ransomware 显示的勒索信息如下: '注意力! 不用担心,您可以归还所有文件! 您的所有文件(如照片、数据库、文档和其他重要文件)都使用最强的加密和唯一密钥进行加密。 恢复文件的唯一方法是为您购买解密工具和唯一密钥。 该软件将解密您所有的加密文件。 你有什么保证? 您可以从您的 PC 发送一个加密文件,我们免费对其进行解密。 但我们只能免费解密 1 个文件。文件不得包含有价值的信息。 您可以获取并查看视频概述解密工具: https://we.tl/t-WbgTMF1Jmw 私钥和解密软件的价格是 980 美元。 如果您在 72 小时前与我们联系,可享受...

于April 19, 2022发表在Ransomware

Tarrask Malware

一种名为 Tarrask Malware 的新发现的恶意软件威胁正在通过未修补的零日漏洞感染网络。 Tarrask 恶意软件由一个名为 HAFNIUM 的高级持续性威胁控制,该威胁是一个著名的中国支持的犯罪集团。 Tarrask 恶意软件可以通过利用 Windows 任务计划程序服务获得持久性。 Tarrask 恶意软件创建隐藏的计划任务和后续操作以删除任务属性,从而对传统识别软件隐藏计划任务。 Tarrask 恶意软件使用这些隐藏的计划分配来继续访问受感染的机器。受感染的用户应尝试通过手动检查 Windows 注册表并查找在其任务键中不具有 SD 值的任何计划分配来找到这些计划分配。 尽管一旦修补漏洞,Tarrask 恶意软件的威力将大大减弱,但网络管理员应采取紧急措施,通过保持所有软件更新和修补,并拥有强大的反恶意软件产品 24/7 全天候运行来保护他们的网络免受此类威胁因为 Tarrask...

于April 19, 2022发表在Malware, Trojans

Ygvb Ransomware

Ygvb 勒索软件是网络犯罪分子的另一种创造,他们通过使用牢不可破的加密方法加密关键文件并要求赎金来提供解密手段,这是一个可疑的承诺,因为他们可以得到钱然后消失。 Ygvb 勒索软件是STOP/Djvu 勒索软件系列。 为了实现其目标,Ygvb 勒索软件为其感染的文件添加了一个新的扩展名“ygvb”,并为每个受感染的用户添加了一个唯一的密钥。文件加密完成后,Ygvb 勒索软件会在名为“_readme.txt”的文件中创建勒索消息,并将其包含在每个包含加密文件的文件夹中。 Ygvb 勒索软件的开发者索要 980 美元的赎金,可以减至 490 美元,并且应该以比特币支付。 Ygvb 勒索软件删除了卷影副本,这进一步使数据恢复复杂化,并将域列表附加到主机文件以防止访问与安全相关的站点。 '_readme.txt' 文件显示的消息如下: '注意力! 不用担心,您可以归还所有文件!您的所有文件(如图片、数据库、文档和其他重要文件)都使用最强的加密和唯一密钥进行加密。恢复文件的唯一方法是为您购买解密工具和唯一密钥。该软件将解密您所有的加密文件。你有什么保证?您可以从您的 PC 发送一个加密文件,我们免费对其进行解密。但我们只能免费解密 1 个文件。文件不得包含有价值的信息。您可以获取并查看视频概述解密工具:https://we.tl/t-bPgv29RUmq私钥和解密软件的价格是 980 美元。如果您在 72 小时前与我们联系,可享受 50% 的折扣,您的价格为 490 美元。请注意,您永远不会在不付款的情况下恢复您的数据。如果超过 6 小时没有得到答复,请检查您的电子邮件“垃圾邮件”或“垃圾邮件”文件夹。 要获得此软件,您需要在我们的电子邮件中写下:支持@sysmail.ch...

于April 19, 2022发表在Ransomware

Nuhb Ransomware

如果 Nuhb Ransomwe 找到您的计算机,您将无法打开您的文件,因为此恶意软件威胁的目的是加密它们,使其无法使用,以便它可以要求赎金。受害者很容易识别加密文件,因为 Nuhb 勒索软件会将“.nuhb”文件扩展名附加到它们。 Nuhb 勒索软件被归类为 thr4atening Stop/Djvu勒索软件家族的又一成员。 与几乎所有勒索软件威胁一样,Nuhb 勒索软件会创建一个勒索记录,该记录将作为一个名为“ _readme.txt”的文件出现在受害者的桌面上。在说明中,受害者会找到应遵循的说明,以防他们愿意支付赎金以恢复其加密文件。该说明提供了两个用于联系攻击者的电子邮件地址,support@sysmail.ch 和 helprestoremanager@airmail.cc。 下面是 Nuhb Ransomware 创建的赎金记录的内容: '注意力! 不用担心,您可以归还所有文件!您的所有文件(如图片、数据库、文档和其他重要文件)都使用最强的加密和唯一密钥进行加密。恢复文件的唯一方法是为您购买解密工具和唯一密钥。该软件将解密您所有的加密文件。你有什么保证?您可以从您的 PC 发送一个加密文件,我们免费对其进行解密。但我们只能免费解密 1 个文件。文件不得包含有价值的信息。您可以获取并查看视频概述解密工具:https://we.tl/t-bPgv29RUmq私钥和解密软件的价格是 980 美元。如果您在 72 小时前与我们联系,可享受 50% 的折扣,您的价格为 490 美元。请注意,您永远不会在不付款的情况下恢复您的数据。如果超过 6 小时没有得到答复,请检查您的电子邮件“垃圾邮件”或“垃圾邮件”文件夹。...

于April 19, 2022发表在Ransomware

SearchHDConverter

SearchHDConverter 是一个浏览器扩展程序,正在通过欺骗性网站和其他不正当手段进行推广和分发。对此类可疑方法的依赖将 SearchHDConverter 归类为 PUP(可能不需要的程序)。此外,无论应用程序声称拥有什么特性和功能,其主要目标都是接管用户的 Web 浏览器并导致不需要的重定向。事实上,SearchHDConverter 是另一个侵入性浏览器劫持者。 受该应用程序影响的 Web 浏览器的当前主页、新标签页和默认搜索引擎将替换为 searchhdconverter.com 地址。与涉及浏览器劫持者的典型情况一样,推广页面属于虚假搜索引擎。在这种情况下,重定向到 searchhdconverter.com 的搜索将被进一步重定向到合法的 search.yahoo.com 引擎或附近的可疑引擎。用户将获得哪一个可能取决于因素,例如他们的特定浏览器类型、IP 地址、地理位置等等。 当安装在设备上时,PUP 可以默默地监视用户的浏览活动。整个浏览历史、搜索历史和点击的 URL 等信息可以与大量设备详细信息一起打包,并在 PUP 操作员的控制下被泄露到远程服务器。用户还应该记住,一些 PUP...

于April 16, 2022发表在Browser Hijackers, Potentially Unwanted Programs

Webpushpull.com

恶作剧运营商继续发布越来越多旨在欺骗用户的可疑网站。 Webpushpull.com 正是这样一个页面。它依靠点击诱饵和操纵策略来掩盖其真实意图,同时诱使用户按下显示的“允许”按钮。这是整个战术的关键时刻。该页面试图制造各种关于单击按钮将做什么的错误暗示,而不是明确说明它将启用页面的推送通知服务。 Webpushpull.com 使用的欺骗性场景之一围绕着给人一种印象,即用户必须通过 CAPTCHA 检查才能访问网站上的假定内容。用户将看到一幅描绘困惑机器人的图像以及类似以下内容的消息: ' 如果您不是机器人,请单击“允许” ' 如果用户按下按钮,他们可能会发现自己处于烦人的广告活动的接收端。广告可能会严重影响设备上的用户体验,但更重要的是,它们可能会促进或导致重定向到其他不可信的目的地。与此类可疑来源相关的广告将用户引导至各种策略、网络钓鱼页面、虚假赠品、阴暗的成人平台等的情况并不少见。他们还可能试图诱骗用户下载可能具有的侵入性...

于April 16, 2022发表在Browser Hijackers, Rogue Websites

Window-safe.com

Windows-safe.com 是一个不值得信任的网站,创建它的唯一目的似乎是提供有问题的内容和运行在线策略。页面的确切行为可能会发生变化,具体取决于某些因素,例如访问者的 IP 地址和地理位置。这意味着登陆页面的用户可能会看到不同的策略变体。 已确认的可能性之一是称为“您访问过非法受感染网站”的计划版本。它涉及向用户展示几个完全伪造的安全警报,这些警报被呈现为来自信誉良好的来源,例如 McAfee。当然,该公司与可疑页面的联系为零,其名称仅用于其品牌识别。还将敦促用户通过单击显示的“扫描”按钮开始扫描威胁。这是一种常见的策略,但用户应该记住,没有网站可以执行这样的功能。事实上,所有呈现为由所谓的“扫描”生成的结果都是完全捏造的。 通常,恶作剧页面的目标是吓唬用户下载和安装作为可靠安全解决方案提供的推广应用程序。但是,当部署在系统上时,这些应用程序通常会变成侵入性广告软件、浏览器劫持程序或其他类型的...

于April 16, 2022发表在Rogue Websites

Ust29 Ransomware

网络安全研究人员发现另一种Dharma Ransomware变种正在野外释放。该威胁已被命名为 Ust29 勒索软件,其目标是渗透目标计算机并锁定存储在那里的数据。许多文件类型,例如文档、PDF、音频和视频、数据库、档案等,将完全无法使用。 此外,每个加密文件的原始名称都会有很大程度的修改。受害者会注意到,他们现在几乎所有的文件都有一个不熟悉的字符串,并在他们的名字中添加了一个电子邮件地址。该字符串充当分配给特定受害者的 ID,而电子邮件 - 'ust29@aol.com' 旨在用作联系攻击者的一种方式。最后,威胁将附加“.ust29”作为新的文件扩展名。受害者将留下两张赎金票据。要求赎金的主要消息将显示在一个弹出窗口中,而一条短得多的消息将作为“FILES ENCRYPTED.txt”文本文件放在系统上。 这两篇笔记都遗漏了很多重要的细节。他们没有提到黑客要求作为赎金收取的确切金额。电子邮件也没有透露是否允许受害者发送几个加密文件以免费解锁,以证明攻击者恢复所有受影响数据的能力。相反,他们只是声明受害者应联系上述“ust29@aol.com”电子邮件,或者,如果他们在 12 小时内未收到答复,请联系“ust29@nerdmail.co”的辅助电子邮件。 在 Ust29 Ransomware 留下的文本文件中发现的消息是: '你所有的数据都被我们锁定了你想回来吗?写电子邮件 ust29@aol.com 或 ust29@nerdmail.co 弹出窗口中显示的说明是: 您的文件已加密不用担心,您可以退回所有文件!如果您想恢复它们,请点击此链接:电子邮件 ust29@aol.com 您的 ID -如果您在 12...

于April 16, 2022发表在Ransomware

OnlyFans Ransomware

OnlyFans Ransomware 是一种威胁,它试图通过似乎是勒索软件计划的方式从受害者那里勒索钱财。然而,在分析威胁后,信息安全研究人员发现 OnlyFans 主要依靠欺骗和欺骗,它只模仿与勒索软件威胁相关的活动。事实上,OnlyFans Ransomware 无法加密受害者的数据,因为它的代码中不包含加密例程。 取而代之的是,OnlyFans 将显示一份冗长的赎金记录,其中结合了要求赎金信息的典型方面和诈骗电子邮件操作中发现的虚假恐慌。攻击者留下的消息称,已发现受害者试图从 OnlyFans 平台非法下载受版权保护的色情材料和内容。为了避免 FBI 的访问,受影响的用户被指示以比特币支付赎金。 同样错误的是,随后声称存储在受感染系统上的文件已通过加密锁定。为了进一步迫使受害者支付赎金,该说明指出,要求的赎金将在三天内翻倍。此外,如果 7 天后用户没有付款,则本应锁定的数据将无法恢复。该笔记以黑客要求的确切金额结尾 - 0.06564322 BTC,价值约 2600 美元。正如我们所说,OnlyFans Ransomware 提出的所有声明都不是真实的,受害者不应遵循威胁留下的任何指示。 勒索信全文如下: ' OnlyFans 绕过 哎呀,你试图犯下重罪! 您的文件已加密。 您不得复制、分发、修改、创建衍生作品、公开展示、公开表演、重新发布、下载、存储或传输 onlyfans.com 网站上的任何材料。 我有麻烦了吗?是的,FBI 会知道您正试图非法下载色情内容并侵犯受版权保护的材料。这可以通过支付指定数量的比特币来避免。...

于April 16, 2022发表在Malware, Ransomware

Fodcha Botnet

一个名为 Fodcha 的新僵尸网络正在迅速发展,将易受攻击的设备整合到其僵尸大军中。僵尸网络的运营商每天使用它对一百多名受害者发起 DDoS(分布式拒绝服务)攻击。奇虎 360 网络安全研究实验室 (360 Netlab) 的研究人员确定了威胁的活动,据他们估计,在 2022 年 3 月 29 日至 4 月 10 日期间,Fodcha 已传播到超过 62,000 台设备。 Fodcha 依靠 N-day 漏洞以及暴力破解策略来破坏其目标设备,包括路由器、DVR 和服务器。更具体地说,僵尸网络针对的一些模型是 Realtek Jungle SDK、MVPower DVR、LILIN DVR、TOTOLINK、ZHONE 路由器等。目标架构包括 MIPS、MPSL、ARM、x86 等。对于蛮力尝试,Fodcha 使用了一种名为 Crazyfia 的破解工具。 值得注意的是,Fodcha 僵尸网络的运营商在最初的云供应商将其关闭后被迫切换其命令和控制(C2、C&C)服务器。第二个基础架构在冰箱专家[.]cc 之外运行,并映射到超过 12 个 IP。此外,它分布在世界多个国家,包括韩国、日本、印度和美国。为了避免与第一次迭代类似的结果,威胁参与者正在使用更多的云提供商,例如 Amazon、DigitalOCean、Linode、DediPath...

于April 16, 2022发表在Botnets

TinyFluff Backdoor

被信息安全研究人员追踪为 OldGremlin 的网络犯罪组织又开始行动了。这个特殊的威胁行为者更喜欢在再次进入休眠状态之前保持低调并只执行几次威胁活动。尽管如此,该组织仍然非常老练,其攻击经过精心策划、执行和关闭。 OldGremlin 的显着特征之一是其受害者始终是俄罗斯企业,并且它使用定制的后门威胁来传递其最终的勒索软件有效载荷。应该指出的是,在一个确诊病例中,该组织向受害者索要 300 万美元的赎金,这可以解释缺乏持续活跃的紧迫性。 后门详情 OldGremlin 的最新操作包括两次网络钓鱼攻击,它们提供了一种名为 TinyFLuff Backdoor 的新后门威胁。 TinyFluff 似乎是跟踪为 TinyNode 的旧OldGremlin后门威胁的修改和更新变体。 Group-IB 的研究人员观察到了 TinyFluff 的两种不同变体。较早的版本更复杂,而较新的变体经过精简和简化,以方便即时使用。后门威胁可能会针对任何未来的攻击进行进一步优化。 TinyFluff 将启动一个 Node.js 解释器,并为黑客提供对被破坏设备的访问权限。但是,在完全激活之前,威胁会检查受感染的系统是否存在虚拟化迹象或测试环境。之后,TinyFluff 将进入攻击行动的侦察阶段。后门收到的命令以明文形式到达,使网络安全研究人员可以轻松检查它们。 根据他们的发现,可以指示 TinyFluff 开始收集系统信息、有关任何连接的驱动器和系统上安装的插件的信息。该威胁还能够启动 cmd.exe shell 来执行命令。它可以获取有关系统驱动器上特定目录中包含的文件的信息。最后,TinyFluff 可以终止 Node.js...

于April 16, 2022发表在Advanced Persistent Threat (APT), Backdoors

ZingoStealer

ZingoStealer 是被称为 Haskers Gang 的黑客组织工具的新成员,具有威胁性。研究人员发布了一份关于威胁的报告,根据他们的发现,ZingoStealer 配备了一组广泛的侵入性功能。该威胁正在迅速发展,在其揭幕后仅一个月内,就已确定了几个不同的版本。除了提供给 Haskers Gang 成员的免费版本外,还有一个定价为 300 卢布(3 美元)的订阅层。付费变体配备了一个名为 ExoCrypt 的加密器。 该恶意软件能够从 Chrome 和 Firefox 中获取帐户凭据、浏览器数据、Discord 令牌和更敏感的数据。 ZingoStealer 还旨在破坏属于流行加密货币服务的浏览器扩展,例如 BitApp、Coinbase、Binance 和 Brave,并提取用户的加密钱包凭证。 根据威胁参与者的特定目标,ZingoStealer 可以与其他恶意软件菌株(例如RedLine Stealer )一起运行。网络犯罪分子还可以利用 ZingoStealer 将自定义版本的XMRig加密矿工放到被破坏的设备上。被称为 ZingoMiner 的威胁将劫持系统的硬件资源并使用它们来生成门罗币。 Haskers Gang 不像典型的网络犯罪组织那样运作。它可以比作一个由几个创始人组成的社区,据信位于东欧,还有成千上万的休闲成员。主要通过 Telegram 和 Discord...

于April 16, 2022发表在Stealers

Hacker Outfit Haskers Group 发布 ZingoStealer

Hacker Outfit Haskers Group 发布 ZingoStealer截图

别名 Haskers Group 的网络犯罪组织发布了一种全新的恶意软件。 Haskers 发布的新的多功能工具称为 ZingoStealer。 目前,ZingoStealer 向 Haskers Telegram 组的所有成员免费提供,但如果向恶意软件添加其他功能,情况可能会改变。 通过 Telegram 提供的免费软件信息窃取程序 与更传统的黑客组织不同,Haskers 是一个更分散的团体,拥有更多的追随者。尽管该组有几个创始核心成员,但考虑到订阅 Telegram 组的帐户数量,整个 Haskers 由数百甚至数千名活跃成员组成。当然,并非所有人都积极参与全职网络犯罪活动,其中许多人参与得比较随意。 在检查该组织的最新作品时,Cisco Talos 还指出,该组织经常针对游戏玩家群体,并倾向于说俄语。 Haskers 使用的诱饵并不罕见,因为目标群体 - 盗版可执行文件、游戏和软件的破解以及游戏的假作弊被用于分发恶意软件。 当谈到名为 ZingoStealer 的新免费软件恶意软件工具时,它已经具有一组非常可观的功能。该恶意软件可以窃取凭据,并抓取浏览器信息以及 Discord 令牌。 ZingoStealer 还能够将手指伸入存储在浏览器扩展中的加密钱包访问凭证。 ZingoStealer 还可以安装加密劫持有效载荷 为了与非法获取加密货币的主题保持一致,该恶意软件还可以在受感染的系统上下载和部署额外的加密矿工有效载荷。 ZingoStealer 使用自定义构建的 XMRig...

于April 16, 2022发表在Computer Security

News-duboma.cc

News-duboma.cc 不是用户可能愿意打开的网站。毕竟,他们不会在上面找到有用的内容,因为这根本不是页面的优先事项之一。相反,该网站的存在仅仅是为了吸引用户在各种社交工程和点击诱饵策略的帮助下订阅其推送通知服务。 呈现给用户的确切场景可能会因 IP 地址、浏览器类型和地理位置等特定因素而有所不同。尽管如此,信息安全研究人员已经确认的一种可能性涉及该页面声称单击“允许”按钮将授予用户访问视频剪辑的权限。当然,按钮的功能与显示的消息完全无关。按下该按钮的用户将授予 News-duboma.cc 重要的浏览器权限,这将使该页面能够开始运行不需要的广告活动。...

于April 16, 2022发表在Browser Hijackers, Rogue Websites

Searchpoweronline.com

一些用户可能会突然注意到他们的浏览器已经开始重定向到 Searchpoweronline.com 上的一个陌生地址。这种行为通常是计算机上存在浏览器劫持者的结果。这些侵入性 PUP(可能不需要的程序)严重依赖于可疑策略,例如软件包和虚假安装程序进行分发。结果,许多用户没有意识到他们已经同意在他们的系统上安装此类应用程序。 但是,一旦完全部署,浏览器劫持者将建立对已安装浏览器的控制并开始修改几个重要设置。最常见的是,主页、新标签页和默认搜索引擎将替换为提升的地址,例如 searchpoweronline.com。随后,每次启动受影响的浏览器、启动新标签页或用户尝试通过 URL 栏发起搜索时,都会触发到被提升页面的重定向。 重要的是要记住,浏览器劫持者也可能拥有其他侵入性功能。他们可能正在收集大量数据并默默地将其传输给他们的运营商。虽然一些 PUP...

于April 16, 2022发表在Browser Hijackers, Potentially Unwanted Programs
1 2 3 4 5 6 7 8 9 10 11 12 13 14 ... 231