GoRansom勒索软件

GoRansom Ransomware是一个特殊的文件柜项目,目前似乎还没有向受害者勒索钱财。通常,勒索软件开发商会向其受害者出售解密服务,但GoRansom勒索软件的情况则有所不同–勒索注意,该勒索软件留下的内容包含免费的解密解决方案。目前尚不清楚作者的想法是什么–这可能是一个出于娱乐目的的项目,或者可能仍是未完成的产品,最终将以有害的意图使用。可以肯定的是–尽管存在免费的解密选项,但GoRansom Ransomware是一种危险的威胁,完全可以损害您的文件。 GoRansom勒索软件的消息包含免费解密教程 GoRansom Ransomware所针对的文件类型非常多样–文本文件,Microsoft Office文件,Adobe项目,视频,图片,档案,数据库等。如果勒索软件成功锁定文件,它将在文件名后添加'.gore'扩展名。它的名称,是大多数勒索软件的典型动作。 GoRansom Ransomware带来的另一个变化是创建了一个名为“ GoRansom.txt”的赎金票据-通常,此文件包含联系方式和付款说明,但对于GoRansom Ransomware而言,它为受害者提供了解密说明。与许多其他文件柜不同,GoRansom Ransomware不会采取任何措施来禁用Windows功能或清除系统还原点。 没有有关GoRansom勒索软件作者的数据,因此无法说出他们的意图是测试其勒索软件的开发技能,还是将来打算向GoRansom Ransomware谋杀。即使GoRansom...

于October 10, 2019发表在Ransomware

Meds勒索软件

恶意软件开发人员在分发恶意软件方面非常出色,他们倾向于依靠广泛的传播技术来增加损坏文件的覆盖范围。在计算机上获取有害软件的一种简单方法是处理盗版媒体和游戏,或者从未知或不可信的来源下载文件。在当今时代,必须强制使用最新的反恶意软件引擎来保护您的计算机,因为这是防止重大网络威胁获得损害计算机的最佳方法。 “ .meds”文件无法免费解密 目前需要注意的威胁之一是Meds Ransomware,它是一种文件锁定器,能够在几分钟内加密成千上万个文件。通过加密文件,这种威胁使得除非首先对其解密,否则无法使用它们的内容–如果最终丢失重要的工作文件和文档,这可能会非常昂贵。 Meds Ransomware的作者希望删除用户最重要的文件,因为这将增加他们同意付费对其进行解密的机会。 就像许多其他勒索软件开发人员一样,Meds Ransomware背后的犯罪分子要求通过比特币向他们提供帮助。价格设置为490美元,但他们威胁说,如果交易在攻击后三天内未完成,则价格将提高至980美元。他们的赎金消息(位于“ _readme.txt”中)还包含攻击者使用的电子邮件地址– gorentos@bitmessage.ch和gerentoshelp@firemail.cc。 STOP勒索软件的许多变体都使用相同的电子邮件,因此可以肯定地说Meds勒索软件是该勒索软件系列的成员。 标有“ .meds”扩展名的文件已加密,唯一安全且免费的恢复方法是从备份中恢复。如果没有文件的最新备份副本,则可能需要使用其他数据恢复技术和软件来尝试消除损坏。不要忘记,尝试通过Meds...

于October 10, 2019发表在Ransomware

Kvag勒索软件

勒索软件威胁仍然是文件安全的主要威胁,这也是越来越多的人决定投资购买可靠备份服务的原因。不幸的是,并非所有用户都有良好的备份习惯,它们是勒索软件开发人员的主要目标。 Kvag Ransomware是当前需要注意的文件锁之一。 这种威胁是STOP Ransomware系列文件锁定特洛伊木马的一部分,它使用的加密例程无法通过免费方式解密。这使得Kvag Ransomware异常具有威胁性,因为即使从受感染的计算机中删除了威胁,其攻击的后果仍将持续。 Kvag Ransomware锁定的所有文件都标有'.kvag'扩展名,以便受害者可以轻松识别它们。 Kvag勒索软件可锁定多种文件类型 Kvag Ransomware的目的不仅仅是加密文件,它还试图通过摆脱卷影副本来限制受害者的数据恢复选项,并禁用Windows的核心功能。攻击的最后一步是删除“ _readme.txt”注释,其中包含肇事者的说明。当然,Kvag Ransomware的作者想赚钱,这就是为什么他们提供给受害者的解密服务的价格为490美元,必须通过比特币支付。他们还指出,这是三天有效的促销价格,在此之后受害者需要支付980美元。在“ _readme.txt”中找到的最后信息是攻击者用来进行通信的电子邮件gorentos@bitmessage.ch和gerentoshelp@firemail.cc。 遵循网络犯罪分子的指示绝不是富有成效的想法。即使您同意付款,Kvag...

于October 10, 2019发表在Ransomware

端口保护不佳使数百万个Web无线电设备面临风险

端口保护不佳使数百万个Web无线电设备面临风险 screenshot

得益于无证的Telnet服务(使用微弱的默认登录凭据),超过一百万个Imperial&Dabman Internet无线电设备可能成为远程代码执行(RCE)攻击的牺牲品。在《漏洞杂志》(VM)的研究人员对少数设备进行例行端口扫描后,该缺陷就暴露出来了。被称为Telnetd的服务被发现运行在端口23上。由于Telnetd依赖于相对较弱的登录凭据,因此它可能充当各种恶意威胁的后门。 密码不足,但仍然是密码。不好吗? 虽然拥有弱密码总比没有密码好,但这几乎没有理由松一口气。密码一直都是暴力攻击的牺牲品。弱密码可能会在几分钟之内消失,而强密码可能会在整个过程中表现出极大的弹性。对于Imperial&Dabman,端口23的密码保护功能很弱。如果攻击者成功破解此通行证,他们将获得对设备基于Linux的BusyBox OS核心的管理员级别的访问权限。 VM的研究人员花了10分钟才能破解Telnet服务。进入后,他们发现他们已获得root访问权限。如果网络犯罪分子获得这种访问权限,他们可能会造成大量损害,例如: 丢弃恶意负载 编辑音频流,文件和文件夹 检索用户家庭或公司网络的wi-fi密码(前提是无线电设备已连接至该设备) 通过受损的Wi-Fi家庭/企业网络分发勒索软件和其他恶意脚本/工具。 以上提到的危险表明,弱密码在最坏的情况下可能带来的所有隐患。这就是为什么现在可以在CVE-2019-13473的常见漏洞和披露数据库中找到新发现的漏洞的原因。 就受影响设备的范围而言,这确实是很糟糕的。其中一个是Imperial&Dabman网络收音机,由德国Telestar Digital...

于September 27, 2019发表在Computer Security

SpyNote RAT

适用于Android设备的远程访问木马(RAT)可能包含许多功能,这些功能使其作者能够在受感染的设备上执行各种不安全的操作。 SpyNote是最受欢迎的Android RAT项目之一,其完整的源代码可在许多黑客论坛上找到。关于SpyNote RAT的一件令人恐惧的事情是,它绝对是免费使用的,因此任何人都可以开始分发其独特版本。此外,具有编程经验的罪犯可以编写其他模块来扩展SpyNote RAT的功能。 SpyNote的源代码适用于所有网络犯罪分子 除了托管SpyNote RAT的完整源代码的GitHub页面外,该黑客工具的广告也可以在许多其他黑客论坛上找到。 SpyNote RAT允许其执行以下任务的一些值得注意的功能: 访问设备的存储空间并修改,查看或删除文件。 使用SMS应用程序读取和写入消息。 使用电话发起呼叫,修改呼叫日志或访问和收集联系人。 用可用的相机静默录制照片或录像。 使用麦克风记录手机周围发生的事情。 激活并跟踪GPS传感器。 修改已安装的应用程序。 获取软件和硬件详细信息。 操作员可以访问“有趣的面板”,该面板可用于以怪异和意外的方式操纵手机的行为。 SpyNote以前被掩盖为伪造的Netflix应用程序 涉及SpyNote RAT的最大的传播活动之一是使用流行软件的伪造副本进行的。最著名的例子是伪造的“ Netflix”应用程序,该应用程序托管在非官方应用程序商店和第三方应用程序托管服务中。该程序可能是通过向用户承诺可以无需订购就可以使用Netflix的服务来推广的,因此使他们更有可能选择下载假的变体。...

于October 10, 2019发表在Remote Administration Tools

Domn勒索软件

文件加密木马仍然是网络犯罪分子使用的最赚钱的黑客工具之一。这些木马的主要目的是感染计算机,禁用流行的数据恢复选项,然后发起破坏性的文件加密攻击,使受害者拥有大量加密的文档,档案,视频和其他文件。勒索软件(STOP Ransomware)家族是2019年活跃的著名勒索软件家族之一,其地位得到了新成员Domn Ransomware的支持。 就像STOP Ransomware的先前变体一样,该变体也被认为与免费数据解密解决方案不兼容。到目前为止,网络安全研究人员尝试破解Domn Ransomware加密的尝试均未成功,而在恢复文件时,这种威胁的受害者可能面临非常艰巨的挑战。 Domn Ransomware可能会通过网络钓鱼电子邮件感染受害者 诸如Domn Ransomware之类的威胁通常是通过损坏的电子邮件附件传递的,这些附件伴随着虚假电子邮件,这些虚假电子邮件声明来自信誉良好的来源-职业介绍所,送货服务甚至政府机构。众所周知,勒索软件威胁背后的罪犯使用先进的社会工程技术来诱骗受害者打开有害的文件附件。当Domn Ransomware启动时,它将通过立即在后台执行任务来开始工作。它会加密各种文件格式以最大程度地发挥破坏作用,并且总是通过在文件“ _readme.txt”中留下赎金字样来结束攻击。 根据勒索消息的内容,受害者可以通过名称末尾添加的“ .domn”扩展名识别加密文件。此外,受害者被告知,他们有有限的期限与犯罪者联系并完成赎金以支付数据解密服务。价格设置为490美元,但如果用户未按时付款,则价格可能会翻倍。 Domn Ransomware的作者已选择使用电子邮件gorentos@bitmessage.ch和gorentos2@firemail.cc进行通信。 如果您认为Domn...

于October 10, 2019发表在Ransomware

Caleb勒索软件

在野外发现了一个名为“ Caleb Ransomware”的新文件柜。根据用户报告,文件加密特洛伊木马程序是通过仿冒电子邮件附件(通过网络钓鱼消息)来传递的。通常,骗子发送这些虚假电子邮件可能会欺骗他们,使其看起来好像是由合法的公司,组织或机构发送的。建议避免打开来自未知发件人的电子邮件,如果他们敦促您下载和审阅文件以及意外的文件附件,尤其如此。当然,您还应该依靠良好的防病毒产品来使此类文件远离计算机。 Caleb勒索软件对锁定文件附加了冗长的扩展名 如果Caleb Ransomware没有按时停止运行并且最终在不受保护的计算机上运行,那么攻击的受害者可能最终将失去对大多数重要文件的访问权限。基于Phobos Ransomware的Caleb Ransomware 遵循某些最常用的文件格式-文档,档案,文本文件,电子表格,演示文稿,数据库,图片等。每当它锁定文件时,都会通过以下方式标记其名称:添加扩展名'.id [ -]。[adagekeys@qq.com]。卡莱布。 Caleb Ransomware进行的另一项更改是创建两个包含来自攻击者的消息的文件-其中一个文件为'.hta'格式,而另一个文件为纯文本文件。它们的内容是相同的,并且告诉受害者,恢复文件的唯一方法是与攻击者合作并遵循他们的指示。但是,攻击者的要求并不小-他们希望通过比特币获得高额赔偿,而且您永远都不应同意将加密货币发送给匿名网络犯罪分子。 与Caleb勒索软件背后的骗子合作不是一个好主意 Caleb勒索软件的受害者应该忽略肇事者的信息,因为支付赎金可能最终会不仅使他们付出代价,而且使他们的钱财蒙受损失。相反,他们应该尝试使用合法软件来解决问题-使用防病毒引擎删除Caleb...

于October 10, 2019发表在Ransomware

“ Google Chrome严重错误红屏”骗局

“ Google Chrome严重错误红屏”骗局(也称为“ Google Chrome严重错误”弹出窗口)是一种在线策略,其目的是通过使受害者支付不存在的或无用的服务和软件来向受害者收取钱款。通过为用户提供一个可能会导致其Web浏览器故障的虚假弹出窗口来执行该策略,从而给他们留下系统存在问题的印象。根据“ Google Chrome严重错误红屏”使用的消息内容,用户已成为黑客的目标,并且试图收集其凭据,对话和付款详细信息。值得庆幸的是,这些陈述是虚假的,您可以放心,Web浏览器弹出窗口是有关计算机健康和安全信息的不可靠来源。 骗子可能会提供无用的一百美元产品和服务 “ Google Chrome严重错误红屏”骗局背后的骗子可能会使用不同的电话号码来掩盖其欺诈手段。用户报告的数字之一通常是(888)563-5234,但是遇到“ Google Chrome严重错误红屏”骗局时看到另一个数字也就不足为奇了。重要的是要记住,即使它们声称提供有价值的技术支持服务,也永远不要拨打由浏览器弹出窗口促销的未知电话号码。 致电“ Google Chrome严重错误红色屏幕”骗局宣传的电话号码根本没有用,因为骗子们并不想帮助您-他们的唯一目的是让您将钱花在他们提供的服务和软件上。这些人使用的策略可能会定期更改-有时他们可能会要求您订阅他们的服务,而在其他情况下,他们可能会告诉您您需要购买他们提供的昂贵的防病毒工具。切勿接受这些优惠,因为您不需要骗子必须提供的任何物品。 如果您遇到“ Google...

于October 10, 2019发表在Adware

MobiHok大鼠

智能手机已成为我们生活中不可避免的一部分,我们经常依靠智能手机来存储敏感信息,私人照片,甚至完成金融交易。这就是为什么网络犯罪分子越来越关注Android设备的安全漏洞,并且他们还专注于开发与Android兼容的黑客工具的原因,这并不奇怪。一长串兼容Android的恶意软件的最新条目之一称为“ MobiHok RAT”。目前,该远程访问木马正在黑客论坛上出售,其作者还使用YouTube和Facebook宣传此恶意应用程序具有的功能。 在线出售SpyNote RAT的模仿者 恶意软件研究人员检查了MobiHok RAT(也称为MobeRat)的样本后,报告称它与另一款Android RAT有许多相似之处,而另一款Android RAT已被著名的防病毒引擎SpyNote RAT检测到。广告MobikHok RAT的用户“ mobeebom”很可能已经采用了SpyNote的源代码,并对其进行了重新设计以使其看起来像是另一种产品。 关于MobiHok RAT广告的有趣的事情之一是,潜在客户还可以选择购买RAT的完整源代码。作者将这个要约的价格定为15,000美元-这似乎是一个非常高的价格,但是如果源代码落在专家级恶意软件开发人员的手中,他们最终可能会使其功能更加强大。 MobiHok使用键盘记录器模块 根据销售MobiHok RAT的线程,此黑客工具具有绕过Google Play和Samsung实现的安全机制的能力。此外,攻击者可以访问用户的应用程序,电话配置,短信和文件系统。 MobiHok RAT的操作员还可以发送远程命令,初始化键盘记录器模块,或在受感染的设备上部署并执行其他损坏的文件。 遵循最佳安全实践,并依靠信誉良好的防病毒产品来确保您的安全,可以保护Android设备免受MobiHok RAT等威胁的侵害。请记住,您永远不要从未知来源下载Android应用程序,并始终还要检查Google...

于October 10, 2019发表在Remote Administration Tools

Hermes837勒索软件

可以看到某些文件中添加了'.hermes837'扩展名,这肯定表明您的计算机已被Hermes837 Ransomware入侵,这是一个危险的文件锁定器,能够将大多数文件保持加密状态。诸如此类的威胁具有极大的威胁性,因为它们旨在造成长期损害,而这些损害是无法通过运行防病毒工具并消除问题根源来消除的。还原被Hermes837勒索软件锁定的文件的唯一方法是使用解密工具,并与勒索软件为您生成的唯一解密密钥配对。不幸的是,该密钥仅存储在Hermes837勒索软件运营商的服务器上,他们不愿意免费将其分开。 Hermes837勒索软件针对流行的文件格式 诸如此类的威胁通常通过虚假下载,游戏破解和密钥生成器或盗版电影和电视剧来分发。我们建议您避免将狡猾的文件下载到您的计算机上,并避免使用顶级防病毒产品提供的安全服务。 Hermes837勒索软件所针对的文件类型非常多样–文档,图像,档案,数据库,视频等。加密完成后,将添加“ .hermes837”扩展名。 Hermes837勒索软件带来的另一个变化是创建了文本文件“ !!! READ_ME !!!。txt”,该文件放置在桌面上。该文件包含犯罪者发来的消息以及他们用于联系的电子邮件– hermes837@aol.com。 我们向您保证,没有必要向Hermes837勒索软件的作者发送消息,因为他们不会免费提供任何东西。通常,勒索软件开发人员要求通过加密货币(比特币或其他)付款,以换取其解密服务。但是,Hermes837勒索软件的作者没有提供任何证明它们具有有效的解密工具的证据,如果您决定与他们合作,很可能最终会被淘汰出局。我们建议您忽略勒索记录,然后运行防病毒引擎以摆脱Hermes837...

于October 10, 2019发表在Ransomware

Koko勒索软件

由于这种威胁具有加密文件并使其内容不可访问的能力,因此应对Koko Ransomware攻击的后果可能是一项非常具有挑战性的任务。如果不获取Koko Ransomware为每个受害者使用的唯一解密密钥,则无法还原加密。不幸的是,这条关键信息存储在威胁运营商的服务器上,除非得到公平的比特币补偿,否则他们不会泄露信息。 Koko Ransomware可能通过虚假电子邮件和下载进行传播 Koko Ransomware的作者可能使用多个传播渠道来确保其威胁性应用程序将覆盖尽可能多的用户-带有假冒附件,盗版软件,虚假下载或虚假软件更新和补丁的网络钓鱼电子邮件。 Internet上充满了可能有害的应用程序,因此我们建议您在浏览和下载内容时要格外小心。除此之外,您应始终确保以信誉良好的防病毒引擎的形式提供备份保护。 如果未按时停止Koko Ransomware,则可能对文件系统造成潜在的不可逆转的损坏。勒索软件对文本文件,文档,Adobe项目,档案,图片和许多其他文件进行加密,以使受害者的生活尽可能地艰难。此后,它将丢弃赎金记录,其中包含来自攻击者的短消息。该消息位于文件“ -Readme.txt。”其中包含电子邮件kokoklock@cock.li和pabpabtab@tuta.io供联系。唯一的受害者ID由五个随机字符组成,并且还将附加在每个加密文件名称的末尾。 与Koko的作者合作是不可能的 自然,Koko勒索软件背后的网络犯罪分子向受害者保证,没有办法通过免费方式恢复文件。他们提供了一种解决方案,可以通过向他们指定的钱包地址支付一些比特币来获得。但是,我们不建议您尝试与Koko Ransomware的运营商合作,因为无法保证他们是可信赖的。许多勒索软件受害者选择付款时就被骗了钱,如果Koko Ransomware的运营商有相同的计划,这也就不足为奇了。 如果您怀疑计算机文件已被Koko...

于October 10, 2019发表在Ransomware

PyLock勒索软件

如果您没有文件的最新备份副本,勒索软件攻击可能会造成极大的破坏。这种特殊的恶意软件能够在短短几分钟内对大部分文件进行加密,然后通过向您出售解密器来换取比特币,从而开始勒索您的钱。这种勒索软件的一个例子是PyLock Ransomware,这是一种新发现的文件加密木马,它可能已经设法到达了不同国家/地区的计算机。 PyLock勒索软件迅捷且具有威胁性 用于传播PyLock Ransomware的典型传播渠道是虚假下载,torrent跟踪器,虚假电子邮件附件等。您应远离此类可疑内容,并始终使用信誉良好的防病毒工具来扫描来自未知来源的文件。如果您无法停止PyLock Ransomware,则威胁可能会给您带来很多麻烦。 诸如此类的威胁针对广泛的文件类型,以最大程度地损害文件,文档,图像,Adobe项目,视频,数据库,档案等。大小写没有什么不同–该勒索软件将使用'.locked'扩展名标记它损坏的文件。 PyLock Ransomware的作者没有使用传统的文本文件勒索记录,而是选择显示一个新的程序窗口,其中包含来自他们的消息。根据PyLock Ransomware的消息,受害者有36个小时的时间购买解密器。否则,它们的文件可能变得无法恢复。 攻击者要求通过比特币付款 PyLock Ransomware作者想要的确切金额没有在任何地方提及,相反,建议受害者发送邮件至solutionshelp@protonmail.com了解更多详细信息和说明。与网络罪犯联系或与他们合作不是一个好主意,因为没有理由相信他们可以信任。 不用说,您不应该同意向PyLock...

于October 10, 2019发表在Ransomware

普通刮水器

在过去的十年中,网络犯罪分子几乎完全利用网络威胁为自己创造利润–他们使用恶意软件可以勒索受害者的钱财,收集他们的财务详细信息,收集加密货币钱包,甚至可以利用计算机的能力来挖掘各种加密货币。但是,似乎仍然有一群黑客选择依靠纯粹具有破坏性的恶意软件-Ordinypt Wiper就是这种情况,这种恶意软件能够在几分钟内损坏大量文件。使用Ordinypt雨刮器进行的攻击仅针对德国用户和公司,尽管其根本无法帮助受害者,但其作者仍试图赚钱。 德国用户再次成为数据刮水器的目标 Ordinypt Wiper受害者的第一批报告已于2019年9月11日在线发布,但这并不是恶意软件研究人员肯定第一次遇到此威胁。它也被称为“ HSDFSDCrypt Ransomware ”,于2017年首次使用。当时的活动还专门针对德国系统。目前,Ordinypt雨刮器通过虚假的工作申请电子邮件进行传播,这些电子邮件声称包含“ Eva Richter”的简历。但是,收件人将下载一个伪装的“ .exe”文件而不是合法文件,该文件携带了Ordinypt Wiper的有效载荷。 初始化擦除器后,它将开始执行损坏受害者文件并立即为他们提供尽可能少的恢复选项所需的任务。 Ordinypt雨刮器将: 通过使用随机字符覆盖所有目标文件类型的内容,破坏它们的内容。这是不可解密的,并且不能可靠地撤消。还原文件的唯一方法是将其替换为备份副本。 就像勒索软件一样,Ordinypt Wiper会通过在文件名的末尾添加随机扩展名来重命名所有损坏的文件。 Ordinypt Wiper可以终止特定的进程,这可能会阻止它覆盖某些文件的内容。 保留特定的文件类型,目录和文件,以确保用户的操作系统在受到攻击后将继续运行。 禁用系统还原,Windows 10恢复环境,并清除卷影副本。 创建催促用户付款的勒索消息-在“ [随机扩展名] _how_to_decrypt.txt”中找到。 赎金似乎是硬编码的,因为几名Ordinypt...

于October 10, 2019发表在Malware

滑移图

加密劫持活动一直是网络犯罪领域的主要趋势之一,并且正如预期的那样,网络犯罪分子开始引入更高级的加密挖掘恶意软件,这些恶意软件可以逃避沙箱,在被删除后仍然存在,甚至掩盖其在受害者计算机上的存在。关于加密采矿恶意软件的另一件值得注意的事情是,它不仅确实针对Windows计算机-许多恶意软件家族都用于基于Linux的系统,而Skidmap就是这种情况。 加密货币挖矿恶意软件继续发展 Skidmap是一个新发现的恶意软件家族,其主要目的是部署预配置的加密货币矿工恶意软件,该恶意软件为攻击者生成Monero硬币。尽管这是您希望从密码劫持项目中看到的典型情况,但Skidmap的代码中还有很多其他内容。这种特定的恶意软件菌株能够利用“可加载内核模块”来操纵基于Linux的系统的配置和行为,因此确保了矿工恶意软件将尽可能长时间地继续运行。除此之外,Skidmap还可以通过对核心Linux模块进行一些更改为攻击者提供后门访问权限。尽管目前使用Skidmap恶意软件进行加密采矿,但其其他模块可以肯定地表明其作者可以根据需要执行更多具有威胁性的操作。 由于许多Skidmap的模块都需要root用户访问权限才能工作,因此攻击者很可能会利用未修补的漏洞,安全性较差的系统和其他高级感染媒介来确保其恶意软件将以管理特权运行。启动后,Skidmap将进行几处更改,目的是禁用SELinux(增强安全性的Linux)模块,以及通过用损坏的“ pam_unix.so”文件替换“ pam_unix.so”文件来设置所有用户帐户的主密码。由网络犯罪分子。作为备份措施,Skidmap恶意软件还将在'authorized_keys'文件中添加密钥,这将使攻击者能够使用SSH连接到受感染的主机。 Skidmap使用先进的技术来获得持久性和隐身性...

于October 10, 2019发表在Malware

创新

远程访问木马(RAT)是网络犯罪分子中功能最广泛的工具之一。通常,它们具有大量功能,使操作员能够完全控制受害者的机器。除此之外,它们还支持执行特定操作的模块,这些操作使攻击者能够从受感染的计算机中收集特定的文件或数据。 InnfiRAT是在野外发现的新RAT项目之一,它似乎具有专用于从受害者机器中收集加密货币钱包和cookie的特殊模块。当然,它还包含您希望在远程访问木马中看到的许多其他功能。 InnfiRAT可能是私人黑客工具 通常,此类软件会在黑客论坛上出售,但我们尚未遇到任何宣传InnfiRAT功能的广告。这可能意味着该项目只能由一组犯罪分子私下使用。无论他们的计划如何,很明显,InnfiRAT是一个高级项目,其中包含专门用于逃避防病毒引擎,沙箱和恶意软件分析工具的模块。执行后,它将执行一系列检查,以确保不在受控环境中运行它。此外,它查找特定恶意软件分析工具使用的进程名称并终止它们。最后但并非最不重要的一点是,它会将文件植入%APPDATA%文件夹中,并伪装为“ NvidiaDriver.exe”。 攻击者可能试图收集包含信息的文件 如果攻击顺利进行,InnfiRAT将连接到控制服务器并等待攻击者的命令。在野外看到的InnfiRAT版本似乎支持多种命令,这些命令使攻击者能够执行以下任务: 从Internet下载并运行文件。 收集系统指纹(硬件,软件,网络配置,工作组等)。 从流行的Web浏览器(Orbitum,Yandex,Opera,Mozilla,Chrome,Kometa,Amigo,Torch等)收集cookie。 在“桌面”文件夹中扫描小于2MB的“ .txt”文件,并将其传输到攻击者的服务器。 枚举正在运行的进程,并允许攻击者随意杀死它们。 收集与比特币和莱特币钱包相关的“ .wallet”文件。 拍摄桌面或当前活动窗口的屏幕截图,并将其发送到控制服务器。 使用Windows命令提示符执行命令。...

于October 10, 2019发表在Remote Administration Tools