想要死亡勒索軟件

互聯網上流傳著無數的勒索軟件威脅,每天都有新的威脅出現。 Wanna Dead Ransomware是這些全新的數據鎖定特洛伊木馬之一。當安全專家研究這種威脅時,他們發現Wanna Dead Ransomware是非常受歡迎的Hidden Tear Ransomware的變種。 不攻擊伊朗計算機 Wanna Dead Ransomware的一個有趣特徵是它被編程為檢查受感染系統的語言是設置為波斯語還是時區設置為伊朗。如果是的話,Wanna Dead Ransomware將停止攻擊。這種威脅很可能源自伊朗,其作者已經決定將他們的同胞放在一種奇怪的愛國主義行為中。 感染系統 沒有透露Wanna Dead Ransomware傳播中涉及的確切感染載體是什麼。包含宏綁定附件,欺詐性軟件更新和受感染的盜版應用程序的電子郵件可能是Wanna Dead Ransomware的作者用於傳播其創建的傳播方法之一。 Wanna Dead Ransomware一旦滲入系統就會執行掃描。目標是找到將成為鎖定目標的文件。接下來是加密過程。 Wanna Dead Ransomware為所有新鎖定的文件應用了一個新的擴展名 - “.locked”。這意味著當Wanna Dead Ransomware加密時,最初名為'summer-storm.mp3'的音頻文件將被重命名為'summer-storm.mp3.locked'。 贖金票據 下一階段是贖金票據的丟棄。 Wanna Dead Ransomware的筆記叫做'READ_IT.txt'。在其中,攻擊者要求0.035比特幣(在寫這篇文章時約為410美元),並提供他們的比特幣錢包地址。他們還向用戶提供了一封電子郵件,他們可以聯繫攻擊者 - “jokerkid@protonmail.com”。為了證明他們可以解鎖加密數據,Wanna Dead...

于July 19, 2019發表在Ransomware

Godes勒索软件

Godes Ransomware是最近出現的眾多勒索軟件威脅之一。當網絡安全研究人員發現它時,他們解剖了威脅並發現它屬於眾所周知的STOP Ransomware系列。 感染和加密 惡意軟件專家無法確定在傳播此文件鎖定特洛伊木馬時應用的傳播方法是什麼。有些人認為,Godes Ransomware的創建者可能正在使用虛假應用程序更新,大規模垃圾郵件活動以及損壞的盜版軟件來傳播他們的威脅,因為這些是傳播惡意軟件的最常見技術。將掃描新感染的計算機,以便Godes Ransomware可以確定文件的位置,這些文件將被標記為加密。完成此階段後,Godes Ransomware將繼續鎖定目標數據。經過Godes Ransomware加密過程的文件將更改其名稱。 Godes Ransomware在文件名末尾添加了“.godes”擴展名。例如,如果您最初將照片命名為“thunderbolts.jpeg”,則當Godes Ransomware將其鎖定時,其名稱將更改為“thunderbolts.jpeg.godes”。 贖金票據 接下來,Godes Ransomware會丟掉贖金票據。很可能Godes Ransomware的作者遵循命名模式使用了大多數STOP Ransomware變種 - '_readme.txt'。通常,屬於STOP Ransomware系列的勒索軟件威脅使用相同的電子郵件地址 - “gorentos@bitmessage.ch”,“ferast @ firemail.cc”,“vengisto @ firemail.cc”,“vengisto @ india.com”, “stoneland@firemail.cc。”他們有時也選擇發出電報聯繫人 - @datarestore。...

于July 19, 2019發表在Ransomware

Pitou

Pitou是一個bootkit,似乎是舊版威脅的增強版本。 Pitou bootkit的作者可能受到了Srzizbi rootkit的啟發,並使用其代碼來構建他們的創建。 Pitou bootkit的創建者已經對這種威脅進行了一些重大改進。 Pitou惡意軟件被種植在硬盤驅動器的MBR(主引導記錄)中,因此變得非常難以發現並且長時間不被反惡意軟件軟件檢測到。 堅持 Pitou bootkit獲得了不依賴於軟件或操作系統設置的持久性 - 即使重新安裝Windows,惡意程序也可能會持續存在。經典的rootkit依賴於模擬系統驅動程序,該驅動程序將為受感染的主機提供惡意程序管理權限,以及不依賴於註冊表修改的持久性。另一方面,bootkit是一個更高級的項目,通過將自身添加到受感染設備的硬盤驅動器的主引導記錄中獲得相同的結果。 Pitou bootkit的另一個自我保護功能是它能夠檢測它是否在沙盒環境中運行。它通過瀏覽正在運行的進程,註冊表和系統指紋來完成此操作。如果任何系統信息都有流行的機器仿真軟件的痕跡,如VirtualBox,Bochs,Innotek或其他,Pitou bootkit將停止攻擊。 攻擊的目標 當Pitou bootkit感染計算機時,它將連接到攻擊者的遠程服務器。然後,威脅將被發送到電子郵件主體,地址和郵件服務器,Pitou bootkit將用於攻擊。然後,受害者的PC將用於大規模垃圾郵件活動,通常會推廣像Cialis或Viagra這樣的藥物。 這是一種非常高端的惡意軟件,運行非常安靜。確保您已經安裝了一個信譽良好的反惡意軟件應用程序,這將使您的PC免受Pitou...

于July 26, 2019發表在Malware

Coldroot RAT

Mac用戶有時被網絡犯罪分子視為一個容易攻擊的目標。這是因為Apple用戶在涉及到他們的計算機時會有一種虛假的安全感,認為他們幾乎無法通過惡意軟件進行攻擊。這種心態已經引起了不少蘋果用戶的擔憂。 Coldroot RAT是一種遠程訪問特洛伊木馬程序,專門針對OSX,Windows和Linux而構建。 該項目 第一次注意到Coldroot RAT是在線安全掃描服務。 Coldroot RAT的創建者擁有一個YouTube頻道,他們聲明他們的項目將在市場上供願意支付的人使用。他們甚至有一個官方網站,似乎Coldroot RAT自2016年開始投入使用。儘管YouTube頻道有承諾,但Coldroot RAT仍未公開發布,這導致一些專家確信創作者這種威脅可能完全放棄了這個項目。 寫在Pascal Coldroot RAT的作者在Pascal中寫下了這個狡猾的威脅。儘管這種語言被認為是相當陳舊的,但它尚未過時,可用於創建一些非常有效的惡意軟件。這是因為用Pascal編寫的威脅可以針對Windows,OSX和Linux。不更新其OSX的用戶將特別容易受到Coldroot RAT的攻擊。此遠程訪問特洛伊木馬針對某些舊版OSX中的漏洞,通過它們,它可以在Mac上植入鍵盤記錄程序。 當Coldroot RAT感染Mac時 Coldroot RAT註冊了一個名為“com.apple.audio.driver”的OSX組件 - 一個模擬合法音頻服務的簡單技巧。然後將偽組件註冊為新的LaunchDaemon,它將提供威脅持久性。這樣做是為了留在受害者的雷達之下。然後,Coldroot RAT將與其作者的C&C(命令和控制)服務器建立連接,並將註冊新感染的計算機。通過這樣做,Coldroot RAT提供有關滲透系統的C&C信息: OSX版本。 計算機架構。 網絡攝像頭的狀態。 用戶名。 Coldroot RAT沒有太令人印象深刻的功能列表。但是,它們仍然可能對受害者造成重大損害。...

于July 26, 2019發表在Remote Administration Tools

'Great Duke Of Hell' DLL Malware Attack Uncovers Vicious Astaroth Fileless Malware Threat

'Great Duke Of Hell' DLL Malware Attack Uncovers Vicious Astaroth Fileless Malware Threat screenshot

微軟最近放寬了一個非常面紗不愉快fileless惡意軟件的作品而不必成為受害者的機器上安裝竊取數據- 亞斯她錄 。 直接從神秘書籍“Ars Goetia”和“所羅門之鑰”中以同名惡魔命名,據說通過虛榮和懶惰誘惑他的受害者,這種惡意軟件自2017年以來一直在流通。它主要用於從南美和歐洲公司竊取有針對性攻擊的數據,這些攻擊使用魚叉式網絡釣魚作為入境點。 根據微軟後衛APT的研究員Andrea Lelli的說法,有一些東西可以讓這種特殊感染變得獨一無二,因為它具有根據某些傳統防病毒程序的檢測方法隱身滲透的能力。 根據Lelli的說法,Astaroth以個人憑證,鍵盤記錄等信息竊取而臭名昭著,這些數據隨後被洩露到遠程服務器。然後,攻擊者使用這些數據進行金融盜竊,將個人信息出售給其他犯罪分子,甚至跨網絡橫向移動。 Astaroth如何感染系統 攻擊通常在受害者打開電子郵件中的鏈接時開始,該電子郵件是在考慮使用魚叉式網絡釣魚的情況下發生的 - 這是攻擊者在其操作過程中使用的社交工程工具。這種騙局旨在打開鏈接,這會打開終端命令的快捷方式文件,最終下載並運行JavaScript代碼,從而使感染成為可能。該腳本下載並運行兩個DLL文件,用於處理所收集信息的記錄和上載,同時假裝是合法的系統進程。 該過程適用於基於簽名的檢測工具,因為只下載或安裝DLL文件。這使得它幾乎沒有機會在此過程中掃描並捕獲攻擊。自2017年末以來,這種方法使得Astaroth能夠在雷達下飛行並在網上茁壯成長,而不依賴於木馬下載或任何漏洞攻擊。 無文件惡意軟件檢測措施...

于August 29, 2019發表在Computer Security

'Agent Smith' Android Malware Secretly Replacing WhatsApp and Others Infects 25 Million Devices

Android設備對惡意軟件威脅和各種惡意攻擊並不陌生,主要是通過受感染的應用程序。不幸的是,對於Android設備,用戶傾向於從Google Play商店或各種第三方來源獲取應用程序惡意應用程序,而iPhone用戶通常從受控且主要是無惡意軟件的Apple App Store環境獲取應用程序。事實證明,最新一批受惡意軟件困擾的應用程序是以被稱為Agent Smith的惡意軟件的形式出現的,該軟件以秘密取代Android設備上的WhatsApp應用程序而聞名。 Agent Smith Android惡意軟件希望利用操作系統中的漏洞,它會在沒有用戶注意的情況下自動替換合法應用程序。 Agent Smith被發現秘密取代的主要應用程序是WhatsApp,Flipkart,Opera Mini,據說是來自聯想和Swiftkey的應用程序。 有關WhatsApp及其被Agent Smith惡意軟件利用的一個特別注意事項是WhatsApp在180多個國家/地區擁有超過15億活躍用戶。但是,這些用戶中只有一部分是Android用戶,這導致Agent Smith應用程序迄今為止影響了超過2500萬台設備。 特工史密斯來自哪裡? Check Point是第一批發現Agent Smith惡意軟件的人之一,它從流行的The Matrix系列電影中得到了它的聰明名字,因為它的行為有點類似於電影中名為“Agent Smith”的角色。 還懷疑在Agent Smith惡意軟件的核心模塊上使用默認的應用列表來搜索受感染的設備。 Check Point揭示的app命令和控制服務器列表如下: WhatsApp的 lenovo.anyshare.gps mxtech.videoplayer.ad jio.jioplay.tv jio.media.jiobeats jiochat.jiochatapp jio.join good.gamecollection opera.mini.native...

于July 31, 2019發表在Computer Security

Paradigm Shift for Ransomware - Massive Payouts Coming from City Government Networks

勒索軟件幾年來一直是最重要的在線威脅,對私人用戶,小型和大型企業都是如此。然而,似乎各種勒索軟件背後的不良行為者正在探索新的場地,並尋找從受害者那裡勒索大筆資金的新方法。 勒索軟件最近令人擔憂的趨勢是針對市政和城市政府網絡而非企業的攻擊非常明顯的轉變。 2019年發生了針對美國城市網絡的一系列勒索軟件攻擊。 最近遭受關注的許多勒索軟件攻擊很多,被確定為Cerber , Sodinokibi , Vesad Ransomware ,甚至是著名的GandCrab威脅。雖然一些較為流行的威脅可能不會對攻擊城市政府網絡負責,但一些傳播此類威脅的黑客可能是肇事者。 受害的城市政府撥出數百萬美元來獲取他們的數據 導致市政府大規模支付的最新勒索軟件攻擊發生在佛羅里達州的兩個城市。在勒索軟件取消政府網絡後,Lake City和Riviera Beach共支付了約110萬美元,禁用了運營城市的重要係統和設備。 這些攻擊發生在傑克遜縣之後,喬治亞州支付了大約40萬美元從其網絡中獲取勒索軟件。亞特蘭大市在2018年末花費超過700萬美元從勒索軟件攻擊中恢復過來,儘管最初的贖金需求僅為5萬美元。在2019年中期,巴爾的摩遭受勒索軟件攻擊,帶來了價值1800萬美元的損失。 針對市政網絡的網絡勒索史無前例的增長導致地方當局在聯邦層面上尋求官方呼籲。亞特蘭大市長Keisha Bottoms在國會提出了這個問題,並要求更好地獲取信息以及“實時威脅信息”和“救災資金”,以幫助抵消勒索軟件攻擊造成的損害。保險公司仍在適應這種不斷變化的網絡威脅形勢,一些公司已經提供了涵蓋類似攻擊的計劃。...

于June 28, 2019發表在Computer Security

Warning: Digitally Signed Malware is On the Rise

從理論上講,代碼簽名是區分合法可執行文件和可疑的,可能有害的惡意軟件的絕佳工具。然而,最近對在線威脅數據庫的提交表明了一個令人擔憂的趨勢 - 越來越多的真實惡意軟件正在分發,並且真正的權威機構頒發了非常真實的證書。 在大約12個月的過程中,使用各種工具和方法收集,編目和分析威脅樣本的VirusTotal已經累積了近4000種不同的惡意軟件,這些惡意軟件都經過合法的認證機構的數字簽名。頒發這些證書的機構包括Entrust,DigiCert,Go Daddy,GlobalSign,Sectigo和VeriSign。這些數據來自Mediums Chronicle Blog發布的一份報告。 可能會有比原先想像的更多的數字簽名惡意軟件 更重要的是,所引用的數字也被認為是相當保守的,並且可能並不表示數字簽名惡意軟件的真實傳播,因為在形成它們時存在許多限制性標準。在僅搜索Windows便攜式可執行文件時發現了3,815個簽名惡意軟件樣本,並且未包含任何未從各種引擎中引發至少15次檢測的文件。 正如安全研究人員指出的那樣,數字簽名的惡意軟件是一個大問題,因為它允許嚴重威脅在環境中輕鬆操作,否則這些環境會採取良好的安全措施。 發給實際惡意軟件的證書數量最多似乎來自Sectigo,以前稱為Comodo。在3,815次檢測中,超過一半的檢測結果來自Sectigo。這種流行可能源於Sectigo也是最大的認證機構。...

于June 14, 2019發表在Computer Security

Beware: Scammers are Aggressively Targeting Senior Citizens

美國老齡問題特別委員會發布了2018年影響老年人的頂級騙局的報告。這些信息是根據人們與欺詐者分享問題的免費熱線舉報。用戶可以採取一些措施來防止成為目標或成為詐騙者的受害者,例如: IRS模仿詐騙 如果您碰巧接到自稱為美國國稅局的電話,您應該立即掛斷電話。該機構通常通過信件聯繫人,而不是使用電話。 美國國稅局的代表絕不會要求納稅人提出付款要求 ,要求預付借記卡,禮品卡或發出威脅。 未經請求的電話 用戶不應在未經請求的電話出現時提供任何個人信息。如果來電者聲稱他們屬於政府機構或尋求個人信息的公司,請立即掛斷電話並撥打您帳戶的電話號碼。更好的是,在代理網站上撥打電話,以確定個人信息請求是否合法。 抽獎和牙買加彩票詐騙 這種騙局是一種受歡迎的騙局,要求人們出於一些所謂的理由向陌生人匯款,例如稅收和處理費用,這些都有望帶來收益。毋庸置疑,用戶不應向任何提出此類索賠的人發送任何資金。美國和牙買加政府正在努力消除這一問題並引渡這些騙局背後的罪犯,但建議公民保持警惕。 計算機技術支持詐騙 這是一個常見的騙局,涉及偽裝成微軟或Apple支持代表的詐騙者。他們聲稱您的計算機已被病毒感染,然後將用戶指向數據或計算機上的錯誤消息以“證明”他們具有遠程訪問權限。但是,數據或消息是所有計算機上都存在的數據或消息。有些變體要求用戶點擊電子郵件中的鏈接,該鏈接將勒索軟件加載到受害計算機,將其鎖定並要求資金來解決問題。避免勒索軟件風險是必須的,因此用戶不應該點擊此類電子郵件。如果第三方突然聯繫您,請勿訪問您的計算機。如果您有任何理由相信您的計算機受到感染,您應該找到IT商店或安全軟件公司的幫助。 老年金融詐騙 根據政府問責局的數據,由於金融剝削,老年人每年損失超過29億美元。報告顯示,大多數受害者年齡在80至89歲之間,獨居並需要日常生活幫助。這些罪行的肇事者往往包括法定監護人,家庭護理員,財務顧問,甚至家庭成員,除了通過電子郵件,電話或互聯網通過電話聯繫的常見罪犯。 浪漫詐騙者...

于June 14, 2019發表在Computer Security

Magecart Card Skimmers Expand Attack Portfolio

Magecart不是一個新的在線購物車API的名稱,而是一個網絡犯罪分子網絡的名稱,他們已經竊取信用卡憑證幾年了。安全研究人員最近發現其中一個由Magecart名稱所知的大型網絡組成的團隊使用了一種新的攻擊方法。 Magecart現在能夠使用看起來像普通信用卡支付界面的iframe注入零售網站。在這種情況下使用的不同方法是Magecart不會掃描合法的付款方式以替換可以撇去的付款方式。相反,帶有惡意付款表單的iframe會被轉儲到每個PHP頁面的代碼中,但只有在頁面上有常規購物車結帳表單時才會顯示。 對於有經驗的用戶來說,惡意框架的格式應該是相對明顯的,並且他們應該能夠立即發現問題,因為在任何正常的支付形式中都找不到所需的字段。該過程還告訴受害者他們將被重定向到第三方網站,在那裡交易將最終確定 - 另一個贈品,使用付款和程序不太正確。...

于June 18, 2019發表在Computer Security

Hackers Deploy GandCrab Ransomware Through a Patched Confluence Vulnerability

澳大利亞公司Atlassian Confluence的協作軟件再次出現在黑客的雷達上。儘管該公司在2019年3月20日發布了針對其主要產品中的一系列關鍵漏洞的補丁,看起來攻擊者仍然能夠利用這些漏洞中的一個來感染全球數千家公司的服務器,其中包含廣泛且具有破壞性的GandCrab勒索軟件 。 GandCrab出現在2018年1月,目前它的創作者仍然在地下論壇上向其他黑客組織提供,以換取一部分利潤。由於最新的GandCrab 5.2版本仍然沒有免費解密密鑰,因此該惡意軟件對消費者和企業都是一個主要威脅。 基於Java,Confluence是一種wiki類型的應用程序,它允許企業的同事擁有共享空間,以便他們可以處理常見項目和完成任務。跟踪為CVE-2019-3396的有問題的漏洞與Confluence的Widget Connector相關 - 該功能允許用戶將社交媒體或其他網站中的內容嵌入到網頁中。此安全漏洞允許攻擊者將命令注入“_template”並隨後實現未經授權的遠程代碼執行。這使他們能夠完全控制目標主機。根據澳大利亞公司的代表,受影響的是6.6.12,6.12.3,6.13.3和6.14.2之前的Confluence Server和Confluence數據中心的所有版本。 發現的安全漏洞是導致Confluence漏洞的根本原因 網絡安全公司Alert Logic剛剛發布了一份報告,根據該報告,CVE-2019-3396的概念驗證漏洞利用代碼於2019年4月10日公開發布,並且首次發生的破壞服務器花了大約一周的時間。第一個受影響的Confluence客戶注入了惡意負載,這迫使系統與Alert Logic數據庫中眾所周知的IP地址進行交互。也就是說,它最初與另一個安全漏洞相關 - 一個稱為CVE的Oracle Weblogic漏洞 - 2017 - 10271.這一發現使研究人員得出結論,控制IP地址的同一攻擊者也對Confluence漏洞利用負責。...

于June 18, 2019發表在Computer Security

Shade Ransomware Takes Aim at International Targets

Shade勒索軟件 ,也稱為Troldesh,是一種惡意軟件,是安全研究人員在2014年初首次發現的。在用於針對俄羅斯受害者的局部活動中,Shade最近被發現越來越多的針對受害者的攻擊遍布全球,從日本到美國。 Palo Alto Networks的安全研究人員最近公佈了他們對Shade感染的調查結果,其中大部分現在都發生在俄羅斯境外。受影響的國家包括日本,泰國,印度,加拿大和美國。如同大多數勒索軟件一樣,Shade並沒有被用來瞄準私人用戶,而是工業和企業實體,帕洛阿爾托挑選出高科技公司,批發公司和教育機構作為這些新國際攻擊的主要目標。俄羅斯仍然是使用陰影的十大國家之一,但已降至第七位。 新的受害者,熟悉的攻擊媒介 Shade仍在使用垃圾郵件進行分發。 Palo Alto報告稱,勒索軟件的可執行文件仍然在2014年顯示的被感染機器上顯示相同的桌面圖像。 Shade勒索軟件的受害者使用俄語和英語的警告記錄更改了桌面圖像,並將十個純文本文件轉儲到桌面上,名為README1.txt到README10.txt。所有文本文件的內容都是相同的 - Shade的贖金記錄。最新版本的Shade勒索軟件使用的擴展名為“.crypted000007”。 Shade在2019年2月用於國際垃圾郵件活動 。電子郵件通常包含一個指向無辜文件的鏈接,該文件包含JavaScript指令,而這些指令反過來下載真正的有效負載。...

于June 18, 2019發表在Computer Security

Phishing Campaign Spreads the Feature-Packed Babylon RAT

正如Cofense的分析師所觀察到的那樣,巴比倫遠程管理工具(RAT)重新啟動了傳播惡意軟件的新網絡釣魚活動。 Babylon RAT是一種功能豐富的開源威脅,可以破壞它設法滲透的任何網絡。它擁有的絕對多功能性使巴比倫RAT可以根據攻擊者的具體目標進行調整。 巴比倫RAT擁有大量工具 執行Babylon RAT後,它會建立與命令和控制(C&C)服務器的連接,該服務器被硬編碼到惡意軟件的二進製文件中。最有可能使用動態域,以便可以更改IP地址,而不會導致與服務器通信的任何中斷。連接已編碼,它會傳輸有關受感染主機的私人數據,例如用戶名,PC名稱,IP地址,國家/地區,操作系統(OS)甚至是當前處於活動狀態的程序窗口。此信息每5秒更新一次,可在Babylon RAT管理面板上觀察。 為了降低檢測機會,任何受Babylon RAT感染的系統都可以轉換為SOCKS代理。這意味著在通過網絡橫向傳播之後,所有受感染的計算機都可以使用創建的SOCKS代理作為到C&C服務器的出站數據流量的網關。此外,通過此方法可以繞過電子郵件和URL過濾。 集成到Babylon RAT中的另一個功能是密碼恢復。啟動後,惡意軟件將通過已安裝的應用程序(包括Web瀏覽器),並抓取它們以獲取憑據。雖然用於密碼恢復的模塊不會竊取操作系統用戶憑據,但Cofense猜測已經擁有用戶名的訪問權限以及幾個收穫的密碼可能會輕易讓攻擊者破壞操作系統憑據,從而打開無數新的安全風險對於受攻擊的組織。 巴比倫RAT可以發動DoS攻擊 一個單獨的模塊負責啟動DoS(拒絕服務)攻擊。 DoS可以針對某個主機名或IP範圍,而線程和套接字等參數可以針對一個或多個協議進行調整。發送到其中一個計算機系統的DoS命令可以傳輸到其他受感染的主機,從而導致更大的DDoS(分佈式拒絕服務)攻擊。...

于June 18, 2019發表在Computer Security

Decryptor Released For GetCrypt Ransomware

GetCrypt Ransomware是最近檢測到的惡意軟件威脅,它對受感染計算機上的數據進行加密,並要求獲得贖金以進行解密。該惡意軟件首先被網絡安全研究團隊neo_sec捕獲 。 GetCrypt正在通過惡意廣告活動進行傳播,該活動將用戶重定向到託管RIG漏洞利用工具包的網站。登陸其中一個有毒網站將導致漏洞利用工具包按照其名稱建議 - 利用用戶計算機上的漏洞來刪除勒索軟件。 如果您的文件已經由GetCrypt變成不可用,不要氣餒,因為可能仍希望收回他們無需支付任何對罪犯-為GetCrypt解密是可用的 。但是,為了解密受影響的文件,勒索軟件的每個受害者都必須能夠訪問其中一個原始未加密文件。解密器軟件使用同一文件的這對加密和未加密版本來強制解密密鑰並解密用戶的文件。 GetCrypt避免獨聯體國家 執行時,GetCrypt的第一步是檢查滲透機器的Windows語言,如果設置為烏克蘭語,白俄羅斯語,俄語或哈薩克語,勒索軟件只會自行關閉。在所有其他情況下,GetCrypt使用CPUID創建一個包含4個字符的字符串,該字符串將用作加密數據的擴展名。雖然絕大多數勒索軟件威脅都針對某些文件類型進行加密,但GetCrypt設計用於運行掃描並使用Salsa20和RSA-4096加密算法加密不在特定目錄列表中的所有文件。要避免的完整目錄列表包括“ :\ ProgramData,:\ Users \ All Users,:\ $ Recycle.Bin,:\ Program Files,:\ Local Settings,:\ Boot,:\ Windows,:\ System Volume信息,:\ Recovery,AppData。 “加密文件的所有捲影卷副本將通過” vssadmin.exe delete shadows / all / quiet命令 “ 刪除。 GetCrypt嘗試通過蠻力訪問網絡共享...

于June 18, 2019發表在Computer Security

Ukranian Cyber Crook Responsible for Millions of Malicious Ads Brought to New Jersey Court

年輕的烏克蘭人Oleksii Ivanov,31歲,在美國特勤局,荷蘭和英國執法部門進行國際調查後於2018年10月在荷蘭被捕。伊万諾夫和他的同謀被指控在互聯網上進行惡意廣告活動,其間已向世界各地的用戶提供了超過1億的惡意廣告。被指控的網絡犯罪分子現已被引渡到美國,並於2019年5月初在新澤西州的法庭上出庭。 網絡欺詐涉及一系列假公司 根據案件文件,由烏克蘭人領導的欺詐計劃於2013年10月至2018年5月期間運作,在此期間,伊万諾夫經營多家假公司,通過這些公司,他和他的同夥在合法網站上分發了損壞的廣告。在註冊了一家假公司後,Ivanov從廣告網絡購買了廣告空間,然後發送了帶有惡意代碼的廣告,這些惡意代碼將用戶重定向到傳播惡意軟件的網站。 每當受影響的廣告網絡發現惡意廣告活動並向Ivanov尋求解釋時,他就會拒絕參與不良廣告。如果廣告網絡暫停了公司的帳戶,他只會註冊一家新公司並繼續欺詐。大多數假冒公司都在英國註冊。在他們與廣告網絡的互動中,伊万諾夫和他的同謀使用虛假身份,以便不透露他們的真實姓名。美國檢察官還聲稱,黑客組織構建了一個惡意軟件殭屍網絡以及操作惡意廣告活動。 這是美國當局破獲的第二大廣告欺詐計劃 伊万諾夫的被捕是美國當局針對廣告欺詐的重大活動的一部分。...

于June 18, 2019發表在Computer Security