Ako勒索軟件

Ako Ransomware是2019年底最活躍的勒索軟件威脅之一。此數據加密木馬是Medusa Ransomware的變體。惡意軟件專家努力為勒索軟件的受害者發布免費的解密工具。但是,他們還無法構建與Ako Ransomware兼容的軟件。 傳播和加密 到目前為止,尚不清楚用於Ako Ransomware傳播的感染媒介是什麼。勒索軟件威脅的作者往往依靠垃圾郵件活動來分發其討厭的木馬。通常,這將涉及包含偽郵件的電子郵件,這些郵件是在各種社會工程技術的幫助下設計的。同樣,有問題的電子郵件將包含損壞的附件,該附件被掩蓋起來看起來像是無害的文檔或另一個看似無害的文件。其他常用的分發方法包括虛假的應用程序更新,惡意廣告活動,流行媒體或軟件的假冒盜版變種等。當Ako Ransomware感染計算機時,它將確保偵聽並開始加密很長的文件類型列表。這樣可以確保最大程度的損壞,因為所有圖像,音頻文件,視頻,文檔,數據庫,電子表格,檔案,演示文稿和其他常見文件類型都將通過加密算法鎖定。 Ako Ransomware更改受影響文件的名稱。該數據加密木馬會為每個受感染的用戶生成一個唯一的受害者ID,並在完成加密過程後將其附加為擴展名。受害者ID將包含一個包含六個字母和數字的六符號字符串。例如,威脅可能生成“ .WgR13c”擴展名。這意味著最初名為“ loud-cat.mp3”的文件將重命名為“ loud-cat.mp3.WgR13c”。每個包含加密數據的文件夾都將具有一個附加文件-'id.key'。 贖金記錄 Ako Ransomware會在名為“ ako-readme.txt”的文件中為受害者提供勒索消息。在贖金消息中,攻擊者聲稱根據受害者的不同,他們要求的是0.3比特幣(在撰寫本文時約為2400美元)和0.9比特幣(約7200美元)之間。惡意軟件專家尚未確定如何計算贖金。 Ako Ransomware的作者敦促用戶下載並安裝Tor...

于January 13, 2020發表在Ransomware

購物者

購物者威脅是專門為Android設備設計的惡意軟件。據報導,購物者惡意軟件在過去幾個月一直很活躍,尤其是位於俄羅斯聯邦境內的大多數受感染設備。但是,專家指出,購物者威脅在巴西和印度也越來越流行。購物者惡意軟件並不特別複雜,但是仍然可以完成工作。 主要目標是點擊欺詐 Shopper Trojan的主要目標是控制受害者的帳戶,並用它來人為地增加附屬應用程序的數量。這意味著攻擊者的目的是使用被劫持的帳戶發布對特定應用程序的虛假肯定評論。此外,購物者還可以增加附屬應用程序的下載數量。不幸的是,附屬應用程序通常傾向於是偽造的應用程序,虛假的正面評論和大量下載被用來誘使用戶完全相信他們正在獲得合法解決方案,從而安裝了此類軟件。 Shopper惡意軟件的另一個特徵是它能夠在用戶的通知面板和主屏幕上植入不需要的廣告。事實證明這很煩人,並且降低了用戶的瀏覽質量。 可能會比最初預期的更具威脅性 目前尚不清楚什麼是完全傳播Shopper Trojan的傳播方法。這種威脅很可能通過欺詐性下載,第三方應用程序商店上的虛假應用程序以及其他方法進行傳播。儘管將Shopper惡意軟件用於點擊欺詐和垃圾廣告,但這種威脅也可以與活動工具和應用程序進行交互。此外,Shopper Trojan能夠讀取和收集用戶屏幕上顯示的數據。這兩個附加功能使Shopper惡意軟件的威脅性比最初預期的要嚴重得多。從您的Android設備中刪除Shopper Trojan相當困難,因為在應用程序列表或主菜單上不存在此威脅。 如果您遭到來自Shopper惡意軟件的無關廣告轟炸,或者威脅正在通過不必要的下載耗盡您的移動數據,則應確保從Android設備上清除此有害生物。值得嘗試使用信譽良好的反惡意軟件工具,該工具將幫助您永久擺脫Shopper...

于January 13, 2020發表在Trojans

酒瓶

Mirai殭屍網絡被認為是Internet歷史上最成功的殭屍網絡之一。看到這個臭名昭著的殭屍網絡的成功,許多網絡騙子將其視為自我複制嘗試。他們中的一些人會藉鑑臭名昭著的Mirai Botnet的功能,並嘗試構建自己的被劫持系統網絡。最近的案例之一是LiquorBot活動。惡意軟件研究人員密切關注LiquorBot殭屍網絡的活動,因為此活動似乎非常動態且高效。 注入加密貨幣礦工 LiquorBot殭屍網絡的目標是在受感染的系統上註入加密貨幣礦工。這意味著LiquorBot殭屍網絡將獲得受損設備的計算能力並挖掘加密貨幣,同時確保將所有生成的硬幣轉移到其運營商的錢包中。這可能會導致滲透機的使用壽命縮短。 LiquorBot殭屍網絡已復制Mirai殭屍網絡的C&C(命令與控制)服務器佈局的設計。但是,LiquorBot殭屍網絡模塊和Mirai殭屍網絡模塊之間的主要區別在於,前者是使用Google的Go編程語言編寫的。 主要針對路由器 LiquorBot殭屍網絡附帶的有效負載與x86,x64,MIPS,ARM64和ARM CPU體系結構兼容。這意味著LiquorBot殭屍網絡的操作員能夠破壞多種設備。但是,在研究了LiquorBot殭屍網絡的活動之後,攻擊者的主要目標似乎是路由器。為了破壞目標,LiquorBot威脅將使用十二種不同路由器品牌的公開利用。 LiquorBot殭屍網絡使用的另一種滲透方法是利用薄弱的Secure Shell服務。...

于January 13, 2020發表在Botnets

Ulticurveylips.info

許多在線假網站只有一個目標–誘騙用戶授予他們顯示Web瀏覽器通知的權限。乍一看這似乎並不常見,但是瀏覽器通知用於在用戶瀏覽Internet時向他們發送廣告。儘管這種行為沒有被歸類為不安全的活動,但是持續不斷的有害瀏覽器廣告卻可能很快變得令人討厭。使用該技術的網站之一是Ulticurveylips.info頁面。 推廣低質量的產品和狡猾的服務 Ulticurveylips.info是一個偽造的頁面,不會為訪問者提供任何價值。如果您碰巧遇到了Ulticurveylips.info網站,則可能是您瀏覽的是託管可疑內容的不可信網站。用戶一旦訪問Ulticurveylips.info網站,該頁面就會要求他們“允許通知”。為了使用戶更有可能遵守該協議,Ulticurveylips.info網站可能聲稱它託管了訪客可能想觀看的引人入勝的視頻或其他可能有趣的媒體。但是,Ulticurveylips.info頁面要求用戶如果要查看嵌入式媒體,請單擊“允許”按鈕。不幸的是,這無非是說服訪問者授予顯示瀏覽器通知顯示權限的竅門,而且Ulticurveylips.info網站並未託管其聲稱具有吸引力的潛在內容。屈服並單擊“允許”按鈕的用戶將被不相關和不受歡迎的廣告轟炸,這些廣告宣傳各種可疑產品和服務-成人網站,躲避約會的平台,陰暗的賭博頁面,虛假的抽獎活動等。建議避免與Ulticurveylips.info網站相關的任何廣告的互動。諸如Ulticurveylips.info頁面之類的狡猾網站通常會與可推廣不可信服務和低質量產品的陰暗廣告網絡合作。...

于January 13, 2020發表在Browser Hijackers

外匯交易公司Travelex受Sodinokibi攻擊打擊,黑客要求贖金600萬美元

外匯交易公司Travelex受Sodinokibi攻擊打擊,黑客要求贖金600萬美元 screenshot

Travelex是一家總部位於英國的外匯公司,在受到復雜的勒索軟件威脅的打擊後,其業務中斷了。這次襲擊發生在Travelex的大多數員工都在度假的除夕。造成駭客入侵的罪犯似乎是相當多產的Sodinokibi團體 ,又名REvil。最初的贖金金額為300萬美元,但兩天未收到付款後,總金額翻了一番,達到600萬美元。黑客還聲稱可以訪問Travelex的網絡已有六個月的時間,在此期間,他們能夠下載5GB的敏感數據,包括客戶的信用卡詳細信息,國民保險號和出生日期。 Sodinokibi小組表示,如果Tavelex在7天內未能支付贖金,它準備出售被盜的信息。 Travelex被迫關閉其計算機網絡,以遏制惡意軟件的傳播。該公司在30個國家/地區的網站也被撤下,訪問者在襲擊發生後的幾天內看到一條“計劃維護”的消息。勒索軟件攻擊也對依賴該公司提供外匯服務的Travelex合作夥伴造成了嚴重後果。在受影響的組織中,有塞恩斯伯里銀行,匯豐銀行,巴克萊銀行,First Direct,Virgin Money和Asda Money等銀行。 Travelex在事件發生整整一周後的1月7日發布了正式聲明。該公司承認,確實確實使用Sodinokibi對他們的某些數據進行了加密,但是他們沒有發現“結構化個人客戶數據”已經加密的證據。他們也找不到證據證明黑客已經竊取了任何數據。 公司等待幾個月來修補關鍵漏洞 安全研究人員指出,Travelex處理其員工用來遠程連接到中央計算機系統的Pulse Secure虛擬專用網絡(VPN)服務器中發現的安全問題的步伐緩慢。問題非常嚴重,Pulse...

于January 13, 2020發表在Computer Security

Facebook用戶數據的另一個重大洩漏,數百萬的潛在網絡欺詐事件

Facebook用戶數據的另一個重大洩漏,數百萬的潛在網絡欺詐事件 screenshot

一家網絡安全公司最近報告說,它在互聯網上發現了一個不安全的Facebook用戶數據庫,其中包含超過2.6億人(主要是美國用戶)的名稱,電話號碼和唯一的Facebook ID。該數據庫目前已關閉,已於2019年12月4日啟用,並在兩週內不受保護地訪問。 網絡安全公司Comparitech和研究員鮑勃·迪亞琴科(Bob Diachenko)於2019年12月發布了該報告。目前尚不清楚敏感數據的暴露程度如何,但研究人員可以將其追溯到越南。一種可能性是數據庫是通過稱為“抓取”的過程進行編譯的。這種數據收集方法是非法的,涉及通過使用自動機器人從Facebook個人資料中復制公共信息 。關於數據庫出現的另一種猜測是,在Facebook於2018年4月從其API中刪除電話號碼信息之前,用戶詳細信息可能直接從Facebook的開發人員API中竊取了。 由於記錄可以在兩週內免費提供給任何人,而無需密碼或任何其他身份驗證,因此可能會對受影響的Facebook用戶造成嚴重損害。此外,這些數據已通過可下載的鏈接發佈到黑暗的網絡上,該鏈接發佈在大型黑客論壇之一上。 根據Diachenko的說法,發現後立即刪除了對數據庫的訪問,但是副本可能存在於Web上的任何位置。 Facebook官員證實了這次安全事故,但表示該信息可能是在公司最近採取措施改善用戶數據保護之前獲得的。然而,Diachenko和Comparitech聲稱Facebook的開發人員API中仍然存在安全漏洞,該漏洞允許未經請求的訪問Facebook ID和電話號碼。...

于January 13, 2020發表在Computer Security

最新的Ryuk Ransomware版本保留Linux文件夾

最新的Ryuk Ransomware版本保留Linux文件夾 screenshot

12月13日,網絡犯罪分子在對新奧爾良市的攻擊中使用了Ryuk Ransomware版本。這次襲擊導致該市服務器關閉,大量檢疫工作以及市長宣布進入緊急狀態。新奧爾良市已被添加到一百多個聯邦,州和市政府和機構的名單中,這些州已成為2019年美國勒索軟件攻擊的犧牲品。尤其是Ryuk Ransomware已用於數百次攻擊中在私人和政府實體上取得了不同的成功。 感染新奧爾良市網絡的Ryuk Ransomware版本似乎相對較新。安全研究員Vitali Kremez發現了此勒索軟件迭代的新特徵–它故意不對* nix系統相關的文件夾進行加密。 以下是以前版本的黑名單中未包含的文件夾的列表: 箱子 開機 開機 開發者 等等 初始化 LIB 跑 bin 系統 vmlinuz 變種 Ryuk Ransomware沒有針對Linux系統的專用版本。將* nix文件夾包含在黑名單中的原因很可能避免干擾安裝在Windows 10上的Linux發行版。Windows 10的Linux Windows子系統使在Windows環境中運行Linux發行版成為可能。 最終,此更改的目標可能是增加支出結果。以前的加密* nix文件夾的版本可能使某些系統無法使用,因此,即使不能阻止,也阻止了受害者支付贖金。如果罪犯需要解密受害者的數據,這也將減少罪犯的工作。 新奧爾良市從未披露過任何贖金要求。他們還表示,網絡攻擊造成的數據損失“非常小”,沒有支付贖金。關於事件的調查沒有更新。目前還沒有有關恢復過程成本多少的信息。無論網絡犯罪分子將這次攻擊視為成功還是失敗,都不太可能成為我們最後一次聽說的Ryuk...

于January 10, 2020發表在Computer Security

Quimera勒索軟件

安全專家發現了一個新的木馬,目的是對用戶的數據進行加密並勒索金錢。這種新威脅的名稱是Quimera Ransomware。在研究了Quimera Ransomware之後,研究人員注意到,這種新的數據鎖定特洛伊木馬與確實出現的另一種威脅Pashka Ransomware具有很大的相似性。為了獲得最大的損害,一旦Quimera Ransomware滲透到目標系統中,它將確保對盡可能多的數據進行加密。 傳播和加密 傳播勒索軟件威脅的網絡罪犯往往使用垃圾郵件來傳播其創作。通常,電子郵件將包含受感染的附件和旨在誘使用戶打開附件的欺詐性消息。洪流跟踪器,偽造的軟件更新和下載,偽造的盜版媒體以及應用程序也是分發勒索軟件威脅的最受歡迎的方法。一旦數據鎖定特洛伊木馬成功滲透到目標計算機,它將對存在於其上的文件進行加密。大多數勒索軟件威脅會在受影響的文件名的末尾附加一個擴展名,甚至完全擾亂它們的名稱。但是,Quimera勒索軟件的運行方式有所不同。該數據加密木馬不會更改受影響文件的名稱,這使用戶無法知道文件是否已被鎖定-確定此文件的唯一方法是嘗試執行相關文件。 贖金記錄 完成加密過程後,Quimera Ransomware會在用戶的桌面上放置贖金記錄。攻擊者的贖金消息包含在名為“ HELP_ME_RECOVER_MY_FILES.txt”的文件中。在贖金記錄中,攻擊者指出,將要求以0.04比特幣的形式索要贖金,在輸入此帖子時約為320美元。為了與攻擊者取得聯繫,受害者可以通過電子郵件-'unlockransomware@protonmail.com'與他們聯繫。 建議避免與惡意軟件作者進行任何通信。 Quimera Ransomware的創造者是網絡犯罪分子,不受信任。他們承諾用戶只要支付了要求的贖金就可以為他們提供解密工具,但不能保證網絡騙子會信守諾言。這就是為什麼考慮安裝真正的反惡意軟件解決方案更安全的原因,該解決方案將幫助您刪除Quimera...

于January 10, 2020發表在Ransomware

BitPyLock勒索軟件

全世界的網絡犯罪分子都對勒索軟件的威脅頗有興趣,因為它們通常被視為獲取收益的簡便方法,並且是誘騙無辜用戶的相當安全的方法,因為對犯罪者幾乎沒有任何負面影響。 BitPyLock勒索軟件是網絡上發現的最新數據鎖定特洛伊木馬之一。到目前為止,BitPyLock勒索軟件似乎主要針對企業,而不是常規用戶。但是,這並不意味著攻擊者將來不會改變其方法並選擇攻擊常規用戶。 傳播和加密 BitPyLock勒索軟件很可能通過虛假電子郵件傳播。網絡罪犯通常將垃圾郵件掩蓋為來自政府或大型公司的重要郵件。此類偽造的電子郵件往往包含欺詐性消息和損壞的附件。如果目標執行了損壞的附件,則BitPyLock Ransomware將滲透其係統。一旦破壞了目標,BitPyLock勒索軟件將掃描受害者係統上存在的數據。接下來,BitPyLock勒索軟件將觸發其加密過程並鎖定所有目標數據。請放心,所有常用的文件類型都將很快受到此威脅的鎖定-文檔,演示文稿,數據庫,檔案,電子表格,圖像,音頻文件等。所有加密文件都將在其文件名中添加新的擴展名-'.bitpy 。”例如,BitPyLock Ransomware完成加密過程後,最初名為“ silver-line.mp3”的文件將被重命名為“ silver-line.mp3.bitpy”。 贖金記錄 BitPyLock勒索軟件將其贖金記錄放在名為“#HELP_TO_DECRYPT_YOUR_FILES#.html”的用戶桌面上。犯罪分子向用戶解釋說,他們的數據已經過安全加密,如果他們想恢復其文件,則必須配合。勒索軟件的作者常常聲稱,嘗試使用免費解密工具解鎖文件的受害者最終會損壞文件。攻擊者要求以比特幣付款,因為使用加密貨幣代替了傳統的付款方式,這有助於網絡騙子保護其身份並避免因犯罪受到懲罰。對於BitPyLock勒索軟件,贖金為0.8比特幣(在撰寫本文時,約為6300美元)。作為交流的手段,BitPyLock...

于January 10, 2020發表在Ransomware

Olaldo.com

互聯網上總是有可疑的演員。一些威脅極大的網絡犯罪分子在該領域擁有豐富的經驗,而另一些則處於較低水平,因此不一定具有任何有害意圖。 Olaldo.com網站的運營商屬於第二類。 Olaldo.com頁面是偽造的頁面,其目的是說服其訪問者授予其顯示Web瀏覽器通知的權限。 推廣黑幕服務和劣質產品 許多假冒網站採用與Olaldo.com頁面相同的方法。諸如Olaldo.com網站之類的陰暗網站通過使用Web瀏覽器通知作為促銷各種產品的手段來賺錢。為了獲得顯示Web瀏覽器通知的權限,Olado.com頁面將要求其訪問者在啟動網站後立即單擊“允許”按鈕。當瀏覽器中的通知來自諸如Olaldo.com之類的不可靠來源時,瀏覽器中的通知不僅令人討厭,而且還可以誘騙用戶購買低質量的產品或虛假服務。可疑的廣告網絡與Olaldo.com網站和類似頁面攜手合作,以推廣諸如欺詐性贈品,成人娛樂,虛假約會平台等狡猾的服務和產品。沒有可信賴的廣告公司會希望與此類內容相關聯。這就是為什麼建議避免單擊Olaldo.com網站可能轟炸您的任何廣告的原因。...

于January 10, 2020發表在Browser Hijackers

麥克斯

接觸過Mcls.xyz頁面的用戶可能不會懷疑一開始有什麼陰暗的事情。在訪問Mcls.xyz網站後,將向用戶顯示似乎是搜索引擎的內容。嘗試使用頁面上的搜索服務的訪問者將被重定向到真正的俄語搜索引擎。 可能通過偽Adobe Flash更新提示傳播PUP 但是,進一步研究Mcls.xyz網站活動的網絡安全專家發現,有一些令人擔憂的跡象。該網站似乎與許多頁面相關聯,可為用戶提供虛假的“ Adobe Flash Update”提示。專家認為,這些虛假提示的目的是誘騙訪問者下載和安裝PUP(可能不需要的程序)。全世界的網絡騙子都傾向於使用偽造的Adobe Flash Player更新或下載來傳播不需要的軟件,甚至傳播高度威脅的應用程序。 避免參與Mcls.xyz網站的內容 經常瀏覽低質量網頁的用戶很可能會訪問Mcls.xyz網站。如果您偶然發現了Mcls.xyz網站,請確保避免與其任何內容進行交互,因為該網站不僅與PUP的傳播相關,而且還可能宣傳不可靠的內容。諸如Mcls.xyz網站之類的網頁通常與狡猾的廣告網絡合作,其目標是推廣價格過高,質量低劣的服務和產品,這些產品和服務遠非值得信賴的。...

于January 10, 2020發表在Browser Hijackers

警告! Ryuk解密器無法保證完全恢復

警告! Ryuk解密器無法保證完全恢復 screenshot

在過去的幾年裡, Ryuk勒索軟件已經臭名昭著,為其創建者支付了數億美元的贖金。 Ryuk勒索軟件針對私人和公共部門,使用AES和RSA組合對受感染網絡上的文件進行加密。 Ryuk勒索軟件持續取得成功的原因之一是,多年來,它的創造者一直沒有停止對其進行改進和發展。就在過去的一年中,我們已經看到Ryuk勒索軟件中添加了多個新功能,這使它成為比以前更大的威脅。 Ryuk具有部分加密文件的功能,但尚未充分記錄在案的新功能之一。每當Ryuk勒索軟件遇到大於54.4兆字節的文件時,它只會對文件的某些部分進行加密,以節省時間,並且在加密盡可能多的數據之前不會引起注意 。以這種方式加密的文件結尾處的頁腳稍有不同,通常會在其中存儲用於加密的RSA加密AES密鑰。 在Ryuk勒索軟件的最新版本之一中,對頁腳長度的計算方式進行了一些更改。結果,威脅者發送給支付贖金的受害者的解密器將截斷文件,從而在解密過程中切斷一個字節。根據文件類型的不同,這可能不是問題。有時,這些最後字節只是填充而已,不包含任何數據。但是,Oracle數據庫文件和某些虛擬磁盤類型文件(例如VHD / VHDX)在最後一個字節中存儲必需的數據,即使在解密後,這些文件也不可用。...

于January 13, 2020發表在Computer Security

垃圾工

大約在2019年底,惡意軟件研究人員發現了一種全新的數據擦除威脅。新發現的惡意軟件稱為Dustman,很可能是伊朗黑客團體的創建。眾所周知,伊朗的網絡罪犯對數據擦除器具有親和力,因為這種威脅類型可確保非常大量的破壞。 襲擊了巴林石油公司Bapco 面對一個名為Bapco的大型巴林石油公司,沙特曼(Dustman)數據清除器已經聲稱是一名高調受害者。一家沙特阿拉伯安全公司發現Bapco已成為先前未知的數據擦除程序的受害者。發現名為Dustman的新威脅後,全球許多其他網絡安全機構開始研究這種新型惡意軟件。通常,數據擦除器旨在通過永久刪除目標硬盤上存在的數據來造成盡可能多的損壞。 Dustman數據游標也不例外。 一旦這種威脅設法破壞了網絡,它就開始清除受害者硬盤驅動器上的數據。數據擦除器對大公司和政府機構構成威脅,尤其是因為它們傾向於在其服務器上存儲大量重要數據。據惡意軟件研究人員稱,Dustman數據游標與臭名昭著的Shamoon游標具有許多相似之處。 Shamoon數據清除程序也是伊朗黑客組織的創建。...

于January 9, 2020發表在Malware

DarkCrypt勒索軟件

許多網絡騙子選擇借用現有勒索軟件威脅的代碼,對其進行略微更改,然後分發以從勒索費用中獲得收入。但是,一些勒索軟件威脅的作者選擇模仿行之有效的,臭名昭著的數據鎖定特洛伊木馬,因為它們帶有一個可識別的名稱,很可能會在受害者心中引起恐懼。 DarkCrypt勒索軟件就是這種情況。乍一看,DarkCrypt勒索軟件似乎是臭名昭著的WannaCry Ransomware的副本。但是,事實並非如此,DarkCrypt勒索軟件不過是對高效且威脅極大的WannaCry Ransomware的模仿。幸運的是,DarkCrypt勒索軟件不像前面提到的威脅那樣具有破壞性。 傳播和加密 沒有關於DarkCrypt Ransomware分發中使用的傳播方法的確認。背後的網絡騙子可能正在使用洪流跟踪器,流行應用程序或媒體的虛假盜版副本,大規模垃圾郵件活動或欺詐性軟件下載和更新。當此文件加密木馬入侵主機時,它將掃描系統內容並找到所需的文件。接下來,DarkCrypt勒索軟件將觸發其加密過程並鎖定所有目標文件。 DarkCrypt勒索軟件為所有鎖定文件的名稱添加了新的擴展名-'[Filemgr@tutanota.com] [ ] .WannaScream。”結果是您命名為“ Persian-Cat.mp4”的文件將重命名為“ Persian-Cat.mp4 [Filemgr@tutanota.com] [ ] .WannaScream。” 贖金記錄 為了通知受害者其數據發生了什麼,攻擊者確保DarkCrypt Ransomware在用戶的桌面上放置了贖金記錄。 DarkCrypt勒索軟件創建者的勒索消息存儲在名為“ README.txt”的文件中。在說明中,勒索軟件威脅的作者清楚地表明,他們希望獲得以比特幣形式的勒索,並且為此,他們承諾提供解密密鑰,以幫助他們恢復數據。 。他們提供了一個錢包地址,以及一個用戶可以與他們聯繫的電子郵件地址-“ filemgr@tutanota.com”。...

于January 9, 2020發表在Ransomware

Somik1勒索軟件

有時,惡意軟件專家純粹出於教育目的而構成威脅,並公開提供該代碼,以期告知更多用戶某些惡意軟件的運行方式。但是,網絡犯罪分子通常將其視為一種機會,並藉用公開可用的代碼來造成破壞,並從無辜用戶的支持下獲得收入。這就是Somik1 Ransomware的作者所做的。此數據鎖定特洛伊木馬程序的創建者已使用HiddenTear Ransomware項目的代碼來構建Somik1 Ransomware。 傳播和加密 勒索軟件的許多作者都利用帶有損壞的附件,損壞的廣告,虛假的應用程序更新和下載以及其他流行的分發手段的垃圾郵件來傳播其討厭的創作。 Somik1 Ransomware成功滲透到系統後,它將掃描用戶的數據並找到將被加密的文件。此文件鎖定特洛伊木馬很可能能夠加密一長串文件類型–圖像,文檔,視頻,音樂,電子表格,演示文稿,檔案,數據庫和無數其他文件類型都無法通過Somik1 Ransomware安全。 Somik1 Ransomware對文件進行加密後,您會注意到它也更改了名稱。此數據加密木馬在受影響文件的名稱後附加了“ .somik1”或“ arnoldmichel2@tutanota.com”擴展名。這意味著,當名為“ pink-paw.gif”的文件經過加密時,將首先重命名為“ pink-paw.gif.somik1”或“ pink-paw.gif.arnoldmichel2@tutanota.com”。 Somik1勒索軟件。 贖金記錄 Somik1勒索軟件還會在受害者的桌面上放置贖金字樣。 Somik1 Ransomware作者的勒索消息包含在一個名為“ WARNING.txt”的文件和一個未指定名稱的“ .HTA”文件中。攻擊者在贖金消息中指出,嘗試使用第三方解密工具的用戶將損壞其文件。但是,沒有理由相信這一說法。相反,他們敦促受害者支付贖金,以換取將恢復其數據的解密密鑰。...

于January 9, 2020發表在Ransomware