邁克勒索軟件

最近檢測到的勒索軟件威脅之一稱為Mike Ransomware,它似乎是HildaCrypt Ransomware的變體。但是,HildaCrypt勒索軟件和Mike勒索軟件之間存在一個顯著差異。後者是偽裝成臭名昭著的STOP勒索軟件的副本。惡意軟件研究人員尚未確定Mike Ransomware的作者為什麼會採用這種不尋常的方法。 傳播和加密 尚不知道在此數據鎖定特洛伊木馬的傳播中採用了什麼感染媒介。包含受感染附件的垃圾郵件以及偽造的應用程序更新以及合法應用程序的虛假盜版副本是與勒索軟件威脅傳播相關的最受歡迎的傳播方法。當Mike Ransomware滲透到系統時,它將掃描存在的數據以找到文件,這些文件將在以後鎖定。一旦Mike Ransomware執行了加密過程,所有新鎖定的文件都將添加一個新的擴展名-'.mike'。這意味著,一旦加密過程完成,最初稱為“ nbg.mp3”的文件將被重命名為“ nbg.mp3.mike”。 贖金記錄 Mike Ransomware還刪除了一個名為“ _readme.txt”的贖金票據。幾乎所有屬於STOP勒索軟件系列的勒索軟件威脅都帶有名為“ _readme.txt”的勒索記錄,並且由於Mike Ransomware冒充STOP Ransomware變種,因此攻擊者選擇採用相同的名稱。在說明中,攻擊者要求支付980美元的費用。但是,他們還聲稱,在襲擊發生後72小時內與他們取得聯繫的受害者將獲得50%的折扣,贖金將降至490美元。像往常一樣,贖金必須採用比特幣的形式,因為這有助於網絡騙子保持匿名。 Mike Ransomware的作者甚至使用了大多數STOP Ransomware變體使用的相同電子郵件地址-“ gorentos@bitmessage.ch”和“ gerentoshelp@firemail.cc”。 如果您是Mike Ransomware的受害者,請不要擔心,因為它不是STOP...

于October 20, 2019發表在Ransomware

HildaCrypt勒索軟件

2019年10月初,網絡安全研究人員發現了一個新的文件鎖定木馬。它的名字叫HildaCrypt Ransomware。 HildaCrypt勒索軟件採用與大多數勒索軟件威脅相同的方法。它掃描滲透的系統以找到感興趣的文件,使用加密算法鎖定目標數據,然後要求付款以換取解密密鑰,該密鑰用於解鎖受影響的文件。 傳播和加密 傳播HildaCrypt Ransomware所使用的方法仍然未知。對於HildaCrypt勒索軟件,最流行的傳播勒索軟件威脅的方法可能正在發揮作用,例如欺詐性應用程序更新,流行軟件解決方案的偽造盜版副本以及大規模垃圾郵件活動。 HildaCrypt勒索軟件滲透並掃描目標系統後,它將觸發其加密過程。一旦HildaCrypt勒索軟件鎖定了文件,它將在文件名的末尾附加一個新的擴展名-.HILDA。因此,如果您有一個名為“ aged-gold.jpeg”的圖像,則加密後,HildaCrypt勒索軟件將其名稱更改為“ aged-gold.jpeg.HILDA”。 贖金記錄 HildaCrypt勒索軟件在受害者的桌面上放了一個名為“ READ_IT.txt”的贖金票據。使用所有大寫字母命名勒索筆記是大多數勒索軟件作者的常用方法。通常這樣做是為了引起用戶的注意,並確保他們閱讀了攻擊者的消息。 HildaCrypt勒索軟件的創建者沒有提及特定的贖金費用。但是,他們堅持要求受害者通過電子郵件與他們聯繫-“ hildaseriesnetflix125@tutanota.com”和“ hildaseriesnetflix125@horsefucker.org”。 我們建議您不要與此類最新數據加密木馬背後的網絡犯罪分子聯繫。這類狡猾的演員經常張開牙齒,幾乎從不向受害者提供他們承諾的解密密鑰。更好的方法是下載並安裝合法的防病毒應用程序,並使用它盡快從計算機中刪除HildaCrypt...

于October 20, 2019發表在Ransomware

Bora勒索軟件

網絡安全專家檢測到越來越多的勒索軟件威脅在網絡上傳播。其中一些是項目,這些項目是從頭開始構建的,而另一些則是已經存在且已建立好的文件鎖定特洛伊木馬的副本。 傳播和加密 Bora Ransomware是最近檢測到的數據加密木馬之一。這個新發現的威脅屬於臭名昭著的STOP Ransomware家族。研究Bora勒索軟件的專家無法查明與該勒索軟件威脅的傳播有關的感染媒介。通常,文件鎖定特洛伊木馬程序通過垃圾郵件活動來傳播。有時,勒索軟件的作者還選擇使用偽造的軟件更新和流行應用程序的欺詐性盜版變種。像大多數此類威脅一樣,Bora Ransomware在設法危害系統後立即運行快速掃描。這是為了確定威脅已針對的文件位置。完成此步驟後,Bora Ransomware將開始攻擊的下一個階段。加密過程。所有鎖定的文件將被賦予一個新的擴展名-'.bora'。例如,加密過程完成後,名為“ fishtank.jpeg”的文件將重命名為“ fishtank.jpeg.bora”。 贖金記錄 在攻擊的最後一步,Bora Ransomware刪除了一個名為“ _readme.txt”的贖金字樣,其中指出: '注意! 不用擔心,您可以返回所有文件! 您的所有文件(例如照片,數據庫,文檔和其他重要文件)都將使用最強的加密和唯一的密鑰進行加密。 恢復文件的唯一方法是為您購買解密工具和唯一密鑰。 該軟件將解密您所有的加密文件。 你有什麼保證? 您可以從PC發送加密文件之一,而我們將免費對其進行解密。 但是我們只能免費解密1個文件。文件中不得包含有價值的信息。 您可以獲取並查看視頻概述解密工具: https://we.tl/t-sTWdbjk1AY 私鑰和解密軟件的價格為980美元。 如果您在72小時內聯繫我們,可享受50%的折扣,這就是您的價格為490美元。 請注意,如果不付款,您將永遠無法恢復數據。...

于October 20, 2019發表在Ransomware

電信機器人

TeleBots APT(高級持續威脅)被認為起源於俄羅斯聯邦。雖然,此信息尚待確認。惡意軟件專家確定,某些TeleBots成員還可能參與了其他黑客組織(如GreyEnergy , Sandworm團隊和BlackEnergy)發起的威脅活動。人們普遍認為,TeleBots黑客組織早在2015年就參與了針對烏克蘭電網的臭名昭著的網絡攻擊。這一活動意義重大,特別是因為它是此類攻擊中的第一個,大規模的黑客攻擊導致完全停電根本不常見。 2017年,TeleBots集團還追趕位於烏克蘭的與行業和金融相關的目標。 TeleBots APT創建了Petya Ransomware和NotPetya Ransomware 在2015年競選活動結束後,TeleBots黑客組織已停止使用BlackEnergy威脅。但是,自那時以來,他們已將新工具引入其黑客庫。 TeleBots小組被認為是臭名昭著的Petya Ransomware和NotPetya Ransomware的幕後黑手。惡意軟件研究人員估計,僅NotPetya勒索軟件已對各種企業和公司造成了超過100億美元的損失。大多數勒索軟件威脅會加密目標文件,但Petya Ransomware和NotPetya Ransomware會追隨硬盤驅動器的MBR(主啟動記錄),這使得從攻擊中恢復(即使有可能)極其困難,除非操作員威脅決定協助您。 KillDisk勒索軟件 除了Petya Ransomware和NotPetya Ransomware之外,TeleBots黑客組織還開發了另一種討厭的有害生物-KillDisk Ransomware 。 KillDisk...

于October 20, 2019發表在Malware

灰色能源

GreyEnergy APT(高級持久威脅)被認為是被稱為BlackEnergy APT的具有破壞性的黑客組織的繼任者。網絡安全專家認為這兩個黑客組織有關聯的原因有幾個: 當BlackEnergy APT從網絡犯罪世界中消失時,GreyEnergy黑客組織就出現了。 GreyEnergy和BlackEnergy APT都傾向於使用靈活,輕量級的黑客工具來操作,這些工具易於修改和控制。 兩個黑客組織的大部分努力都集中在波蘭和烏克蘭。 它們都傾向於針對關鍵部門,例如工業或能源相關機構。 GreyEnergy和BlackEnergy APT構建和使用的基礎設施似乎密切相關。 改變方法 但是,似乎同時屬於這兩個黑客集團的個人似乎已經改變了策略。在大多數情況下, BlackEnergy以其極具破壞性的趨勢而聞名,並且似乎不太在乎隱藏其軌跡或放置在低谷上。這與GreyEnergy APT所採用的方法完全相反。他們要更加謹慎,以免受到惡意軟件研究人員的監視,而且它們傳播的威脅噪聲和破壞性也較小。已經註意到,GreyEnergy集團開展的許多活動都涉及一個微型後門特洛伊木馬,該木馬被用作攻擊者向滲透主機上施加更強大威脅的網關。為了確保他們的威脅盡可能安靜地運行,GreEnergy APT一直在利用無文件惡意軟件。此外,GreyEnergy黑客小組一直在研究多個“惡意軟件清除程序”。這些工具使惡意軟件操作員能夠擦除可能殘留在受害者係統上的有害活動的任何痕跡。 過去,BlackEnergy小組的目標是大肆破壞,而今天開始運作的GreyEnergy APT主要集中在間諜活動上。一旦GreyEnergy小組滲透到系統中,他們很可能會停留在低位,並通過記錄擊鍵,拍攝桌面屏幕快照,提取感興趣的文件,收集文檔,收集登錄憑據和其他數據來從主機收集信息。有時,GreyEnergy APT不會使用私人開發的黑客工具,而是會使用公開可用的正版應用程序,例如Mimikatz...

于October 20, 2019發表在Malware

減速器

Turla APT(高級持久威脅)是來自俄羅斯的惡意黑客團體。它們也被稱為Uroboros,Snake,Waterbug和Venomous Bear。 Turla APT在網絡犯罪領域非常流行,並且多年來進行了許多破壞性的黑客活動。一些惡意軟件研究人員認為,黑客組織可能是由克里姆林宮贊助的,但這一信息尚未得到證實。他們的大多數戰役都集中在白俄羅斯和烏克蘭等前蘇聯國家,但他們也已在伊朗開展了行動。 Relator RAT(遠程訪問木馬)是Turla APT相當龐大的武庫中的一種黑客工具。據信,Reducor RAT是COMpfun威脅的升級版本。 COMpfun Trojan的主要目的是用作第一階段的有效載荷,而Reductor RAT則進一步配備了武器,對潛在受害者構成了更大的威脅。 監視受害者的TLS流量 研究人員認為,Reducor RAT可能會通過文件共享網站進行傳播。但是,大多數相關文件已從這些平台上刪除,這意味著研究此威脅相當困難。惡意軟件專家設法從該威脅受到威脅的系統中檢索了一些與Reductor RAT有關的數據,因此設法了解了更多有關該木馬的信息。他們發現,Reductor RAT能夠用非法副本替換瀏覽器安裝程序可執行文件,並且可以危害TLS流量並重定向到受損的主機。攻擊者通過添加唯一的基於硬件和軟件的標識符來確保用戶的句柄是個性化和可追溯的。這樣,即使流量仍被加密,因此也可以將其監視目標服務器的網絡流量,因此不能將其視為數據洩漏。 如果受害者嘗試下載文件,則Reductor RAT能夠用損壞的二進製文件替換所需的文件。研究人員已經確定,Reducor RAT的運營商尚未利用威脅的這種功能,但是它隨時準備就緒,可以隨時使用。 其他減速器RAT功能 減速器RAT的其他一些功能包括: 收集有關受害者軟件和硬件的信息。 發出遠程命令。 列出並控制正在運行的進程。 能夠運行上載和下載的文件。 捕獲桌面和選項卡的屏幕截圖。 Turla...

于October 20, 2019發表在Remote Administration Tools

Muhstik勒索軟件

名為Muhstick Ransomware的威脅的作者對其威脅進行了輕微修改。但是,它仍然與它所基於的勒索軟件變種相似。 Muhstick Ransomware似乎是eCh0raix Ransomware和QNAPCrypt Ransomware的變體。這些文件加密木馬均以QNAP NAS(網絡連接存儲)設備為目標。通常,用戶可以將重要數據或敏感信息存儲在NAS設備上,因為它們被認為比將數據通常保存在一個硬盤上更為安全。 一旦Muhstick Ransomware滲透到NAS設備,它將開始對存儲在其中的所有信息進行加密。接下來,放置一個名為“ README_FOR_DECRYPT.txt”的贖金票據,供受害者閱讀。與大多數勒索軟件威脅一樣,Muhstick Ransomware作者會要求受害者支付一筆可觀的贖金。通常,勒索軟件的創建者要求以比特幣的形式支付贖金,因為這有助於他們保持匿名。 免費提供超過2,800個解密密鑰 最近,德國開發人員的系統被Muhstick Ransomware感染。用戶似乎已被該勒索軟件威脅鎖定了關鍵數據,並決定最好支付攻擊者要求的670歐元勒索費用。但是,軟件開發人員並未止步於此。他決定投入一些時間和精力來研究Muhstick Ransomware,並遇到了一些問題,最終幫助了許多其他處於相同情況的用戶。在進行與Muhstick Ransomware相關的研究時,開發人員設法訪問了攻擊者的數據庫,該數據庫似乎持有為遭受受害者攻擊的每個人生成的所有解密密鑰。 該數據庫包含2800多個解密密鑰。收集密鑰後,開發人員將所有密鑰都上傳到Pastebin.com上並公開提供。這意味著任何成為Muhstick Ransomware受害者的人都可以免費解密其數據。此外,由於Muhstick Ransomware基於QNAPCrypt Ransomware和eCh0raix...

于October 20, 2019發表在Ransomware

Reco勒索軟件

文件加密木馬仍然是任何網絡犯罪分子工具包中最重要的部分–這些破壞性的網絡威脅是匿名網絡騙子的完美勒索工具,因為它們通過將受害者的文件作為人質來給他們提供了非常強大的討價還價籌碼。不幸的是,從勒索軟件攻擊中恢復通常是一項不可能的任務,受害者最終不得不向攻擊者尋求永遠免費提供的幫助。 Reco Ransomware是值得關注的最新文件鎖定器之一,對其行為的更深入分析表明,它並不是一個全新的威脅–它基於STOP Ransomware項目,並使用相同的文件加密例程破壞受害者的檔案。 Reco Ransomware的作者用來傳播其威脅程序的發行技術可能會有所不同–他們的一些首選技巧是: 包含偽造附件的網絡釣魚電子郵件。 在warez網站上託管的文件。 盜版軟件和媒體。 通過惡意廣告活動宣傳的虛假下載和更新。 搞混不可靠的數字內容不是一個好主意,因此我們建議您避免從torrent跟踪器或其他不可靠來源下載程序和媒體。此外,您永遠不應依賴安全的瀏覽習慣來獨自保留勒索軟件-建議您購買信譽良好的網絡安全軟件套件,以使潛在有害文件遠離計算機。 Reco勒索軟件會長期損壞您的文件-備份可能是唯一的救助方案 由於這種文件鎖定器能夠加密多種文件格式並使其內容無法訪問,因此無法阻止Reco Ransomware的攻擊將帶來災難性的後果。為Reco Ransomware的每個受害者隨機生成完成數據解密過程所需的信息,並將其傳輸到勒索軟件作者擁有的控制服務器。他們提供了將這些關鍵信息出售給受害者的服務,但價格卻相當高-前72小時為490美元,此後為980美元。自然,Reco Ransomware背後的騙子要求通過比特幣交易接收付款,因為這可以保留其匿名性,也使受害者無法撤消交易。可以在文件'_readme.txt'中找到攻擊者消息的完整版本,該文件應該存在於被Reco Ransomware感染的所有計算機上。...

于October 20, 2019發表在Ransomware

APT35

APT35(高級持續威脅)是一個黑客團體,據信源於伊朗。這個黑客組織也以其他幾個別名而聞名-新聞廣播員團隊,磷,可愛的小貓和Ajax安全團隊。 APT35黑客組織通常參與出於政治動機的活動和出於經濟動機的活動。 APT35黑客組織傾向於將精力集中在針對人權活動家的參與者,各種媒體組織以及主要的學術領域。大多數運動在美國,以色列,伊朗和英國進行。 熱門APT35活動 APT35最臭名昭著的一項操作是於2017年針對HBO進行的一項操作。其中,APT35洩漏了超過1TB的數據,其中包括員工的個人詳細信息和節目,尚未正式發布。另一個臭名昭著的APT35戰役使之成為現實,其中還涉及美國空軍叛逃者。有關個人協助APT35訪問機密政府數據。 2018年,APT35小組建立了一個網站,該網站旨在模仿一家合法的以色列網絡安全公司。唯一的區別是假網站的域名稍有變化。該活動幫助APT35獲得了該公司某些客戶的登錄詳細信息。最近一次臭名昭著的活動涉及APT35,該活動已於2018年12月進行。在此行動中,APT35小組以“ Charming Kitten”的別名活動。這次行動針對的是在經濟制裁以及當時對伊朗實施的軍事制裁方面具有影響力的各種政治活動家。 APT35小組冒充與目標相同領域的高級專業人員。攻擊者使用量身定制的網絡釣魚電子郵件,其中包含偽造的附件以及虛假的社交媒體資料。 APT35的DownPaper惡意軟件 DownPaper工具是後門特洛伊木馬,主要用作第一階段的有效負載,並具有以下功能: 與攻擊者的C&C(命令和控制)服務器建立連接,並接收要在滲透主機上執行的命令和有害有效負載。 通過篡改Windows註冊表獲得持久性。 收集有關受感染系統的信息,例如硬件和軟件數據。 執行CMD和PowerShell命令。...

于October 10, 2019發表在Malware

APT28

APT28(高級持續威脅)是一個起源於俄羅斯的黑客組織。他們的活動可以追溯到2000年代中期。惡意軟件研究人員認為,APT28小組的活動是由克里姆林宮資助的,因為它們通常針對外國政治人物。 APT28黑客組織最著名的名稱是Fancy Bear,但在其他各種別名下也被認可-Sofacy Group,STRONTIUM,Sednit,Pawn Storm和Tsar Team。 花式熊進行的臭名昭著的黑客運動 專家認為,花式熊參與了2016年民主黨全國委員會的黑客攻擊,有些人認為這對同年舉行的總統選舉的結果有一定影響。同年,由於涉及俄羅斯運動員的醜聞,花式熊組織也將目標對準了世界反興奮劑機構。 Fancy Bear獲得的數據隨後被發布並公開提供。數據顯示,一些興奮劑測試呈陽性的運動員後來被豁免。世界反興奮劑機構的報告指出,非法物質是用於“治療用途”的。在2014年至2017年期間,Fancy Bear小組參與了針對美國,俄羅斯,烏克蘭,波羅的海國家和摩爾多瓦的媒體名人的各種運動。花式熊追捕在媒體公司工作的個人以及獨立記者。所有目標都參與了在烏克蘭東部發生的俄羅斯與烏克蘭衝突的報導。在2016年和2017年,德國和法國舉行了大選,花式熊集團也很可能也將手指放在這些餡餅上。兩國官員報告說,使用魚叉式網絡釣魚電子郵件作為感染媒介的運動已經開展,但他們表示,黑客攻擊沒有任何後果。 花式熊的工具 為了逃避網絡安全研究人員的窺探,Fancy Bear黑客小組確保確保定期更改其C&C(命令和控制)基礎結構。該小組擁有一系列令人印象深刻的黑客工具,它們是私人開發的-X-Agent,Xtunnel,Sofacy,JHUHUGIT,DownRange和CHOPSTICK。通常,Fancy Bear而不是直接傳播,而是更喜歡將其惡意軟件託管在第三方網站上,這些網站是他們用來模仿合法頁面來欺騙受害者的。...

于October 10, 2019發表在Malware

Potao Express

Potao Express是一個黑客團體,以他們開發的兩種工具(FakeTC和Potato)而聞名。該黑客組織自2011年以來一直活躍,但自2017年以來,惡意軟件研究人員一直在密切觀察其活動。 假TC FakeTC惡意軟件是稱為“ TrueCrypt”的合法工具的欺詐副本。 FakeTC惡意軟件的作者正在使用俄羅斯網站進行傳播。攻擊者僅選擇他們所針對的某些用戶,只有這些目標會收到FakeTC惡意軟件,而所有其他用戶將獲得真正的應用程序TrueCrypt。這樣,FakeTC惡意軟件的創建者更有可能受到安全專家的監視。 FakeTC威脅為攻擊者提供了有關受害者的信息。 FakeTC惡意軟件的作者還能夠在滲透的主機上執行其他任務。傳統上,FakeTC惡意軟件被部署為第一階段的有效負載。 寶濤 Potao威脅是一個後門特洛伊木馬,它使攻擊者能夠在受感染計算機上植入其他惡意軟件。這可以通過執行系統上已經存在的文件或從Web下載並執行文件來實現。 Potao副本往往是由FakeTC威脅提供的。 自2011年以來變化不大 Potao Express黑客組織使用的首批工具之一是Potao惡意軟件,該軟件自2011年以來一直是其武器庫的一部分。PotaoExpress組織傾向於將工作重點集中在前蘇聯國家(烏克蘭,俄羅斯,白俄羅斯)的目標上和佐治亞州。但是,Potao Express黑客組織似乎主要針對位於烏克蘭的媒體公司和軍事機構。 Potao Express小組背後的人員還針對一個名為MMM的組織,該組織在俄羅斯和烏克蘭經營龐氏騙局。眾所周知,Potao Express黑客組織使用了帶有損壞鏈接的虛假SMS消息。該鏈接偽裝成一個交付跟踪網站。但是,這並不是Potao黑客組織採用的唯一感染媒介,因為他們傾向於定期更改其傳播方式。 Potao Express小組已經運作了至少八年,但他們的活動相距甚遠,以致於惡意軟件研究人員無法更好地了解活動背後的人員。有人猜測Potao...

于October 10, 2019發表在Malware

精力充沛的熊

精力充沛的熊是一個被視為APT(高級持續威脅)的黑客組織。這個黑客組織也以另外兩個別名而聞名:蹲伏的雪人和蜻蜓。精力充沛的熊傾向於瞄準工業部門以及能源部門的高級人才。充滿活力的熊組通常會隨著時間改變其偏好區域。總的來說,他們的大多數目標都集中在美國和歐洲,但是在2016年和2017年,他們的大部分努力都集中在土耳其。 大多數目標都在工業和能源領域內運作 精力充沛的熊傾向於使用各種攻擊性技術以及極富創造力的方法將惡意軟件傳播到預定目標。 Energetic Bear通常會破壞服務器並將其轉變為損壞的主機,這會傳播可執行代碼以在訪問受感染網站的用戶的系統上運行。這就是所謂的水坑攻擊。 Energetic Bear使用的另一種攻擊技術是將受損的系統用作其C&C(命令與控制)基礎結構的一部分。這些被劫持的設備然後用於轉儲收集的數據和日誌。 活力熊使用的工具 充滿活力的熊小組採用了一系列公開可用的軟件解決方案: 細分。 拍板 PHPMailer。 混合。 Wpscan。 子清單3r。 Sqlmap。 Nmap。 SMBTrap。 Dirsearch。 充滿活力的熊小組使用Wpscan應用程序檢測遠程WordPress網站上可能存在的任何潛在漏洞。為了通過SMB協議定位任何數據,黑客小組採用了SMBTrap工具。可以使用同一應用程序收集受害者的密碼NTML哈希。如果他們在這項工作中取得了成功,則攻擊者可以在以後執行哈希傳遞攻擊。 精力充沛的熊在其戰役中使用PHP Shell 當Energetic Bear設法破壞主機時,只要係統連接到Internet,他們就可以在其上植入特定的Web Shell(PHP)。這些PHP Shell的主要目的是允許其操作員在受感染的計算機上執行遠程命令。這使攻擊者幾乎可以完全控制受感染的系統。在研究與Energetic Bear操作鏈接的PHP文件時,網絡安全研究人員發現,攻擊者可能使用網絡釣魚電子郵件活動來傳播惡意軟件。...

于October 10, 2019發表在Malware

Kuub勒索軟件

所有可疑的個人都試圖跳上“勒索軟件”的火車,因為文件鎖定特洛伊木馬程序被視為一種快速簡便的方式,可以在毫無戒心的在線用戶的基礎上獲得一定的收入。大多數勒索軟件威脅以類似的方式運行-用戶系統感染木馬病毒,該木馬程序立即執行掃描,查找感興趣的文件,然後加密過程鎖定目標數據,最後,威脅將丟棄勒索信息。 傳播和加密 Kuub勒索軟件是最近發現的數據加密木馬之一,它不會偏離前面解釋的路徑。 Kuub勒索軟件屬於廣受歡迎的STOP勒索軟件家族。尚不清楚攻擊者在Kuub Ransomware的傳播中採用了哪些感染媒介。一些專家推測,包含感染附件,虛假應用程序更新以及流行軟件的假冒盜版變種的垃圾郵件可能是攻擊者使用的傳播方法之一。當Kuub Ransomware滲透到主機時,它將對其進行掃描,並在觸發加密過程後不久。完成此步驟後,您會注意到Kuub Ransomware已將新的擴展名附加到鎖定的文件“ .kuub”。這意味著您將文件鎖定特洛伊木馬命名為“ nocturnal-creatures.jpeg”,該文件將重命名為“ nocturnal-creatures.jpeg.kuub”。 贖金記錄 Kuub勒索軟件在用戶桌面上留下了贖金記錄。註釋的名稱為“ _readme.txt”。註釋中的消息指出,贖金為比特幣形式的490美元。但是,攻擊者警告說,除非在72小時內支付贖金,否則價格會翻一番,達到980美元。 Kuub Ransomware的作者要求通過電子郵件“ gerentoshelp@firemail.cc”和“ gorentos@bitmessage.ch”與他們聯繫。 您應該忽略負責Kuub Ransomware的網絡騙子的要求。試圖與這樣的陰暗人士討價還價沒有什麼好處。相反,請考慮下載並安裝合法的反惡意軟件解決方案,這將幫助您從系統中安全刪除Kuub...

于October 10, 2019發表在Ransomware

'Winlogui.exe'礦工

全球有幾位用戶報告說,他們的系統上運行著未知進程。有問題的進程是“ Winlogui.exe”。 “ Winlogui.exe”的創建者已確保在名稱中添加“ Win”部分,該部分通常表示合法的Windows相關進程,並且不會引起任何懷疑。但是,事實並非如此。 “ Winlogui.exe”進程表明存在加密貨幣礦工。加密貨幣礦工使用大量的CPU往往會對主機產生負面影響,從而導致整個系統運行緩慢和性能不佳。在其係統上植入了加密貨幣礦工的用戶可能會極大地影響其瀏覽質量。邪惡的參與者在目標系統上植入了加密貨幣礦工,以自己創造現金,同時還使用大量電力並縮短了滲透設備的使用壽命。 傳播方式 惡意軟件研究人員無法查明'Winlogui.exe'Miner傳播背後的確切傳播方法。攻擊者可能使用了惡意廣告活動,盜版應用程序以及媒體,偽造的軟件更新,洪流跟踪器等。 自我保存技術 例如,“ Winlogui.exe”礦工的作者確保了他們的威脅能夠檢測到用戶何時嘗試使用鏈接到系統性能分析的應用程序,例如Windows Task Manager。如果檢測到此類活動,“ Winlogui.exe”礦工將停止活動,以使用戶不會注意到正在使用多少額外的CPU,並會發現某些信息不正確。該礦工還篡改Windows註冊表,以確保每次重新引導系統時都會啟動損壞的可執行文件。為了強制在Windows啟動時啟動該礦機,將鏈接器文件(.lnk)添加到啟動目錄,該文件鏈接到“ Winlogui.exe”。 如果您發現系統性能不佳,請使用性能分析工具找出問題所在。但是,像“...

于October 10, 2019發表在Trojans

檸檬鴨

惡意軟件研究人員繼續發現採用各種加密劫持惡意軟件的威脅性活動越來越多。最新發現是Lemon_Duck威脅。看來,大多數涉及這種加密劫持惡意軟件的活動最初都集中在亞洲。但是,此後,Lemon_Duck惡意軟件已遍及全球,每天都在造成越來越多的受害者。 Lemon_Duck威脅的作者似乎主要針對公司,因為這通常比追求普通用戶更有利可圖。 Lemon_Duck威脅的創建者旨在破壞盡可能多的系統,建立一個加密貨幣礦工,並利用受感染主機的處理能力來挖掘加密貨幣。當然,所有現金都將轉移到攻擊者的加密貨幣錢包中。 蠻力攻擊 Lemon_Duck的目標是連接到Web的知名不安全服務(包括Microsoft SQL(MS-SQL))感染主機。此威脅檢查兩個已知的Web服務SMB(445),MS-SQL(1433),以及在感染主機時默認情況下運行Lemon_Duck的一個Web服務。 Lemon_Duck威脅使用密碼執行蠻力攻擊,試圖將其強制進入目標主機。再次執行與前面提到的蠻力攻擊類似的操作,除了這次,攻擊者使用散列來獲取對目標NTLM(NT Lan機器)服務的訪問權限。 當Lemon_Duck惡意軟件設法滲透到系統時,它可以: 用惡意LNK文件破壞USB驅動器。 以易受攻擊的Samba服務為目標,並利用EternalBlue漏洞在主機之間傳播。 嘗試使用蠻力字典攻擊向RDP授權。 收集有關主機的信息 為了對受感染的主機保持持久性,Lemon_Duck威脅向Windows啟動文件夾中添加了一個“ lnk”文件。除了通過滲透系統中植入的加密貨幣挖礦機來挖掘加密貨幣之外,Lemon_Duck惡意軟件還可以使用WMI(Windows管理規範)服務來執行遠程命令。 Lemon_Duck惡意軟件可確保連接到攻擊者的C&C(命令與控制)服務器,並每小時向他們提供信息。 Lemon_Duck威脅正在竊取其操作員的信息包括有關受感染系統上存在的用戶帳戶的數據以及軟件和硬件信息。...

于October 10, 2019發表在Malware