“ChaosCC Hacker Group”電子郵件欺詐

在線上一些邪惡的演員是非常熟練的人,具有令人難以置信的引起混亂的能力。然而,其他能力遠遠不及其他人的人,往往依靠社會工程技術快速賺錢。 “ ChaosCC Hacker Group”電子郵件欺詐就是這種情況。負責此策略的個人假裝是一個名為“ ChaosCC Hacker Group”的威脅性黑客組織。但是,不存在這樣的黑客組織,所有這些都假裝使用戶感到恐懼,因為他們已經成為一些殘酷無情的個人的受害者,這些個人現在掌握了命運。 “勒索”計劃 “ ChaosCC Hacker Group”策略是通過偽造的垃圾郵件進行的。在電子郵件中,攻擊者聲稱當他們在取悅自己的同時在線欣賞一些成人娛樂視頻時,已經通過網絡攝像頭記錄了該用戶。 “ ChaosCC Hacker Group”電子郵件騙局的作者還指出,他們已在用戶系統上植入了其他間諜軟件,這有助於他們收集有關它們的更多數據。更糟的是,攻擊者還聲稱已獲得用戶的聯繫人列表及其社交媒體好友列表的訪問權限。他們繼續說,除非用戶以比特幣的形式向他們支付700美元,否則這個尷尬的視頻將被發送給他們的所有朋友,家人和同事。然後,通知用戶他們只有60個小時來支付費用,否則該死視頻將在他們的聯繫人列表中分發。這是在線欺詐者常用的方案,通常稱為“勒索”。 您會很高興知道大多數“勒索”方案都是騙局。這意味著攻擊者在聲稱擁有用戶記錄時通常會張開牙齒,而且值得慶幸的是,“ ChaosCC Hacker...

于October 10, 2019發表在Adware

Zestradar.com

如今,大多數Web瀏覽器都具有“網站通知”功能。許多網頁會要求您允許它們發送通知,而某些網頁可能非常有用。例如,網站會在您的心願單上的商品獲得折扣時通知您,網頁會為您提供最新的最新新聞報導,或者流媒體平台會在您最喜歡的創作者上線時通知您。但是,並非所有請求通知權限的網站都將為您提供優質的內容。某些用戶,例如Zestradar.com網站,將改為利用此許可權,並不斷向您發送垃圾郵件,並向您發送垃圾郵件。 轟炸用戶通知 Zestradar.com網頁似乎是一個低質量的網站,其中包含有關各種主題的博客文章。 Zestradar.com網站涵蓋的一些主題是小工具,設計,電影,旅行等。但是,正如我們提到的,此網頁上的內容質量很低,我們可以向您保證,您可以找到更好的信息來源。比Zestradar.com當然好。瀏覽Zestradar.com網站的用戶將被要求授予頁面發送瀏覽器通知的權限。如果用戶同意,則Zestradar.com網頁將毫不猶豫地開始用有關帖子的通知轟炸他們。這樣做是希望用戶隨後單擊該通知並重定向到Zestradar.com網站。這樣,Zestradar.com網頁的創建者就可以通過點擊和點擊量產生廣告收入。這個可疑網站背後的人甚至走得更遠,並使用了可疑的廣告網絡服務,這將確保即使不瀏覽網頁的用戶也會收到提示,要求他們允許Zestradar.com頁面進行通知。 值得慶幸的是,Zestradar.com網站似乎並未宣傳其他狡猾的內容。許多與Zestradar.com相似的網頁都傾向於推送諸如成人娛樂網站,假贈品和可疑賭博平台之類的可疑內容。...

于October 10, 2019發表在Browser Hijackers

MasterMana殭屍網絡

MasterMana殭屍網絡活動首次發現於2018年底。自那時以來,惡意軟件研究人員估計,受此威脅侵害的系統約為3,000個。在運行了這麼長時間之後,人們可能會認為MasterMana殭屍網絡將包含大量受感染的系統。但是,此活動不是開玩笑,因為攻擊者利用了高端RAT(遠程訪問特洛伊木馬),這使他們幾乎可以完全接管受感染的系統。 定位企業 MasterMana殭屍網絡的創建者使用包含受感染的“ .DLL”文件的垃圾郵件將威脅發送給目標。看來MasterMana殭屍網絡的運營商並不會追隨普通用戶,而是會瞄準公司。他們使用一種稱為網絡釣魚的技術,這意味著採用了各種社交工程方法來確保用戶將執行攻擊者希望的操作。在MasterMana殭屍網絡的情況下,將針對他們量身定制發送給目標企業的電子郵件。 設置MasterMana殭屍網絡成本不到$ 200 網絡安全專家評估過,運行MasterMana殭屍網絡的網絡騙子很可能幾乎沒有花任何錢來建立自己的網絡。他們僱用了兩個特洛伊木馬(即AZORult和RevengeRAT ),它們總共花費約100美元,並且還租用了不超過60美元的VPS(虛擬專用服務器)。 競選中使用的兩個RAT AZORult後門特洛伊木馬可以歸類為間諜軟件,因為它能夠收集登錄憑據,Cookie,瀏覽器歷史記錄甚至是加密貨幣錢包。 RevengeRAT是一種威脅,通常被用作第一階段的有效負載,並為攻擊者在目標主機上植入其他惡意軟件鋪平了道路。此外,RevengeRAT還可以收集有關主機的信息並執行遠程命令。 不使用遠程C&C服務器 大多數操作殭屍網絡的騙子通常都是通過遠程C&C(命令與控制)服務器來這樣做的。但是,MasterMana殭屍網絡的創建者將其內容託管在Pastebin,Blogspot和Bitly上。當MasterMana惡意軟件入侵主機時,它將從這些平台之一中獲取損壞的有效負載,對其解密,然後在主機上執行。...

于October 10, 2019發表在Botnets

“Jeanson J. Ancheta”電子郵件欺詐

並非所有網絡犯罪分子都像我們有時傾向於感知它們那樣聰明和有能力。他們往往更多地依靠我們的天真和無知,而不是依靠自己的技術技能,將利爪沉入我們的錢包。 “ Jeanson J. Ancheta”電子郵件騙局就是這種情況。 使用臭名昭著的黑客的名字來恐嚇用戶 通過調查此操作,惡意軟件專家發現其背後的可疑人員似乎是一個低端黑客團體。他們使用了臭名昭著的美國黑客Jeanson James Ancheta的名字。他因經營殭屍網絡已入獄五年。 “簡森·安切塔(Jeanson J. Ancheta)”策略的作者可能使用了臭名昭著的網絡騙子的名字作為一種社會工程技術。他們依靠這樣的事實,即用戶將使用Google的名稱,並可能認為他們已經成為像Jeanson James Ancheta這樣極具威脅性和高知名度的網絡犯罪分子的受害者,這反過來又使他們更有可能付錢。要求的費用。但是,當Ancheta級別的網絡騙子發起惡意活動時,將永遠不會使用其真實姓名。 聲稱擁有一部由用戶主演的有損視頻 “ Jeanson J. Ancheta”電子郵件騙局的作者指出,最初,他們的想法是感染用戶的計算機並鎖定所有數據,然後向他們提供電子解密工具以換取現金。但是,該計劃似乎已經改變,因為“ Jeanson J. Ancheta”戰術可以歸類為“勒索”行動。攻擊者聲稱,他們可以訪問受害者的網絡攝像頭,並記錄他們在網上享受成人娛樂時從事不當行為。此外,“ Jeanson J. Ancheta”電子郵件騙局的創建者指出,他們也有權訪問用戶的聯繫人列表,並且除非向攻擊者支付以比特幣形式支付的650美元,否則每個人都將收到假定的令人尷尬的視頻。...

于October 10, 2019發表在Adware

Galacti-Crypter勒索軟件

網絡安全研究人員正努力與所有新出現的勒索軟件威脅保持同步,這些威脅似乎每天都在彈出。 Galacti-Crypter Ransomware是最近發現的文件加密木馬之一。 傳播和加密 專家無法確定與Galacti-Crypter勒索軟件的傳播有關的感染載體。一些人推測,攻擊者可能正在使用垃圾郵件活動,虛假的應用程序更新以及流行的軟件工具的假冒盜版變種。一旦Galacti-Crypter Ransomware滲透到系統中,就會執行掃描。掃描將找到要加密的文件。通常,勒索軟件威脅的目標是一長串文件類型,幾乎所有常規PC上都可能存在這種文件類型,從而確保最大程度的損害並增加了獲得報酬的機會。接下來,Galacti-Crypter Ransomware將開始鎖定所有標記為加密的文件。像大多數勒索軟件威脅一樣,此數據鎖定特洛伊木馬不會像大多數勒索軟件威脅那樣在鎖定文件的文件名末尾添加新的擴展名,而無需更改擴展名即可對文件名本身進行編碼。 贖金記錄 Galacti-Crypter勒索軟件的贖金記錄將在一個名為“ Galacti-Crypter 1.8”的新窗口中啟動。數據加密木馬的大多數作者都會提供詳細的聯繫方式,以便受害者可以與他們取得聯繫並可能獲得進一步的指示。但是,Galacti-Crypter Ransomware的作者沒有提及任何联系信息。但是,他們確實指出贖金是150美元,並且是以比特幣的形式要求的。攻擊者還提到用戶只有72小時才能完成交易。 好消息是,有一個免費的,公開可用的解密工具,與Galacti-Crypter Ransomware兼容。它的名稱為“ GalactiCrypter Decryptor”,如果您使用它,將能夠恢復所有加密的數據。但是,下載並安裝信譽良好的防病毒工具並使用它徹底清除系統中的Galacti-Crypter...

于October 10, 2019發表在Ransomware

瀨戶勒索軟件

2019年最普遍的惡意軟件之一是文件加密木馬程序,也就是勒索軟件威脅。有些勒索軟件威脅是獨特的,並且是從頭開始構建的,而另一些則傾向於基於已建立的數據加密木馬的代碼。自然,前者要花費更多的時間和精力,因此大多數網絡騙子都會選擇後者。 傳播和加密 Seto Ransomware就是這種情況–網絡上最近發現的勒索軟件威脅之一。當研究人員研究這種威脅時,他們發現它是臭名昭著的STOP勒索軟件的另一種變體。報告他們已成為Seto Ransomware受害者的用戶正在堆積。看來,這種威脅的創造者在傳播其創造方面非常成功。不確定與瀨戶勒索軟件的傳播有關的特定感染媒介是什麼。一些專家認為,背後的網絡騙子可能使用了欺詐性軟件更新,包含受感染附件的電子郵件,甚至偽造了流行應用程序的盜版副本。每台受感染的計算機都將被掃描。此掃描用於確定Seto Ransomware編程為目標的文件的位置。然後,Seto Ransomware將觸發加密過程。 Seto Ransomware將對所有目標文件應用加密算法並將其鎖定。每個鎖定的文件都將帶有'.seto'擴展名。例如,當Seto Ransomware的加密過程完成時,名為“ sunset-hill.jpeg.seto”的照片將重命名為“ sunset-hill.jpeg.seto”。 贖金記錄 下一步,Seto Ransomware將刪除其贖金票據,名為“ _readme.txt”,並且消息狀態為: '注意! 不用擔心,您可以返回所有文件! 您的所有文件(例如照片,數據庫,文檔和其他重要文件)都將使用最強的加密和唯一的密鑰進行加密。 恢復文件的唯一方法是為您購買解密工具和唯一密鑰。 該軟件將解密您所有的加密文件。 你有什麼保證? 您可以從PC發送加密文件之一,而我們將免費對其進行解密。 但是我們只能免費解密1個文件。文件中不得包含有價值的信息。 您可以獲取並查看視頻概述解密工具:...

于October 10, 2019發表在Ransomware

Geost殭屍網絡

Geost殭屍網絡是一項主要在俄羅斯聯邦境內開展的運動,因為它針對的是五家俄羅斯銀行。 Geost惡意軟件追隨Android設備,到目前為止,專家估計該殭屍網絡包含超過800,000台受感染的計算機。 通過200多個虛假應用程序傳播 似乎Geost殭屍網絡的創建者正在使用偽造的應用程序傳播其惡意軟件。用於傳播Geost惡意軟件的軟件似乎主要是偽造的社交媒體和銀行應用程序。這些欺詐性應用程序未託管在官方的Google Play商店中,但可以在俄羅斯流行的第三方Android應用程序商店中找到。網絡安全研究人員已經確定,可能有200多個偽造的應用程序攜帶Geost惡意軟件。 使用HtBot惡意軟件,並且不加密與C&C服務器的通信 人們認為,Geost殭屍網絡是一個相當安靜地開展的運動,如果不是因為頭腦不好的演員採取了幾次錯誤的措施,那麼該殭屍網絡的活動可能已經在相當長的一段時間內一直在專家的監視下更長。 Geost殭屍網絡的運營商正在使用HtBot惡意軟件,以將受感染的主機轉變為代理服務器。但是,網絡安全研究人員發現了HtBot惡意軟件的活動,這有助於專家檢測Geost殭屍網絡本身。此外,Geost殭屍網絡的運營商未能加密網絡與攻擊者的C&C(命令與控制)服務器之間的通信。一旦研究人員找到了攻擊者的服務器,就很容易監視流量並收集有關殭屍網絡活動和功能的更多信息。 能夠監視受害者的短信 當Geost惡意軟件入侵設備時,它將能夠讀取和收集受害者的文本消息。當涉及與銀行相關的惡意軟件時,這是一個非常有用的功能,因為大多數銀行門戶網站都需要兩步驗證。此外,Geost惡意軟件還確保從設備上清除所有證據,以使用戶永遠無法發現發生任何錯誤。 惡意軟件研究人員推測,Geost殭屍網絡操作可能非常成功,其背後的騙子可能已經賺了幾百萬歐元。迄今為止,Android...

于October 10, 2019發表在Botnets

紫狐

自2018年以來,Purple Fox Trojan下載器一直是惡意軟件研究人員所關注的威脅。到目前為止,專家認為,該Trojan已成功在全球範圍內奪走了30,000多名受害者。 Purple Fox Trojan的創建者已更新了威脅,現在正在使用RIG Exploit Kit將其創建內容注入目標主機。 Purple Fox Trojan下載器的有效負載不再依賴NSIS安裝工具,而是依賴PowerShell命令。通過這種方式,攻擊者已確保使整個操作更安靜,並減少研究人員或反惡意軟件工具發現的可能性。紫狐特洛伊木馬的運營商傾向於將其主要用於在受感染主機上植入加密礦威脅。但是,此Trojan下載程序也可以用於植入更多有害威脅。 紫狐特洛伊木馬使用的漏洞 除了使用RIG Exploit Kit之外,Purple Fox Trojan下載器的管理員可能還會採用其他傳播方法。專家認為,紫狐木馬也可能通過惡意廣告活動以及虛假下載進行傳播。當前,用於傳播Purple Fox Trojan的RIG Exploit Kit正在檢查受害者的以下漏洞: VBScript漏洞– CVE-2018-8174。 Adobe Flash漏洞-CVE-2018-15982 Internet Explorer漏洞– CVE-2014-6332。 如果滲透的帳戶沒有管理員權限,則威脅將尋找CVE-2018-8120和CVE-2015-1701。 與以前的Purple Fox下載器版本類似,此變體具有帶有管理員特權的文件,這些文件隨後通過損壞的驅動程序模仿主機上已經存在的類似文件,從而掩蓋了其在系統上的存在。 用戶需要開始更加認真地對待網絡安全。惡意軟件研究人員最常見的建議之一是保持所有軟件的更新。不幸的是,大多數在線用戶都認為這太繁瑣了。但是,如果您的所有應用程序都是最新的,則諸如Purple Fox...

于October 10, 2019發表在Trojans

'X280@protonmail.com'勒索軟件

“ x280@protonmail.com”勒索軟件是專家發現的最新勒索軟件威脅之一。在過去的幾年中,對數據鎖定特洛伊木馬的興趣日益濃厚,因為它們易於構建(前提是人們從其他勒索軟件威脅中藉用了現成的可用代碼)並且易於傳播。 傳播和加密 通過研究“ x280@protonmail.com”勒索軟件,研究人員發現該文件加密木馬屬於Estemani Ransomware家族。 “ x280@protonmail.com”勒索軟件的作者很可能正在利用宏附帶的附件來通過電子郵件傳播此特洛伊木馬。一些專家認為,“ x280@protonmail.com”勒索軟件也可能通過流行應用程序的偽造盜版副本和欺詐性軟件更新進行傳播。 “ x280@protonmail.com”勒索軟件將確保掃描您的數據並找到被編程為目標的文件類型。勒索軟件威脅通常會追隨大多數流行的文件,例如.mp4,.jpeg,.png,.doc,.ppt,.pdf,.mp3,.mov等,因為大多數用戶的系統上都有這些文件。接下來,“ x280@protonmail.com”勒索軟件將開始鎖定所有目標數據。當勒索軟件威脅鎖定文件時,它們通常在文件名的末尾附加新的擴展名。但是,“ x280@protonmail.com”勒索軟件會加密目標文件,而無需在其名稱後添加擴展名。 贖金記錄 加密過程完成後,“ x280@protonmail.com”勒索軟件將刪除名為“ @_READ_TO_RECOVER_FILES _ @。txt”的勒索信息。通常,網絡騙子在命名贖金票據時會使用所有大寫字母,甚至使用特殊符號,以確保該名稱引起用戶的注意。在說明中,攻擊者指出,贖金為1.5比特幣(在鍵入此帖子時約為$ 12,300)。他們還聲稱,嘗試使用第三方軟件解密鎖定的數據是“徒勞的”。攻擊者希望受害者通過電子郵件(x280@protonmail.com)與他們聯繫。...

于October 10, 2019發表在Ransomware

Noos勒索軟件

如今,似乎每個網絡騙子都在利用勒索軟件威脅來嘗試自己的運氣。有些人從頭開始構建討厭的文件鎖定特洛伊木馬,但大多數人更願意節省精力,而只是從已經建立的勒索軟件威脅中藉用現成的代碼。 傳播和加密 NoosRansomware是最新的數據加密木馬之一。剖析Noos Ransomware之後,很明顯這是臭名昭著的STOP Ransomware的另一個變體。對於Noos Ransomware的感染媒介,最常見的勒索軟件傳播方法可能正在發揮作用-虛假的應用程序更新,流行軟件的欺詐性盜版變種以及大規模垃圾郵件活動。一旦Noos Ransomware設法破壞系統,將立即進行簡短掃描。掃描的目的是找到所有感興趣的數據。下一步,勒索軟件威脅將開始加密所有數據。當Noos Ransomware鎖定文件時,它還將確保更改其文件名。該文件鎖定特洛伊木馬程序將“ .noos”擴展名附加到新加密的文件中。例如,當Noos Ransomware完成其加密過程時,最初名為“ Hugo-B.mp3”的音頻文件將重命名為“ Hugo-B.mp3.noos”。 贖金記錄 加密過程完成後,Noos Ransomware會在用戶的桌面上放置贖金記錄。該註釋稱為“ _readme.txt”,並指出: '注意! 不用擔心,您可以返回所有文件! 您的所有文件(例如照片,數據庫,文檔和其他重要文件)都將使用最強的加密和唯一的密鑰進行加密。 恢復文件的唯一方法是為您購買解密工具和唯一密鑰。 該軟件將解密您所有的加密文件。 你有什麼保證? 您可以從PC發送加密文件之一,而我們將免費對其進行解密。 但是我們只能免費解密1個文件。文件中不得包含有價值的信息。 您可以獲取並查看視頻概述解密工具: https://we.tl/t-sTWdbjk1AY 私鑰和解密軟件的價格為980美元。 如果您在72小時內聯繫我們,可享受50%的折扣,這就是您的價格為490美元。 請注意,如果不付款,您將永遠無法恢復數據。...

于October 10, 2019發表在Ransomware

XHunt

xHunt黑客活動是在幾個月前發現的,惡意軟件研究人員已確保密切關注其活動。網絡安全專家首次注意到xHunt活動時,發現Hisoka後門特洛伊木馬程序與科威特一家運輸公司的系統相連。在研究了威脅之後,研究人員得出結論,Histoka Trojan似乎與其他幾個惡意軟件家族有關,即Killua,Sakabota,Gon,Netero和EYE。似乎所有這些工具都是同一批網絡騙子的一部分。這些網絡犯罪分子使用的基礎設施似乎與臭名昭著的伊朗APT OilRig(也稱為Helix Kitten)開展活動的方式類似。這並不意味著OilRig黑客組織一定在xHunt活動的背後,因為沒有足夠的佐證可以確定地確定這一點。 一個高技能的黑客組織可能是負責任的 負責xHunt操作的人似乎都是非常熟練的人,因為他們的工具不僅非常先進,而且還設法安靜地操作。例如,Histoka黑客工具與攻擊者的C&C(命令與控制)服務器建立連接,並通過HTTP,電子郵件和DNS與之通信。大多數黑客工具都通過HTTP與運營商的C&C服務器進行通信,但是採用電子郵件和DNS卻很不尋常,這可能會使反病毒工具更難以抵抗這種威脅。 xHunt活動中使用的主要工具 xHunt廣告系列的工具具有不同的用途: GON是易於操作的後門特洛伊木馬(因為它具有用戶界面),並且能夠檢查系統的開放端口,建立遠程桌面連接,運行命令以及在受感染主機上上載和下載文件。 Killua是一種後門特洛伊木馬,可以執行遠程命令,但功能卻相當有限。 Hisoka是一種後門特洛伊木馬,它使攻擊者可以對滲透系統進行進一步利用。 Sakabota似乎是Hisoka後門特洛伊木馬的過時變體。 EYE是一種黑客工具,旨在清除該廣告系列活動的所有跟踪器。...

于October 10, 2019發表在Malware

Badday勒索軟件

如今,文件加密特洛伊木馬是在線上最流行的威脅之一,每天威脅著新的受害者。只要網絡騙子從已經存在的勒索軟件威脅中藉用了大多數代碼,它們通常被視為快速賺錢的方法,並且構建起來並不過分複雜。 傳播和加密 Badday Ransomware是最近檢測到的數據鎖定木馬之一。顧名思義,如果您成為這個討厭的特洛伊木馬的受害者,您可能會過得很糟糕。當惡意軟件研究者解剖Badday Ransomware時,他們發現它是GlobeImposter 2.0 Ransomware的變體。沒有公開在Badday Ransomware的傳播中採用了什麼感染載體。一些研究人員認為,流行應用程序的假冒盜版變種,大規模垃圾郵件活動以及虛假軟件更新可能是此文件鎖定特洛伊木馬傳播中使用的一些傳播方法。 Badday Ransomware入侵主機後,它將立即運行掃描以查找配置為目標的所有文件。勒索軟件威脅通常會追隨所有流行的文件類型,以確保最大程度的破壞。這意味著,諸如圖像,歌曲,視頻,電影,文檔和演示文稿之類的文件都可能被Badday Ransomware鎖定。找到感興趣的文件後,Badday Ransomware將觸發其加密過程。這種威脅將應用加密算法來鎖定所有目標數據。當Badday Ransomware鎖定文件時,它會在文件上附加新的擴展名-“ .badday”。例如,如果您有一個名為“ aged-gold.mp3”的音頻文件,則Badday Ransomware會將其名稱更改為“ aged-gold.mp3.badday”。 贖金記錄 接下來,Badday Ransomware在用戶的桌面上放置贖金記錄。該註釋稱為“ how_to_back_files.html”,其中指出: 您的個人身份證 -- 英語 您的公司網絡已鎖定。 您所有的重要數據已被加密。 要還原文件,您將需要解密器!。 要獲得解密器,您應該: 支付解密網絡費用-12 BTC: 在這些網站之一上購買BTC...

于October 10, 2019發表在Ransomware

安格斯勒索軟件

勒索軟件威脅每天都在造成越來越多的受害者。這種惡意軟件已成為網絡犯罪分子獲取現金的最流行方式之一。網絡騙子可以只借用現成的代碼並僅對其稍作改動,這一事實增加了勒索軟件的吸引力,因為它不需要技術領域的高技能人士即可賺錢。 傳播和加密 最近,網絡安全研究人員發現了一個名為Angus Ransomware的新文件鎖定特洛伊木馬。通過研究Angus Ransomware,專家得出結論,它是ZeroPadypt Ransomware的變體。包含宏觀約束附件,偽造的應用程序更新以及流行的應用程序的虛假盜版變種的電子郵件可能是Angus Ransomware的創建者採用的感染媒介之一。如果Angus Ransomware成功地破壞了系統,它將不浪費時間並運行簡短的掃描,這是為了確定文件的位置,這些位置被認為是令人感興趣的。大多數勒索軟件威脅針對的文件類型非常廣泛,以確保造成足夠的損害,以便受害者可以考慮支付勒索費用。諸如.mp3,.jpeg,.doc,.ppt,.mov,.mp4,.png,.docx,.jpg和.pptx之類的文件幾乎總是受到文件鎖定特洛伊木馬的攻擊,因為大多數用戶都可能擁有它們存在於他們的系統上。當Angus Ransomware加密文件時,它還會為其添加新的擴展名'.Email = [Legion.developers72@gmail.com] ID = [ ]。安格斯。”這意味著以前稱為“ golden-pits.jpeg”的圖像將重命名為“ golden-pits.jpeg.Email = [Legion.developers72@gmail.com] ID = [ ]。安格斯(Angus)加密過程完成後。 贖金記錄 在下一步的攻擊中,Angus Ransomware放棄了贖金記錄。註釋的名稱為“ HowToDecrypt.txt”,其內容為: '您的文件已加密 如果您需要文件,則應支付解密價格 獲取解密工具的步驟:...

于October 10, 2019發表在Ransomware

幽靈貓

GhostCat惡意軟件是一種特別狡猾的威脅,因為它在運行時不會留下任何危險活動的痕跡。 GhostCat威脅不是在滲透設備本身,而是在受害者的Web瀏覽器中起作用。 GhostCat惡意軟件的作者已確保,除非滿足為攻擊設置的所有條件,否則威脅將不會發起攻擊。 GhostCat惡意軟件將檢查用戶是否正在瀏覽與威脅兼容的一百多個網站中的任何一個。 通過廣告傳播 GhostCat惡意軟件通過各種廣告網絡傳播。但是,這些廣告網絡在不知不覺中傳播了GhostCat威脅,因為該惡意軟件的作者已確保對其創建代碼的混淆程度很高,以至於它將設法繞過廣告公司設置的安全措施。如果您認為自己安全,因為已安裝了Adblock或類似服務,請再考慮一遍-GhostCat惡意軟件的混淆代碼也可能仍在此類服務的監視之下。 能夠避免沙箱環境 為了避免惡意軟件調試環境,GhostCat威脅會進行一些測試,以發掘它是在沙盒區域還是在常規系統中執行。如果GhostCat威脅發現與惡意軟件調試相關的任何軟件,它將立即停止其活動。 能力 但是,如果GhostCat確定它已滲透到常規系統中,它將開始其攻擊,這是通過以下幾個步驟進行的: 確定滲透的主機是iPhone設備還是Android設備。 根據受害者的IP地址確定受害者的地理位置。 確定設備上存在的Web瀏覽器。 運行另一項測試,以確保該設備未用於惡意軟件調試。 如果滿足所有GhostCat惡意軟件的標準,則受害者將被重定向到承載偽造的抽獎活動和贈品的URL。這很可能是一種策略,旨在誘使用戶洩露敏感信息,例如信用卡詳細信息或登錄憑據。...

于October 10, 2019發表在Malware

白影

WhiteShadow威脅似乎是所謂的惡意軟件即服務,因為其創建者決定將其出租給潛在客戶,而不是私下使用它。從本質上講,WhiteShadow是木馬下載程序,其2019年的大部分活動都涉及將臭名昭著的Crimson RAT交付給目標系統。但是,WhiteShadow能夠向受感染的主機提供各種其他惡意軟件,其中包括Remcos , Agent Tesla , Formbook , njRAT等。 通過Microsoft Office附件進行傳播 WhiteShadow下載器的運營商似乎正在使用垃圾郵件活動來主要傳播這種威脅。包含損壞的宏腳本的Microsoft Office附件似乎是WhiteShadow惡意軟件傳播中使用的主要感染媒介。為了使用戶在受害者打開附件後允許執行宏腳本,攻擊者傾向於使用各種社會工程方法。如果您迷戀於WhiteShadow下載程序運營商的欺騙,那麼您可能會遇到很多麻煩。 使用MSSQL Server 在檢測和避免沙箱環境方面,WhiteShadow威脅具有一些基本功能。它的混淆技術也不是很令人印象深刻。但是,與大多數此類威脅不同,WhiteShadow下載器不會從其操作員設置的遠程服務器中下載其二進製文件。而是,這個狡猾的惡意軟件與Microsoft SQL數據庫服務器建立了連接,並通過發送SQL查詢從中提取加密的字符串。接下來,WhiteShadow威脅將解密該字符串並將其歸檔到“ .PKZip”文件中。然後,啟動存檔文件,威脅性有效負載開始安裝在受感染主機上。...

于October 10, 2019發表在Trojans