Gucci殭屍網絡

Gucci殭屍網絡是一個最近發現的殭屍網絡,主要針對IoT(物聯網)設備。隨著越來越多的小工具變得“智能”並連接到互聯網,網絡罪犯對破壞物聯網設備的興趣與日俱增。但是,這並不是針對物聯網機器的熱潮的唯一原因。物聯網設備經常很容易受到滲透的侵害,因為其生產者似乎並未花費太多精力來保護它們免受網絡攻擊。 與某些筆記本電腦和台式機兼容 重要的是要注意,Gucci殭屍網絡並不僅限於物聯網設備。在研究了威脅之後,專家發現Gucci惡意軟件的作者使用了二進製文件,該二進製文件還與台式機和筆記本電腦典型的x86架構兼容。託管與Gucci殭屍網絡鏈接的可執行文件的服務器似乎位於荷蘭。 惡意軟件研究人員破壞了Gucci殭屍網絡後端 通過進一步研究Gucci殭屍網絡的案例,網絡安全研究人員設法找到了攻擊者的C&C(命令與控制)服務器。網絡罪犯已確保除非擁有合法的登錄憑據,否則任何人都無法進入服務器。但是,這種安全措施還不夠,因為惡意軟件專家通過使用蠻力技術“猜測”登錄憑據來設法滲透到服務器,從而使他們可以完全訪問攻擊者的系統。 Gucci殭屍網絡移至未知服務器 但是,在惡意軟件研究人員設法攻破Gucci殭屍網絡的後端后不久,其運營商就確保了其運行的安全,並停止了針對他們的網絡安全運動。目前,尚不知道Gucci殭屍網絡託管在哪台服務器上,但是很明顯它仍處於活動狀態並可以運行。 用於大規模DDoS活動 Gucci殭屍網絡的運營商似乎主要使用它來發起大規模DDoS(分佈式拒絕服務)攻擊。這些攻擊似乎針對各種服務,服務器和系統的整個網絡。 Gucci殭屍網絡能夠執行大量的DDoS技術,從而使攻擊者更容易造成更大的傷害,並減少受害者以任何有意義的方式保護自己的可能性。...

于October 10, 2019發表在Botnets

奧術偷取者

奧術偷竊者V是一種信息竊取者,可以追溯到似乎是一群源自俄羅斯的網絡騙子。隨著網絡安全專家發現與創建Arcane Stealer V有關的某人的Twitter,Discord和Telegram個人資料,這一點變得很清楚。在個人資料的所有個人資料中,相關人士都表示他/她是俄羅斯公民。 僅售$ 9 奧術偷竊者V的作者選擇將其作為一項服務在線出售給其他道德可疑的可疑個人。儘管Arcane Stealer V並不是市場上最高端的信息竊取者,但它具有某些可贖回的品質,例如其極低的價格。僅需$ 9,您就可以使用Arcane Stealer V的全部功能。這些包括收集: 與Steam相關的文件。 加密貨幣錢包。 與FileZilla相關的文件。 不和諧會話文件。 電報會話文件。 插入會話文件。 Microsoft Office文檔。 兼容七種瀏覽器 此外,Arcane Stealer V可以使操作員從以下瀏覽器收集瀏覽器信息,例如自動填充數據,登錄憑據和cookie: 谷歌瀏覽器。 歌劇。 Yandex。 朋友。 Kometa。 火炬。 軌道 免費的客戶支持和教程 Arcane Stealer V的創造者通過向客戶提供免費的技術支持,確保達到令人印象深刻的客戶滿意度。可以在Telegram上找到此威脅的作者,他們很樂意為客戶提供有關操作Arcane Stealer V的詳細說明。該威脅還提供了教程和用戶友好的界面,對於經驗不足的網絡用戶來說,甚至更容易欺騙者操作惡意軟件。 如前所述,Arcane Stealer V不被視為頂級信息竊取者。但是,其開發人員也正在出售威脅的源代碼。這意味著,如果技能更高的網絡犯罪分子掌握了Arcane Stealer V,則可以進一步將這種威脅武器化,並輕鬆地將其轉化為更強大的威脅。為避免成為Arcane Stealer...

于October 10, 2019發表在Stealers

FTCODE勒索軟件

最近,另一個勒索軟件威脅已經抬起頭來。它的名稱是FTCODE Ransomware,它似乎不屬於任何流行的勒索軟件系列。尚不知道是否有針對FTCODE Ransomware的免費和公開可用的解密工具。 傳播和加密 尚未確定該威脅的傳播涉及哪些感染媒介。處理數據鎖定特洛伊木馬的網絡罪犯傾向於使用幾種經典的傳播方法-包含帶有宏內容的附件,欺詐性應用程序更新以及流行軟件的假冒盜版的電子郵件。通常,勒索軟件威脅趨向於針對各種文件,以確保將造成足夠的損害,並且用戶可以考慮支付勒索。通常,圖像,文檔,視頻,音頻文件等文件將是諸如FTCODE Ransomware這樣的威脅的主要目標。 FTCODE勒索軟件將運行掃描以找到這些文件,然後觸發其加密過程。加密文件後,FTCODE Ransomware在文件名的末尾應用新擴展名-.FTCODE。例如,如果您在加密過程完成後最初擁有一張名為“ paper-pale.jpeg”的照片,則該文件將被重命名為“ paper-pale.jpeg.FTCODE”。為了確保用戶不太可能免費獲取損壞的文件,FTCODE Ransomware還將從受感染的主機中清除卷影副本。此外,FTCODE Ransomware還將篡改系統還原模塊並將其禁用,從而幾乎不可能取回任何數據。 贖金記錄 然後,FTCODE勒索軟件將刪除一個名為“ READ_ME_NOW.htm”的勒索字條。在說明中,攻擊者會指導受害者如何下載和安裝TOR瀏覽器,因為他們的付款處理是在基於TOR的付款門戶上進行的。 FTCODE勒索軟件的作者指出,在攻擊的前三天內,勒索費用為500美元。但是,如果受害者未能在此期限內付款,則贖金將開始定期增加: 3至5天-$ 2,500。 5至10天-$ 5,000。 在10到30天之間-$ 25,000。 最後,攻擊者聲稱,如果在攻擊發生後的30天內未處理費用,則解密密鑰將被永久清除,這意味著受害者將無法獲取任何加密數據。...

于October 10, 2019發表在Ransomware

諾德索克

許多網絡騙子都對名為LOLBins(非生活二進製文件)的黑客技術產生了興趣。由於威脅者通過合法的應用程序和服務開展了威脅活動,因此它使網絡犯罪分子可以繞過反惡意軟件工具,從而使運營商不為所動。最近,惡意軟件研究人員發現了一種採用LOLBins技術的新威脅-Nodersok。這種威脅的作者走得更遠,並確保在攻擊的每個階段都執行這些技術,從而使Nodersok成為一種威脅,它非常安靜地運行。 將受損的計算機轉變為代理服務器 Nodersok威脅的創建者正在使用它來感染主機,並通過使用名為Node.JS框架的代理腳本向主機注入代理服務器,將其轉變為代理服務器。目前尚不清楚他們計劃如何使用滲透機,但是它們可能會被用作Nodersok創作者快速增長的基礎架構的一部分,或者僅用於大規模垃圾郵件活動中。 大多數受害者是普通用戶 Nodersok的活動主要集中在美國和歐洲。據報導,受害者已經有成千上萬,這令人印象深刻。網絡安全專家估計,受感染的主機中有3%屬於公司,這意味著幾乎所有成為Nodersok惡意軟件受害者的PC均屬於常規用戶。 如何進行攻擊 Nodersok威脅作為其攻擊的一部分執行一些任務: 損壞的廣告會傳遞“ .hta”文件,該文件託管在用戶的正版雲服務上。 如果用戶運行該文件,則注入的JavaScript代碼將觸發“ .xsl”或“ .js”文件的下載。 一旦第二個文件滲入系統,它將開始解密過程,這將解鎖PowerShell命令。 接下來,顯示的PowerShell命令將啟用威脅,以在主機上植入其他LOLBins。 其他LOLBins 如果Nodersok威脅成功並且設法下載了額外的LOLBins,則用戶可能會遇到麻煩,因為這些工具包括: 前面提到的Node.JS框架。 與Node.JS框架相關的模塊,允許操作員將主機轉變為休眠的代理服務器。 一個網絡數據包捕獲工具包,稱為Windivert。 一個shellcode,使攻擊者可以在受感染的主機上獲得管理員特權。...

于October 10, 2019發表在Malware

Masad Stealer

Masad Stealer是一種黑客工具,在各種黑客論壇上也可以作為服務出售。為了吸引潛在買家的興趣,eh Masad Stealer的作者提供了免費的精簡版威脅,與完整版相比,其功能自然有限。 Masad Stealer的全武器版本售價為85美元。 在電報上操作 Masad Stealer的運營商選擇將其惡意軟件的攻擊活動託管在消息傳遞應用程序Telegram中,並使用充當C&C(命令與控制)服務器的機器人。該應用程序已經流行了一段時間,並且在全球範圍內擁有超過200,000,000用戶。這是一種有趣且狡猾的方法,因為試圖在如此龐大的平台上跟踪攻擊者幾乎是不可能的。 它可以收集加密貨幣錢包並作為快船操作 Masad Stealer既可以充當收集加密貨幣錢包的工具,又可以充當“夾子”。被歸類為快船的威脅是一種惡意軟件,它可以檢測用戶將哪些行文本複製到剪貼板上。快船通常尋找文本字符串,這表明加密貨幣錢包的地址已被複製。一旦檢測到此錯誤,剪輯器將確保將用戶複製的地址替換為其操作員的加密貨幣錢包的地址。由於加密貨幣錢包的地址通常很長,因此大多數用戶在想要將加密貨幣轉移到錢包時往往會忽略他們粘貼的內容。經營Masad Stealer的人似乎已經收集了價值超過9,000美元的比特幣。 Masad Stealer具備檢測以下服務和應用程序相關的文本字符串的功能: QIWI PAY,Dash,Web Money,Ripple,Bicond,Emerecoin,ByteCoin,Yandex Money,Bitcoin Cold,Lisk,Via,Steam Trade Link,Qtum,Stratis,Monero,Ethereum,Neo,ZCASH,ADA,Dogecoin等 它可以收集信息 Masad Stealer除了收集加密貨幣錢包並作為削波器惡意軟件進行操作之外,還可以從受感染的系統中竊取敏感數據。它能夠收集: 蒸過相關文件。 電報登錄憑據。 不一致的登錄憑據。...

于October 10, 2019發表在Stealers

'Patern32@protonmail.com'勒索軟件

公眾傾向於將惡意軟件創建者視為具有黑暗力量的高技能個人,幾乎就像現代的黑人魔術師一樣。儘管確實有一些符合此描述的內容,但大多數操作惡意軟件威脅的人並非如此。網絡騙子經常會相互借用代碼,並對其進行稍稍更改,以適應他們的喜好和需求。當今的勒索軟件威脅就是這種情況–“ Patern32@protonmail.com”勒索軟件。 傳播和加密 一旦研究人員發現“ Patern32@protonmail.com”勒索軟件並對其進行了調查,很明顯,這種威脅是Omerta Ransomware的變體。傳播“ Patern32@protonmail.com”勒索軟件時所採用的傳播方法可能會有所不同–從帶有包含宏條附件的郵件的大規模垃圾郵件活動到帶有威脅的流行應用程序的偽造盜版副本。一旦“ Patern32@protonmail.com”勒索軟件破壞了主機,將進行簡短掃描。這將幫助威脅找到感興趣的文件。接下來,“ Patern32@protonmail.com”勒索軟件將開始鎖定其定位的所有文件。加密文件後,“ Patern32@protonmail.com”勒索軟件將通過在文件名末尾附加“。[patern32@protonmail.com] .omerta”擴展名來更改其名稱。例如,一個名為“ dark-sun.mp3”的音頻文件將重命名為“ dark-sun.mp3。[patern32@protonmail.com] .omerta”。 贖金記錄 在下一步中,一個名為“如果您想將所有文件都退還給我,請仔細閱讀。TXT”的贖金票據將被放置在受害者的桌面上。在說明中,攻擊者聲稱將根據您與他們取得聯繫的速度來確定贖金。 “ Patern32@protonmail.com”勒索軟件的運營商要求通過電子郵件與他們聯繫並提供電子郵件地址-“ patern32@protonmail.com”。...

于October 10, 2019發表在Ransomware

啟動勒索軟件

大多數網絡犯罪分子傾向於使用已經可用的代碼來構建新的威脅,因為從頭開始編寫整個惡意軟件當然不是任何人都能輕鬆完成的任務。許多勒索軟件的作者傾向於借用已經建立的數據鎖定特洛伊木馬的代碼,並對其略作更改以適應其目的。 傳播和加密 Boot勒索軟件是最近發現的勒索軟件威脅之一,它是臭名昭著的STOP Ransomware家族,該家族在整個2019年都非常活躍。惡意軟件專家不知道Boot Ransomware的傳播涉及哪些感染媒介。該文件加密木馬的作者極有可能正在使用最常見的傳播方法,例如偽造的應用程序更新和包含受感染附件的垃圾郵件。攻擊的第一步是對滲透系統中存在的數據進行掃描。這用於查找所有文件,Boot Ransomware已對其進行編程。目標文件類型的列表通常很長,並且包含所有流行的文件,以確保最大程度的破壞。然後,將觸發加密過程。 Boot Ransomware鎖定文件後,它也更改了名稱。該木馬在所有受影響文件的文件名末尾添加了“ .boot”擴展名。這意味著一旦加密過程完成,最初稱為“ hazel-eyes.jpeg”的文件將重命名為“ hazel-eyes.jpeg.boot”。 贖金記錄 當攻擊的此階段結束時,Boot Ransomware會在用戶的桌面上放置勒索信息。該筆記稱為“ _readme.txt”,內容為: '注意! 不用擔心,您可以返回所有文件! 您的所有文件(例如照片,數據庫,文檔和其他重要文件)都將使用最強的加密和唯一的密鑰進行加密。 恢復文件的唯一方法是為您購買解密工具和唯一密鑰。 該軟件將解密您所有的加密文件。 你有什麼保證? 您可以從PC發送加密文件之一,而我們將免費對其進行解密。 但是我們只能免費解密1個文件。文件中不得包含有價值的信息。 您可以獲取並查看視頻概述解密工具: https://we.tl/t-NrkxzoMm4o 私鑰和解密軟件的價格為980美元。...

于October 10, 2019發表在Ransomware

LOCKED_PAY勒索軟件

大多數網絡罪犯不是公眾傾向於認為他們是高技能的人。例如,在構建勒索軟件時,大多數網絡騙子都不是從頭開始構建這種威脅類型,而是依靠其創建基礎的開源項目。今天存在問題的勒索軟件LOCKED_PAY勒索軟件就是這種情況。似乎LOCKED_PAY Ransomware的作者使用了JigSaw Ransomware構建器工具來創建自己的勒索軟件威脅。但是,在藉用和更改代碼時,LOCKED_PAY勒索軟件的作者犯了一些錯誤,從而導致其勒索軟件威脅無法鎖定任何數據。因此,LOCKED_PAY勒索軟件將無法加密您的任何文件。 感染載體 尚不知道在LOCKED_PAY勒索軟件的傳播中應用了哪些感染媒介,儘管有人推測,包含宏碼附件的電子郵件可能是在傳播此威脅時使用的傳播方法之一。一旦LOCKED_PAY Ransomware滲透到您的PC,它就會掃描您的數據並找到目標文件。惡意軟件研究人員發現,LOCKED_PAY Ransomware打算將其應用於目標文件的擴展名是“ .LOCKED_PAY”。大多數勒索軟件威脅都會以文本文件的形式發出勒索便條,但是LOCKED_PAY勒索軟件的作者已選擇在新的應用程序窗口中顯示其勒索消息。攻擊者在其信息中指出,贖金為800門羅幣或0.005 BTC(在鍵入此信息時約為40美元)。 LOCKED_PAY Ransomware的作者尚未提供任何联系方式。通常,這不是一個好兆頭,這意味著即使您支付了贖金,也無法與攻擊者取得聯繫並可能收到解密密鑰。 如何擺脫LOCKED_PAY勒索軟件 儘管LOCKED_PAY...

于October 10, 2019發表在Ransomware

Axzyte勒索軟件

儘管有其名稱,Axzyte Ransomware仍不屬於勒索軟件威脅類別。這是偽造的威脅,意在類似於文件鎖定特洛伊木馬,但實際上與真正的勒索軟件威脅無關。大多數數據加密木馬會潛入您的系統,掃描您的文件,對其進行加密,然後勒索您。有時,能力較弱的行為者無法添加有效的加密模塊。但是,對於Axzyte Ransomware,其創建者根本沒有嘗試添加此功能。 勒索軟件開發人員的主要目標是什麼 通常,製造勒索軟件威脅的網絡騙子將最終目標僅是一件事-現金。 Axzyte Ransomware並非如此。 Axzyte Ransomware的創造者並不是為了賺錢而是為了成名。在勒索消息中,他們要求受害者訂閱其名為“ Axzyte New Production”的YouTube頻道,該頻道目前有約100個訂閱者,證明他們的操作到目前為止還不是很成功。此外,Axzyte Ransomware的作者要求受害者轉到YouTube頻道,看似是攻擊者的競爭對手,他們不僅不喜歡他們的視頻,而且還報告該頻道,因此有可能被刪除。 幸運的是,Axzyte勒索軟件不會危害您的文件 始終最好不要理會像Axzyte Ransomware的創作者這樣的笨拙演員的要求。無需遵守他們的要求,尤其要記住您的文件是安全的,並且Axzyte Ransomware沒有真正破壞任何數據的方法。儘管Axzyte...

于October 10, 2019發表在Ransomware

Kronos勒索軟件

最近,網絡安全研究人員發現了一種新的勒索軟件威脅。這個全新的文件鎖定木馬名為Kronos Ransomware。在深入研究之後,惡意軟件專家發現了該項目與已知的Zeropadypt Ransomware之間的驚人相似之處。這使研究人員認為,這兩個數據加密木馬都可能由相同的參與者負責。但是,它們尚未能夠破解其中任何一個,因此還沒有免費的,公開可用的解密工具。但是,如果您成為Kronos Ransomware的受害者,我們建議您每天繼續檢查解密工具。 Kronos勒索軟件的發行 研究人員不知道在Kronos Ransomware的傳播中使用的確切傳播方法。有人推測,Kronos Ransomware背後的行為不端的演員可能使用了偽造的軟件更新,流行應用程序的偽造盜版副本以及大量垃圾郵件活動來傳播其威脅性創作。一旦Kronos Ransomware成功破壞了系統,它將進行簡短掃描。掃描完成後,將找到所有感興趣的數據。然後,Kronos Ransomware將通過開始其加密過程來進行攻擊。所有新鎖定的文件都將更改其名稱。此威脅將'.email = [jacdecr@tuta.io] ID = []。KRONOS'擴展名添加到受影響的文件。 通過加密過程後,Kronos Ransomware會丟棄贖金記錄。註釋的名稱為“ HowToDecrypt.txt”。在勒索消息中,Kronos Ransomware的創建者堅持要求用戶通過電子郵件與他們聯繫。他們提供了一個與受害者聯繫的電子郵件地址,即“ jacdecr@tuta.io”。攻擊者要求以比特幣的形式支付贖金,這是一個標準要求,要記住,加密貨幣有助於網絡騙子保護其匿名性。 刪除Kronos勒索軟件 您應該忽略網絡犯罪分子的要求,例如負責Kronos Ransomware的要求。這樣粗略的人不值得信任。相反,您應該考慮獲取合法的反惡意軟件應用程序,這將有助於您從系統中安全刪除Kronos...

于October 10, 2019發表在Ransomware

李勒索軟件

惡意軟件專家找到了一個新的文件加密木馬。它被稱為Li Ransomware,但也以另一個名稱– Scarab-Li Ransomware聞名。與大多數勒索軟件威脅一樣,如果Li Ransomware設法滲透到您的系統中,它將掃描您的文件,對其進行加密,然後要求您提供現金以換取解密密鑰。 大多數從事製造勒索軟件威脅的網絡騙子在技術上都沒有大多數普通用戶傾向於相信的那樣。大多數文件鎖定木馬不是唯一的項目,而是其他項目的變體。 Li Ransomware也是如此。這種勒索軟件威脅基於廣受歡迎的聖甲蟲勒索軟件 。這種臭名昭著的威脅在2018年造成了很多麻煩,因為它是最受歡迎和分佈最廣的勒索軟件系列之一。 傳播方式 研究人員不能完全確定在Li Ransomware的傳播過程中使用了哪種傳播方法。 Li勒索軟件傳播所涉及的感染媒介可能包括偽造的軟件更新,包含受感染附件的垃圾郵件和流行應用程序的虛假盜版副本。 Li Ransomware針對很長的文件類型列表。所有目標文件都將經過此數據鎖定木馬的加密過程。 Li Ransomware鎖定文件後,它還通過在文件名末尾添加'.li'擴展名來更改其名稱。攻擊者將文件重命名更進一步,因為他們還通過應用base64編碼方案對受影響文件的名稱進行了編碼。 贖金記錄 在攻擊的下一階段,Li Ransomware刪除了名為“ DECRYPT YOUR FILES.txt”的贖金記錄。在說明中,要求通過電子郵件“ liweixin888@protonmail.com”和“ firstmaillog@protonmail.com”與攻擊者聯繫。 Li Ransomware的作者聲稱,如果受害者支付了贖金,就會向他們發送解密密鑰,這將解鎖所有受影響的文件。 不建議與網絡騙子聯繫。他們會試圖欺騙您給他們錢,但可能永遠不會兌現他們給您所需解密工具的承諾。相反,您應該下載並安裝合法的防病毒軟件套件,這將幫助您從計算機上清除Li...

于October 10, 2019發表在Ransomware

LonleyCrypt勒索軟件

越來越多的陰暗行為者開始製造勒索軟件威脅。有些人是技術嫻熟的人,他們會從頭開始構建惡意軟件,而另一些人只是藉用現成的代碼並對其進行更改以滿足他們的需求。 分配方法 LonleyCrypt勒索軟件是最新發現的勒索軟件威脅之一。在發現並研究了該數據鎖定特洛伊木馬之後,網絡安全專家推測這可能是一個正在進行的項目。 LonleyCrypt Ransomware的作者可能會使用垃圾郵件活動來傳播這種威脅。一旦滲透到您的計算機中,LonleyCrypt Ransomware將通過執行簡短掃描來找到所有感興趣的文件。接下來,LonleyCrypt勒索軟件將觸發加密過程。所有經過LonleyCrypt Ransomware加密過程的文件的擴展名都將更改。此文件加密木馬添加了'。 LonleyEncryptedFile'擴展名位於所有受影響文件的文件名的末尾。這意味著您原先名為“ NBG.mp3”的文件將被重命名為“ NBG.mp3”。 LonleyCrypt勒索軟件將其鎖定後的“ LonleyEncryptedFile”。 贖金記錄 作為大多數勒索軟件威脅,LonleyCrypt勒索軟件將刪除包含用戶說明的勒索便條。但是,註釋使用中文,這意味著攻擊者很可能主要針對位於中國的用戶。註釋的一部分如下: 請在24小時內刪除,否則後果自負。...

于October 10, 2019發表在Ransomware

Shade8勒索軟件

網絡騙子對勒索軟件威脅的興趣與日俱增。儘管有些能力很強的人從頭開始構建文件鎖定特洛伊木馬程序沒有問題,但其他人則傾向於使用已經可用的代碼。新發現的Shade8 Ransomware就是這種情況。 加密過程 在發現此新的數據加密木馬之後,惡意軟件專家得出結論,這是流行的HiddenTear Ransomware的變體。但是,好消息是,由於Shade8 Ransomware背後的網絡罪犯使用了HiddenTear Ransomware的開源構建器工具包,幾乎沒有費心更改代碼,這意味著該威脅是可解密的。如果Shade8 Ransomware設法破壞了您的系統,它將掃描您的文件。找到要查找的文件後,Shade8 Ransomware將開始加密過程,該過程將鎖定所有標記的文件。 Shade8 Ransomware為所有加密文件添加了“ .shade8”擴展名。例如,名為“ dream.mp3”的音頻文件將重命名為“ dream.mp3.shade8”。 贖金記錄 在攻擊的下一階段,Shade8勒索軟件會將其贖金記錄放在受害者的桌面上。該註釋稱為“ READ_THIS.txt”。 Shade8勒索軟件還將以新圖像為背景,也可以將其視為勒索消息。註釋和圖像均表明用戶必須通過電子郵件– 4shadow@protonmail.com與攻擊者聯繫。 如果您是Shade8 Ransomware的不幸受害者之一,則可以使用稱為“ HiddenTear...

于October 10, 2019發表在Ransomware

Pack14勒索軟件

勒索軟件威脅在網絡犯罪世界中非常流行。通常,攻擊是以類似的方式進行的-威脅會滲透到系統中,鎖定所有目標文件,然後放下贖金記錄,告知用戶如果他們要解密自己的數據,則必須付費。 傳播方式 最近發現的Pack14 Ransomware不會偏離這個廣為人知的道路。惡意軟件研究人員無法確定Pack14 Ransomware傳播中使用的確切方法是什麼。一些人認為,此文件加密木馬的創建者可能正在使用流行軟件工具的盜版假副本,大量垃圾郵件活動和虛假的應用程序更新來傳播Pack14 Ransomware。 Pack14 Ransomware進入用戶系統後,將立即執行掃描。掃描找到Pack14 Ransomware編寫的所有文件之後,攻擊的下一步將開始–加密過程。 Pack14勒索軟件將鎖定所有文件並添加'ckey( ).email(data1992@protonmail.com).pack14'擴展到其名稱。如果您之前將圖片命名為“ Two-Lions.jpeg”,則Pack14勒索軟件會將其重命名為“ Two-Lions.jpeg.ckey( )。電子郵件(data1992@protonmail.com).pack14。” 贖金記錄 接下來,Pack14勒索軟件將其贖金記錄放在受害者的桌面上,以進行攻擊。註釋的名稱為“ !!! Readme !!! Help !!!。txt”。在註釋中,Pack14 Ransomware的作者未說明確切的贖金費用,這是用戶接收解密密鑰所需要的。但是,他們給出了希望與之聯繫的電子郵件地址-“ data1992@protonmail.com”。他們還提到受害者必須在電子郵件中包括“ CKEY”一詞。 我們建議您不要與任何類型的網絡犯罪分子打交道。這些人的道德問題值得懷疑,他們會很樂意拿走您的錢,飛入夕陽中,而不會真正拖延交易的進行。相反,您應該使用合法的反惡意軟件工具,並使用它從計算機中安全刪除Pack14...

于October 10, 2019發表在Ransomware

M3gac0rtx勒索軟件

在勒索軟件威脅方面,沒有人是安全的。鎖定文件特洛伊木馬的一些作者瞄準了政府機構和大公司,有時設法從中牟取巨額資金。但是,其他通常較小的演員也不會迴避針對常規用戶的攻擊。 分配方法 越來越多的網絡騙子開始創建和傳播勒索軟件,惡意軟件研究人員正努力跟上。 M3gac0rtx勒索軟件是最近發現的此類威脅之一。一旦網絡安全專家研究了該文件鎖定特洛伊木馬,他們發現這是臭名昭著的MegaCortex Ransomware的變體。攻擊者很可能依賴包含宏約束附件的電子郵件來傳播M3gac0rtx勒索軟件。滲透到PC後,M3gac0rtx勒索軟件將對其進行掃描以找到所有感興趣的文件。掃描完成後,此文件鎖定特洛伊木馬程序將開始加密過程。一旦M3gac0rtx勒索軟件鎖定了文件,它也會通過在文件名後附加'.m3gac0rtx'擴展名來更改其名稱。例如,您名為“ September-2019.doc”的文檔將重命名為“ September-2019.doc.m3gac0rtx”。 贖金記錄 接下來是刪除贖金票據。 M3gac0rtx勒索軟件會將其筆記放在用戶的桌面上。該註釋稱為“!-!_ README _!-!. rtf”。 M3gac0rtx勒索軟件的作者沒有指定贖金,但要確保它可能是一筆巨款。攻擊者指出,受害者不應嘗試通過任何第三方軟件解鎖其數據。相反,他們堅持要求受害者通過電子郵件與他們聯繫。他們為用戶提供了兩個電子郵件地址,希望可以通過該電子郵件地址與他們聯繫以獲取進一步的說明-“ janayshakennin95@mail.com”和“ marzocchizadok95@mail.com”。...

于October 10, 2019發表在Ransomware