GoRansom勒索軟件

GoRansom Ransomware是一個特殊的文件櫃項目,目前似乎還沒有向受害者勒索錢財。通常,勒索軟件開發商會向其受害者出售解密服務,但GoRansom勒索軟件的情況則有所不同–勒索注意,該勒索軟件留下的內容包含免費的解密解決方案。目前尚不清楚作者的想法是什麼–這可能是一個出於娛樂目的的項目,或者可能仍是未完成的產品,最終將以有害的意圖使用。可以肯定的是–儘管存在免費的解密選項,但GoRansom Ransomware是一種危險的威脅,完全可以損害您的文件。 GoRansom勒索軟件的消息包含免費解密教程 GoRansom Ransomware所針對的文件類型非常多樣–文本文件,Microsoft Office文件,Adobe項目,視頻,圖片,檔案,數據庫等。如果勒索軟件成功鎖定文件,它將在文件名後添加'.gore'擴展名。它的名稱,是大多數勒索軟件的典型動作。 GoRansom Ransomware帶來的另一個變化是創建了一個名為“ GoRansom.txt”的贖金票據-通常,此文件包含聯繫方式和付款說明,但對於GoRansom Ransomware而言,它為受害者提供了解密說明。與許多其他文件櫃不同,GoRansom Ransomware不會採取任何措施來禁用Windows功能或清除系統還原點。 沒有有關GoRansom勒索軟件作者的數據,因此無法說出他們的意圖是測試其勒索軟件的開發技能,還是將來打算向GoRansom Ransomware謀殺。即使GoRansom...

于October 10, 2019發表在Ransomware

Meds勒索軟件

惡意軟件開發人員在分發惡意軟件方面非常出色,他們傾向於依靠廣泛的傳播技術來增加損壞文件的覆蓋範圍。在計算機上獲取有害軟件的一種簡單方法是處理盜版媒體和遊戲,或者從未知或不可信的來源下載文件。在當今時代,必須強制使用最新的反惡意軟件引擎來保護您的計算機,因為這是防止重大網絡威脅獲得損害計算機的最佳方法。 “ .meds”文件不能免費解密 目前需要注意的威脅之一是Meds Ransomware,它是一種文件鎖定器,能夠在幾分鐘內加密成千上萬個文件。通過加密文件,這種威脅使得除非首先對其解密,否則無法使用它們的內容–如果最終丟失重要的工作文件和文檔,這可能會非常昂貴。 Meds Ransomware的作者希望刪除用戶最重要的文件,因為這將增加他們同意付費對其進行解密的機會。 就像許多其他勒索軟件開發人員一樣,Meds Ransomware背後的犯罪分子要求通過比特幣向他們提供幫助。價格設置為490美元,但他們威脅說,如果交易在攻擊後三天內未完成,則價格將提高至980美元。他們的贖金消息(位於“ _readme.txt”中)還包含攻擊者使用的電子郵件地址– gorentos@bitmessage.ch和gerentoshelp@firemail.cc。 STOP勒索軟件的許多變體都使用相同的電子郵件,因此可以肯定地說Meds勒索軟件是該勒索軟件系列的成員。 標有“ .meds”擴展名的文件已加密,唯一安全且免費的恢復方法是從備份中恢復。如果沒有文件的最新備份副本,則可能需要使用其他數據恢復技術和軟件來嘗試消除損壞。不要忘記,嘗試通過Meds...

于October 10, 2019發表在Ransomware

Kvag勒索軟件

勒索軟件威脅仍然是文件安全的主要威脅,這也是越來越多的人決定投資購買可靠備份服務的原因。不幸的是,並非所有用戶都有良好的備份習慣,它們是勒索軟件開發人員的主要目標。 Kvag Ransomware是當前需要注意的文件鎖之一。 這種威脅是STOP Ransomware系列文件鎖定特洛伊木馬的一部分,它使用的加密例程無法通過自由方式解密。這使得Kvag Ransomware異常具有威脅性,因為即使從受感染的計算機中刪除了威脅,其攻擊的後果仍將持續。 Kvag Ransomware鎖定的所有文件都標有'.kvag'擴展名,以便受害者可以輕鬆識別它們。 Kvag勒索軟件可鎖定多種文件類型 Kvag Ransomware的目的不僅僅是加密文件,它還試圖通過擺脫卷影副本來限制受害者的數據恢復選項,並禁用Windows的核心功能。攻擊的最後一步是刪除'_readme.txt'註釋,其中包含肇事者的說明。當然,Kvag Ransomware的作者想賺錢,這就是為什麼他們提供給受害者的解密服務的價格為490美元,必須通過比特幣支付。他們還指出,這是三天有效的促銷價格,在此之後受害者需要支付980美元。在“ _readme.txt”中找到的最後信息是攻擊者用來進行通信的電子郵件gorentos@bitmessage.ch和gerentoshelp@firemail.cc。 遵循網絡犯罪分子的指示絕不是富有成效的想法。即使您同意付款,Kvag...

于October 10, 2019發表在Ransomware

端口保護不佳使數百萬個Web無線電設備面臨風險

端口保護不佳使數百萬個Web無線電設備面臨風險 screenshot

得益於無證的Telnet服務(使用微弱的默認登錄憑據),超過一百萬個Imperial&Dabman Internet無線電設備可能成為遠程代碼執行(RCE)攻擊的犧牲品。在《漏洞雜誌》(VM)的研究人員對少數設備進行例行端口掃描後,該缺陷就暴露出來了。被稱為Telnetd的服務被發現運行在端口23上。由於Telnetd依賴於相對較弱的登錄憑據,因此它可能充當各種惡意威脅的後門。 密碼不足,但仍然是密碼。不好嗎? 雖然擁有弱密碼總比沒有密碼好,但這幾乎沒有理由鬆一口氣。密碼一直都是暴力攻擊的犧牲品。弱密碼可能會在幾分鐘之內消失,而強密碼可能會在整個過程中表現出極大的彈性。對於Imperial&Dabman,端口23的密碼保護功能很弱。如果攻擊者成功破解此通行證,他們將獲得對設備基於Linux的BusyBox OS核心的管理員級別的訪問權限。 VM的研究人員花了10分鐘才能破解Telnet服務。進入後,他們發現他們已獲得root訪問權限。如果網絡犯罪分子獲得這種訪問權限,他們可能會造成大量損害,例如: 丟棄惡意負載 編輯音頻流,文件和文件夾 檢索用戶家庭或公司網絡的wi-fi密碼(前提是無線電設備已連接至該設備) 通過受損的Wi-Fi家庭/企業網絡分發勒索軟件和其他惡意腳本/工具。 以上提到的危險表明,弱密碼在最壞的情況下可能帶來的所有隱患。這就是為什麼現在可以在CVE-2019-13473的常見漏洞和披露數據庫中找到新發現的漏洞的原因。 就受影響設備的範圍而言,這確實是很糟糕的。其中一個是Imperial&Dabman網絡收音機,由德國Telestar Digital...

于September 27, 2019發表在Computer Security

SpyNote RAT

適用於Android設備的遠程訪問木馬(RAT)可能包含許多功能,這些功能使其作者能夠在受感染的設備上執行各種不安全的操作。 SpyNote是最受歡迎的Android RAT項目之一,其完整的源代碼可在許多黑客論壇上找到。關於SpyNote RAT的一件令人恐懼的事情是,它絕對是免費使用的,因此任何人都可以開始分發其獨特版本。此外,具有編程經驗的罪犯可以編寫其他模塊來擴展SpyNote RAT的功能。 SpyNote的源代碼適用於所有網絡犯罪分子 除了託管SpyNote RAT完整源代碼的GitHub頁面外,該黑客工具的廣告也可以在許多其他黑客論壇上找到。 SpyNote RAT允許其執行以下任務的一些值得注意的功能: 訪問設備的存儲空間並修改,查看或刪除文件。 使用SMS應用程序讀取和寫入消息。 使用電話發起呼叫,修改呼叫日誌或訪問和收集聯繫人。 用可用的相機靜默錄製照片或錄像。 使用麥克風記錄手機周圍發生的事情。 激活並跟踪GPS傳感器。 修改已安裝的應用程序。 獲取軟件和硬件詳細信息。 操作員可以訪問“有趣的面板”,該面板可用於以怪異和意外的方式操縱手機的行為。 SpyNote以前被掩蓋為偽造的Netflix應用程序 涉及SpyNote RAT的最大的傳播活動之一是使用流行軟件的偽造副本進行的。最著名的例子是偽造的“ Netflix”應用程序,該應用程序託管在非官方應用程序商店和第三方應用程序託管服務中。該程序可能是通過向用戶承諾可以無需訂購就可以使用Netflix的服務來推廣的,因此使他們更有可能選擇下載假的變體。...

于October 10, 2019發表在Remote Administration Tools

Domn勒索軟件

文件加密木馬仍然是網絡犯罪分子使用的最賺錢的黑客工具之一。這些木馬的主要目的是感染計算機,禁用流行的數據恢復選項,然後發起破壞性的文件加密攻擊,使受害者擁有大量加密的文檔,檔案,視頻和其他文件。勒索軟件(STOP Ransomware)家族是2019年活躍的著名勒索軟件家族之一,其地位得到了新成員Domn Ransomware的支持。 就像STOP Ransomware的先前變體一樣,該變體也被認為與免費數據解密解決方案不兼容。到目前為止,網絡安全研究人員嘗試破解Domn Ransomware加密的嘗試均未成功,而在恢復文件時,這種威脅的受害者可能面臨非常艱鉅的挑戰。 Domn Ransomware可能會通過網絡釣魚電子郵件感染受害者 諸如Domn Ransomware之類的威脅通常是通過損壞的電子郵件附件傳遞的,這些附件伴隨著虛假電子郵件,這些虛假電子郵件聲明來自信譽良好的來源-職業介紹所,送貨服務甚至政府機構。眾所周知,勒索軟件威脅背後的罪犯使用先進的社會工程技術來誘騙受害者打開有害的文件附件。當Domn Ransomware啟動時,它將通過立即在後台執行任務來開始工作。它會加密各種文件格式以最大程度地發揮破壞作用,並且總是通過在文件“ _readme.txt”中留下贖金字樣來結束攻擊。 根據勒索消息的內容,受害者可以通過在其名稱末尾添加的“ .domn”擴展名識別加密文件。此外,受害者被告知,他們有有限的聯繫犯罪者並完成贖金支付數據解密服務的最後期限。價格設置為490美元,但如果用戶未按時付款,則價格可能會翻倍。 Domn Ransomware的作者已選擇使用電子郵件gorentos@bitmessage.ch和gorentos2@firemail.cc進行通信。 如果您認為Domn...

于October 10, 2019發表在Ransomware

Caleb勒索軟件

在野外發現了一個名為“ Caleb Ransomware”的新文件櫃。根據用戶報告,文件加密特洛伊木馬程序是通過仿冒電子郵件附件(通過網絡釣魚消息)來傳遞的。通常,騙子發送這些偽造的電子郵件可能會欺騙他們,使其看起來好像是由合法的公司,組織或機構發送的。建議避免打開來自未知發件人的電子郵件,如果他們敦促您下載和審閱文件以及意外的文件附件,尤其如此。當然,您還應該依靠良好的防病毒產品來使此類文件遠離計算機。 Caleb勒索軟件對鎖定文件附加了冗長的擴展名 如果Caleb Ransomware沒有按時停止運行並且最終在不受保護的計算機上運行,那麼攻擊的受害者可能最終將失去對大多數重要文件的訪問權限。基於Phobos Ransomware的Caleb Ransomware 遵循某些最常用的文件格式-文檔,檔案,文本文件,電子表格,演示文稿,數據庫,圖片等。每當它鎖定文件時,都會通過以下方式標記其名稱:添加擴展名'.id [ -]。[adagekeys@qq.com]。卡萊布。 Caleb Ransomware進行的另一項更改是創建兩個文件,其中包含來自攻擊者的消息-其中一個文件為'.hta'格式,而另一個文件為純文本文件。它們的內容是相同的,並且告訴受害者,恢復文件的唯一方法是與攻擊者合作並遵循他們的指示。但是,攻擊者的要求並不小-他們希望通過比特幣獲得高額賠償,而且您永遠都不應同意將加密貨幣發送給匿名網絡犯罪分子。 與Caleb勒索軟件背後的騙子合作不是一個好主意 Caleb勒索軟件的受害者應該忽略肇事者的信息,因為支付贖金可能最終會不僅使他們付出代價,而且使他們的錢財蒙受損失。相反,他們應該嘗試使用合法軟件來解決問題-使用防病毒引擎刪除Caleb...

于October 10, 2019發表在Ransomware

“Google Chrome嚴重錯誤紅屏”騙局

“ Google Chrome嚴重錯誤紅屏”騙局(也稱為“ Google Chrome嚴重錯誤”彈出窗口)是一種在線策略,其目的是通過使受害者支付不存在的或無用的服務和軟件來向受害者收取錢款。通過為用戶提供一個可能會導致其Web瀏覽器故障的虛假彈出窗口來執行該策略,從而給他們留下系統存在問題的印象。根據“ Google Chrome嚴重錯誤紅屏”使用的消息內容,用戶已成為黑客的目標,並且試圖收集其憑據,對話和付款詳細信息。值得慶幸的是,這些陳述是虛假的,您可以放心,Web瀏覽器彈出窗口是有關計算機健康和安全信息的不可靠來源。 騙子可能會提供無用的一百美元產品和服務 “ Google Chrome嚴重錯誤紅屏”騙局背後的騙子可能會使用不同的電話號碼來掩蓋其欺詐手段。用戶報告的數字之一通常是(888)563-5234,但是遇到“ Google Chrome嚴重錯誤紅屏”騙局時看到另一個數字也就不足為奇了。重要的是要記住,即使它們聲稱提供有價值的技術支持服務,也不要撥打由瀏覽器彈出窗口促銷的未知電話號碼。 致電“ Google Chrome嚴重錯誤紅色屏幕”騙局宣傳的電話號碼根本沒有用,因為騙子們並不想幫助您-他們的唯一目的是讓您將錢花在他們提供的服務和軟件上。這些人使用的策略可能會定期更改-有時他們可能會要求您訂閱他們的服務,而在其他情況下,他們可能會告訴您您需要購買他們提供的昂貴的防病毒工具。切勿接受這些優惠,因為您不需要騙子必須提供的任何物品。 如果您遇到“ Google...

于October 10, 2019發表在Adware

MobiHok大鼠

智能手機已成為我們生活中不可避免的一部分,我們經常依靠智能手機來存儲敏感信息,私人照片,甚至完成金融交易。這就是為什麼網絡犯罪分子越來越關注Android設備的安全漏洞,並且他們還專注於開發與Android兼容的黑客工具的原因,這並不奇怪。一長串兼容Android的惡意軟件的最新條目之一稱為“ MobiHok RAT”。目前,該遠程訪問木馬正在黑客論壇上出售,其作者還使用YouTube和Facebook宣傳此惡意應用程序具有的功能。 在線出售SpyNote RAT的模仿者 惡意軟件研究人員檢查了MobiHok RAT(也稱為MobeRat)的樣本後,報告稱它與另一款Android RAT有許多相似之處,而另一款Android RAT已被著名的防病毒引擎SpyNote RAT檢測到。廣告MobikHok RAT的用戶“ mobeebom”很可能已經採用了SpyNote的源代碼,並對其進行了重新設計以使其看起來像是另一種產品。 關於MobiHok RAT廣告的有趣的事情之一是,潛在客戶還可以選擇購買RAT的完整源代碼。作者將這個要約的價格定為15,000美元-這似乎是一個非常高的價格,但是如果源代碼落在專家級惡意軟件開發人員的手中,他們最終可能會使其功能更加強大。 MobiHok使用鍵盤記錄器模塊 根據銷售MobiHok RAT的線程,此黑客工具具有繞過Google Play和Samsung實現的安全機制的能力。此外,攻擊者可以訪問用戶的應用程序,電話配置,短信和文件系統。 MobiHok RAT的操作員還可以發送遠程命令,初始化鍵盤記錄器模塊,或在受感染的設備上部署並執行其他損壞的文件。 遵循最佳安全實踐,並依靠信譽良好的防病毒產品來確保您的安全,可以保護Android設備免受MobiHok RAT等威脅的侵害。請記住,您永遠不要從未知來源下載Android應用程序,並始終還要檢查Google...

于October 10, 2019發表在Remote Administration Tools

Hermes837勒索軟件

可以看到某些文件中添加了'.hermes837'擴展名,這肯定表明您的計算機已被Hermes837 Ransomware入侵,這是一個危險的文件鎖定器,能夠將大多數文件保持加密狀態。像這樣的威脅特別具有威脅性,因為它們旨在造成長期損害,而通過運行防病毒工具並消除問題根源無法消除這些損害。還原被Hermes837勒索軟件鎖定的文件的唯一方法是使用解密工具,並與勒索軟件為您生成的唯一解密密鑰配對。不幸的是,該密鑰僅存儲在Hermes837勒索軟件運營商的服務器上,他們不願意免費將其分開。 Hermes837勒索軟件針對流行的文件格式 諸如此類的威脅通常通過虛假下載,遊戲破解和密鑰生成器或盜版電影和電視劇來分發。我們建議您避免將狡猾的文件下載到您的計算機上,並避免使用頂級防病毒產品提供的安全服務。 Hermes837勒索軟件所針對的文件類型非常多樣–文檔,圖像,檔案,數據庫,視頻等。加密完成後,將添加“ .hermes837”擴展名。 Hermes837勒索軟件帶來的另一個變化是創建了文本文件“ !!! READ_ME !!!。txt”,該文件放置在桌面上。該文件包含犯罪者發來的消息以及他們用於聯繫的電子郵件– hermes837@aol.com。 我們向您保證,沒有必要向Hermes837勒索軟件的作者發送消息,因為他們不會免費提供任何東西。通常,勒索軟件開發人員要求通過加密貨幣(比特幣或其他)付款,以換取其解密服務。但是,Hermes837勒索軟件的作者沒有提供任何證明它們具有有效的解密工具的證據,如果您決定與他們合作,很可能最終會被淘汰出局。我們建議您忽略勒索信息,然後運行防病毒引擎以擺脫Hermes837...

于October 10, 2019發表在Ransomware

Koko勒索軟件

由於這種威脅具有加密文件並使其內容不可訪問的能力,因此應對Koko Ransomware攻擊的後果可能是一項非常具有挑戰性的任務。如果不獲取Koko Ransomware為每個受害者使用的唯一解密密鑰,則無法還原加密。不幸的是,這條關鍵信息存儲在威脅運營商的服務器上,除非得到公平的比特幣補償,否則他們不會洩露信息。 Koko Ransomware可能通過虛假電子郵件和下載進行傳播 Koko Ransomware的作者可能使用多個傳播渠道來確保其威脅性應用程序將覆蓋盡可能多的用戶-帶有假冒附件,盜版軟件,虛假下載或虛假軟件更新和補丁的網絡釣魚電子郵件。 Internet上充滿了可能有害的應用程序,因此我們建議您在瀏覽和下載內容時要格外小心。除此之外,您應始終確保以信譽良好的防病毒引擎的形式提供備份保護。 如果未按時停止Koko Ransomware,則可能對文件系統造成潛在的不可逆轉的損壞。勒索軟件對文本文件,文檔,Adobe項目,檔案,圖片和許多其他文件進行加密,以使受害者的生活盡可能地艱難。此後,它將丟棄贖金記錄,其中包含來自攻擊者的短消息。該消息位於文件“ -Readme.txt。”其中包含電子郵件kokoklock@cock.li和pabpabtab@tuta.io供聯繫。唯一的受害者ID由五個隨機字符組成,並且還將附加在每個加密文件名稱的末尾。 與Koko的作者合作是不可能的 自然,Koko勒索軟件背後的網絡犯罪分子向受害者保證,沒有辦法通過免費方式恢復文件。他們提供了一種解決方案,可以通過向他們指定的錢包地址支付一些比特幣來獲得。但是,我們不建議您嘗試與Koko Ransomware的運營商合作,因為無法保證他們是可信賴的。許多勒索軟件受害者在選擇付款時被騙出錢財,如果Koko Ransomware的運營商有相同的計劃,這也就不足為奇了。 如果您懷疑計算機文件已被Koko...

于October 10, 2019發表在Ransomware

PyLock勒索軟件

如果您沒有文件的最新備份副本,勒索軟件攻擊可能會造成極大的破壞。這種特殊的惡意軟件能夠在短短幾分鐘內對大部分文件進行加密,然後通過向您出售解密器來換取比特幣,從而開始勒索您的錢。這種勒索軟件的一個例子是PyLock Ransomware,這是一種新發現的文件加密木馬,它可能已經設法到達了不同國家/地區的計算機。 PyLock勒索軟件迅捷且具有威脅性 用於傳播PyLock Ransomware的典型傳播渠道是虛假下載,torrent跟踪器,虛假電子郵件附件等。您應遠離此類可疑內容,並始終使用信譽良好的防病毒工具來掃描來自未知來源的文件。如果您無法停止PyLock Ransomware,則威脅可能會給您帶來很多麻煩。 諸如此類的威脅針對多種文件類型,以最大程度地損害文件,文檔,圖像,Adobe項目,視頻,數據庫,檔案等。大小寫沒有什麼不同–該勒索軟件將使用'.locked'擴展名標記它損壞的文件。 PyLock Ransomware的作者沒有使用傳統的文本文件勒索記錄,而是選擇顯示一個新的程序窗口,其中包含來自他們的消息。根據PyLock Ransomware的消息,受害者有36個小時的時間購買解密器。否則,它們的文件可能變得無法恢復。 攻擊者要求通過比特幣付款 PyLock Ransomware作者想要的確切金額沒有在任何地方提及,相反,建議受害者發送郵件至solutionshelp@protonmail.com了解更多詳細信息和說明。與網絡罪犯聯繫或與他們合作不是一個好主意,因為沒有理由相信他們可以信任。 不用說,您不應該同意向PyLock...

于October 10, 2019發表在Ransomware

普通刮水器

在過去的十年中,網絡犯罪分子幾乎完全利用網絡威脅為自己創造利潤–他們使用惡意軟件可以勒索受害者的錢財,收集他們的財務詳細信息,收集加密貨幣錢包,甚至可以利用計算機的能力來挖掘各種加密貨幣。但是,似乎仍然有一群黑客選擇依靠純粹具有破壞性的惡意軟件-Ordinypt Wiper就是這種情況,這種惡意軟件能夠在幾分鐘內損壞大量文件。使用Ordinypt雨刮器進行的攻擊僅針對德國用戶和公司,儘管其根本無法幫助受害者,但其作者仍試圖賺錢。 德國用戶再次成為數據刮水器的目標 Ordinypt Wiper受害者的第一批報告已於2019年9月11日在線發布,但這並不是惡意軟件研究人員肯定第一次遇到此威脅。它也被稱為“ HSDFSDCrypt Ransomware ”,於2017年首次使用。當時的活動還專門針對德國系統。目前,Ordinypt雨刮器通過虛假的工作申請電子郵件進行傳播,這些電子郵件聲稱包含“ Eva Richter”的簡歷。但是,收件人將下載一個偽裝的“ .exe”文件而不是合法文件,該文件攜帶了Ordinypt Wiper的有效載荷。 初始化擦除器後,它將開始執行損壞受害者文件並立即為他們提供盡可能少的恢復選項所需的任務。 Ordinypt雨刮器將: 通過使用隨機字符覆蓋所有目標文件類型的內容,破壞它們的內容。這是不可解密的,並且不能可靠地撤消。還原文件的唯一方法是將其替換為備份副本。 就像勒索軟件一樣,Ordinypt Wiper會通過在文件名的末尾添加隨機擴展名來重命名所有損壞的文件。 Ordinypt Wiper可以終止某些進程,以防止其覆蓋某些文件的內容。 保留特定的文件類型,目錄和文件,以確保用戶的操作系統在受到攻擊後將繼續運行。 禁用系統還原,Windows 10恢復環境,並清除卷影副本。 創建催促用戶付款的勒索消息-在“ [隨機擴展名] _how_to_decrypt.txt”中找到。 贖金似乎是硬編碼的,因為幾名Ordinypt...

于October 10, 2019發表在Malware

滑移圖

加密劫持活動一直是網絡犯罪領域的主要趨勢之一,並且正如預期的那樣,網絡犯罪分子開始引入更高級的加密挖掘惡意軟件,這些惡意軟件可以逃避沙箱,在被刪除後仍然存在,甚至掩蓋其在受害者計算機上的存在。關於加密採礦惡意軟件的另一個值得注意的事情是,它不僅確實針對Windows計算機-許多惡意軟件系列都用於基於Linux的系統,而Skidmap就是這種情況。 加密貨幣挖礦惡意軟件繼續發展 Skidmap是一個新發現的惡意軟件家族,其主要目的是部署預配置的加密貨幣礦工惡意軟件,該惡意軟件為攻擊者生成Monero硬幣。儘管這是您希望從密碼劫持項目中看到的典型情況,但Skidmap的代碼中還有很多其他內容。這種特定的惡意軟件壓力能夠利用“可加載的內核模塊”來操縱基於Linux的系統的配置和行為,因此確保了礦工惡意軟件將盡可能長時間地繼續運行。除此之外,Skidmap還可以通過對核心Linux模塊進行一些更改為攻擊者提供後門訪問權限。儘管目前使用Skidmap惡意軟件進行加密採礦,但其其他模塊可以肯定地表明其作者可以根據需要執行更多具有威脅性的操作。 由於許多Skidmap的模塊都需要root用戶訪問權限才能工作,因此攻擊者很可能會利用未修補的漏洞,安全性較差的系統和其他高級感染媒介來確保其惡意軟件將以管理特權運行。啟動後,Skidmap將進行幾處更改,目的是禁用SELinux(增強安全性的Linux)模塊,以及通過用損壞的“ pam_unix.so”文件替換“ pam_unix.so”文件來設置所有用戶帳戶的主密碼。由網絡犯罪分子。作為一種備份措施,Skidmap惡意軟件還將在'authorized_keys'文件中添加密鑰,使攻擊者能夠使用SSH連接到受感染的主機。 Skidmap使用先進的技術來獲得持久性和隱身性...

于October 10, 2019發表在Malware

創新

遠程訪問木馬(RAT)是網絡犯罪分子中功能最廣泛的工具之一。通常,它們具有大量功能,使操作員能夠完全控制受害者的機器。除此之外,它們還支持執行特定操作的模塊,這些操作使攻擊者能夠從受感染的計算機中收集特定的文件或數據。 InnfiRAT是在野外發現的新RAT項目之一,它似乎具有專用於從受害者機器中收集加密貨幣錢包和cookie的特殊模塊。當然,它還包含您希望在遠程訪問木馬中看到的許多其他功能。 InnfiRAT可能是私人黑客工具 通常,此類軟件會在黑客論壇上出售,但我們尚未遇到任何宣傳InnfiRAT功能的廣告。這可能意味著該項目只能由一組犯罪分子私下使用。無論他們的計劃如何,很明顯,InnfiRAT是一個高級項目,其中包含專門用於逃避防病毒引擎,沙箱和惡意軟件分析工具的模塊。執行後,它將執行一系列檢查,以確保不在受控環境中運行它。此外,它查找特定惡意軟件分析工具使用的進程名稱並終止它們。最後但並非最不重要的一點是,它會將文件植入%APPDATA%文件夾中,並偽裝為“ NvidiaDriver.exe”。 攻擊者可能試圖收集包含信息的文件 如果攻擊順利進行,InnfiRAT將連接到控制服務器並等待攻擊者的命令。在野外看到的InnfiRAT版本似乎支持多種命令,這些命令使攻擊者能夠執行以下任務: 從Internet下載並運行文件。 收集系統指紋(硬件,軟件,網絡配置,工作組等)。 從流行的Web瀏覽器(Orbitum,Yandex,Opera,Mozilla,Chrome,Kometa,Amigo,Torch等)收集cookie。 在“桌面”文件夾中掃描小於2MB的“ .txt”文件,並將其傳輸到攻擊者的服務器。 枚舉正在運行的進程,並允許攻擊者隨意殺死它們。 收集與比特幣和萊特幣錢包相關的“ .wallet”文件。 拍攝桌面或當前活動窗口的屏幕截圖,並將其發送到控制服務器。 使用Windows命令提示符執行命令。...

于October 10, 2019發表在Remote Administration Tools