【安全】勒索病毒

作者:  /  来源:  /  时间:2019/6/14 13:57:22  /  阅读:87次

 

勒索病毒

1560491272(1).png

1. GandCrab 勒索软件幕后运营者计划关闭该 RaaS 服务

GandCrab 勒索软件的幕后运营者在俄语论坛中宣布计划在一个月内关闭该RaaS服务。GandCrab RaaS 是一个在线门户网站,网络攻击者在此注册并付费获取 GandCrab 勒索软件的定制版本,然后通过电子邮件、垃圾邮件、漏洞利用工具包或其它方式分发这些软件,对受感染用户进行赎金勒索。幕后运营者表示已经获得超过20亿美元的赎金支付,并计划删除所有解密密钥,如果受害者没有在该月结束前支付赎金,将无法恢复文件。

1560491382(1).jpg

2.Sodinokibi 勒索软件通过垃圾邮件分发

研究人员发现针对德国潜在受害者的垃圾邮件活动,分发 Sodinokibi 勒索软件。邮件使用德语,中文译为“取消抵押品赎回权”为主题,欺骗受害者访问其所携带的恶意 word 附件,然后通过用户启用混淆的 VBA 宏后,下载 Sodinokibi 勒索软件。Sodinokibi 将自启动,如果用户启用 UAC 首先将请求运行许可。执行后将运行命令来禁用 Windows 启动修复和删除影子卷副本。然后,将对每台受感染机器使用唯一的随机扩展名来加密受害者的文件。勒索信包含付款链接和所需的密钥,赎金金额为价值为2500美元的比特币,延期两天后付款将提高至价值为5000美元的比特币。

1560491426(1).jpg

3.发现勒索软件 Maze 变种 ChaCha

Malwarebytes 安全研究人员发现勒索软件 Maze 变种 ChaCha,其由 Fallout 漏洞利用工具包伪装成加密货币交换应用程序,通过虚假 Abra 加密货币网站进行分发。该变种加密过程中利用 RSA 作为私钥和 ChaCha 作为公钥,使用不同的扩展名加密文件。尝试检测计算机是家用计算机,工作站,域控制器,服务器等,然后声明它相应地更改了赎金数量。勒索信包含受害者文件信息、联系电子邮件的付款说明以及包含加密的私有解密密钥和有关计算机的信息 Base64 字符串。目前还无法解密被该勒索软件加密的文件。

 

 

挖矿病毒

 

1.发现新恶意软件系列 BlackSquid

趋势科技研究人员发现了一个新的恶意软件系列  BlackSquid,它利用多种 web 服务器漏洞和暴力破解攻击 web 服务器、网络驱动器和可移动驱动器。漏洞包括 EternalBlueDoublePulsarCVE-2014-6287CVE-2017-12615CVE-2017-8464和针对多个版本的三个 ThinkPHP 漏洞。BlackSquid 使用反虚拟化、反调试和反沙箱方法来确定是否继续安装,还具备横向传播的蠕虫功能。最终下载并安装有效载荷为 XMRig Monero 加密货币挖矿程序。研究人员检测到在5月的最后一周,使用 BlackSquid 的攻击主要发生在泰国和美国。

 1560491457(1).jpg

2.挖矿软件利用 Apache Tomcat Web 服务器传播

研究人员发现新的攻击方法利用 Apache Tomcat Web 服务器传播挖矿软件。Tomcat 服务器管理页面使用了弱口令,攻击者进行撞库攻击获得管理员权限,从而上传名为 admin-manager.war .war 文件,该文件只包含一个名为 admin.jsp 的恶意 JSP 文件。该文件可以生成系统分析信息、在 Apache 服务器上创建新文件以及使用 Web 服务器帐户的权限级别在服务器上执行命令。最终下载的挖矿软件有效载是一个 RC4 加密的二进制文件。

1560491487(1).png

上海ca88会员登录入口电脑版 技术有限ca88会员登录入口电脑版  Copyright © 2016 Shanghai LuoAn Information & Technology Co.,Ltd. All rights Reserved.

沪公网安备 31011502001353号

 沪ICP备05035588号-9
上海ca88会员登录入口电脑版 技术有限ca88会员登录入口电脑版