近年来,对于网络犯罪分子来说,勒索软件已成为数百万美元的黑市业务,SamSam就是一个很好的例子. 中国信息安全新研究显示,自2015年12月以来,SamSam勒索软件从受害者手中敲诈了近600万美元,当时勒索软件背后的网络团伙开始在野外分发恶意软件. Sophos的研究人员已经跟踪了每个SamSam版本的赎金上提到的攻击者所拥有的比特币地址,并发现攻击者仅从233名受害者那里获得了超过590万美元,他们的利润仍然在增加,每月净赚30万美元左右. 新报告中写道:“总的来说,我们现在已经确定了15…

攻打医院服务器的SamSam勒索木马分析 近日一款名为SamSam的勒索木马在国外爆发.该木马利用医院系统的服务器漏洞实施入侵,再进行加密勒索钱财.由于医院网络信息安全水平普遍薄弱,SamSam成功感染了国外多家医院,而其他行业也存在相当大的风险. 此前,勒索软件主要以个人电脑和手机用户为攻击目标,SamSam的出现,意味着勒索软件攻击企业服务器,甚至攻击整个企业网络已经成为此类网络犯罪产业新的攻击方向.为此360安全中心QVM团队对SamSam样本进行了深入分析,并提醒广大企业加强网络安全防护…

猫宁!!! 参考链接:http://zt.360.cn/1101061855.php?dtid=1101062360&did=210646167 这不是全文,而是重点摘要部分. 2017年5月,影响全球的永恒之蓝勒索蠕虫(Wannacry)大规模爆发后,有两个重要问题一直让很多我国政企机构管理者和安全从业者感到困惑:一个是内网穿透问题,一个是同业差距问题. 1) 内网穿透问题 WannaCry传播和攻击的一个明显的特点,就是内网设备遭感染的情况要比互联网设备遭感染的情况严重得多.虽然说,未打补丁…

Android勒索软件研究报告 Author:360移动安全团队 0x00 摘要 手机勒索软件是一种通过锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用的恶意软件.其表现为手机触摸区域不响应触摸事件,频繁地强制置顶页面无法切换程序和设置手机PIN码. 手机勒索软件的危害除了勒索用户钱财,还会破坏用户数据和手机系统. 手机勒索软件最早从仿冒杀毒软件发展演变而来,2014年5月Android平台首个真正意义上的勒索样本被发现. 截至2016年第一季度,勒索类恶意软件历史累计感染手…

locky勒索软件恶意样本分析1 1 locky勒索软件构成概述 前些时期爆发的Locky勒索软件病毒这边也拿到了一个样本,简要做如下分析.样本主要包含三个程序: A xx.js文件:Jscript脚本文件,以脚本形式存在主要用于邮件传播和方便免杀杀毒软件,用于联网下载PE1 B PE程序(PE1):外壳程序,主要负责解密内存load PE2. C PE程序(PE2):功能代码存在于该文件,主要负责和C&C服务器通讯获取加密密钥,遍历磁盘驱动器使用crypt系列windows函数对文件加密. P…

locky勒索软件恶意样本分析2 阿尔法实验室陈峰峰.胡进 前言 随着安全知识的普及,公民安全意识普遍提高了,恶意代码传播已经不局限于exe程序了,Locky敲诈者病毒就是其中之一,Locky敲诈者使用js进行传播,js负责下载外壳程序,外壳程序负责保护真正病毒样本,免除查杀.本文主要对Locky外壳程序和核心程序做了一个分析,来一起了解Locky代码自我保护的手段以及核心程序对文件加密勒索过程的分析. 一        样本基本信息 Js下载者:f16c46c917fa5012810dc35b…

卡巴斯基实验室<2017年Q2垃圾邮件与网络钓鱼分析报告> 米雪儿 2017-09-07 from:http://www.freebuf.com/articles/network/146587.html 垃圾邮件:季度亮点 交付服务木马 2017年第二季度,我们发现了一大波恶意钓鱼邮件,这些邮件都将自身伪造成来自知名交付服务公司的通知.攻击者将木马下载程序放置在ZIP存档中发送给受害者,并在启动后下载其他恶意软件——Backdoor.Win32.Androm和Trojan.Win32.Kovt…

英国国家打击犯罪调查局(NCA)发布国家紧急警报,警报一场大规模的垃圾邮件,这些邮件中包含了一款名为CryptoLocker的勒索程序,把目标瞄准了1千万英国的email用户,该程序会加密用户的文档,然后要求用户提供赎金才恢复用户的正常访问. 调查局称,大部分接收到针对性垃圾邮件的用户来自银行或者其他金融机构. 每封邮件包含了附件,这些附件看上去像是语音信箱,传真,发票或者可疑交易的详细信息,但实际上是加密用户计算机的Cryptolocker勒索软件.公众应注意不要点击任何此类附件. 在受到感染…

* 添加权限 <uses-permission android:name="android.permission.RECEIVE_SMS"/> * 4.0以后广播接收者安装以后必须手动启动一次,否则不生效 * 4.0以后广播接收者如果被手动关闭,就不会再启动了 ------------------------------------------------------------------------ #监听SD卡状态 * 清单文件中定义广播接收者接收的类型,监听SD卡常…

原文链接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/?platform=hootsuite 未完全按原文翻译. 在2017年6月27日,一款勒索软件开始在欧洲大范围传播.我们注意到攻击从乌克兰开始,超过12,500台机器遭到威胁.随后勒索软件传播超过64个国家,包括比利时,德国,俄罗斯和美国. 这款新的勒索软件具备蠕虫…

近期,有国外研究人员发现了一种新型的勒索软件,并将其命名为Magniber,值得注意的是,这款勒索软只针对韩国及亚太地区的用户开展攻击.该勒索软件是基于Magnitude exploit kit(简称Magnitude EK)开发套件进行开发,并且在之前有多款恶意软件基于这款开发套件进行开发,也正是因为这样,研究人员将其命名为Magniber, 取Magnitude exploit kit的"Magni"及Cerber的"ber"组合而成. 对于Magnitude…

根据分析,此病毒是一个勒索软件,通过修改登录用户密码,留下勒索QQ号码向用户索要金钱. 它调用了Kernel32.dll里的WinExec来执行更改用户密码的cmd命令,密码为107289,更改完密码之后就关闭计算机. 解决方案:输入密码107289 或者使用PE系统破解密码. 在修改了最后的关机以及注销命令后  详细分析过程如下: 先调用GetUserNameA得到当前用户的用户名: 之后以这个用户名构造一个密码更改字符串: 为net user FL 107289  ,本虚拟机用户名为FL 之…

导读 WannaCry的大规模感染受益于影子经纪人泄露的永恒蓝色漏洞,尽管微软发布了安全更新,但许多用户还没有安装它.自最初爆发以来已经过去了18个月,但到目前为止仍有数十万用户感染了WannaCry勒索软件. 去年年中,WannaCry勒索软件在全球许多国家和地区爆发,在很短的时间内感染了大量的个人和企业用户. WannaCry的大规模感染受益于影子经纪人泄露的永恒蓝色漏洞,尽管微软发布了安全更新,但许多用户还没有安装它. 自最初爆发以来已经过去了18个月,但到目前为止仍有数十万用户感染了Wa…

不修改加密文件名的勒索软件TeslaCrypt 4.0 安天安全研究与应急处理中心(Antiy CERT)近期发现勒索软件TeslaCrypt的最新变种TeslaCrypt 4.0,它具有多种特性,例如:加密文件后不修改原文件名.对抗安全工具.具有PDB路径.利用CMD自启动.使用非常规的函数调用.同一域名可以下载多个勒索软件等. 勒索软件TeslaCrypt在2015年2月份左右被发现[1],它是在Cryptolocker的基础上修改而成.在其第一个版本中,TeslaCrypt声称使用非对称R…

针对Jigsaw勒索软件的解锁工具 据了解, 用户的计算机系统一旦感染了勒索软件Jigsaw,如果用户没有在一个小时之内支付赎金(0.4个比特币,价值约为150美金),那么恶意软件将会把系统中的上千份重要文件全部删除. 根据攻击者的描述,更糟糕的是,如果用户重启了他们的计算机,那么这个勒索软件将会从系统中删除一千个文件.当用户感染了这款勒索软件之后,系统将会显示一张非常恐怖的图片(与电影<电锯惊魂>中的一样),并且还会显示一系列的警告信息. 这一勒索软件会在警告信息的开头写上下面这段话:“我想…

勒索软件Locky.Tesalcrypt等使用了新的工具躲避检测 今天我们发现Locky勒索软件家族使用一种新的工具来躲避检测,并且可能已经感染了很多节点. 自从我们通过AutoFocus智能威胁分析服务发现42个Locky勒索软件存在一定的变化,结合全局数据发现勒索软件家族已经被新型的工具进一步加密了.攻击者不断地寻找新的技术绕过安全机制,根据AutoFocus的数据源和威胁情报,这种技术已经被广泛应用了. 在我们的分析中,多个恶意软件样本比较特殊的采用类似混淆API调用的,来源于嵌入的术语词…

近期,出现一种新型勒索软件“BlackRouter”,开发者将其与正常软件恶意捆绑在一起,借助正常软件的下载和安装实现病毒传播,并以此躲避安全软件的查杀.目前,已知的被利用软件有AnyDesk工具(一款远程桌面工具).请各部门做好相关安全防护措施,防止网络系统感染病毒.       ** 影响范围:需要安装ANYDESK.EXE软件进行远程管理的终端设备. 捆绑勒索病毒的程序文件运行之后,会在临时目录夹同时生成ANYDESK.EXE程序文件和BLACKROUTER.EXE程序文件,其中,前台运行…

背景 针对昨日英国医院被攻击,随后肆虐中国高校的 WannaCry 勒索事件,腾讯安全反病毒实验室第一时间给出了深度权威的分析.此次勒索事件与以往相比最大的亮点在于,勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不久 NSA 被泄漏出来的 MS17-010 漏洞.在 NSA 泄漏的文件中,WannaCry 传播方式的漏洞利用代码被称为"EternalBlue",所以也有的报道称此次攻击为"永恒之蓝". MS17-010 漏洞指的是,攻击者利用该漏洞,向用户机器的…

至少从2019年5月开始,恶意行为者就一直在积极部署MAZE勒索软件.勒索软件最初是通过垃圾邮件和漏洞利用工具包分发的,后来又转移到妥协后进行部署.根据我们在地下论坛中对涉嫌用户的观察以及整个Mandiant事件响应活动中的独特策略,技术和程序,多个参与者参与了MAZE勒索软件的操作.MAZE背后的行为者还维护一个面向公众的网站,在该网站上发布从拒绝支付勒索费用的受害者那里窃取的数据. 这两种破坏性入侵结果(转储敏感数据和破坏企业网络)与犯罪服务的结合使MAZE成为许多组织的显着威胁. 受害者研…

/文章作者:Kali_MG1937 QQ:3496925334 CNBLOG博客号:ALDYS4/ 今天逛某论坛的时候发现了一篇求助贴 有意思,好久没分析过恶意软件了 今天就拿它来练练手 反编译工具 apktool jd-gui eclipse(CFR,JD-CORE等反编译引擎) JADX DEX2JAR 0x01>分析AndroidManifest.xml 先看看恶意软件的基本信息 先百度一下恶意软件的包名 搜索结果显示这是一个被各大应用市场收录的软件 那么我分析我手上的这个恶意软件应该是被…

前言: 今天下午上学,用python写个勒索脚本然后打包成exe是个不错的选择 我们来搞事情吧.看那学校我就不想上学. 0x01:要用到的模块,各位请自行准备 import win32api,win32con,win32guifrom ctypes import *import hashlibimport osimport time 万事俱备,只欠东风.0x01:代码 import win32api,win32con,win32gui from ctypes import * import ha…

 1.防火墙屏蔽445端口 命令行操作: 以管理员打开命令行执行以下命令 netsh firewall set opmode enable netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block netsh firewall set portopening  protocol=TCP port=445 mode=disable name=deny4…

据最新报道显示,继MongoDB和Elasticsearch之后,MySQL成为下个数据勒索目标,从2月12日凌晨开始,已有成百上千个开放在公网的MySQL数据库被劫持,删除了数据库中的存储数据,攻击者留下勒索信息,要求支付比特币以赎回数据.问题分析遍观MongoDB和Elasticsearch以及现在的MySQL数据库勒索,可以发现都是基线安全问题导致被黑客劫持数据而勒索,原因在于这些服务都开放在公网上,并且存在空密码或者弱口令等使得攻击者可以轻易暴力破解成功,直接连上数据库从而下载并清空数据…

推荐理由 大数据时代,人类产生的数据越来越多,但数据越多的情况下,也会带来数据的安全性问题,如MySQL数据库上的数据,越来越多的黑客盯上了它,今天推荐的这篇文章来自于腾讯云技术社区,主要是针对MySQL的安全建议和修复方案. 据最新报道显示,继MongoDB和Elasticsearch之后,MySQL成为下个数据勒索目标,从2月12日凌晨开始,已有成百上千个开放在公网的MySQL数据库被劫持,删除了数据库中的存储数据,攻击者留下勒索信息,要求支付比特币以赎回数据. 问题分析 遍观MongoDB…

版权声明:本文由云鼎实验室原创文章,转载请注明出处: 文章原文链接:https://www.qcloud.com/community/article/519598001488335177 来源:腾云阁 https://www.qcloud.com/community 据最新报道显示,继MongoDB和Elasticsearch之后,MySQL成为下个数据勒索目标,从2月12日凌晨开始,已有成百上千个开放在公网的MySQL数据库被劫持,删除了数据库中的存储数据,攻击者留下勒索信息,要求支付比特币以…

四川软件人才网(www.tfsp.net),原名:天府软件人才网:为了更好的发展和拓展的业务需要,更名为:四川软件人才网,强力打造四川最专业的IT人才的招聘平台. 网站依托四川软件人才社区,微博,微信,QQ群等丰富的本土软件人才资源,更好的为各种软件人才和企业服务. 目前我们平台运营的渠道资源有,四川软件人才社区,拥有1.8万的实名制软件人才会员,(新浪&腾讯)微博有四十多万粉丝,微信公众平台:IT小喇叭,天府软件论坛(近1万的好友),QQ群(大概10万软件人才会员),为了更好的资源整合与服务,…

据国外媒体报道,思科于今日宣布将以27亿美元的总价收购网络安全公司Sourcefire,以加强自身在网络安全业务领域的优势,该交易将于今年下半年完成. [IT商业新闻网讯](记者 张良)7月23日消息,据国外媒体报道,思科于今日宣布将以27亿美元的总价收购网络安全公司Sourcefire,以加强自身在网络安全业务领域的优势,该交易将于今年下半年完成. 在棱镜门被曝光之后,斯诺登揭露美国国家安全局通过思科路由器监控中国网络和电脑,以思科为突出代表的美国网络设备厂商成为了众矢之的,而思科在随后发布的…

2018年Windows漏洞年度盘点丨老漏洞经久不衰,新0day层出不穷 腾讯电脑管家2019-02-12共17875人围观 ,发现 1 个不明物体网络安全资讯 https://www.freebuf.com/news/195195.html 前言 漏洞是影响网络安全的重要因素,而漏洞攻击作为恶意攻击的最常用手段,更是有着目标行业化.手段多样化的趋势,不论是个人还是企业,都面临着严峻的漏洞威胁. 2018年在轰动式的“幽灵”.“熔断”两大CPU漏洞中揭开序幕.“震网3漏洞利用挖矿”.“ 412挂…

                                                [市场调研与分析]Intel发力移动安全领域                                                 第一部分 Intel收购McAfee情况调研 1.1  Intel收购McAfee综述 2010年8月,英特尔公司以76.8亿美元价格收购安全软件供应商McAfee公司,继续向嵌入式前沿扩张,特别是手机市场.但这笔让人惊讶的交易仍存在质疑.英特尔在周四表示已经和…

如何自行搭建一个威胁感知大脑 SIEM?| 硬创公开课 本文作者:谢幺 2017-03-10 10:09 专题:硬创公开课 导语:十年安全产品经验的百度安全专家兜哥,手把手教你用开源项目搭建SIEM安全系统. 近年来态势感知.威胁情报等等新词不断出现,其实万变不离其宗,它们都是利用已知的数据来判断风险,甚至预知未发生的威胁.这如同一个老练的探险者孤身穿行在原始丛林,他能轻巧自然地避开蛇虫鼠蚁,用脚印来预知猛兽的威胁.这一切都依赖于他那颗善于思考,经验丰富的大脑. 在网络安全的原始森林里,SIEM…