安全研究 >> 安全研究详情

本周安全资讯(8.12-8.16)

作者: 由美创科技安全实验室整理发布日期: 08月16日


勒索病毒


1

研究人员发现Dharma勒索软件新变种

Cymulate研究人员发现勒索软件Dharma新变种的攻击活动。Dharma自2016年开始运营,通常通过网络钓鱼传播,新变种通过使用反病毒软件移除器提供给用户,引诱用户安装勒索软件。一旦用户执行可执行文件,该变种将加密所有系统的文件,文件扩展名为“.nqix”,并删除了恢复本地系统备份选项。然后在受害者系统屏幕上弹出消息“所有文件被RSA1024加密”并带有特定的ID。


2

勒索软件Troldesh借助被入侵网站传播

Sucuri研究人员在近几周内发现勒索软件Troldesh的恶意活动。攻击者通过恶意电子邮件或社交媒体等服务传播恶意URL。点击恶意URL后,将下载JScript文件到受害者的Windows主机上。JScript文件名用俄语写成,主题为“JSC航空公司乌拉尔航空公司订单的详细信息”,这表明攻击者可能试图针对该航空公司用户。该文件被执行后将从入侵的网站上下载托管的勒索软件来开始感染受害者计算机。加密期间,攻击者收集受感染系统及其文件数据,然后使用TOR连接泄露到远程服务器。


3

安全厂商发布JSWorm 4.0的免费解密工具

Emsisoft安全研究人员发布了针对JSWorm 4.0勒索软件的新解密器工具,允许受害者免费解密文件。JSWorm 4.0勒索软件也是用C++编写,并使用AES-256的修改版本来加密文件。加密文件名为".[ID-][].JSWRM"。一旦加密了所有数据,它就会释放勒索信"JSWRM-DECRYPT"。Emsisoft还发布了该解密工具的详细使用指南。




挖矿病毒


1

Norman挖矿恶意软件利用合法进程传播

Varonis安全研究团队发现了使用恶意软件Norman进行挖矿的持续攻击活动,目前一家中型公司几乎每台设备都遭到感染。Norman是基于XMRig的门罗币挖矿工具,它将自己隐藏为“svchost.exe”,通过执行记事本或资源管理器,将挖矿恶意软件和加密器一同注入。研究人员还发现了可能与幕后攻击者相关的交互式web shell。






服务热线:400-711-8011
Copyright ©2005-2020 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1