安全研究 >> 安全研究详情

本周安全资讯(4.1-4.4)

作者: 由美创科技安全实验室整理发布日期: 04月04日

勒索病毒


1

UNNAM3D 勒索软件将文件打包成 RAR 文档加密

一个名为 Unnam3d R@nsomware 的勒索软件通过电子邮件进行传播,邮件假装来自Adobe,提示收件人的 Adobe Flash Player 已过时且需要更新。诱使用户点击虚假 Adobe Flash Player 更新的链接。勒索软件会解压缩 WinRar.exe 文件以执行命令,将用户文件移动到加密的 RAR 文档中。加密后向用户勒索50美元的亚马逊礼券。勒索软件开发者表示发送了3万封电子邮件,勒索到的亚马逊礼品卡会转卖给其他用户。


2

新勒索软件 vxCrypter 加密时可删除重复文件

研究人员发现了一个基于.NET的新勒索软件 vxCrypter,vxCrypter 是第一个整理受感染计算机,删除存在的待加密重复文件的勒索软件。该勒索软件基于旧勒索软件 vxLock,目前正在开发当中。研究人员分析发现 vxCrypter 会跟踪它加密的每个文件的 SHA256哈希值,如果遇到相同 SHA256哈希值的文件,它将删除该文件而不是加密。但以上做法也只是对部分扩展名文件,对于扩展名为“.exe”、“.dll”等将不进行删除。


3

“虚假种子”搭载 WinRAR 漏洞,下发新型勒索病毒

近日,360安全大脑监测到有黑客通过色情网站传播一种新的勒索病毒“CRYPTED!”。该病毒伪装成“种子文件”,利用最新的 WinRAR 远程代码执行漏洞 CVE-2018-20250下发勒索病毒,“潜伏”色情论坛,引诱用户下载、解压。据统计,在短短两天时间里国内已有数百台计算机被攻击。


4

Emotet 木马通过 Nymaim 传播 Nozelesn 勒索软件

2019年1月9日至2019年2月7日,趋势科技在全球范围内检测到超过14,000个 Emotet 垃圾邮件活动,Emotet 木马通过 Nymaim 恶意软件传播 Nozelesn 勒索软件。用户启用恶意文档后立即生成 PowerShell.exe。可执行文件连接到各种 IP 地址下载辅助有效载荷 Nymaim,Emotet 每次都联系一组新的 C2服务器。Nymaim 可能已经下载了 Nozelesn 勒索软件,并使用无文件执行将勒索软件加载到机器的内存中。

5

新型勒索病毒 tater 被发现,暂时无法解密

近日,美创科技安全实验室收到客户反馈,其服务器遭到勒索病毒攻击,所有文件数据被加密,加密后缀名为“.tater”。此次攻击的为一种新型的勒索病毒,除了豁免少数几个系统文件夹以外,其会对其他目录的所有后缀的文件进行无差别加密,同时该病毒还加了一层 VB 程序外壳进行伪装。由于加密算法采用了 RSA+AES 的方式,暂时无法解密。




挖矿病毒


1

使用 CryptoSink 技术的新挖矿活动

最近,F5 Networks 威胁研究人员发现了一起利用2014年爆出的漏洞来传播集成 XMR 挖矿模块的恶意软件,从而对 Elasticsearch 系统进行攻击的新威胁活动。


· 1.此活动使用了一个具有五年历史的 Elasticsearch 系统(该系统可在 Windows、Linux 双平台部署)漏洞(CVE-2014-3120)来挖掘XMR加密货币。


· 2.在 Linux 系统中,它使用了一些防病毒软件(AV)无法检测的新恶意软件(下载器及木马)。


· 3.攻击者通过使用 sinkhole 技术将感染主机上其他挖矿程序的矿池地址指向127.0.0.1,从而避免资源竞争。


· 4.为了长久驻存,它将 Linux rm 命令替换为随机时间后重新安装恶意软件的代码,使得分析人员难以找到主机重复感染的原因。


· 5.攻击者通过将 SSH 密钥添加进感染主机的方式来留下后门。


· 6.此活动使用了多个控制命令及 C&C 服务器, 目前的 C&C 服务器位于中国。


此活动被命名为 CryptoSink,在分析中,发现了一种以前从未见过的攻击手法,攻击者使用这种方法来杀死感染主机上的竞争对手,并通过修改 Linux remove(rm)命令的方式更隐蔽地驻留在服务器上。




数据库漏洞


本周无最新数据库漏洞






服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1