安全研究 >> 安全研究详情

本周安全资讯(4.8-4.12)

作者: 由美创科技安全实验室整理发布日期: 04月12日

勒索病毒


1

利用“永恒之蓝”漏洞的 Yatron 勒索软件

一款名为 Yatron 的勒索软件在推特上宣称要利用 EternalBlue 和 DoublePulsar 漏洞感染其他计算机,如72小时内不付款还将删除加密文件。与其他勒索软件一样,该软件执行时也会扫描计算机中的目标文件、并对其进行加密,并将扩展名“.Yatron ” 附加到加密文件,完成加密文件后,它会将加密密码和唯一ID发送回勒索软件的命令和控制服务器。根据 Gillespie 的说法,这个勒索软件基于 HiddenTear,但其加密算法已被修改,因此无法使用当前方法对其进行解密。


2

再升级,STOP 勒索软件安装密码窃取木马

除了加密受害者的文件,STOP 勒索软件系列还开始在受害者的计算机上安装 Azorult 密码窃取木马来窃取帐户凭据、加密货币钱包、桌面文件等其它信息。Azorult Trojan 感染计算机后会尝试窃取存储在浏览器中的用户名和密码、受害者桌面上的文件、加密货币钱包、Steam 凭据、浏览器历史记录、Skype 消息历史记录等,然后将此信息上传到受攻击者控制的远程服务器。当研究人员在1月首次报道由虚假软件破解分发的 STOP 勒索软件的 DJVU 版本时,研究人员发现恶意软件执行会下载用于在受害者计算机上执行不同任务的各种组件。这些任务包括显示假的 Windows Update 页面、禁用 Windows Defender 以及通过向Windows HOSTS文件添加条目来阻止受害者访问安全站点。


3

警惕!GandCrab 5.2 勒索病毒伪装国家机关发送钓鱼邮件进行攻击

近日,包括金融行业在内的多家企业反馈,其内部员工收到可疑邮件。邮件发件人显示为“National Tax Service”(译为“国家税务局”),邮箱地址为 lijinho@cgov.us,意图伪装成美国政府专用的邮箱地址 gov.us,邮件内容是传讯收件人作为被告审讯,详细内容在附件文档中:


附件压缩包中包含两个文件,看起来像是跟案件有关的文档文件,后缀为“.docx”。看到这两个文档,想必此时“深陷官司”的收件人一定想点开来一看究竟,却不知这样正好落入不法分子的圈套:


当设置取消“隐藏已知文件类型的扩展名”后,两个伪装成文档的文件露出了它的真面目,它们其实是两个 exe 文件。


这两个文件的真实身份其实是 GandCrab 5.2勒索病毒。GandCrab 勒索病毒是2018年勒索病毒家族中最活跃的家族,该勒索病毒首次出现于2018年1月,在将近一年的时候内,经历了五个大版本的更新迭代,此勒索病毒的传播感染多式多种多样,使用的技术也不断升级,勒索病毒主要使用 RSA 密钥加密算法,导致加密后的文件,无法被解密。


GandCrab 5.2为 GandCrab 家族最新变种,近期在国内较多的以投递恶意邮件的方式进行攻击,邮件内容通常带有恐吓性质。如果收件人不慎点开邮件附件,将会遭到勒索攻击。深信服在此提醒广大用户,谨慎打开来历不明的邮件。





挖矿病毒


1

Linux 挖矿病毒 DDG 改造后重出江湖蔓延 Windows 平台

近日,美创科技安全实验室捕获一枚 Linux、windows 双平台的挖矿病毒样本,通过安全人员分析确认,该木马是通过 redis 漏洞传播的挖矿木马DDG的最新变种,使用当前最新的 go 语言1.10编译使用了大量的基础库文件,该木马会大量消耗服务器资源,难以清除并具有内网扩散功能。


DDG 挖矿病毒是一款在 Linux 系统下运行的恶意挖矿病毒,该病毒从去年一直活跃在现在,已经挖取了价值一千多万人民币的虚拟币货币,此病毒样本在一年左右的时间,已开发出了 DDG.3012/DDG3013/DDG3020多个变种版本。




数据库漏洞


本周无最新数据库漏洞




服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1