您现在所在位置:主页 > 服务器安全 >

网站防御_高防云服务器_指南

更新时间:2021-05-03

网站防御_高防云服务器_指南

加密勒索软件的作者们真的忙着创造新的样本,更新现有的样本,并在9月份采用新的技术,就像他们在8月份和之前几个月所做的那样。其中一些人选择在受害者互动模块中使用流行文化主题。其他人开始利用"自动驾驶仪"离线加密模式,无需从命令和控制服务器获取加密密钥。更多针对俄罗斯和巴西用户的威胁出现了。值得庆幸的是,安全分析人员做了很好的工作来跟上这些快速的转换,并创建了多个免费的解密程序来帮助勒索软件受害者将他们的文件原封不动地取回。2016年9月1日勒索软件有效载荷伪装成Pokemon Go机器人名为Nullbyte的勒索木马并不是恶意软件利用pokemongo的嗡嗡声的先驱。即便如此,它的加载程序和代码的质量也远高于它的一些前辈所夸耀的质量。托管在GitHub上的流氓安装程序模仿了坏死机器人(一种流行的免费口袋妖怪机器人)的用户界面。这个勒索软件使用AES算法对文件进行置乱,将_nullbyte扩展名连接到每个加密文件,并要求0.1比特币进行恢复。对每一个感染者来说,好消息是安全研究人员michaelgillespie,也被称为demonslay335,为Nullbyte瘟疫提供了一个免费的解密程序。CryLocker代表一个伪造的安全组织行事并非所有勒索软件攻击都是直接的。其中一些感染者利用社会工程技术,试图冒充执法机构,以显得更有说服力。这就是CryLocker勒索软件的运作方式。它的警告信息说受害者的数据是由中央安全处理组织加密的,这个组织根本不存在。此示例通过名为Sundown的攻击工具包进行循环,将.cry字符串附加到编码的文件中,并敲诈1.1btc作为赎金。有趣的是,它获取用户的地理位置信息,并通过UDP协议与C2服务器进行交互。2016年9月6日Locky切换到离线加密最广泛的勒索软件示例之一Locky的Zepto衍生产品开始使用嵌入式RSA密钥,而不是从C2服务器获取。这样,即使系统上的防火墙被配置为阻止与命令和控制服务器的通信,由于其新的自动驾驶功能,感染仍然可以完成加密程序。RarVault勒索软件将数据归档,而不是对其进行加密这个样本在很多方面都是与众不同的。它的攻击面受到限制,因为它只针对俄罗斯用户。此外,ddos无限防御,顾名思义,防御ddos套餐,它会将受害者的文件移到RAR存档中,并用一个强密码锁定这个存储库。根据一份名为RarVault.htm,受感染的用户需要将两个勒索软件生成的文件发送到指定的电子邮件地址,然后接收恢复指令作为响应。2016年9月7日卡瓦伊洛克,另一个针对俄罗斯人的威胁"如何解密"文件.txt卡瓦伊洛克勒索软件(KawaiiLocker ransomware)扔下的赎金纸条是俄文的,所以它的流通与俄罗斯受害者是隔离的。为了恢复他们的数据,用户被告知支付6000卢布(约合100美元)的赎金。被感染的用户应该通过电子邮件与犯罪者互动。勒索者提供了一个测试解密选项来证明恢复工作正常。只需将"cryp_list"文档中的一个小文件发送到decrypt2016@yahoo.com。谢天谢地,一个绰号为Thyrex的研究人员已经为这个勒索软件创建了一个可行的解密解决方案。2016年9月8日费城,一个新的勒索软件服务这个被称为费城勒索软件的加密威胁是为了给大众带来网上勒索。任何想在这个网络犯罪领域尝试的人都可以花400美元在黑暗网络上购买这种感染的副本。这个示例是可定制的,允许一个潜在的骗子设置目标文件扩展名、编辑界面文本、添加语言以及定义是否感染可移动媒体和网络共享。费城勒索软件代码中内置的一个非常有趣的特性是Mercy按钮,它使威胁参与者能够免费解密任何受害者的数据。Flyper勒索软件没有什么不寻常的这个样本是一种常见的感染,ddos无法防御,滥用密码来达到恶意的商业目的。它通过垃圾邮件附件传播,拒绝访问受害者的个人文件,并要求0.5比特币作为密钥和解密器。要获得详细的恢复说明,请受感染的用户发送一条消息到flyper01@sigaint.org。2016年9月9日CryPy勒索软件的独特性名为CryPy的数据锁定瘟疫融合了常规勒索软件特性和非标准特性。它用Python编写,使用高级加密标准(AES)使文件不可访问,并创建一个名为Readme_For的恢复文档_解密.txt在桌面上。使这个示例脱颖而出的特性是它对文件进行单独编码,为每个文件使用单独的AES密钥。2016年9月10日费城勒索软件解密Emsisoft的著名安全分析师Fabian Wosar专注于勒索软件研究,他能够为上述费城木马创建一个免费的解密工具。要使用该解决方案,cc攻击防御的工作方式,受感染的用户必须将扩展名为.locked的任意编码文件及其未加密副本拖放到应用程序的界面。Crysis勒索软件分拆模仿慈善募捐负责这项活动的网络罪犯试图欺骗受害者,让他们以为他们在帮助无家可归的人。这一感染增加的赎金手册包含了一些值得称赞的举措,以支持那些需要帮助的人。不过,事实上,这只是一种旨在骗取人们钱财的操纵策略。这个有问题的程序附加了(helphonese@india.com)加密文件的.crypt扩展名。2016年9月12日NoobCrypt,一个密码上有个大洞的威胁安全专家很快就发现了NoobCrypt勒索软件实现加密的一个关键缺陷。事实证明,这个特洛伊木马对每个受感染的用户使用相同的加密密钥。因此,数据恢复对所有受害者来说都是可行的,只要他们有钥匙。这种勒索软件有三种变体,提供不同尺寸的赎金。每一个都可以用自己的密钥解密。Avast的恶意软件分析师Jakub Kroustek能够检索到所有的解锁代码,并将它们发布在Twitter上,供所有感染者使用。敲门,敲门!锁锁来了这个变种的名字来自它连接到每个加密数据对象的.locklock扩展名。阅读_我.txt勒索手册告诉受害者通过向locklkrs@aol.com或者通过加入"锁库"的Skype聊天。示例使用AES-256算法加密数据,这是一种难以破解的对称密码系统。根据逆向工程的结果,LockLock的代码是基于EDA2的,EDA2是一个类似于Hidden Tear的开源教育项目,其初衷是演示加密勒索软件是如何运作的。2016年9月14日Atom,勒索软件附属程序安全行业在过去几个月见证了勒索软件即服务(RaaS)项目的增加。这些恶意活动的想法是提供交钥匙勒索软件包,可以根据罪犯的喜好定制,并以任意方式分发。与它的前身Shark勒索软件项目不同,新的Atom分支程序允许想要勒索的人生成一个功能齐全的勒索软件可执行文件,而不仅仅是几行代码。附属仪表板提供任何给定活动的广泛统计数据,包括总安装量、总付款额和赢得的比特币。这个平台的创造者获得了所有联盟销售额的20%的份额。奇怪的是,Atom的整个在线基础设施都托管在公共互联网上,而不是匿名的Tor网站。Stampado勒索软件解密程序更新Stampado勒索软件包是用AutoIt脚本语言编写的,使用AES-256标准加密受害者的数据。它将.locked扩展名附加到每个混乱的文件。Fabian Wosar,一个上面提到的恶意软件分析师,更新了他的Stampado解密程序,以解决最近对勒索软件所做的更改。2016年9月15日双重加密,勒索软件竞争的意外副产品上述斯坦帕多感染超出了勒索软件的常规操作模式。它的新版本不仅扫描受污染的计算机的本地驱动器和映射的网络共享,以查找流行的文件类型,而且它还遍历数据存储库,查找扩展名为其他勒索软件的文件。换句话说,如果一台电脑已经感染了勒索木马,如Locky、Cerber、Cryptowall、LeChiffre或PadCrypt,Stampado将再次加密这些锁定的文件。因此,要恢复数据,受害者必须向多个攻击者提交多份赎金。Razy勒索软件模仿了另一种病毒关于最新的勒索软件Razy,有一些值得注意的事情。首先,它接受价值10欧元的预付工资保险卡的赎金。其次,它显示了一个警告屏幕,路由器ddos攻击防御设置,与另一个广泛传播的密码感染家族Jigsaw非常相似。然而,该样本缺乏Jigsaw的文件删除功能,尽管它声称如果受害者尝试"任何有趣的事情"就会删除数据Fantom勒索软件现在利用离线加密与新版Locky类似,名为Fantom的更新版ransom特洛伊木马不需要命令和控制服务器就可以对受害者的重要文件进行编码。因此,即使目标用户断开其机器与互联网的连接,或者防火墙阻止可疑的出站流量,他们的数据无论如何也会受到强密码系统的干扰。2016年9月17日加密文件中的Mash notes的