|||||||||||
最新播报：
高危病毒警告：新型敲诈病毒加密办公文件
　　【赛迪网-IT技术讯】10月9日下午，瑞星公司向广大网民尤其是企业用户发出紧急病毒警告：瑞星公司近日截获一类名为“Worm.Win32.CryptoLocker”的新型敲诈型蠕虫病毒，该病毒通过伪装企业电子邮件形式进行传播，一旦感染，电脑中的所有办公文件将被深度加密（AES加密算法），届时黑客会要求用户在72小时之内向其指定账户支付300美元作为解锁费用，否则就销毁解锁密钥，导致重要文件永久性无法恢复甚至泄露的严重安全事故。
　　截至发稿时，瑞星已经对杀毒软件进行了紧急升级，广大用户（含全部瑞星企业级用户）可将杀毒软件更新至最新版本，即可拦截该类病毒。同时，瑞星安全专家为用户提供了紧急手动防御方案，用户通过添加瑞星主动防御规则即可有效拦截该类病毒新变种的危害。对于已经出现文档被加密的问题，瑞星安全专家团队正在紧张研究解密方法，广大用户一旦出现此类问题可以及时跟瑞星保持沟通，并关注瑞星后续发布的相关信息。
　　瑞星安全专家介绍，由于被感染的电脑数量在国内开始快速增长，近期请广大用户尤其是企业用户做好以下防护措施：
　　1.警惕陌生人发来的电子邮件，不要打开邮件附件中的压缩包或者应用程序；如果必须要打开，请先对附件进行病毒扫描；
　　2.安装专业的杀毒软件，在打开所有邮件附件之前先进行杀毒。没有杀毒软件的用户可以安装永久免费的瑞星杀毒软件V16。同时为避免内网交叉感染，企业用户应尽快安装杀毒软件网络版（瑞星杀毒软件网络版：.cn/network/）。除此之外，用户可以使用瑞星杀毒软件（V16及网络版皆可）的主动防御功能，添加新规则，禁止创建、访问、修改以下注册表键：HKEY_CURRENT_USER\Software\CryptoLocker，阻止Worm.Win32.CryptoLocker的正常运行。
　　3.瑞星安全专家建议已经中毒的用户暂时不要重装系统，以免注册表中的加密文件信息丢失。
　　4.及时、定期将电脑中重要文件进行安全备份，避免出现意外。如果用户遇到困难，可及时联系瑞星公司客户服务中心，与瑞星安全工程师随时保持联系，获取帮助。
图：病毒发作以后的电脑截图
　　瑞星安全专家介绍，采用此类方式进行敲诈的病毒已经存在很久并多见于欧美国家，此前国内也曾有零星发作，但本次爆发的Worm.Win32.CryptoLocker病毒已经开始侵袭国内企业用户，目前，已有部分用户向瑞星公司咨询了相关问题。据介绍，该病毒依靠电子邮件传播，甚至会伪装成企业邮箱进行发送，受害者通常都会接到一封英文电子邮件，该邮件的附件就是病毒程序，一旦用户点击运行，电脑将立刻中毒。
图：带毒邮件截图
　　目前，瑞星杀毒软件网络版及瑞星杀毒软件V16都可对该病毒进行查杀，同时，瑞星反病毒实验室及瑞星数据恢复中心正在紧急研究解密方法，以便帮助用户恢复被锁定的文件。
图：瑞星杀毒软件网络版及瑞星杀毒软件V16查杀CryptoLocker
原标题：高危病毒警告：企业大面积暴发新型敲诈病毒
[责任编辑：UC头条：瑞星: 敲诈病毒新变种 中毒后1054种文件全加密
我的图书馆
UC头条：瑞星: 敲诈病毒新变种 中毒后1054种文件全加密
近日,瑞星“云安全”系统截获一种新型敲诈病毒,该病毒加密文件高达1054种,文件统一加密为.encrypted格式,进而勒索赎金1比特币(约人民币4500元)。如果用户没有在规定时间内向黑客付款,被加密的文件将永远无法恢复。目前,瑞星杀毒软件、瑞星企业终端安全管理系统软件等个人及企业安全产品均可对该病毒进行查杀。
点击加载图片
图:勒索提示信息瑞星安全专家建议:1、定期备份系统与重要文件,并离线存储独立设备;2、使用专业的电子邮件与网络安全工具,可分析邮件附件、网页、文件是否包括恶意软件,带有沙箱功能;3、使用专业的反病毒软件、防护系统,并及时更新;4、不打开可疑邮件、可疑网站和可疑链接;5、经常给操作系统、设备及第三方软件更新漏洞补丁;6、不访问和使用来路不明的网络共享和移动介质;7、设置网络安全隔离区,确保即使感染也不会轻易扩散;8、针对BYOD设置同样或更高级别的安全策略;9、加强员工(用户)安全意识培训,不要轻易下载文件、邮件附件或邮件中的不明链接;10、发现可疑文件及时上报病毒中心。接下来,瑞星专家将对这种新型敲诈病毒的运行流程进行全面分析:首先,病毒会解密出后续要用到的一些数据,如:要加密的文件类型、加密后文件的扩展名、勒索提示信息等。
点击加载图片
图:部分文件类型然后,病毒开始检测运行环境是否为虚拟环境,也就是检测环境中是否有VBoxService.exe、vmtoolsd.exe、wireshark.exe、Ollydbg.exe等进程存在,运行环境是否为VirtualBox、VMWare 、Virtual_pc、Anubis等,如果检测出“是”,则病毒进程直接退出不再执行加密操作。此行为是病毒作者为了反调试进行的设计,目的是给病毒分析制造困难。
点击加载图片
图:病毒检测运行环境检查注册表HKEY_CURRENT_USER\Software\Globe\idle 的键值是否为 “YES”,如果是表示已经感染过本机,则病毒进程直接退出不再执行加密操作。
点击加载图片
图:病毒检测注册表使用mshta.exe执行JavaScript脚本添加自启动。
点击加载图片
图:病毒添加自启动删除系统还原备份 、关闭系统自修复选项、使中毒的用户无法使用系统还原点还原。
点击加载图片
图:删除系统还原备份使用QueryPerformanceCounter函数生成随机值,并用此随机值初始化加密算法。
点击加载图片
点击加载图片
图:初始化加密算法接下来遍历本地磁盘 、共享文件夹等加密各类文件、并在目录下释放勒索提示文档How to restore files.hta
点击加载图片
图:被加密后的文件和勒索文档修改注册表更改桌面背景
点击加载图片
图:病毒更改后的桌面最后,设置勒索信息自启动项,使每次开机都会弹出勒索提示信息,并做好标识,表示这台机器已被感染过。
TA的最新馆藏[转]&敲诈者病毒要逆天 刚打开电脑就中毒了!
&近些年，黑客们为了让用户方便快捷地感染电脑病毒，实在是操碎了心!不仅要精通各种造毒技术，还要深谙社会工程学、心理学、行为学等技巧，才能让用户在不知不觉中有&非凡&的中毒体验。这回黑客瞄上了软件客户端这一让人毫无戒备的病毒传播渠道，上演了一出令用户匪夷所思的传毒过程!
　　敲诈者病毒要逆天 刚打开电脑就中毒了!
　　最近，有网友发帖子吐槽：&我刚打开电脑什么都没干，怎么所有文件都打不开了，还弹出了中毒提醒!&没错，让网友感慨&不科学&的中毒方式，正是黑客近段时间来逆天的病毒传播模式：
　　(1)全面精简了中毒流程&&开机即中毒!
　　(2)精心搭建了载毒软件&&软件客户端成传毒渠道(91一键恢复、傻瓜一键恢复等客户端广告位均出现带毒的情况)
　　(3)深度优化了中毒体验&&不仅加密所有文件，还向受害者敲诈讹钱!
　　如此心机颇深的病毒圈套让受害者不得不甘拜下风地说一句：又栽了!
　　图：电脑桌面出现的敲诈通知
　　实际上，给上述受害者添堵的正是最近在全球范围内疯狂传播的敲诈者病毒!感染该病毒的主要症状是：电脑文件全部被锁死，黑客会提示缴纳至少几千元人民币的赎金解密文件。但无论最终是否缴纳赎金，文件基本都是一样的下场：被撕票!
　　图：敲诈者病毒将文档加密为.locky后缀文件
　　对于普通人来说，被病毒坑几千块已经够受的了，但黑客的野心远不止如此!今年2月，洛杉矶一家医院电脑被敲诈者病毒入侵，想要恢复正常工作，得向黑客缴纳37万美元的赎金!
图：电脑医院遭遇敲诈者病毒入侵
　　别急，这还不算最过分的，2015年敲诈者病毒在美国曾向感染者开出过180万美元的高价!目前，病毒作者虽然已被FBI列入重点通缉对象，但病毒仍无法无天地在全球泛滥着。
　　借助软件客户端传播 病毒为何隐蔽得这么深?
　　相信很多人对上述开机就被黑的情况感到匪夷所思，那我们就来简单说一下敲诈者病毒的传播过程。国内的客户端一般都带有广告位，而广告的展示涉及到广告商、广告联盟、客户端等诸多环节，再加上广告展示往往只关注传播量而忽视传播方式和投放位置，这就很容易让黑客钻空子，在某一环节中趁机插入恶意代码。
　　最终，这些恶意代码会悄无声息地展示在客户端的广告位上，如果电脑存在漏洞，客户端启动时就会自动下载病毒。由于很多客户端被设置了开机自动启动，所以很可能出现打开电脑连上网，敲诈者病毒就会自动激活执行的情况。
　　兵来将挡 ：再疯狂的病毒，也总有防护的办法!
　　敲诈者病毒虽说轨迹多端，但也总会有方法阻止这种反人类的不道德行为，目前来看，网友可以采取以下防范措施：
　　1、 定期备份重要文件!最好能在U盘、本地、云盘都拷贝一份，这样就算黑客摧毁文件，用户也不需要抓狂。
　　2、 病毒常常利用操作系统和IE、Flash等常用软件的漏洞攻击电脑，所以，定期打补丁吧，千万别嫌麻烦!
　　3、 选一款专业的杀毒软件很重要!敲诈者病毒爆发国内各大安全厂商都在积极响应，目前以360为代表的杀毒软件已经可以全面拦截这类病毒及变种了，所以还是那句话，装个免费的杀毒软件总比交赎金实惠多了!
顶一下(0) 踩一下(0)
热门标签：Cerber敲诈者家族再升级：Cerber4变身随机后缀|加密|文件|数据_新浪新闻
　　原标题：Cerber敲诈者家族再升级：Cerber4变身随机后缀　　从今年3月开始，Cerber敲诈者病毒家族开始在世界各地肆虐。在中国，Cerber3则成为近期敲诈者大军中的“明星成员”，电脑中毒后文件后缀变为cerber3的受害者求助在各大论坛比比皆是。
　　对贪得无厌的病毒制作者来说，变种更新的速度也是极快的，新一代Cerber病毒——Cerber4又很快涌现出来。但这次它不再使用标志性的Cerber系列后缀，而是把加密文件后缀修改为4个随机字符(数字和字母)，例如.w2qt等。
　　360QVM团队在监测到Cerber4病毒变种后进行深入调查，发现该变种主打网站挂马传播，且更新了多国语言版本的勒索(根据本地语言)，将勒索信息存于后缀为hta的进程中。此外，Cerber4还增加了判断本机时间执行恶意操作、关闭数据库进程以加密数据文件(解除文件占用)等新的特性，但是在病毒运作流程上又回归了更传统的傀儡模式。以下是详细技术分析：
　　一. 传播方式
　　Cerber4作者使用了一些Exploit工具对有漏洞的网站进行渗透，接着注入EITest脚本，最后执行最主要的payload进行下载cerber4。
　　二. 病毒运作流程
　　A.cerber3流程
　　如上图所示，cerber3本身是一个加载器，加载器使用了各种混淆技术来绕过杀软的特征检测，并通过最外层的loader加载器释放解密后的shellcode_1。Shellocde_1又充当了一层加载器，开始解密并释放shellcode_2。Shellcode_2也是一层加载器，只不过没有再进行解密释放shellcode_3。而是使用UnmapViewOfSection卸载当前的ImageBase。并把shellcode2写入到原ImageBase处。进行PE修复后，将eip设置到进程的入口点。于是乎开始执行勒索软件真正的功能了。
　　B.cerber4流程
　　Cerber4去除了Cerber3繁琐的加载流程，取而代之的是更为传统的傀儡模式：CreateProcess-》GetThraedContext-》ZwUnMapViewOfSection》WriteProcessMemory—》SetThreadContext-》ResumeThread。
　　三. 病毒分析(cerber3)
　　A.loader加载器
　　a. 初始化Loader结构体
　　加载器动态的将初始化的数据存放置此结构中，以此绕过静态扫描
　　b. 最外层加载器
　　最外层加载器函数如下：
　　1.获取data段首4字节中的内容，此数值为shellcode_1需要分配的大小
　　2.分配该数值大小的内存，用于存储shellcode_1
　　3.从data段首地址+4处拷贝上述shellcode_1大小的内容到shellcode_1中
　　4.开始解密(分2步)
　　第一步：通过简单的加减运算单个字符来实现。
　　第二步：将shellcode_1+4处的4字节作为亦或运算的key，使用key解密
　　5.跳转至shellcode_1入口处
　　c. Shellcode_1充当加载器
　　Shellcode_1加载器函数如下：
　　与之前类似，这里只贴一下部分重要函数
　　1.解密函数：简单的加减和亦或运算
　　2.跳转shellcode：
　　d. Shellcode_2充当傀儡进程
　　1.修复PE
　　2.UnMapViewOfSection并写入修复好的PE进行傀儡
　　B.文件加密
　　加密的配置完全依据病毒内存中的json中的内容来进行操作的。大致上有如下几种：
　　1. 文件夹黑名单(不能加密的文件/文件夹，如Windows文件夹等)
　　2. 语言地区黑名单(不能加密的地区，如：俄罗斯，乌克兰，比利时等东欧/中欧国家)
　　3. 需要加密的文件后缀名(主要是一些mdb，db等数据格式的文件)
　　4. 加密算法以及加密行为的一些配置
　　分别为：加密分块的最大大小以及加密区域的个数，最小的文件大小，是否开启多线程模式来加密文件，是否加密网络共享盘，加密后的文件名后缀，rc4 key的大小，rsa key的大小以及经过base64加密后的编码。
　　经过base64解密，我们可以知道这是一个2048位rsa加密的公钥
　　5. 勒索的html文件以及txt文件中的内容，也是经过base64加密编码过的
　　经过base64解密后，我们可以很明显的看到html的标题为勒索文件的html内容
　　6. 行为配置，操作系统判断，端口，C&C服务器等等
　　分别为：是否移除卷影副本，是否删除自身，操作系统信息，C&C服务器地址，连接成功后发送的标示，C&C服务器端口，是否需要发送，发送超时时间，成功感染后是否需要语音提示，语音提示重复次数以及语音提示的内容。
　　7. 壁纸配置(是否需要改变壁纸，壁纸内容等)，成功加密后将勒索信息显示在桌面上
　　8. 文件夹白名单(必须要加密的文件/文件夹，如outlook，powerpoint等文件夹)
　　9. TOR缴费网站经过base64加密后的编码以及解密后的原文
　　a. 加密前的准备工作(信息收集)
　　cerber3首先会在加密前判断PC所使用的语言，若存在为json配置中languages列表中的，则不会触发cerber3加密文件的功能
　　cerber3其次收集PC上相关的信息，并使用UDP单向传输发送到json配置中servers. Statistics.ip的C&C服务器上。 发送内容的格式为json配置中的servers.data_start所包含的信息，大致如下：
　　下图为一个发送knock的例子：
　　b. 加密前的准备(遍历满足要求的文件)
　　首先，cerber3使用双管道技术负责接收cmd的收发命令消息
　　并使用命令“C:\Windows\system32\wbem\wmic.exe shadowcopy delete”
　　来删除磁盘卷影，达到无法还原备份的作用。
　　接着，依据json配置中的multithread来决定是否使用多线程的方式来加密文件，如果multithread为1，则使用多线程加密，达到加速加密文件的效果。总线程的数量等于处理器的个数*2+2
　　接下来，根据json.network的数值来判断是否需要遍历网络共享文件，若json.network为1，则遍历。典型的有vmware的vmhgfs共享文件。
　　下图为满足json.network为1的情况下，cerber3判定vmhgfs服务存在的依据
　　然后，开始遍历文件，加密白名单中的文件(json.whitelist)，躲避黑名单中的文件/ 文件夹(json.blacklist)。满足要求的文件将会被存储下来，为下一步文件的加密做好准备。
　　c. 正式加密文件
　　首先，将目标加密文件名随机化。
　　根据原文件名称的长度生成从特定串{a-z，A-Z，0-9，-}中随机组成的字符串来当做文件的名称。并且将后缀修改成.cerber3
　　接着，从文件偏移0x200处读取N个字节(N不定，一般地，N的数值为0x36)，并对这N个字节做murmurhash处理，最后存储到一个结构体里。
　　根据Magic：0xCC9E2D51，0x1Bx85EBCA6B
　　搜索引擎走起，可以得知是murmurhash。
　　然后，开始从偏移0x200+N处到文件末尾-M个字节处进行RC4加密并写入。
　　随机生成的16个字节的RC4 key
　　加密过后的buf如下
　　这样，头部加密的数据结构如下图所示
　　尾部追加的数据( 解密块数据)分为3大部分：
　　1. 第一块经过rc4加密过的数据结构
　　再未加密前，它的格式是这样的
　　2. 第二块经过rsa 1024位加密的数据结构
　　RSA 1024加密
　　再未加密前，它的格式是这样的
　　3. global rsa2048加密过的rsa1024(public/private key)
　　尾部数据块整合格式如下
　　被加密后的文件格式如下
　　其中global rsa 2048的公钥在json的配置中存储。
　　C.勒索方式
　　创建线程从json配置文件中获取勒索文件(html/txt)的base64加密后的编码，获取私人的TOR地址并解密编码，写入当前被加密的文件夹下。获取json. wallpaper中的壁纸配置，并写入桌面壁纸。最后，获取json. Speaker中的语音次数以及语音内容，最后以一个女声的形式来提示你文件被加密了。大致意思就是：恭喜你，感染了cerber3!您需要掏钱解决问题!
　　勒索文件(html/txt格式)的线程生成函数
　　四. 病毒分析(cerber4)
　　cerber4基本没有什么很大的变化(文件加密)。主要是做了一些优化的工作。
　　A. loader优化
　　废除了cerber3繁琐的加载过程，取而代之的是更为传统的傀儡进程模式，当然这里面还有一些适当的字符串混淆为了逃避杀软的静态特征扫描。此法可以有效地增加调试难度。
　　传统的进程傀儡大致流程如下:
　　CreateProcess->GetThreadContext->ZwUnMapViewOfSection->WriteProcessMemory->SetThreadContext->ResumeThread
　　Cerber4还会判断本机时间是否是2016年，如果是2016年，才执行后续恶意操作。
　　这也就意味着，只要将本机的本地时间修改为非2016年，那么cerber4就不会进行后续的恶意行为。猜测作者可能是为了选择合法/干净的电脑下手。
　　B. 数据库进程遍历
　　Cerber4会遍历正在运行数据库，并杀死它们。使得被数据库进程加载的数据库能够正常的被加密，避免了文件被占用(句柄未关闭)的问题。
　　具体的数据库进程存在于它的json中。和cerber3类似。
　　不同的是新增了配置项：close_process。当close_process为1时，执行遍历并杀死数据库进程的操作(常见的数据库进程有mysql，sqlserver，oracle等)
　　C. 拓展名随机化
　　相对于cerber3(后缀为.cerber3)，cerber4将被加密后文件的拓展名更换为4位随机字符(数字/字母)。例如(.qw2g等)。可能是因为影响力太大了。想低调低调。
　　D. 友好的语言提示
　　cerber4在json配置中的勒索文件后缀由原来的.html更换成了.hta，并启动此进程显示勒索信息(根据本地语言)。
　　五. 可预见的解密过程
　　当勒索者收到赎金后，会提供给受害者RSA2048位的私钥，通过这个私钥可以解锁尾部数据块的第三部分，拿到RSA1024位加密的私钥和公钥。通过RSA1024位的私钥可以解锁尾部数据库的第三部分，拿到rc4的key，从而得到key stream。从而解锁尾部数据库的第一部分，头部数据以及中间主要被RC4加密过的部分。至此，文件解密全部完成。
　　六. 防护措施
　　从2015年开始，敲诈者类病毒在中国逐渐成为互联网上的一个重要威胁，病毒与安全软件的对抗也在持续升级，病毒在花样翻新地尝试各种方法发出致命一击，安全软件则需要全天候响应查缺补漏，为用户布设坚固的防线。可以想见，攻防的对抗仍然会持续下去。
　　在此360QVM团队提醒广大网友：重要数据应定期备份;操作系统和浏览器、Adobe Flash Player等基础软件的漏洞补丁应及时安装，可以免疫绝大多数来自恶意网页或客户端的挂马攻击。此外，系统应设置显示文件后缀，他人发来的可疑程序或脚本(如exe、scr、js等)不要双击运行，这样就能最大限度的避免中招。360安全卫士也已开通了“反勒索服务”，并向用户公开承诺：使用360安全卫士11.0版本并开启该服务后，如果仍防不住敲诈者病毒，360将提供最高3个比特币(约13000元人民币)的赎金帮助用户恢复数据，全方位保障用户的财产和数据安全。本稿件所含文字、图片和音视频资料，版权均属齐鲁晚报所有，任何媒体或个人未经授权不得转载，违者将依法追究 责任。
中韩关系自2016年年初以来急剧恶化。此前饱受中国媒体宠爱的韩国总统朴槿惠，其形象也迅速从端庄贤淑的“朴姐姐”滑落为因为得罪中国而惴惴不安、日夜为糟糕的韩国经济状况担心的“绝望的女人”。
一提到领导奇葩怪癖，我脑子马上闪过的就是前一任分管副局长，虽说去年已调离，但每次想到他，我就会腿疼。
一个地方自然资源丰富，采矿业发展，本是好事情。但最近一项研究表明，采矿业可能催生腐败。
在咱们这个社会，有企业家精神的创业者不是太多，而是太少。从这个意义说，张锐的离世，是社会的损失。但让社会善待张锐的最好途径，只能是更多人努力变成更好的张锐。