近日国外某独立安全研究员(专门从事恶意样本分析工作),发现了一款新型的勒索病毒,这款勒索病毒使用了高强度代码混淆手段,会修改桌面背景,这种手法与之前的GandCrab和Sodinokibi两款勒索病毒非常类似,这款勒索病毒的勒索提示信息使用了德语,这种使用德语提示信息的勒索病毒在之前发现的勒索病毒家族中是比较少见的,之前报告我就说过,GandCrab勒索病毒的故事虽然结束了,但后面会有越来越多的像

自GandCrab宣布停止运营以来,勒索病毒攻击事件并没有随着GandCrab的退出而减少,全球各地每天仍有用户因为数据遭到加密而损失惨重。在后来居上的各个勒索病毒家族中,Sodinokibi勒索已经成为了现在全球最流行的勒索病毒之一,也叫称为GandCrab的”接班人”。Sodinokibi勒索病毒的部分变种在加密后会将受害主机的屏幕设置成深蓝色,因此也被称为“DeepBlue”勒索,早在该勒索

概述近日,奇安信威胁情报中心红雨滴团队在日常的样本监控过程中,发现了一个以微软名称命名的攻击文档,并在随后的关联分析中发现,此次攻击活动疑似来自一个名为Gorgon的攻击组织,而Gorgon是一个被认为来自南亚某国家的攻击组织,PAN公司的Unit42团队将该攻击活动命名为Aggah。本次活动中涉及的样本,除了使用该活动的招牌手段：Blogspot博客页面隐藏恶意载荷之外,还使用了三层Pastbi

介绍针对Linux操作系统的勒索软件在过去并不常见,不过现今网络犯罪分子们似乎有开始往这方向发展的趋势,且试图通过各种方法在这一领域中牟取利润。近日,Intezer检测到了一起针对基于Linux文件存储系统（NAS服务器）的勒索软件行动,其目标是感染并加密文件以勒索赎金。Intezer将此勒索软件命名为QNAPCrypt（作者标记恶意软件的名称）,QNAP是一家知名的NAS服务器品牌供应商。NAS

近期由乙方安服实验室,转入了甲方的业务安全部门。在接触了一部分业务安全的运维工作后,也做了些对于自身工作的优化方向的思考。资产统计与变更这段时间正好碰上了FastJson漏洞爆发。由于笔者所在的甲方,属于有一定规模的互联网公司,所以近期也在连夜配合各业务部门进行漏洞修补。虽然公司本身具有强大的统计平台,也具有较为成熟的资产规范,但还是花了大量时间去统计、升级那些受影响的资产。举个例子,自家公司的I

远控木马这个词说起来总觉得很有年代感,作为一枚安全行业菜鸟,最初的启蒙就是分析各类远控的被控端,从行为到流量去了解这一类恶意代码的发展变化。网上对于远控木马的分析比比皆是,因此本文从个人的角度出发,总结了一下对于远控木马的一些理解,可能有所欠缺,欢迎交流学习。从控制端熟悉远控木马的功能在最早接触到远控木马的时候,我大概使用过上百种远控软件的客户端,要了解一个远控木马的功能,最直接的方式就是使用一下

LooCipher是一种新型的分布式勒索软件,之前已有文章讨论过其主要行为、传播方式和与C2的通信机制,而本文将专注于LooCipher的文件加密机制和在不支付赎金的情况下看看解密的可能性。LooCipher看上去是相当直接的,它没有使用任何混淆,不过却使用了如Crypto++之类的高级库来实现加密功能,与那些使用低级Windows api的勒索软件相比,逆向工程反而要要更困难一些。文件加密机制我

勒索信息加密后缀：.ENCRYPTED。解密工具：该勒索病毒暂无解密工具。其他特征：运行后弹框。详细分析1.获取主机相应的文件目录,如下所示：相应的目录列表：C:\Users\用户名\DesktopC:\Users\用户名\DownloadsC:\Users\用户名\Documents2.设定磁盘的名称列表,如下所示：磁盘名列表：B、D、E、F、G、H、I、J、K、L、M、N、O

【前言】劫持浏览器、刷取流量等行为是流氓软件常见行为,而随着安全厂商持续打击、普通用户的安全意识提升,让病毒团伙、流氓软件厂商的获利空间被逐渐压缩。近期,“火绒威胁情报系统”监测到,病毒团伙为了获取更多的利润,开始与广告推广平台“合作”暗刷流量,以此欺骗用户和广告主、对抗安全厂商。这种病毒和广告联盟协同暗刷坑害广告主的行为、这种近乎癫狂的传播模式,似乎在宣告“流量生意”的彻底黑化。根据“火绒威胁情

GO语言最近几年比较流行,最近一两年发现一些勒索和挖矿病毒使用GO语言进行编写,然后跨平台编译,笔者此前分析过一款基于Windows/Linux双平台的挖矿病毒,就是采用GO语言进行编写的,然后编译生成不同平台的可执行程序,近期也有一些勒索病毒家族采用GO语言编写,像最近比较流行的几个勒索病毒家族：Golden Axe、GoRansom、LooCipher等,都是采用GO语言进行编写的,可以预见,