开源情报曾在上月初发布了永恒之蓝下载器挖矿木马的更新攻击事件—“黑球”行动,其中就有提到它利用带有Office漏洞CVE-2017-8570漏洞的doc文档作为附件的垃圾邮件进行攻击,然后通过执行PowerShell命令下载和安装挖矿相关的恶意计划任务,相关的垃圾邮件具体信息如下:
近日,网上发现多起利用新型冠状病毒肺炎疫情相关热词开展的网络攻击行为。一些黑客制造并大肆传播一系列电脑病毒,这些病毒均带有“冠状病毒”、“疫情”、“武汉”等热门字样,可使电脑声音被窃听,文件被窃取,某些版本的病毒还会删除操作系统核心文件导致无法开机。目前,该系列病毒正通过社交网络悄然蔓延。请密切关注,做好安全防范措施。
0x00 概述 近日,腾讯反病毒实验室拦截到一个名为RAA的敲诈者木马,其所有的功能均在JS脚本里完成。这有别于过往敲诈者仅把JS脚本当作一个下载器,去下载和执行真正的敲诈者木马。采用JS脚本编写木马,混淆加密更加容易,并且增加了杀软的查杀难度,敲诈者木马与杀软的对抗进一步升级。但是经分析,发现名为RAA的敲诈者木马在部分场景下存在逻辑缺陷,可实现对加密文档的解密。 解密工具:<点击文末阅读原文按钮下载解密工具> 0x01 样本分析 1、运行JS后,首先会在My Documents目录下释放一个假文档,文件
1. 勒索病毒基本信息 2017年10月24日,网上出现了一个新的勒索病毒Bad Rabbit(坏兔子),最早在俄罗斯和乌克兰出现,跟之前的NotPetya勒索病毒功能上有很多相同的代码实现,比如创建任务计划关机重启、通过读取当前用户密码和内置的系统弱口令来遍历局域网内电脑传播,最后加密系统文件后提示通过支付比特币解密。 网上已有相关分析记录: https://securelist.com/bad-rabbit-ransomware/82851/ 2. 勒索病毒样本行为 勒索病毒样本主要伪装成Adobe F
2017年10月24日,网上出现了一个新的勒索病毒Bad Rabbit(坏兔子),最早在俄罗斯和乌克兰出现,跟之前的NotPetya勒索病毒功能上有很多相同的代码实现,比如创建任务计划关机重启、通过读取当前用户密码和内置的系统弱口令来遍历局域网内电脑传播,最后加密系统文件后提示通过支付比特币解密。
最近,一种电脑勒索病毒席卷了全球几十个国家。美国、俄罗斯、中国,欧洲国家的Windows电脑受创最重。
腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现最新变种,此次变种的病毒延续上个版本的邮件蠕虫攻击方法,利用附带Office漏洞CVE-2017-8570漏洞的doc文档以及JS诱饵文件发送与新冠肺炎主题相关的钓鱼邮件。同时新增SMBGhost(CVE-2020-0796)漏洞检测和上报、新增SSH爆破攻击相关代码,推测其可能在后续攻击活动中利用SMBGhost漏洞、也可能发起针对Linux系统的攻击。
大家好啊,我是徐小夕。之前和大家分享了很多前端工程化,可视化,职业发展相关的干货,虽然这两年大环境不太好,但是我们还是要定期学习成长,才能让自己的未来把握职场主动权。
近日有卡饭网友向火绒提出12个问题,从产品性能到核心技术。这些问题非常棒,无论提问者是网友还是友商,火绒团队都非常愿意一起探讨。我们尝试一一作答如下。
作者前文介绍了病毒原理和防御知识,并通过批处理代码和漏洞(CVE-2018-20250)利用让大家感受下病毒攻击的过程,提出了安全相关建议;这篇文章将详细讲解宏病毒相关知识,它仍然活跃于各个APT攻击样本中,具体内容包括宏病毒基础原理、防御措施、自发邮件及APT28样本分析。这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、系统安全紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
微信小游戏、H5小游戏、微信小程序之间的关系及区别,以及相关主要技术点及应用学习讨论。
深信服EDR安全团队,整理分析了一起某电商钓鱼事件,通过关联信息,发现背后可能存在一个“产业链齐全”的黑客团伙,研究发现其具备“一站式服务”的黑客攻击手段。
按照常规套路我们依旧从原理剖析一下。首先,什么是宏?是一种可在其更广泛的环境中工作的编程语言编写的,可以理解成一个小程序,能在较大的程序中运行,可以代表用户自动执行任务,通常会指一项复杂或比较耗时的任务,它还在很多MMORPG(大型多人在线角色扮演游戏)社区和某些搜索引擎优化软件中使用
SHA1: E889544AFF85FFAF8B0D0DA705105DEE7C97FE26
当你在使用微软Word处理文档时,是不是经常看到.doc和.docx这两种文件格式?它们看起来差不多,但其实有很大的不同哦!今天我们就来简单聊聊这两者到底有啥区别,以及它们各自的优缺点。
这是 酒仙桥六号部队 的第 18 篇文章。全文共计3670个字,预计阅读时长10分钟。前言如果评选世界上最善良的文件,Word文档应该榜上有名。很少有人会把".doc"文件和黑客手中的杀人利器联系起来。然而,事实正好相反。上世纪90年代,就有"宏病毒"出现,病毒制造者利用word的特性,在文档中内嵌破坏性的程序。不过,
北京时间2017年6月27日晚,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭遇Petya勒索病毒最新变种袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。 与5月爆发的WannaCry勒索病毒相比,Petya勒索病毒变种的传播速度更快。它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞,还会利用“管理员共享”功能在内网自动渗透。在欧洲国家重灾区,新病毒变种的传播速度达到每10分钟感染5000余台电脑,多家运营商、石油公司、零售商、机场、银行ATM机等企业和公共设施已大量沦
昨晚21时左右,乌克兰遭受Petya勒索程序大规模攻击。包括首都基辅的鲍里斯波尔国际机场、乌克兰国家储蓄银行、船舶公司、俄罗斯石油公司和乌克兰一些商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击。实际上Petya波及的国家还包括英国、印度、荷兰、西班牙、丹麦等。 Petya看来大有与前不久WannaCry争辉的意思。这款病毒到底有什么特性能够让乌克兰乃至全球的众多商业银行以及部分私人公司、零售企业和政府系统都遭到了攻击呢? Petya都干了些什么? 部分安全公司,包括赛门铁克都认为,这次的勒索程序就
0x1 背景 过去几年,基于宏的文档攻击技术一直是主流,虽然需要用户主动进行确认,但是攻击的成功率依然非常的高。不过,近段时间来,使用Office DDEAUTO技术来传播恶意文件的方法已经越来越流行。该技术很快被FIN7组织、Necurs僵尸网络所采用,用来进行APT攻击,以及用来传播勒索病毒。该方法已经开始替代了用宏技术来传播,成为当前使用office为载体传播病毒的新宠。 0x2 DDE技术介绍 Windows提供了应用程序间数据传输的若干种方法。其中一种就是使用动态数据交换(DDE)协议。DDE协议
目录 Petya勒索软件新变种详细分析报告 Petya新变种简介 传播渠道分析 可能传播渠道-邮箱传播 可能传播渠道-MeDoc 详细功能分析 感染过程分析 磁盘加密和勒索细节 安全建议 参考资料 Petya新变种简介 据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病毒变种。Petya勒索病毒变种中毒后会扫描内网的机器,通过永恒之蓝漏洞自传播到内网的机器,达到快速传播的目的。 有国外安全研究人员认为,Petya勒索病毒变种会
免责声明 本报告综合瑞星“云安全”系统、瑞星客户服务中心、瑞星反病毒实验室、瑞星互联网攻防实验室、瑞星威胁情报平台等部门的统计、研究数据和分析资料,仅针对中国2016年1至12月的网络安全现状与趋势进行统计、研究和分析。 本报告提供给媒体、公众和相关政府及行业机构作为互联网信息安全状况的介绍和研究资料,请相关单位酌情使用。 如若本报告阐述之状况、数据与其他机构研究结果有差异,请使用方自行辨别,瑞星公司不承担与此相关的一切法律责任。 报告摘要 · 2016年瑞星“云安全”系统共截获病毒样本总量4,327万个,
一次抓包,可能会有几万个报文,熟练地使用过滤功能,可以快速定位到需要分析的内容。在这里过滤http报文,直接对http报文进行分析。
APT攻击,它是集合多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御,一般是通过Web或电子邮件传递,利用应用程序或操作系统的漏洞,利用传统的网络保护机制无法提供统一的防御。
3月13日,火绒接到多个企业求助,在安装完“通达OA系统”某插件后,服务器内文件被病毒加密。火绒工程师紧急远程查看后,最终在用户的“通达OA”目录中发现一个使用Go语言编写的勒索病毒。根据上述迹象,火绒提醒“通达OA系统”用户注意加强安全防护,及时备份资料。目前,火绒最新版可对该勒索病毒进行拦截查杀,防止被该勒索病毒攻击。
摘要总结:本文主要分析了Petya勒索病毒的详细传播途径、感染后的处理措施以及防范方法。本文从Petya勒索病毒的感染机制、传播途径、感染后的处理措施以及防范方法四个方面进行介绍,旨在帮助读者全面了解Petya勒索病毒的相关信息,提高网络安全意识。
1.计算机病毒不仅有文件型,还有引导型、混合型病毒,只删除磁盘上所有的文件是不能清除磁盘中引导型或混合型病毒的;用杀毒软件也只能清除已知的病毒,对新型病毒,则不一定能检测和清除;用完全格式化磁盘的方法,则可以清除各种类型的计算机病毒。
HTML5学堂-码匠:2017年6月27日夜间开始,名为Peyta的勒索病毒在多个国家肆虐。为保证您的信息安全,请您尽快下载并安装相应补丁。 Peyta病毒 国家网络与信息安全信息通报中心发布紧急消息
安全研究人员最近发现,垃圾邮件发送者们正在使用一种新的手法绕过垃圾邮件过滤系统——空Word文档。 空白Word文档 垃圾邮件附件中的文档通常伪装成发票或者银行账单,但是这次说的垃圾邮件却是一份空文
Thinkpad x200的机器,Vista home的系统,Office版本为SP3,
前言 上周,360发布了海莲花的报告,数据收集,分析,解释,加工方面很能让人折服,但是看了其对所谓OceanLotus Encryptor样本的分析,和我自己观查到的,我觉得有些地方描述的不正确,而且其对病毒攻击流程的分析语焉不详——一个APT攻击报告不能详细说明其攻击流程,其他数据分析的再好我觉得都是没有说服力。 很多地方看似是语法错误导致的,其实是其并没有完全分析清楚攻击流程所导致的,比如 : 另外关于64位强密匙绕过杀软,其实质就是OceanLotus Encryptor 在创建进程时候的用到
中国青年报客户端讯 1月29日,奇安信病毒响应中心和奇安信CERT的技术人员发现多起利用新型冠状病毒肺炎疫情相关热词开展的攻击行动。他们监测到一些黑客组织正在制造并大肆传播一系列电脑版病毒,这些病毒均带有“冠状病毒”“疫情”“武汉”等热门字样,可导致电脑声音被窃听,文件被窃取,一些版本的病毒还会删除操作系统核心文件导致无法开机。目前,该系列病毒正通过社交网络悄然蔓延、肆意传播。
近日,火绒安全团队发现,新型病毒“VanFraud”正通过国内多家知名下载站的“高速下载器”大肆传播,日感染量最高可达10余万台。该病毒感染用户电脑后,会强行添加QQ好友,散播淫秽、赌博、诈骗等违法信息,还有劫持浏览器首页等侵害行为。经技术排查发现,在“2345软件大全”、“非凡软件站”等18家下载站内(详见下图)均可能被该病毒利用,近期在这些站点下载过软件的用户,都有可能被感染,建议大家尽快使用“火绒安全软件”及专杀工具,对电脑进行扫描查杀。
2022年5月17日,致力于利用人工智能和机器学习改变药物发现和开发的制药技术公司Model Medicines宣布向FDA提交了一份Pre-IND简报文件和会议请求,pre-IND的会议请求已获批准。
近日,国外安全媒体先后报道了一款名为Lilocked的Linux勒索病毒,该勒索病毒目前为止已感染了6000+台Linux主机,加密后缀为.lilocked。俄国的安全研究员认为,Lilocked很有可能是通过Exim邮件转发软件的最新远程执行漏洞CVE-2019-15846进行传播的。
近几年服务器安全防护越来越受到企业的重视,企业在选购时不再仅仅看重成本,还更看重安全性,因为一旦数据泄露,被暴力破解,将对公司业务造成毁灭性打击。鉴于人们对服务器安全性的看重,本篇文章就来测评一下市场上一款非常畅销的服务器操作系统——浪潮信息服务器操作系统云峦KeyarchOS。
Office 宏,译自英文单词 Macro。宏是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样 的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。
Linux的防病毒软件,开玩笑吧?Linux不是很安全吗?很多Linux新手都这样认为,看到标题不要犹豫,读完全文你就会从中找到答案。 首先,Linux比其它操作系统更稳定更安全。理论上Linux是有可能被病毒侵害的。但实际上 Linux机器几乎不可能遭受病毒的攻击。所以我这里的问题是为什么要为Linux准备防病毒软件,为了更好理解,我准备了以下理由: Linux平台安装杀毒软件的原因: ● 从Linux平台扫描Windows驱动 ● 通过网络扫描Windows工作站 ● 在Linux服务器中扫
2019年3月13日,宜昌市夷陵区人民政府官网发布公告《关于防范勒索病毒 GANDCRAB 攻击 的预警通报》称,近期有境外黑客组织对我国有关部门发起了勒索病毒邮件攻击,勒索病毒版本号为GANDCRABV5.2。
群里朋友发来一条求助信息,问是中了哪个家族的勒索病毒,后面发来了相关的勒索病毒勒索信息和样本,经过确认为Globelmposter4.0变种家族,笔者跟踪分析过不少勒索病毒家族,最近一两年针对企业的勒索病毒攻击,真的是越来越多了,基本上每天都会不同的朋友通过微信或公众号咨询我,求助勒索病毒相关的信息,同时很多朋友在后台给我留言关于勒索病毒的相关信息和样本,感谢大家的信任与支持,也欢迎更多的朋友给我提交关于勒索病毒的相关信息和样本,一起研究对抗勒索病毒攻击。
5月8日,火绒实验室截获新型后门病毒。该病毒破坏性极强,入侵用户电脑后会执行多种病毒模块,以窃取用户比特币、门罗币等主流虚拟货币的数据信息,同时利用用户电脑疯狂挖矿(生产“门罗币”),并且还会通过远程操控伺机对用户进行勒索。
2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。腾讯电脑管家对其进行详细分析,分析纲要如下: 一、病毒概况 二、病毒详细分析 1、mssecsvc.exe行为 2、tasksche.exe行为(敲诈者) 3、解密程序 4、文件列表及作用 三、Wanacry加解密过程深入分析 1、文件加密 2、文件删除及擦写逻辑 3、文件擦写方案 4、详细加密流程 5、解密过程 6、分析及调试验证 四
在经历过期末学习怠倦期后,我战战兢兢地打开了(自己搭的蜜罐抓不到样本(╥ω╥`) )
新型冠状病毒肺炎(Corona Virus Disease 2019,COVID-19),简称“新冠肺炎”,世界卫生组织命名为“2019冠状病毒病” [1-2] ,是指2019新型冠状病毒感染导致的肺炎。2019年12月以来,湖北省武汉市部分医院陆续发现了多例有华南海鲜市场暴露史的不明原因肺炎病例,证实为2019新型冠状病毒感染引起的急性呼吸道传染病。
Deno 是一个安全的 JavaScript 和 TypeScript 运行时,作者是 Ryan Dahl(也是 Node.js 的原作者)。Deno 的诞生之初是为了解决 2009 年首次设计 Node.js 时的一些疏忽。我认为这种改造动机很有道理,因为我相信每个程序员都希望有机会能重写他们已有 10 年历史的代码。
据美国科技媒体BleepingComputer报道,一场新的网络钓鱼活动正在试图借助一种名为“BazarBackdoor”的新型后门木马来获取目标企业网络的完全访问权限。基于代码的相似性,臭名昭著的TrickBot银行木马的开发人员被认为是幕后黑手。
近期,火绒工程师根据用户反馈,发现一款名为“QQ游戏智能机器人”的外挂程序,会针对广大游戏玩家,搜集和回传隐私数据,包括带有色情相关关键字的文件及含密码、账号、通信录、笔记等关键字的文件,被搜集的文件类型包括文档、图片、视频等。火绒用户无需担心,火绒安全软件已对该木马程序进行拦截查杀。
邮件钓鱼通常出现在APT攻击里面,但是在日常生活中我们的邮箱也会经常出现一些钓鱼邮件,为了更好的了解原理,我在本地探索了一下宏上线钓鱼邮件,分享出来供师傅们交流。
领取专属 10元无门槛券
手把手带您无忧上云