易破解
给你所需要的内容YIPOJIE.CN!

黑客入侵企业Windows服务器并加密文件勒索比特币

易破解阅读(71)

安全研究人员接到某公司反馈求助,自己公司的数台服务器被黑客入侵并且加密了服务器上面的所有文件。

此勒索病毒在Windows服务器电脑上除了C盘,其他磁盘分区都被整个加密,服务器文件已无法打开使用。

黑客留言该勒索病毒勒索索要的赎金高达9.5比特币(约40万人民币)勒索如此高的金额企业着实承担不起。

黑客入侵企业Windows服务器并加密文件勒索比特币

通过对该公司内网各个服务器分析,发现服务器多用了弱口令,且多台服务器使用了相同的密码。很容易被

爆破攻击。各服务器上的日志显示,黑客先入侵了该公司官网的Web服务器,而该公司的Web服务器与公司

内网相通,进而使得黑客可以通过Web服务器进行内网渗透,内网各个服务器均受到攻击,从而被黑客入侵。

被攻击的服务器上发现黑客存放的工具软件PCHunter,疑似黑客用该工具结束服务器上安装的安全软件运行。

该勒索病毒利用了一款叫BestCrypt加密软件对服务器上的磁盘进行了加密。用于进行勒索敲诈高额的费用。

该黑客留言中用词极为嚣张:

“我们并不是自动传播的勒索病毒,而是专门针对企业定向攻击的专业黑客组织。”

“2-3天内未回复我们将采取攻击破坏手段,破坏比加密容易的多……”

还举例自己干过更嚣张的破坏行动:

“某企业被加密后3天没有回复,我们(指黑客组织)删除了该企业虚拟机宿主机服务器中近100台虚拟服务器,公司陷入瘫痪损失巨大……”等等。

易破解建议大家对服务器的密码进行高强度的加密处理,Web 入侵防护、0Day 漏洞补丁修复、恶意访问惩罚、云备份防篡改等多维度防御策略全面防护网站的系统。

谁特么吃饱撑着了吧?DDoS攻击易破解网站!

易破解阅读(293)

咋天晚上易破解网站突然打不开,打开网站都是超时来的,全部显示404或者数据库为连接之类的报错,易破解登录服务器后台查看了一下,原来如此,不知道那个吃饱了撑着的人在DDoS攻击易破解网站导致服务器资源耗尽,内存飙升,服务器自然打不开了,比例来说吧,一个水坝只能装40平水,突然下了暴雨一下子超出了水坝的最大容量,马上就会导致水坝崩塌了,服务器卡死,网站陷入无反应,无服务的状态。

2018年4月19号特么攻击易破解网站的朋友没事干吗、又在DDso攻击易破解网站。

DDoS

CC/DDOS攻击

CC = Challenge Collapsar,意为“挑战黑洞”,其前身名为Fatboy攻击,是利用不断对网站发送连接请求致使形成拒绝服务的目的。业界赋予这种攻击名称为CC(Challenge Collapsar,挑战黑洞),是由于在DDOS攻击发展前期,绝大部分都能被业界知名的“黑洞”(Collapsar)抗拒绝服务攻击系统所防护,于是在黑客们研究出一种新型的针对http的DDOS攻击后,即命名ChallengeCollapsar,声称黑洞设备无法防御,后来大家就延用CC这个名称至今。CC攻击是DDOS(分布式拒绝服务)的一种,其攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。

Web漏洞攻击

Web应用攻击是攻击者通过浏览器或攻击工具,在URL或者其它输入区域(如表单等),向Web服务器发送特殊请求,从中发现Web应用程序存在的漏洞,从而进一步操纵和控制网站,查看、修改未授权的信息。
1、信息泄露漏洞
信息泄露漏洞是由于Web服务器或应用程序没有正确处理一些特殊请求,泄露Web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。造成信息泄露主要有以下三种原因:
Web服务器配置存在问题,导致一些系统文件或者配置文件暴露在互联网中;
Web服务器本身存在漏洞,在浏览器中输入一些特殊的字符,可以访问未授权的文件或者动态脚本文件源码;
Web网站的程序编写存在问题,对用户提交请求没有进行适当的过滤,直接使用用户提交上来的数据。
2、目录遍历漏洞
目录遍历漏洞是攻击者向Web服务器发送请求,通过在URL中或在有特殊意义的目录中附加“../”、或者
3、命令执行漏洞
命令执行漏洞是通过URL发起请求,在Web服务器端执行未授权的命令,获取系统信息,篡改系统配置,控制整个系统,使系统瘫痪等。 命令执行漏洞主要有两种情况:
通过目录遍历漏洞,访问系统文件夹,执行指定的系统命令;
攻击者提交特殊的字符或者命令,Web程序没有进行检测或者绕过Web应用程序过滤,把 用户提交的请求作为指令进行解析,导致执行任意命令。
4、文件包含漏洞
文件包含漏洞是由攻击者向Web服务器发送请求时,在URL添加非法参数,Web服务器端程序变量过滤不严,把非法的文件名作为参数处理。这些非法的文件名可以是服务器本地的某个文件,也可以是远端的某个恶意文件。由于这种漏洞是由PHP变量过滤不严导致的,所以只有基于PHP开发的Web应用程序才有可能存在文件包含漏洞。
5、SQL注入漏洞
SQL注入漏洞是由于Web应用程序没有对用户输入数据的合法性进行判断,攻击者通过Web页面的输入区域(如URL、表单等) ,用精心构造的SQL语句插入特殊字符和指令,通过和数据库交互获得私密信息或者篡改数据库信息。SQL注入攻击在Web攻击中非常流行,攻击者可以利用SQL注入漏洞获得管理员权限,在网页上加挂木马和各种恶意程序,盗取企业和用户敏感信息。
6、跨站脚本漏洞XSS
跨站脚本漏洞是因为Web应用程序时没有对用户提交的语句和变量进行过滤或限制,攻击者通过Web页面的输入区域向数据库或HTML页面中提交恶意代码,当用户打开有恶意代码的链接或页面时,恶意代码通过浏览器自动执行,从而达到攻击的目的。跨站脚本漏洞危害很大,尤其是目前被广泛使用的网络银行,通过跨站脚本漏洞攻击者可以冒充受害者访问用户重要账户,盗窃企业重要信息。

近日爆发安卓恶意推广病毒,感染2000万用户300款应用

易破解阅读(92)

安卓用户又要注意了,一种病毒可能会让你的手机不断弹出广告和地下推广应用。近日,腾讯TPR-AI反病毒引擎监测到安卓手机“寄生推”病毒大规模爆发,该病毒可通过预留的“后门”云控开启恶意功能,进行恶意广告弹出和应用推广,以实现牟取灰色收益。

据腾讯安全联合实验室反诈骗实验室监测,目前已有300多款知名应用受“寄生推”软件开发工具包(SDK)感染,其中不乏知名应用,数十万用户设备ROM内被植入相关的恶意子包,潜在影响用户超2000万。

近日爆发安卓恶意推广病毒,感染2000万用户300款应用

据悉,受影响的机型主要包括OPPO、华为、vivo 、小米等,受影响安卓版本中,75%是Android 4.4,此外Android5.0、6.0、7.1也受到影响。影响范围主要在国内,在国外其他地区存在少量的感染用户。

腾讯安全联合实验室反诈骗实验室技术工程师雷经纬告诉澎湃新闻记者,感染“寄生推”SDK的知名应用中,不仅类型丰富,更是不乏用户超过千万的巨量级软件,这些恶意子包可以绕过大多应用市场的安装包检测,导致受感染的应用混入应用市场。

该信息推送SDK的恶意传播过程非常隐蔽,从云端控制SDK中实际执行的代码,具有很强的隐蔽性和对抗杀毒软件的能力,与“寄生虫”非常类似,故将其命名为“寄生推”。

具体表现为,首先,其开发者通过使用代码分离和动态代码加载技术,完全掌握了下发代码包的控制权;随后,通过云端配置任意下发包含不同功能的代码包,实现恶意代码包和非恶意代码包之间的随时切换;最后在软件后台自动开启恶意功能,包括植入恶意应用到用户设备系统目录,进行恶意广告行为和应用推广等,最终实现牟取灰色收益。

腾讯手机管家安全专家杨启波建议:一,SDK开发者应尽可能的避免使用云控、热补丁等动态代码加载技术,要谨慎接入具有动态更新能力的SDK,防止恶意SDK影响自身应用的口碑;二,用户在下载手机软件时,应通过应用宝等正规应用市场进行,避免直接在网页上点击安装不明软件。

据介绍,腾讯TRP-AI反病毒引擎引入了基于APP行为特征的动态检测,并结合AI(人工智能)深度学习,对新病毒和变种病毒有更强的泛化检测能力,能够及时发现未知病毒、变异病毒,和及时发现病毒恶意代码云控加载。

近日爆发安卓恶意推广病毒,感染2000万用户300款应用

感染地域分布。

Agent Tesla 恶意病毒通过Word文档进行传播感染

易破解阅读(186)

国外安全研究人员发现 间谍软件 Agent Tesla 恶意病毒通过Word文档进行传播感染,窃取用户个人隐私信息。

Agent Tesla 恶意病毒是一款用来收集系统键击记录、剪贴板内容、屏幕截图、身份凭证用户信息的间谍软件。

此次Agent Tesla 恶意病毒主要通过一些特殊的Word文档进行传播,所以不要接收陌生人发送的Word文档。

Agent Tesla

请不要随意接收Word文档而导致的电脑中毒,个人信息全部泄露,包括银行卡信息,个人身份信息,隐私信息。

很多用户使用这款软件窥探受害者。为了实现这些功能,这款间谍软件在主函数中创建了不同的线程和定时函数。

专家首先在去年 6 月份就发现了这款恶意软件变种。当时他们观察到威胁样本中,黑客通过 VBA 宏的自动执行

进行软件的传播。一旦用户启用了文档中包含的宏,间谍软件就会在受害者机器上成功安装。

短链接也能藏病毒、NovelMiner 挖矿木马传播

易破解阅读(217)

大家都没听说过短链接也能藏病毒吧、没错就是短链接带有NovelMiner挖矿木马病毒进行疯狂的传播感染大批用户电脑。

近期安全研究人员威胁情报中心检测到了一种名为NovelMiner的挖矿木马,该病毒的传播方式比较奇特利用的短链接传播。

使用短链接跳转到长网址是网友分享链接的常见方式,尤其是在有字数限制的情况,短链接分享是目前最合适最便捷的服务。

由于短链接隐藏其指向的真实长网址,用户往往无法无法从短链得知其指向的网址类型,因而误点击带毒短链接而电脑中毒。

NovelMiner病毒、短链接也能藏病毒、NovelMiner 挖矿木马传播

近期一款名为NovelMiner的挖矿木马自2017年9月开始隐藏在广告短链接中进行传播。

据统计,全球约有100多个国家超过1500万用户由于误点带毒广告页面而自动下载了NovelMiner挖矿木马。

本次发现的NovelMiner挖矿木马通过挖取ETN币(以利坊币)获利,按一台普通电脑机器0.66 Khash/s算力计算,

每天可以挖取到20枚ETN币(以利坊币),月收益约为130人民币。

而目前发现的绝大部分挖矿木马都会选择挖取门罗币,在同等算力(0.66 Khash/s)下,

每月可以获取0.074枚,月收益约为105人民币。也就是说,

从短期看来,一台普通电脑每月挖取到的ETN币(以利坊币)收益要比门罗币高出25人民币。

近年来,短链服务越来越被大众熟悉,由于其隐藏了真实链接,容易留给不法分子可乘之机。

易破解在这里建议大家不要随意点开未知来源的陌生链接以及一些不知来源的邮件链接。

吃鸡预警“荒野行动”外挂加速器木马病毒疯狂传播!

易破解阅读(266)

吃鸡预警“荒野行动”外挂加速器木马病毒疯狂传播!目前“荒野行动”“绝地求生”等游戏在现在市场上大红大火。

吃鸡的不少玩家会下载各种加速器用来加速游戏,而这些加速器有一部分打着免费旗号提供给用户使用疯狂传播病毒。

安全研究人员近期发现一款借助“荒野行动”外挂扩散的驱动级木马十分活跃,目前到现在传播量迄已超10万多余次。

吃鸡预警“荒野行动”外挂加速器木马病毒疯狂传播!

吃鸡木马传播量10万次可想而知有多少吃鸡的玩家电脑已经沦落为了黑客的肉鸡、很多PC玩家电脑随时被黑客控制。

电脑被该驱动木马感染后可能会出现浏览器主页被反复篡改现象、不知不觉的安装一堆未知软件应用游戏或者黑屏等。

驱动级别的木马病毒查杀相当的困难,直接把任务写入了系统服务,驱动服务里面,如何才能彻底根除此病毒木马。

建议使用易破解发布的几款杀毒软件,卡巴斯基安全软件ESET NOD32卡巴斯基反病毒软件进行查杀推荐使用。

该病毒的危害

该加速器运行后界面显示正常,但是后台会静默注入桌面进程,下载各种恶意木马运行,捆绑推广软件。

木马会修改驱动结构体隐藏自身文件及驱动对象,创建进程回调对浏览器实施监控劫持篡改浏览器主页。

该木马的查杀难度极高,能够关机回写自身服务项,确保自身在开机最初运行,并做多重注册表保护。

易破解提醒大家、安全吃鸡、不要在来历不明的网站,包括各大知名下载站下载的加速器均不保证安全。

打了“Meltdown”和“Spectre”的漏洞补丁不一定安全?

易破解阅读(213)

2018年以来爆出的最为严重的CPU处理器“Meltdown”和“Spectre”可以说是历史以来影响最为严重硬件漏洞。

Meltdown”和“Spectre”两个漏洞几乎影响到过去20年制造的所有英特尔计算设备。微软推出相关的漏洞补丁。

安全研究人员发现2018年1月到2月之间打了补丁的64位Windows7和Win Server 2008 R2 系统存在一种严重漏洞。

该漏洞允许任何用户级应用程序从系统内核读取内容,甚至不需任何API或syscall指令就可以将数据写入内核。

而没有打补丁或打了3月份补丁的Windows 7系统不受影响,另外Windows 8.1或Windows 10也不受此漏洞影响。

打了“Meltdown”和“Spectre”的漏洞补丁不一定安全?

漏洞分析

通过分析,其原因在于这批补丁改变了PML 4输入的User/Supervisior权限设定。PML 4是4层分页映射表的基础。

CPU内核管理单元MMU (memory management unit) 就是用这个表将进程的虚拟地址转换为RAM中的物理内存地址。

1月到2月之间的Windows补丁中却将PML4权限设定改成用户级(User),这样分页表内容即暴露给所有程序中的

User模式下的程式码,而此时任何用户级应用程序只要通过PTE (Page Table Entries)即可任意读写系统内核。

BranchScope全新技术攻击英特尔CPU漏洞

易破解阅读(266)

研究人员发现利用英特尔CPU漏洞生产了一种新型的攻击方法,研究人员将这一新技术命名为 BranchScope。

BranchScope这种全新的边信道攻击方法,他们能够利用现代CPU中的推测执行功能来获取用户CPU数据目的。

这种边信道攻击方法与今年年初的 Meltdown 和 Specter 漏洞利效果相似,泄漏敏感数据和数据安全边界。

BranchScope

BranchScope 方法可以让攻击者取代 CPU 进行指令执行的决策。在这种方式之下,攻击者可以在计算机的。

特定区域上获取敏感信息。目前,研究员已经成功在因特尔处理器上通过了漏洞利用复现测试。

BranchScope 已在 Intel 处理器上实现利用:

学术界表示,BranchScope 是第一个针对“分支预测”的边信道攻击方法,并且该技术也可用于检索存储在SGX的内容(英特尔CPU的安全区域)。

研究团队在实例测试中对 Intel x86处理器进行了漏洞利用,如Sandy Bridge, Haswell,以及Skylake。攻击者只需要具备用户权限即可开始执行漏洞利用过程,失败概率小于1%。

这种全新的攻击手段目前还没有应对方案。之前 Spectre 漏洞补丁无法应对这次的 BranchScope 攻击。

但据研究团队表示,针对 BranchScope 攻击进行安全补丁的修复应该不是难题——仍然需要从软件和硬件层面进行双重的修复工作。

英特尔发言人表示:

我们正在在与这些研究人员合作,目前已经了解到这个漏洞的细节信息了。我们预计现有的软件修复措施。

可用于已知的边信道攻击,我们相信与研究界的密切合作会是保护客户及其数据的最佳途径之一我们很感谢研究团队为之的努力工作。

新型Zenis勒索病毒疯狂传播、加密所有文件杀伤力惊人!

易破解阅读(277)

根据360安全中心得知近期一款名为“Zenis”的勒索病毒疯狂传播,威力强大杀伤力惊人的新型勒索病毒。

如果用户在不小心的情况下中了该病毒那后果特别严重 Zenis会在短短数秒之内对你的所有硬盘进行加密。

与其他加密常见文件的勒索病毒不同、 该在病毒运行后会对设备中超过200种格式的文件进行高强度加密。

连非系统盘符下的所有格式文件也都将被锁,就连exe可执行程序都不会放过加密达到勒索受害者的目的。

同时,病毒还会删除系统中的备份文件,以避免中招用户恢复重要数据,可谓杀伤力惊人,不可不防啊。

如果需要解密设备上面的所有文件,受害者需要支付高达0.2018个比特币(约合13000元人民币给黑客)。

Zenis采用的加密手段相对比较传统,是用RSA 1024 + RC4的方式对文件进行加密。即,病毒在每个用户的机器中会生成一对RSA 1024 Session Key,而对每一个文件会生成一个RC4的会话密钥。

对于在用户本地生成的RSA 1024的解密私钥,病毒会使用代码中已经内置好的另一个RSA公钥进行加密(该公钥所对应的私钥在病毒作者手中,未放出)。而生成的RSA 1024的加密公钥,则用于对每个文件生成的RC4 Key进行加密。

加密的文件格式内置在病毒程序中,共204种。另外值得一提的是:即便文件扩展名不在此列表中也并不意味着安全——因为病毒会对非系统盘符下的所有文件进行加密(备份文件则删除)。

加密流程如下图:

新型Zenis勒索病毒疯狂传播、加密设备所有文件

首先,病毒会生成一对1024位的RSA_Key——用于加密的公钥SPUBKEY和用于解密的私钥SPIVKEY。并且用随机生成的RC4密钥USERFLGKEY加密新生成的RSA 1024解密私钥SPIVKEY,然后再用内置的RSA 2048加密公钥RPUBKEY加密这个RC4密钥USERFLGKEY。最终将生成的字符串数据会替换掉勒索信息中的%ENCRYPTED%字段,以备解密时使用

由于Zenis勒索病毒加密格式多样,且会覆盖多次并删除备份相关的文件,一些PE格式的文件及一些常用软件的数据文件被加密或被删除后可能会出现无法正常运行的情况。故相较普通勒索病毒对系统更具破坏性,加之该病毒可能是通过入侵远程桌面弱口令攻入服务进行投毒,因此建议用户:

1、修改为较强的密码;

2、修改默认的3389端口;

3、服务器打最新的补丁;

4、启用网络身份验证NLA;

VanFraud病毒疯狂传播并强制添加QQ好友推送恶意信息

易破解阅读(625)

根据火绒安全报发布的新病毒VanFraud利用多家知名下载站疯狂传播 日感染量最高达十余万 ,火绒安全团队发现,新型病毒“VanFraud”正通过国内多家知名下载站的“高速下载器”大肆传播,日感染量最高可达10余万台。该病毒感染用户电脑后,会强行添加QQ好友,散播淫秽、赌博、诈骗等违法信息,还有劫持浏览器首页等侵害行为。经技术排查发现,在“2345软件大全”、“非凡软件站”等18家下载站内(详见下图)均可能被该病毒利用。

新型病毒“VanFraud”正通过国内多家知名下载站的“高速下载器”大肆传播,日感染量最高可达10余万台

受影响的知名下载站

病毒“VanFraud”感染用户电脑后,会窃取QQ登录信息,进而在用户QQ中强行添加一位“QQ好友”,并将“QQ好友”拉入用户所在的QQ群中,散播赌博、淫秽、诈骗、高利贷等不良信息;同时会将不良信息转发到用户QQ空间;此外,还会篡改浏览器首页,跳转到2345导航页面。

强行添加QQ好友推送恶意信息,散播淫秽、赌博、诈骗等违法信息

强行添加QQ好友推送恶意信息

病毒团伙会让病毒尽量躲开安全软件的查杀,当“VanFraud”检测到用户电脑中存在安全软件和安全分析工具时,将不会被激活,执行恶意行为。

携带恶意代码的高速下载器(被检测的安全软件)

携带恶意代码的高速下载器

携带恶意代码的高速下载器

带有恶意代码的高速下载器运行后,首先会检测安全软件进程和本地时间。病毒检测的软件包括杀毒软件、安全分析工具和虚拟机相关进程,一旦检测到进程名中包含指定的安全软件字符串,则会退出恶意代码逻辑。