据国外安全媒体报道,在日本、德国、加拿大和澳大利亚、中国以及其他几个目标国家中发现GandCrab的广泛活动,说明这只“河蟹”的出现是具备一定的国际性。 新版本GandCrab V5.2勒索软件加密手段与以往版本相比已经做了关键性变化,这些变化令针对以前版本开发的解密工具无效。由此我们看到,黑客在不断基于现有恶意软件形式创建新的且更危险的版本继续在网络中分发。 GandCrab蛰伏一段时间后的再次爆发,又一次证明,恶意软件暂时性的消失,都是一种假象,恶意软件作者实际上仍在不断尝试寻找新的方法来逃避安全产品的检测。为了有效地解决这些安全问题,我们要根据恶意软件家族DNA不断追踪研究。 有关该病毒防范,可以参照我此前的文章“一起简单聊一下新GandCrab勒索病毒防护”以及参考此前两篇关于RDP攻击及GandCrab病毒攻击的文章。
另外,随着加密货币价格不断下降,市值不断缩水,全球影响逐渐减弱,随着MoneroCryptocurrency价值的下降,采矿成本上升,Coinhive的价值从2018年10月的18%降至2019年1月的12%,本月已经降至10%。
2019年二月份“十恶不赦”:
*箭头与上个月的排名变化有关。
1. ↔Coinhive - Cryptominer,用于在用户访问网页时执行Monero加密货币的在线挖掘,在用户不知情的情况下通过挖掘门罗币获得收入。
2. ↑ Cryptoloot - Cryptominer,使用受害者的CPU或GPU电源和现有的资源开采加密的区块链和发掘新的机密货币,是Coinhive的有力竞争对手,本月较上月上升一个名次,获得的第二名地位。
3. ↑Emotet - 自我传播和高级模块化的木马。Emotet曾经被用作银行木马,最近被用作其他恶意软件或恶意广告的分销商。它使用多种方法来维护持久性和规避技术以避免检测。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播,由上月的第五名,上升到本月的第三名。
4. ↓XMRig - XMRig -是一种开源利用CPU进行挖掘恶意软件,用于挖掘Monero加密货币,并于2017年5月被发现。
5. ↓Jsecoin - 使用JSEcoin,可以直接在浏览器中运行矿工,以换取无广告体验,游戏内货币和其他奖励。较上个月再下降一个名次,获得第五名的地位。
6. ↑Dorkbot -IRC-是一种基于IRC设计的蠕虫,可以以操作员执行远程代码,以及下载其他恶意软件到被感染的机器。是一个银行木马,其主要动机是窃取敏感信息并可以发起拒绝服务攻击,本月影响程度较上月同为第六名。
7. ↓Nivdort -多用途机器人,也称为Bayrob,用于收集密码,修改系统设置和下载其他恶意软件。它通常通过垃圾邮件传播,其中收件人地址以二进制文件编码。
8. ↑Gandcrab -GandCrab是通过RIG和GrandSoft Exploit Kits分发的勒索软件,以及垃圾邮件。勒索软件是在一个附属计划中运作的,加入该程序的人支付了GandCrab作者30%-40%的赎金收入。作为回报,联盟会员可以获得功能齐全的网络面板和技术支持。该加密勒索病毒,医疗行业许多单位中招,最近在国内也有发生,特别是冒充我国政府单位结合邮件攻击,请大家重视该病毒的传播趋势。
9. ↑Authedmine – 与CoinHive类似,Authedmine是一个基于Web的加密挖掘器,用于在用户访问网页时执行Monero加密货币的在线挖掘,而无需用户知情或批准用户的利润。但是,与CoinHive不同,Authedmine旨在要求网站用户在运行挖掘脚本之前明确同意。
10. ↔Ramnit - 是一款能够窃取银行凭据, FTP密码,会话cookie和个人数据的银行特洛伊木马。
本月Lotoor是十分流行的移动恶意软件,取代了移动恶意软件列表中的Hiddad。Triada仍位居第三。
二月份三大移动恶意软件:
1. Lotoor -Hack工具利用Android操作系统上的漏洞获取受感染移动设备的root权限。
2.Hiddad – 是一款Android恶意软件,对合法应用程序重新打包,然后将其发布到第三方应用商店。主要是显示广告,也能够访问操作系统内置的关键安全细节,允许攻击者可获取敏感的用户数据。
3. Triada - 适用于Android的ModularBackdoor,它为下载的恶意软件授予超级用户权限,有助于它嵌入到系统进程中。Triada也被视为欺骗浏览器中加载的URL。
CVE-2017-7269仍然领先于其他漏洞,占45%。OpenSSL TLS DTLS心跳信息泄露是第二大流行漏洞,全球影响力为40%,其次是Web服务器PHPMyAdmin错误配置代码注入漏洞,影响全球34%的组织。
二月份三大漏洞:
1.↔ScStoragePathFromUrl缓冲区溢出(CVE-2017-7269) - 通过Microsoft Internet Information Services 6.0将精心设计的请求通过网络发送到Microsoft Windows Server 2003 R2,远程攻击者可以执行任意代码或导致拒绝服务条件在目标服务器上。这主要是由于HTTP请求中对长报头的不正确验证导致的缓冲区溢出漏洞。
2. ↑OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160;CVE-2014-0346) - OpenSSL中存在信息泄露漏洞。该漏洞是由于处理TLS / DTLS心跳包时出错。攻击者可以利用此漏洞披露已连接客户端或服务器的内存内容。
3.↑Web服务器PHPMyAdmin错误配置代码注入 -PHPMyAdmin中报告了代码注入漏洞。该漏洞是由于PHPMyAdmin配置错误造成的。远程攻击者可以通过向目标发送特制的HTTP请求来利用此漏洞。
