虽然勒索病毒目标以企业为主，但个人用户也同样是其顺手牵羊的对象，而且套路层出不穷：“老板”发来的文件点不点？中大奖的邮件看不看？免费的破解软件用不用？甚至运行灰色软件提示的退出安全软件“保平安”的要求答不答应？这些陷阱一旦踩下去，搞不好就遇到勒索病毒，这不最近B站大V“歪果仁研究协会”就疑似因下载激活工具被多款勒索病毒光顾，导致大量重要资料被加密。于老师表示：“勒索病毒本身原理并不复杂，可怕的是其加密行为。一旦加密行为完成，即使查杀病毒也无法解密。因此，对付勒索病毒，除了做好防御之外，还需要掌握一

2020-08-31

【文章摘要】腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃，攻击者疑通过弱口令爆破方式投递勒索病毒。该攻击者同时携带2款勒索病毒样本，一款为C#编写的勒索模块，加密添加.aes扩展后缀。另一款为Delphi编写的Scarab勒索模块，加密添加.lampar扩展后缀。腾讯电脑管家可查杀拦截此病毒。一、概述腾讯安全威胁情报中心检测到ID为LaoXinWon的勒索病毒攻击者在国内活跃，攻击者疑通过弱口令爆破方式投递勒索病毒。不同以往的单一家族勒索攻击案例，经溯源后我们发现该攻击者同时携带2款勒索病毒样本，一款为C#编写的勒

2020-08-14

前言本文分析的病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。该病毒会扫描端口，目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染，并作为攻击机再次扫描互联网和局域网其他机器，形成蠕虫感染。病毒运行1.电脑感染勒索病毒后，电脑桌面出现新的文本文件或网页文件，敲诈加密程序tasksche.exe、敲诈者解密程序 @WanaDecryptor@.exe

2020-02-10

因此，您可能听说过FBI已将三种恶意软件与一个名为Lazarus的朝鲜网络犯罪组织（或HIDDEN COBRA，请选择）相关联。第一个病毒是Dropper（这是我将在本文中分析的病毒），其中包含两个DLL（其他两个病毒）：功能齐全的远程访问工具（RAT）和蠕虫，它们利用SMB漏洞进行传播WannaCry利用并试图强行强制SMB登录。尽管这些压力在2009年开始出现，这意味着我参加该党已经很晚了，但联邦调查局没有更早地弄清这一点并不是我的错。和往常一样，您可以在VirusBay上下载所有三个文件。，如果您在这里获得文件的功能和概述，请跳到最后。无论如何，让分

2019-12-28

xHelper Android木马是危险的威胁之一，已在黑客中广泛流行，并已成为Google操作系统的十大病毒之一。xHelper Android木马上升到移动威胁的前十名xHelper Android木马是对Google移动操作系统的危险威胁，该操作系统于今年年初首次被发现。我们对背后的黑客所了解的是，他们创建该木马的目的是通过该木马部署其他威胁。它有两个主要版本，具有不同的感染机制和行为。感染的主要方法依赖于诱骗受害者在其Android设备上安装恶意软件应用程序。有几种方法可以实现此目的-通过使用伪造的开发人员凭据将伪造的应用程序上载到官方存储库（Google

2019-12-19

一、背景TrickBot银行木马首次出现在2016年，主要是通过挂马网页、钓鱼邮件的方式进行传播，最终进行窃取网银账号密码等操作。在此之前，深信服安全团队就对TrickBot银行木马进行跟踪，并发布了分析文章《TrickBot银行木马归来袭击全球金融机构》与《TrickBot银行木马下发Ryuk勒索病毒企业损失惨重》，鉴于该家族近期较为活跃，我们从其演变历程的角度给大家揭晓TrickBot银行木马背后那些事。二、初出江湖2016年9月TrickBot银行木马在针对澳大利亚银行和金融服务客户时首次被发现，开始进入安全研究员的视线，并且发现TrickBot与Dyre有非常

2019-12-18

这项技术被称为RIPlace，只需要几行代码就可以避免内置的勒索软件保护功能。它甚至对于及时修补并运行现代防病毒解决方案的系统也非常有效。一家端点安全解决方案公司的研究人员最近偶然发现了一种新技术，该技术允许勒索软件在Windows系统上加密文件而不会引起现有反勒索软件产品的注意。背景故事发现这项技术后，该公司的研究人员与Microsoft，安全厂商，执法和监管机构等联系。Nyotron告诉BleepingComputer，他们针对包括Microsoft，Symantec，Sophos，McAfee，炭黑，Kaspersky，趋势科技，Cylance，SentinelOne，Crowdstrike，PANW Tr

2019-11-28

PowerGhost是从2018年被发现使用powershell无文件方式进行攻击感染的挖矿以及DDOS病毒，本次深信服安全团队捕获到其最新样本，其感染方式利用了永恒之蓝，MSSQL爆破，SSH爆破，wmi以及smb爆破远程命令执行等，同时对windows和linux进行攻击，一旦该病毒进入内网，会在内网迅速传播。目前其主要感染地区在广东、浙江、上海以及江苏。详细分析该病毒母体模块分为2个版本，x86和x64，x86使用antitrojan.ps1，x64使用antivirus.ps1，本次分析x64版本的antivirus.ps1。当前病毒版本为1.5。母体payload分布以及执行图，antivirus.ps1中主要分为3

2019-11-16

在2019年7月初，我们 在一个著名的英语黑客论坛上检测到一个被称为mobeebom的威胁演员 为其Android远程管理工具（RAT）MobiHok v4创建了一个销售线索。一项快速研究表明， mobeebom 活跃在多个使用不同别名的讲阿拉伯语的黑客论坛上，这使我们充满信心地评估了他是讲阿拉伯语的人。在他的职位上使用不良英语加强了这一评估。他在我们监控的著名英语黑客论坛上的活动激发了我们的好奇心，因此我们决定仔细观察。MobiHok是在Visual Basic .NET和Android Studio中编码的RAT，可实现完全控制，并对受感染的设备具有广泛的功能。该最新版本的恶

2019-10-29

勒索病毒是近年来呈爆发趋势的一种计算机病毒，也一直是深信服安全团队的重点“关爱”对象。近期，深信服安全团队汇总了众多解密工具信息，有需要者可自取哦！（工具很多，建议收藏）01 勒索软件解密工具✎[Apocalypse勒索软件解密工具]https://www.pcrisk.com/removal-guides/10111-apocalypse-ransomware✎[Alcatrazlocker勒索软件解密工具]https://files.avast.com/files/decryptor/avast_decryptor_alcatrazlocker.exe✎[Alma勒索软件解密工具]https://info.phishlabs.com/blog/alma-ransomware-analysis-of-a-new-ran

2019-10-17