視網消息:最近一段時間,國內發生多起電腦勒索病毒案例,尤其是在醫療、教育和金融等行業,不少個人用戶的數據文件被勒索病毒加密以后無法打開。
根據截獲的勒索病毒樣本,病毒主要通過移動存儲設備和惡意軟件安裝包傳播。用戶在激活或者打開含有勒索病毒的木馬程序以后,電腦里的所有文件就會被加密,用戶被要求限時支付贖金。
網絡安全專家王亮說,感染這個勒索病毒之后用戶第一個感覺就是突然自己的桌面背景被人換了,比如說自己的Word文檔照片打不開了,文件擴展名被修改了。一般來說它的勒索金額在350美元到500美元。
除了感染電腦中的軟件,這次勒索病毒還盯上了包括路由器、智能攝像頭在內的智能硬件。根據最新發布的《典型智能硬件設備網絡安全分析報告》,路由器成為最容易受到病毒攻擊的智能硬件產品,隱私泄露、支付安全和病毒攻擊成為用戶最為關心的三大問題。
智能硬件專家柴坤哲說 ,一個黑客黑到你的路由器的話,就相當于進入到了你整個家里面的網絡的虛擬的門,它可以和你的設備,和你的所有的智能設備,所有的網絡設備產生關聯,也可以產生攻擊。
針對這次勒索病毒的特點,專家建議:電腦用戶一定要養成備份重要數據和文件的習慣,同時提高日常運維安全意識,做好數據安全防范工作。
網絡安全專家王亮說,不要使用弱口令,就是比如說自己的登錄口令不要太簡單,之后就是計算機上要打安全補丁還有軟件及時更新,被安全軟件阻止的文件不要添加信任或者是放行,要通過正規渠道下載安裝軟件。
家的私人電腦會不會設置密碼?我相信大部分都會設置密碼保護自己的密碼。雖然說沒什么太多的用途。求個心安。如果有人把你的電腦密碼改了。向你要勒索。
例如這樣
說實話現在如果還有人做這個。明顯沒有超過18歲。
可能大家都知道一般修改密碼大家可能就想到
這個大家都熟悉這種。一般程序員怎么搞呢。畢竟是程序員嘛,不整點不一樣的顯的不高大上。
就使用cmd命令行來完成。
點擊開始-運行-輸入cmd即可打開
也可以快捷鍵 Win (鍵盤左下第二個四個格子那個鍵)+ R 輸入CMD
當然這樣如果提現不出來是你一個IT從業者。
你還可以把它做成批處理或者是VBS/VBE的形式類似這個樣子
Wscript.CreateObject("Wscript.Shell").Run "net user dbinary 12345",0,true
當然你覺得這些小把戲。都20年了我是會C的男人好嗎
#include <windows.h>
main(){system("net user 用戶名 密碼");}
著這樣顯了你牛逼了。這個時候有人就想改自己的多沒意思啊。去把小美的電腦密碼改了然后給他修,英雄救美多好。萬一還是發生點什么呢。但是一想都是做IT的他是不會點這些東西的。
微軟發布過一種加密工具,還有就是以其他語言的將這個功能編譯為exe取一個(取一個淘寶全場打1折軟件)然后小美不就中招了。
說了那么多。不管上面的代碼怎么寫,其實本質上仍然是調用了cmd.exe這個程序,通過對這個程序傳遞命令行參數,來達到修改密碼目的。在編程語言中,基本上可以肯定會調用到CreateProcess(A/W)這個函數(ShellExeC,WinExec底層也調用該函數,當然不排除直接調用更底層的CreateProcessInternalW的可能性,但非常少),因此對付這種鎖機程序,我們只需要監視CreateProcess(A/W)就可以了。
這類50年前的老古董估計也沒成年人去搞這些。如果你這運氣碰到PeDollc.exe可以給你搞定他。
本來不準備詳細寫的。但是依一些朋友。
首先運行PeDolls.exe(要用管理員身份運行)
然后我們打開控制器PeDollc.exe,在菜單中點擊監視器->連接,然后將虛擬機PeDolls中顯示的IP地址輸入進去
點擊確定按鈕,同時按下工具條中的 N按鈕連接到虛擬機
在控制器的命令框中輸入doll db 惡意軟件ID加后綴一定要是英文,可以提前改一下。
可能會有朋友問嘛意思?
doll命令可以理解為注入調試程序,參數db表示使用創建遠程線程的方式注入監視dll,當然還有di(注入到運行進程),iti導入表注入,(bi)OEP篡改注入,(mi)啟用輸入法注入模式,但目前來看,以db參數使用兼容性較好。
<.exe>就是被監視的可執行文件路徑,因為他和pedolls在同一目錄下,所以這里我們直接輸入文件名就可以了。
回車點擊那個鎖鎖叫連接。現在點擊規則加載規則腳本,在PeDoll三個文件夾中常用腳本中,選擇鎖機分析
點擊 上上圖那個三個框框一個導線按鈕來hook相關API函數
按鈕啟動調試,當然調試過程中可能會如果沒有響應,你也可以通過點擊按鈕來恢復,很快,PeDoll就攔截了這個鎖機程序的結果
這樣恭喜你就可以看到密碼了。
下期講講高級一點的鎖文件。
譯局是36氪旗下編譯團隊,關注科技、商業、職場、生活等領域,重點介紹國外的新技術、新觀點、新風向。
編者按:在公眾的想象中,黑客是惡魔般的專家。但現在一個普通人,無需精通編程,只要買下一個勒索軟件,就可以利用它實施數字盜竊了。這是一篇普通人嘗試數字盜竊的“黑圖靈測試”,證明網絡犯罪已經發展到了這樣一個地步,即軟件輔助的無知與真正的技能是無法區分的。本文分上、下兩篇,上篇主要回顧黑客攻擊發展歷史,以及探討黑客入侵前兩個環節:找勒索軟件準備黑客攻擊以及找到攻擊目標,下篇主要介紹黑客攻擊的最后一環節—勒索收款。原文作者Drake Bennett,原文標題“I Used Dark Web Ransomware to Sabotage My Boss”。
相關閱讀:利用暗網勒索軟件,我輕松入侵了老板的電腦(下)
如你所了解的,網上有錢可賺。當然,問題是如何做到這一點。
并不是每個人都具備獨一無二的技術,足以扭曲現實;也不是每個人都有斯坦福大學的人脈關系,成為獨角獸企業的早期雇員;也不是每個人都對陽光漠不關心,可以成為世界級游戲“堡壘之夜”的玩家;并不是每個人都生活在軟件工程報酬豐厚且機會眾多的那幾個地方,這樣的地方還是相對較少的。
如果你愿意觸犯法律,至少是美國的法律,或者選擇一個你自己可能不會稱之為家的國家,那么你的選擇范圍就會擴大。
你可以盜取信用卡號碼,也可以批量購買它們。你可以劫持銀行賬戶,給自己匯錢,也可以劫持電子郵件賬戶,騙過別人給你匯錢。你還可以在交友網站上欺騙孤獨寂寞的人。
然而,所有這些商業冒險都需要這樣或那樣的資源:比如說,一種用別人的信用卡買單的銷售方式,一個愿意把你的贓款變現的“幫兇”,或者有說服別人的天賦和對長期欺騙的耐心。通常還需要一些編程技巧。但如果你沒有這些,總還有勒索軟件的。
惡意軟件對計算機或服務器上的數據進行加密,勒索軟件允許攻擊者勒索付款以換取解密密鑰。在美國的過去一年里,黑客襲擊巴爾的摩政府, 新奧爾良,和一大批較小的城市,摧毀了城市電子郵件服務器和數據庫,警察事故報告系統,在某些情況下甚至911調度中心。由于依賴重要的、對時間敏感的數據流,醫院已經被證明是特別誘人的目標。同樣,專注于遠程管理小型企業和城鎮的IT基礎設施的公司也是如此——攻擊它們意味著對所有客戶進行有效的黑客攻擊。
隨著襲擊次數的增加,受害者和贖金的規模也在增加。聯邦調查局網絡部門的一位科長HerbStapleton說:“勒索軟件最初是針對個人的。后來,它開始瞄準那些沒有強大互聯網安全保護的小公司,現在它們的目標已經演變成了規模更大的公司和市政機構。”在2019年,法國媒體集團M6的天氣頻道和航運服務公司皮特尼鮑斯公司,都被擊中了。去年夏天,佛羅里達的兩個小城鎮花了110萬美元來解鎖他們的數據。據英國廣播公司(BBC)報道,歐洲取證公司Eurofins Scientific也向攻擊者支付了贖金,不過該公司尚未證實這一點。通聯旅游有限公司(Travelex Ltd.)也不愿透露是否支付了數百萬美元的贖金,不過在我寫這篇文章的時候,這家全球外匯兌換商網站在遭到攻擊一個月后仍處于癱瘓狀態。
在某種程度上,勒索軟件的興起是注定的。簡單,可擴張,低風險等特點,讓它造成了一個特別整齊的網絡犯罪。
一些最成功的勒索軟件變體被認為是從前蘇聯國家出現的,在那里,精通科技的年輕人可以得到高質量的教育,卻得不到一份與之相稱的工作。這種結合催生了一個行業,無論從大的方面還是小的方面來說,他們都是科技業的亡命之徒。
如今,潛在的攻擊者不必制造自己的勒索軟件,他們可以買到了。如果他們真的不知道如何使用它,還可以訂閱服務,獲得軟件客服支持,這將有助于協調他們的攻擊。軟件即服務(科技術語中的SaaS)是一個龐大的全球產業,涵蓋了從Salesforce.com客戶關系管理軟件到Slack的工作場所消息平臺,再到Dropbox的云存儲。
在兼具論壇和集市功能的暗網聊天室中,搜索“勒索軟件即服務”或“RaaS”,你可以一頁又一頁地點擊瀏覽。在公眾的想象中,黑客是惡魔般的專家,但其實他們不必這樣,不必用勒索軟件。網絡安全公司Flashpoint的情報總監克里斯托弗·伊莉森(Christopher Elisan)表示:“你可能是一個普通人,只是買下了這些東西,然后你就可以利用它創辦一家洗劫軟件公司。”
你甚至可能是一名受過文科教育的作家,對iPhone或互聯網的工作方式有一種原始的、科技土鱉式的理解,經常發現自己站在辦公室的技術支持高手的手邊,再次詢問如何找到共享驅動器。換句話說,你也可以是我。但你真的可以嗎?開始寫這篇文章的時候,我并沒有打算嘗試一下勒索軟件。然而,幾周后,我突然意識到,如果像我這樣的人能夠成功實施一場數字盜竊,它將起到一種“黑圖靈測試”(hacking Turing test)的作用,證明網絡犯罪已經發展到了這樣一個地步,即軟件輔助的無知與真正的技能是無法區分的。作為一名記者,我花了數年的時間寫一些人的故事。這些人做的事情,如果換成我去做,我是做不到的。現在這是我被扔上競技場的機會了。
1989年末,世界各地的醫學研究人員和計算機愛好者打開他們的郵箱——他們的實際郵箱——發現了一張5.25英寸的軟盤,里面有一個互動程序,可以評估一個人感染艾滋病的風險,在當時艾滋病還是未經檢查,致命的流行病。總共有2萬張來自“PC Cyborg公司”的磁盤從倫敦郵寄到歐洲和非洲各地。但是這些磁盤負載著可激活病毒,這是一個額外的文件,一旦加載到工作站上,就會隱藏文件并加密它們的名字,然后用一個紅色的盒子填滿屏幕,要求189美元的“軟件租賃”。銀行匯票、出納支票或國際匯票要郵寄到巴拿馬的一個郵局信箱。
后來人們知道了這就是艾滋病木馬病毒,它是世界上第一個勒索軟件。
幾周后,一位名叫約瑟夫·波普(JosephPopp)的美國人在從肯尼亞參加艾滋病會議返回美國的途中被攔下。波普是一位專門研究狒狒的進化生物學家,由于他的古怪行為,他在阿姆斯特丹的Schiphol機場引起了保安人員的注意。根據《克利夫蘭誠實商人報》(the Cleveland Plain Dealer)后來發表的一篇報道,波普確信自己被國際刑警組織(Interpol)的特工給下了藥,他在某人的行李袋上寫了“波普博士被下毒了”,然后把它舉在頭上。當他自己的行李被搜查時,當局發現了一只PC Cyborg公司的印章。
波普被從他的家鄉俄亥俄州引渡到倫敦,但最終被裁定不適合接受審判:除其他因素外,他還開始在胡須上戴卷發器以防止輻射。他回到家中,自己發表了一份宣言,敦促人們多繁衍后代,2006年他去世時他正在紐約州奧內翁塔創辦一個蝴蝶保護區。
雖然波普的動機和心理健康仍然是爭論的主題,但他的勒索軟件的有效性卻毋庸置疑。
大多數磁盤的接收者甚至沒有將有害的文件加載到他們的計算機上。在那些加載了有害文件的人中,只有一小部分支付了贖金。首先,這就是一種痛苦,你需要去一趟銀行和郵局。這不是必要的。一位名叫EddyWillems的比利時人,是一家跨國保險公司的計算機系統分析師。他說:“我不是一個密碼學家,但我能夠很容易地看清它的作用,我能在10到15分鐘內把所有東西都放回去。” Willems和其他安全研究人員迅速傳播免費的艾滋病木馬解密程序,也用軟盤。
這證明了波普的想象力(和可能的狂熱),他試圖用他可以自行控制的工具完成這個計劃。把被盜數據賣給出價最高者的想法并不新鮮,但正如芬蘭網絡安全公司F-Secure的首席研究官米科·海珀寧(Mikko Hypponen)所說,波普的創新之處在于“意識到,在許多情況下,出價最高的人是信息的原始所有者。”
15年后,科技終于趕上了波普的洞察力,以互聯網的形式率先出現。
2005年,安全研究人員開始發現他們稱之為Gpcode的勒索軟件。(在網絡安全分類法中,習慣上給同一種惡意軟件及其背后的匿名團伙起同樣的名字。)Gpcode將自己作為看似合法的電子郵件的附件偷偷地植入電腦,這種技術被稱為“網絡釣魚”,如果它是按大規模進行的,或者是“魚叉式網絡釣魚”:也就是針對單個目標植入的,一封定制的電子郵件。Gpcode的后續版本還使用了更強的加密來打亂文件的內容。唯一真正的弱點是支付環節:贖金通過預付的信用卡或禮品卡結算,因此是在被全球金融體系高度監管的管道流動。隨著時間的推移,在執法部門的幫助和推動下,支付處理者在發現贖金支付方面,和收回至少部分款項方面做得越來越好。
從勒索者的角度來看,“贖金支付”這個問題是通過比特幣解決的。到2013年,這種加密貨幣已經成為主流,以至于一個勒索團伙決定嘗試一下,其變體后來被稱為“密碼鎖定器”(CryptoLocker)。比特幣在技術上并不是不可追蹤的,特別是當人們將比特幣兌換成美元、歐元或另一種法定貨幣時。不過,取證仍然是困難和耗時的,因為“滾筒式”和其他匿名措施使得交易通過公共區塊鏈的路徑變得復雜。而且,執法部門也沒有要求關閉它的支付處理器。所有這些都使它成為勒索軟件的理想選擇。
唯一的問題是,大多數人仍然不熟悉購買和發送加密貨幣的機制--勒索軟件攻擊者常常會鼓勵受害者在這個過程中尋求幫助,而他們也是樂于施以援手的。
Cryptolocker取得了巨大的成功。三名意大利計算機科學研究人員追蹤了,共771筆與勒索軟件有關的,流入比特幣錢包的款項,總計1226比特幣(當時為110萬美元),這可能是一個非常保守的數字。而Cryptolocker式的密碼鎖定配方(網絡釣魚,強加密,比特幣)仍然是今天勒索軟件的主要模板。但也有其他的:一些攻擊是假裝來自一個執法機構,因為在那里發現了非法材料,而封鎖了你的機器。(一些人會通過事先下載真實的兒童色情制品來確保非法材料的存在。)一些攻擊者一開始就把受害者引誘到一個的受感染的網站上,在該網站上,有一個軟件“漏洞攻擊工具包”可以通過他們瀏覽器的漏洞將惡意軟件悄悄潛入受害者的機器。有些攻擊最終證明根本不是勒索軟件:NotPetya2017年在全球范圍內造成了數十億美元的損失,但卻缺乏任何手段來逆轉其加密。人們普遍懷疑,它是俄羅斯制造的一種網絡武器,既不是為了竊取信息,也不是為了索取贖金,而是為了摧毀它。
美國聯邦調查局(FBI)的斯特普爾頓(Stapleton)表示:“我們發現,在一些更為復雜的網絡犯罪組織中,勒索軟件只是他們利用網絡活動牟利的另一種工具。” 帕洛阿爾托網絡公司(Palo Alto Networks Inc.)副總裁瑞安奧爾森(Ryan Olson)記得,在黑客找到入侵途徑后,他曾為客戶監控過一臺電腦。首先,他們尋找信用卡號碼。然后,他們搜索密碼或登錄憑據,用來接管網絡。“然后他們做的最后一件事,就是安裝一些勒索軟件,并加密所有的文件。”
去年10月,當我開始為我的勒索軟件服務四處采購時,整個社區仍在為甘地蟹(GandCrab)悲痛欲絕。2018年初推出的“甘地蟹”并不是第一款RaaS,但它的巨大成功證明了這種模式的商業潛力。據網絡安全公司BitDefender估計,“甘地蟹”曾一度占據全球勒索軟件攻擊事件的一半。“甘地蟹”團伙幫授權他們的軟件給“分公司”,這些“分公司”是黑客同伙,他們可以入侵被盜用的計算機,或者提供一份電子郵件地址列表進行“網絡釣魚”,作為交換,他們將獲得一定比例的收入。計算機安全研究員布賴恩·克雷布斯(BrianKrebs)表示,他們一直致力領先于殺毒程序員,發布了5個主要的軟件更新。
然后,在2019年5月31日,在俄語論壇上的一篇文章,宣布了“甘地蟹光榮退休”。作者聲稱,在過去的15個月里,該公司的分公司已經賺了20億美元,其中1.5億美元流入了創作者手中。潛在的分公司一個接一個地問對方,“下一個甘地螃蟹”會是什么。
我不打算說出我最終在哪個論壇上找到我的Raas;我不認為這篇文章的很多讀者都是有抱負的勒索軟件企業家,我也不想讓對此感興趣的人更易上手。和大多數類似的網站一樣,它在暗網(dark web)上,暗網是互聯網上的一個區域,被設置成普通瀏覽器無法訪問的。
論壇的標志是一個灰綠色DOS骷髏。這些帖子都是用英語寫的,但很顯然英語不是許多作者的第一語言,而且如果你在一個極年輕的男性環境下待過一段時間,你就會對這些習慣用語很熟悉。以“這可能是個愚蠢的問題,但是…”開始一個帖子,以“這是一個非常愚蠢的問題。” 回復帖子。然而,讓我感到震驚的是,參與者愿意詳細回答問題,或者在一系列犯罪惡作劇的話題上,鼓勵匿名陌生人。一篇10月的帖子這樣寫道:“以下是一個驚人的資源列表,它可以查閱最好的書籍,提供給黑客練習攻擊目標的一些網站,一個免費的虛擬網絡練習列表等等”
我不是網站上唯一一個沒有頭緒的人。8月31日的一篇文章的標題是“想要輕松使用勒索軟件”。另一條則寫道:“我正在瀏覽資源以獲取勒索軟件之類的東西。我具體需要什么來學習使用這些東西?”
一些論壇成員把這些“菜鳥”和“腳本小子”視為嘲諷的對象,另一些人則視之為機會。在黑客生態系統中,腳本小子的天敵是“開膛手”(ripper),一個賣假貨的人,或者只是拿走菜鳥的比特幣付款然后消失的人。論壇上的許多討論,都集中在兜售這個或那個軟件或服務的人,是否值得信任。
當然,我是一個菜鳥中的菜鳥,只有一種意識保護著我,那就是我知道的太少了,而且我的野心也很小。我和我的編輯麥克斯·查菲金(Max Chafkin)制定的計劃是,我要勒索一個目標:他。我作為記者,某種程度來說,他也是我的老板。
合理地說,麥克斯當然不希望自己的真實個人信息受到威脅,也不希望我們的雇主的個人信息受到威脅。我們的雇主為世界上最富有的金融機構處理敏感數據。所以我倆買了一個廉價的筆記本電腦,并小心翼翼地不讓它們在任何時候連接到我們的工作互聯網。麥克斯在他的筆記本上放了一大包文件:一些維基解密的文件;穆勒報告的pdf版;一些隨機的貓、船和猴子的圖片;以及他對我描述的“一堆羅馬尼亞學術論文”。
然后,他為我的進攻做好了準備,我打算提前告訴他。雖然這個計劃和實際的黑客攻擊不太一樣,但它是為了演示黑客如何攻擊電腦的,希望我們不會被解雇。
我們也不希望被捕。有幾個州明確宣布勒索軟件攻擊為非法,而馬里蘭州的立法者則在最近提出了一項法案,把僅僅是持有勒索軟件就足以定為刑事罪。還有更廣泛的聯邦計算機欺詐法規,在2018年對兩名伊朗黑客的起訴中使用了這些法規,據稱這兩名黑客是攻擊亞特蘭大、紐瓦克和幾家大型醫院系統的幕后黑手。勒索軟件被起訴的案例仍然很少,但我與大多數攻擊者不同,我實際上是在美國。
盡管如此,到目前為止,法律條文需要意圖攻擊一個不知情、不合謀的受害者。密歇根法律規定:“任何人不得在未經他人授權的情況下,故意持有勒索軟件,并意圖使用或使用該勒索軟件。”我的受害者充分知情,實際上是同謀——我們只是兩個自愿在互聯網上冒險的成年人。(如果麥克斯想裝作不一樣的話,我有電子郵件在手。) 我們采訪的彭博社(Bloomberg)律師基本上同意這一點。
譯者:白蘭芷