旅游公司网站开发与实现,汽车之家app下载,软件外包什么意思,wordpress媒体库查看404Buran勒索病毒首次出现在2019年5月#xff0c;是一款新型的基于RaaS模式进行传播的新型勒索病毒#xff0c;在一个著名的俄罗斯论坛中进行销售#xff0c;与其他基于RaaS勒索病毒(如GandCrab)获得30%-40%的收入不同#xff0c;Buran勒索病毒的作者仅占感染产生的25%的收入,…Buran勒索病毒首次出现在2019年5月是一款新型的基于RaaS模式进行传播的新型勒索病毒在一个著名的俄罗斯论坛中进行销售与其他基于RaaS勒索病毒(如GandCrab)获得30%-40%的收入不同Buran勒索病毒的作者仅占感染产生的25%的收入,安全研究人员认为Buran是Jumper勒索病毒的变种样本同时VegaLocker勒索病毒是该家族最初的起源由于其丰厚的利润使其迅速开始在全球范围内传播感染Buran勒索病毒此前使用RIG Exploit Kit漏洞利用工具包进行传播其利用了Internet Explorer的一个比较严重的漏洞CVE-2018-8174近期国外研究人员监控到一例通过垃圾邮件附带Microsoft Excel Web查询文件传播Buran勒索病毒的最新样本。 获取到的垃圾邮件如下所示 附件中带有一个iqy文件内容如下所示 该附件文档是一个IQY文件当打开该文件时将执行Web查询或远程命令该命令由使用PowerShell安装Buran Ransomware的远程服务器给出如下所示 PowerShell脚本从远程下载恶意程序相应的URL地址
hxxp://ocean-v.com/wp-content/1.exe通过分析发现此程序为Buran勒索病毒此勒索提示信息如下所示 对于不熟悉IQY文件的用户它们是Excel Web Query文档打开后将尝试使用外部源将数据导入工作表中。例如如下所示附加的IQY文件只是一个文本文件指定其数据将来自Web并从列出的URL中检索 像恶意宏一样用户首先需要启用数据源但是正如我们在其他垃圾邮件活动中看到的那样太多的人盲目地单击“启用”按钮如下所示 这不是我们第一次看到利用IQY文件安装恶意软件的恶意电子邮件活动。
在2018年我们还看到Web查询被用于安装RAT例如AMMYY Admin程序以及Necurs活动中的Marap和Quant Loader恶意软件。
由于它们具有在受害者计算机上执行几乎所有命令的能力因此Microsoft通过Web上的Outlook阻止了IQY文件并使得可以通过组策略在Windows中阻止不受信任的Microsoft Query IQY文件。
用户还可以通过在Excel中执行以下命令来自行阻止IQY文件而无需管理员的帮助 参考链接
https://www.bleepingcomputer.com/news/security/buran-ransomware-infects-pcs-via-microsoft-excel-web-queries/ 针对企业的勒索病毒攻击越来越多了具有很强的针对性攻击手法也是多种多样旧的勒索病毒不断变种新型的勒索病毒又不断出现全球每天都有勒索病毒的变种被发现同时每天都有不同的企业被勒索病毒攻击真的是数不甚数随着BTC等虚拟货币的流行未来勒索病毒的攻击还会持续增多而且后面可能会慢慢转向针对不同的平台进行攻击勒索病毒已经成为了全球网络安全最大的威胁。
