據(jù)國(guó)外安全媒體報(bào)道，在日本、德國(guó)、加拿大和澳大利亞、中國(guó)以及其他幾個(gè)目標(biāo)國(guó)家中發(fā)現(xiàn)GandCrab的廣泛活動(dòng)，說(shuō)明這只“河蟹”的出現(xiàn)是具備一定的國(guó)際性。 新版本GandCrab V5.2勒索軟件加密手段與以往版本相比已經(jīng)做了關(guān)鍵性變化，這些變化令針對(duì)以前版本開發(fā)的解密工具無(wú)效。由此我們看到，黑客在不斷基于現(xiàn)有惡意軟件形式創(chuàng)建新的且更危險(xiǎn)的版本繼續(xù)在網(wǎng)絡(luò)中分發(fā)。 GandCrab蟄伏一段時(shí)間后的再次爆發(fā)，又一次證明，惡意軟件暫時(shí)性的消失，都是一種假象，惡意軟件作者實(shí)際上仍在不斷嘗試尋找新的方法來(lái)逃避安全產(chǎn)品的檢測(cè)。為了有效地解決這些安全問(wèn)題，我們要根據(jù)惡意軟件家族DNA不斷追蹤研究。 有關(guān)該病毒防范，可以參照我此前的文章“一起簡(jiǎn)單聊一下新GandCrab勒索病毒防護(hù)”以及參考此前兩篇關(guān)于RDP攻擊及GandCrab病毒攻擊的文章。

[[259686]]

另外，隨著加密貨幣價(jià)格不斷下降，市值不斷縮水，全球影響逐漸減弱，隨著MoneroCryptocurrency價(jià)值的下降，采礦成本上升，Coinhive的價(jià)值從2018年10月的18%降至2019年1月的12%，本月已經(jīng)降至10%。

2019年二月份“十惡不赦”：

*箭頭與上個(gè)月的排名變化有關(guān)。

1. ↔Coinhive - Cryptominer，用于在用戶訪問(wèn)網(wǎng)頁(yè)時(shí)執(zhí)行Monero加密貨幣的在線挖掘，在用戶不知情的情況下通過(guò)挖掘門羅幣獲得收入。

2. ↑ Cryptoloot - Cryptominer，使用受害者的CPU或GPU電源和現(xiàn)有的資源開采加密的區(qū)塊鏈和發(fā)掘新的機(jī)密貨幣，是Coinhive的有力競(jìng)爭(zhēng)對(duì)手，本月較上月上升一個(gè)名次，獲得的第二名地位。

3. ↑Emotet - 自我傳播和高級(jí)模塊化的木馬。Emotet曾經(jīng)被用作銀行木馬，最近被用作其他惡意軟件或惡意廣告的分銷商。它使用多種方法來(lái)維護(hù)持久性和規(guī)避技術(shù)以避免檢測(cè)。此外，它還可以通過(guò)包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚垃圾郵件進(jìn)行傳播，由上月的第五名，上升到本月的第三名。

4. ↓XMRig - XMRig -是一種開源利用CPU進(jìn)行挖掘惡意軟件，用于挖掘Monero加密貨幣，并于2017年5月被發(fā)現(xiàn)。

5. ↓Jsecoin - 使用JSEcoin，可以直接在瀏覽器中運(yùn)行礦工，以換取無(wú)廣告體驗(yàn)，游戲內(nèi)貨幣和其他獎(jiǎng)勵(lì)。較上個(gè)月再下降一個(gè)名次，獲得第五名的地位。

6. ↑Dorkbot -IRC-是一種基于IRC設(shè)計(jì)的蠕蟲，可以以操作員執(zhí)行遠(yuǎn)程代碼，以及下載其他惡意軟件到被感染的機(jī)器。是一個(gè)銀行木馬，其主要?jiǎng)訖C(jī)是竊取敏感信息并可以發(fā)起拒絕服務(wù)攻擊，本月影響程度較上月同為第六名。

7. ↓Nivdort -多用途機(jī)器人，也稱為Bayrob，用于收集密碼，修改系統(tǒng)設(shè)置和下載其他惡意軟件。它通常通過(guò)垃圾郵件傳播，其中收件人地址以二進(jìn)制文件編碼。

8. ↑Gandcrab -GandCrab是通過(guò)RIG和GrandSoft Exploit Kits分發(fā)的勒索軟件，以及垃圾郵件。勒索軟件是在一個(gè)附屬計(jì)劃中運(yùn)作的，加入該程序的人支付了GandCrab作者30%-40%的贖金收入。作為回報(bào)，聯(lián)盟會(huì)員可以獲得功能齊全的網(wǎng)絡(luò)面板和技術(shù)支持。該加密勒索病毒，醫(yī)療行業(yè)許多單位中招，最近在國(guó)內(nèi)也有發(fā)生，特別是冒充我國(guó)政府單位結(jié)合郵件攻擊，請(qǐng)大家重視該病毒的傳播趨勢(shì)。

9. ↑Authedmine –  與CoinHive類似，Authedmine是一個(gè)基于Web的加密挖掘器，用于在用戶訪問(wèn)網(wǎng)頁(yè)時(shí)執(zhí)行Monero加密貨幣的在線挖掘，而無(wú)需用戶知情或批準(zhǔn)用戶的利潤(rùn)。但是，與CoinHive不同，Authedmine旨在要求網(wǎng)站用戶在運(yùn)行挖掘腳本之前明確同意。

10. ↔Ramnit - 是一款能夠竊取銀行憑據(jù)， FTP密碼，會(huì)話cookie和個(gè)人數(shù)據(jù)的銀行特洛伊木馬。

本月Lotoor是十分流行的移動(dòng)惡意軟件，取代了移動(dòng)惡意軟件列表中的Hiddad。Triada仍位居第三。

[[259687]]

二月份三大移動(dòng)惡意軟件：

1. Lotoor -Hack工具利用Android操作系統(tǒng)上的漏洞獲取受感染移動(dòng)設(shè)備的root權(quán)限。

2.Hiddad – 是一款A(yù)ndroid惡意軟件，對(duì)合法應(yīng)用程序重新打包，然后將其發(fā)布到第三方應(yīng)用商店。主要是顯示廣告，也能夠訪問(wèn)操作系統(tǒng)內(nèi)置的關(guān)鍵安全細(xì)節(jié)，允許攻擊者可獲取敏感的用戶數(shù)據(jù)。

3. Triada - 適用于Android的ModularBackdoor，它為下載的惡意軟件授予超級(jí)用戶權(quán)限，有助于它嵌入到系統(tǒng)進(jìn)程中。Triada也被視為欺騙瀏覽器中加載的URL。

CVE-2017-7269仍然領(lǐng)先于其他漏洞，占45%。OpenSSL TLS DTLS心跳信息泄露是第二大流行漏洞，全球影響力為40%，其次是Web服務(wù)器PHPMyAdmin錯(cuò)誤配置代碼注入漏洞，影響全球34%的組織。

二月份三大漏洞：

1.↔ScStoragePathFromUrl緩沖區(qū)溢出(CVE-2017-7269) - 通過(guò)Microsoft Internet Information Services 6.0將精心設(shè)計(jì)的請(qǐng)求通過(guò)網(wǎng)絡(luò)發(fā)送到Microsoft Windows Server 2003 R2，遠(yuǎn)程攻擊者可以執(zhí)行任意代碼或?qū)е戮芙^服務(wù)條件在目標(biāo)服務(wù)器上。這主要是由于HTTP請(qǐng)求中對(duì)長(zhǎng)報(bào)頭的不正確驗(yàn)證導(dǎo)致的緩沖區(qū)溢出漏洞。

2. ↑OpenSSL TLS DTLS心跳信息泄露(CVE-2014-0160;CVE-2014-0346) - OpenSSL中存在信息泄露漏洞。該漏洞是由于處理TLS / DTLS心跳包時(shí)出錯(cuò)。攻擊者可以利用此漏洞披露已連接客戶端或服務(wù)器的內(nèi)存內(nèi)容。

3.↑Web服務(wù)器PHPMyAdmin錯(cuò)誤配置代碼注入 -PHPMyAdmin中報(bào)告了代碼注入漏洞。該漏洞是由于PHPMyAdmin配置錯(cuò)誤造成的。遠(yuǎn)程攻擊者可以通過(guò)向目標(biāo)發(fā)送特制的HTTP請(qǐng)求來(lái)利用此漏洞。