Month: February 2021

利用VMWare漏洞传播RansomExx勒索软件

根据研究,“ RansomExx勒索软件”背后的网络犯罪分子小组现在正在利用VMWare ESXi中的已知错误(包括CVE-2019-5544和CVE-2020-3992)将恶意软件传播到多个虚拟机中,以共享同一硬盘存储。如果您不知道,则可能是去年11月在VMWare ESXi的OPenSLP中发现了CVE-2020-3992错误。 ESXi是管理程序,它使用应用程序将处理器,存储,内存和网络资源划分为多个VM或虚拟机。此漏洞是由ESXi中实施OpenSLP引起的,该问题导致释放后用户(UAF)问题,并且这些UAF错误通常是由程序运行期间对动态内存的不正确使用而产生的。 如果释放内存位置后任何程序都没有清除指向内存的指针或地址,网络犯罪分子便可以利用此漏洞进行恶意攻击。根据VMware安全研究员的说法,由于CVE-2019-5544漏洞而导致网络访问ESXi主机或任何Horizo​​n DaaS Management设备上的端口427的网络犯罪分子可能能够覆盖或误导OpenSLP服务的堆并导致远程代码执行。 CVE-2019-5544和CVE-2020-3992这两个漏洞都可以帮助同一网络上的网络犯罪分子将恶意SLP请求发送到易受攻击的ESXi设备,由于这些漏洞,攻击者随后可以对其进行控制。不仅是RansomExx Ransomware的帮派,Babuk Locker Ransomware的帮派也基于类似的情况进行攻击。因此,如果您或您的公司正在使用VMware ESXi设备,则应安装发布的安全补丁程序以立即修复这两个缺陷。另外,您可以通过禁用SLP支持来防止这些错误的重复。 网络犯罪分子利用该漏洞传播Ransomware(如RansomExx Ransomware) 众所周知,勒索软件开发人员会利用或利用网络,计算机,软件或其他各种漏洞中的漏洞,在目标系统或网络中注入勒索软件,如RansomExx勒索软件,Bubuk勒索软件和/或其他有害勒索软件病毒。他们针对这类运动的企业和组织。 如前所述,CVE-2019-5544和CVE-2020-3992是VMware ESXi产品中的两个漏洞,被网络犯罪分子或勒索软件开发者利用来攻击ESXi设备或网络。但是,VMware修补程序更新使VMware ESXi用户可以通过应用补丁来修复这些漏洞,因此,它们可以防止ESXi设备受到勒索软件攻击或其他攻击。

如何删除Raped ransomware(+解密加密文件)

从Raped ransomware恢复数据的提示 Raped ransomware是一种恶意软件感染,属于Xorist勒索软件系列。它的主要用途是锁定受感染的系统文件,并使用户完全无法访问它们,除非没有支付赎金。它是由网络黑客团队发现并分发的,其唯一动机是勒索无辜用户勒索巨额赎金。像其他勒索软件一样,它使用强大的加密算法来加密所有类型的个人和系统文件,例如word,文档,excel,音频,视频等。它还在加密过程中将默认扩展名更改为“ .raped”扩展名。这样用户将无法打开任何文件。当他们尝试打开甚至单个文件时,系统屏幕上也会显示赎金字样“ HOW TO DECRYPT FILES.txt”,需要赎金才能解密加密文件。  根据“ HOW TO DECRYPT FILES.txt”文本文件,受害者的所有文件已通过强加密算法锁定或加密。为了解锁或解密受害者,受害者必须向提供的钱包地址以比特币加密货币的形式支付1000英镑(英镑)。为了了解更多信息,例如如何支付赎金,受害者必须与该勒索软件背后的网络犯罪分子建立联系。受害者必须向黑客写一封电子邮件,并附上已付款的证明。赎金记录以警告消息结尾,只有五次尝试才能有效获得超过尝试次数的准确解密密钥代码,这可能会导致系统文件永久损坏。 Raped ransomware的文本文件“ HOW TO DECRYPT FILES.txt”中显示的文本:...

如何删除Clman ransomware(检索文件的方法)

从Clman ransomware恢复文件的最佳指南 Clman ransomware是Phobos Ransomware系列的成员,其主要目的是要求赎金而不是通过显示赎金通知书来解密密钥。它使用户完全无法访问系统文件,直到他们使用正确的解密密钥对其进行解密为止。与其他勒索软件一样,它使用复杂的加密算法来加密目标系统的所有存储文件。在加密过程中,它通过添加受害者的ID,coleman2021 @ aol.com电子邮件地址来重命名加密文件的扩展名,并在后缀后添加“ .clman”。它显示要求赎金的消息“ FILES ENCRYPTED.txt”文本文件,其中包含有关如何解密加密文件以及如何与开发人员联系的说明。 “ FILES ENCRYPTED.txt”文件赎金通知受害者,他们的所有个人和系统文件(如单词,文档,音频,视频和其他重要数据)都通过强大的加密算法AES和RSA进行了加密。可以使用可以从开发人员处购买的正确解密工具对所有加密文件进行解密。为了知道如何获取解密密钥,您必须写电子邮件至[email protected][email protected]。没有指定解密工具的价格,它仅取决于受害者与开发者联系的速度。付款应在48小时内以比特币的形式转移到提供的钱包地址。他们还警告受害者,请尝试重命名加密的文件扩展名,并使用第三方恢复软件对其进行解密,从而永久导致丢失数据。 弹出窗口中的文本: 您的文件已加密 不用担心,您可以返回所有文件! 如果您想还原它们,请点击以下链接:电子邮件[email protected]您的ID- 如果您在12小时内未通过链接获得答复,请通过电子邮件发送至我们:[email protected] 注意力! 不要重命名加密文件。...

如何从Mac中删除 ExtendedSprint 广告软件

ExtendedSprint:完整卸载指南 一旦安装,ExtendedSprint 可能会在 Mac 计算机上导致多个不稳定问题。这是一个讨厌的广告软件, 还包括浏览器劫机者的特点, 通常通过假 Adobe 闪存播放器更新推广。它是由强大的网络罪犯专门设计的,通过改变特定的浏览器偏好,包括起始页、新选项卡和默认搜索工具,通过假搜索引擎重定向所有搜索。为了防止设置被恢复,它甚至在浏览器上插入各种可疑的扩展、插件、工具栏等。这使得潜在不需要的程序 (PUP) 能够收集可能与第三方共享的与浏览相关的信息,以显示专为您定制的广告。 ExtendedSprint 通过侵入性广告中断用户的在线会话: ExtendedSprint 整天用数千个令人讨厌的广告轰炸您的系统屏幕,这使您的在线会话变得非常复杂。这些广告可以显示为横幅、弹出窗口、调查、推荐搜索结果等。点击后,其中任何一个都可以重定向到潜在的危险网站,在那里社会工程技巧可以用来诱骗您下载额外的 PUP,甚至恶意软件,提交个人详细信息等。您的敏感数据,如银行帐户和信用卡详细信息,可能会被骗子滥用进行欺骗易或购买,可能导致巨大的经济损失。 ExtendedSprint 推广的搜索引擎本身不会生成任何结果。它重定向到一个合法的搜索提供商(谷歌,必应,雅虎),这取决于你的地理位置。如果您每次打开首选浏览器或在 URL 栏中键入某些内容时都会打开可疑的...

如何从Mac中删除 NewTab Adware

NewTab Adware:简单的删除过程 NewTab Adware 是一种侵入性计算机感染,在上网时提供广告,严重中断用户的在线会话。当这个潜在的不需要的程序渗透到Mac计算机中时,您的 Web 浏览器不断打开包含烦人广告的新选项卡。与 systemnotices.com 和其他广告软件类似,这种危险的广告软件也会让系统屏幕上全天有数千个侵入性广告和弹出窗口充斥其中,使您的在线冲浪变得非常复杂。这些广告以多种形式出现,如横幅、优惠券、优惠、优惠、折扣、调查等。它们基于按点击付费计划,点击后为创作者赚取收入。 了解更多关于NewTab Adware的知识: NewTab Adware 投放的广告通常包括赞助链接,并将用户重定向到预先定义的网站,这些网站试图增加其受欢迎程度并获得更多访问量。值得一提的是,有些网站可能不是无害的。它们可能充满恶意内容或主机 PUP、特洛伊木马、勒索软件或其他危险的恶意软件。此外,这种不需要的威胁也可能将您改道到您收到虚假错误消息、安全警报、更新通知等的域,然后被骗去安装阴暗的应用程序。因此,无论这些广告看起来多么有吸引力或有用,您都应避免与这些广告互动。 NewTab Adware 甚至可以跟踪受害者的 Web 活动和信息,因为一旦程序上设备,它就可以访问在线浏览偏好、位置详细信息。由于收集的搜索查询、社交媒体上活动详细信息、访问次数最多的网站和搜索项目,第三方广告客户可以增加您访问的每个网站上出现的烦人广告的数量。此广告更针对您的喜好进行定制和定位,因此有更显著的可能性诱使您有意购买任何赞助内容。...

如何删除Alert-info.space POP-UP Scam Mac

Alert-info.space POP-UP Scam欺骗用户为Safari下载/安装“ AdsBlock” “ Alert-info.space”是分类为Mac Virus的粗糙网站。该网站显示虚假通知或弹出状态,表明您的Safari浏览器由于某些原因被阻止,您需要在设备中下载/安装“ Adblock”应用才能访问内容,保护并加快连接速度。这个虚假的警报通知弹出窗口包含“立即安装”按钮,声称您可以免费下载和安装此推荐的应用程序。在大多数情况下,您可以通过单击恶意广告或弹出窗口,其他可疑网站或通过设备中已安装的潜在有害应用程序(PUA)来打开这些类型的欺诈网页。 诸如Alert-info.space POP-UP Scam之类的骗局页面会显示伪造的安全或病毒警报通知,并指出您的设备已感染了一定数量的恶意软件或病毒,并要求您下载/安装一些伪造的防病毒软件,伪造的Adblocker应用程序或第三方的应用程序来解决此问题。另外,某些诈骗页面指出您的设备已被黑客入侵,某些个人文件或数据被盗或其他虚假的安全警告。这种类型的虚假警报通知或骗局的目的是在设备中注入某些有害的恶意软件或病毒,而不是安装某些合法的安全工具。 换句话说,Alert-info.space POP-UP Scam背后的骗子试图欺骗您在Mac / IPhone中安装伪造的安全防病毒软件,Adblocker或可能有害的应用程序(PUA)。该诈骗网站所推广的软件可能是值得信赖和合法的,但分发这些程序的方式却是恶意的。这意味着他们可以在他们推广的软件包中添加一些感染,例如浏览器劫持者,广告软件,PUA或恶意软件,一旦安装了此软件包,还将安装所有其他恶意程序。 一旦安装了PUA或恶意软件,或者该恶意软件背后的攻击者获得了对您计算机的访问权限,他们将在您不知情的情况下开始修改您的浏览器设置和/或系统设置。而且,它们可能阻止您还原这些更改。 PUA还旨在将您重定向到其他以横幅广告,优惠券或其他类型的广告形式运行恶意广告活动的阴暗/欺诈网站。 Alert-info.space POP-UP...

如何去除 INTERNATIONAL MONETARY FUND (IMF) Email Scam 病毒

删除INTERNATIONAL MONETARY FUND (IMF) Email Scam特洛伊木马的简单步骤 INTERNATIONAL MONETARY FUND (IMF) Email Scam 是由恶毒的网络罪犯触发的,目的是诱使用户提供其个人数据或转移资金。在这个骗局中,黑客发送欺骗性的电子邮件,假装来自国际货币基金组织(IMF)。国际货币基金组织是一个真正的金融机构,一个促进全球经济增长、推动国际贸易、减少贫困的国际组织。现已发现,有不止一个电子邮件诈骗变种伪装成来自IMF官员。在这个特殊计划中,接受者试图被骗子欺骗,与货币基金组织联系,要求签发某种形式的协议,接受捐赠或其他一些东西。 更多关于INTERNATIONAL MONETARY FUND (IMF) Email Scam: 很多时候,INTERNATIONAL...

如何删除Microsoft Teams Email Scam

Microsoft Teams Email Scam诱骗收件人访问网络钓鱼/恶意网站 该欺诈邮件被视为垃圾邮件活动或属于网络钓鱼/欺诈类别。该骗局背后的骗子在垃圾邮件活动中使用“ Microsoft Teams”的名称来证明他们是真实发件人。如果您不知道,“ Microsoft Teams” –是Microsoft开发的专有业务通信平台,是Microsoft 365系列产品的一部分。请注意,“ Microsoft Teams”开发的Microsoft不参与此垃圾邮件活动。 诈骗电子邮件背后的攻击者或诈骗者的主要动机是诱骗您访问网络钓鱼/诈骗网站。这些恶意网站可能触发您设备中的恶意软件或病毒,或者可能在您不知情的情况下使用不需要的软件下载,安装或对浏览器设置和/或系统设置进行不必要的修改。 Microsoft Teams Email Scam中显示的消息或文本表明,您的队友已尝试通过“ Microsoft Teams”平台与您联系,您可以通过单击“答复,转到对话”按钮来答复他们或在此平台上开始对话。如果您认为此链接/按钮会将您重定向到您的Microsoft...

如何删除Here’s your PayPal invoice Email Virus

Here's your PayPal invoice Email Virus欺骗收件人打开恶意附件,以分发“ Agent Tesla RAT恶意软件” “这是您的PayPal发票电子邮件,属于特洛伊木马病毒。垃圾邮件背后的骗子目的是在您的计算机中传播“ Agent Tesla” –远程访问特洛伊木马(RAT)。他们在垃圾邮件中使用一些可信赖的公司,组织的名称和LOGO,以及其他实体的说明,以证明它们是真实的发件人。诈骗者使用这种众所周知的技术来对无辜用户进行诈骗,并在其设备中触发感染,这就是“网络钓鱼/诈骗”或“垃圾邮件”运动。 在这种情况下,诈骗者在“这里是您的PayPal发票电子邮件”骗局中使用“ GQH Co.,Ltd”的名称,并声称该公司向您发送了3,590,000美元的发票,并诱骗您单击“查看并支付发票”按钮/该垃圾邮件中显示的超链接可用于下载RAR存档文件。该RAR存档文件包含名为“ GQH CO,Ltd(683814).exe的发票”的可执行文件,该文件旨在在您的计算机上安装“ Agent Tesla...

如何删除.pp (MedusaLocker) Ransomware

.pp (MedusaLocker) Ransomware加密数据并要求赎金支付以解密 它也被称为.pp文件病毒和.pp文件扩展名Ransomware属于MedusaLocker Ransomware家族。这种恶意软件是勒索软件,它通过加密存储在计算机网络或连接到某些受感染网络的计算机上的所有文件并使它们不可访问来进行加密。在加密过程中,它通过附加.pp文件扩展名来修改每个文件。例如,它将“ 1.png”文件名重命名为“ 1.png.pp”,并在完成加密过程后,将“ Recovery_Instructions.html” html文件作为赎金票据放入包含锁定文件的计算机的每个文件夹中。 .pp (MedusaLocker) Ransomware是由网络罪犯使用RSA和AES加密算法技术制成的。这种可疑文件病毒能够加密所有格式的文件,包括图像,音频,视频,游戏,pdf,ppt,xlx,文本,html,css,文档,数据库和其他格式的文件。换句话说,您将无法再访问或打开您的个人文件。这种勒索软件攻击的网络犯罪分子声称,只有在购买其解密密钥/软件后,解密才可能进行。 要求赎金的赎金票据“ Recovery_Instructions.html”指出,所有文件都存储了您公司的网络和连接到该网络的计算机,并且您需要通过列出的网站中的聊天与网络罪犯建立联系,并且只能通过“ Tor”访问浏览器。另外,如果无法访问网站列表,则指示您通过提供的电子邮件地址与他们联系。 为了证明它们具有正确的解密密钥/软件,它们为您的某些锁定文件提供了一些免费的解密密钥,并要求您将2-4个锁定文件发送到给定的电子邮件地址或列出的网站。经过免费解密测试后,它迫使您支付一定数量的勒索钱来解密由勒索软件锁定的所有文件。它还声称,如果不支付赎金,赎回资金的价格将在72小时后翻倍,以恢复您的数据。 勒索通知还指出,要卸载此勒索软件,手动重命名锁定的文件或使用第三方的解密软件/工具,那么您将永久丢失所有个人文件和文件夹。请记住,即使支付了赎金,他们也不会恢复您的锁定数据。因此,我们建议您停止与他们联系,并避免在任何情况下向他们支付任何金额的赎金。 如果您确实要恢复锁定的文件,则首先应尝试查找并删除计算机中与.pp (MedusaLocker) Ransomware相关的恶意软件。删除勒索软件后,您可以使用数据恢复解决方案。恢复勒索软件锁定的所有文件的一种可能方法是从备份中还原它们。因此,您应确保已将所有个人文件或存储在计算机或网络中的所有个人数据备份在某些安全的外部存储介质上。...