每日安全简讯(20161212)

1、勒索软件爆米花鼓励受害人协助传播
2、Locky和Cerber已成主要勒索软件家族
3、安全厂商剖析移动平台勒索软件机理
4、勒索软件即服务(RaaS)呈爆炸式发展
5、研究者发现恶意脚本检测沙箱新手段
6、麦当劳得来速点餐系统遭到黑客入侵

【安天】搜集整理（来源：bleepingcomputer、digitaltrends、trendmicro、aqniu、sans、easyaq）

1、勒索软件爆米花鼓励受害人协助传播
标题：New Scheme: Spread Popcorn Time Ransomware, get chance of free Decryption Key

作者信息：December 8, 2016 11:04 AM By Lawrence Abrams

//BEGIN
Yesterday a new in-development ransomware was discovered by MalwareHunterTeam called Popcorn Time that intends to give victim's a very unusual, and criminal, way of getting a free decryption key for their files.  With Popcorn Time, not only can a victim pay a ransom to get their files back, but they can also try to infect two other people and have them pay the ransom in order to get a free key.
To make matters worse, there is unfinished code in the ransomware that may indicate that if a user enters the wrong decryption key 4 times, the ransomware will start deleting files.
It should be noted, that this ransomware is not related to the Popcorn Time application that downloads and streams copyrighted movies.
勒索软件届又出幺蛾子了！
最新的勒索软件声称受害者只要能传播给2个其他的用户，并且这2个“用户”感染并支付赎金，那么这个受害者自己就能免费得到解锁密码！而不用付钱。当然也可以直接付钱，而不用去祸害其他人。
这种“商业模式”真够毒的了！
该勒索软件被命名为Popcorn Time，看样子整个软件还处于开发状态中，也就是还没有完成最后的开发工作。从勒索软件目前的运行流程看，只要客户输错解密密码4次，那么该勒索软件就会删除计算机中的文件，根本不给恢复的机会了。
注意：这个Popcorn Time与下载流媒体电影的APP应用没啥关系。

//END
As already stated, this ransomware is currently in development, so many things may change over time.  As this ransomware develops, we will release new information.
被勒索加密后的文件扩展名增加字符串filock，比如文件test.jpg被加密后其文件名会变为test.jpg.filock.最新版勒索软件的目标目录为：My Documents(我的文档）；My Pictures；My Music以及Desktop（桌面）上的文件。针对的文件类型有525种之多（但不包括exe,dll或ocx等可执行文件）：基本覆盖了对用户有用的所有类型的文档和程序文件。

点评：针对勒索软件，建议备份备份再备份。

2、Locky和Cerber已成主要勒索软件家族
标题：Locky and Cerber have become the dominant ransomware families

作者信息：December 8, 2016 5:00 AM By Jonathan Keane

//BEGIN
In the ever-changing world of ransomware, there are two animals that are always leading the pack. According to new research from security company Malwarebytes, the Locky and Cerber ransomware families are neck and neck with hackers constantly developing new strains of the malware.
在勒索软件的世界里，有2个不分仲伯的勒索软件家族，他们是Locky和Cerber。他们领先与其他的勒索软件，这主要体现在各自勒索软件的变种数量上。Locky被发现通过Facebook和LinkedIn的漏洞，将一些恶意代码隐藏在其信息的图像中，一旦在用户的机器中浏览，就会向用户的机器种植勒索软件。
另外Cerber勒索软件被发现加密用户的数据库文件。
根据安全公司的统计，全球范围内，美国是受到勒索软件感染最严重的国家，这些勒索软件经常出现变种，以逃避传统杀毒软件的追杀。
至于这两个勒索软件的源头，有消息称来源与俄罗斯或者与俄罗斯相关的机构和组织。当然追根溯源是非常困难的，特别是对于网络上的犯罪来说。也可能目前发现的只是一些烟幕弹而已，真正元凶可能另有其人。
可以确定的是勒索软件将越来越复杂，传播手段也越来越狡猾。如果只采用传统的特征码来检测将非常困难。
为了逼迫用户就范，乖乖交钱，勒索软件采用的最新的招术是将偷来的用户敏感数据和文件“威胁上网”的方式：比如盗取了敏感的文档文件，你如果不支付赎金，将在互联网上公开这些信息。这种做法对一些个人来说可能不算什么，但是对于企业和组织来说，可能就麻烦大了：轻则荣誉、生意受损，重则可能面临指控、调查等等。

//END
“There’s light at the end of the tunnel and this is a double-edged sword. The need for malware to develop further comes from the security community and the public at large ability to defend against these attacks,” explained Kujawa but every time we get better at security, cybercriminals change their tactics.
This isn’t likely to change in 2017. “They’re going to change their methods, I promise you that.”
在即将到来的2017年，阻击勒索软件还是很有希望的。当然也会是双刃的：一方面用户和安全企业的防护水平在提高，而另外一方面，勒索软件作者们会在暗处根据这些公开的信息不断调整其攻击策略和作业面。这有时使得安全工作者陷入两难境地：揭露过多的勒索策略，可能会引发更多的更高级的勒索软件出现；不揭露，可能导致企业用户对勒索软件防范不得当，不严密，造成更大的损失。


点评：针对勒索软件，建议备份备份再备份。

3、安全厂商剖析移动平台勒索软件机理
标题：Mobile Ransomware: Pocket-Sized Badness

作者信息：December 8, 2016 12:05 am By Federico Maggi

//BEGIN
A few weeks ago, I spoke at Black Hat Europe 2016 on Pocket-Sized Badness: Why Ransomware Comes as a Plot Twist in the Cat-Mouse Game. While watching mobile ransomware from April 2015 to April 2016, I noticed a big spike in the number of Android ransomware samples. During that year, the number of Android ransomware increased by 140%. In certain areas, mobile ransomware accounts for up to 22 percent of mobile malware overall! (These numbers were obtained from the Trend Micro Mobile App Reputation Service.)  One trend noticed during this time is that it closely mirrors the path paved by traditional ransomware: like other ransomware types, mobile ransomware is constantly evolving and growing.
移动化趋势不仅仅体现在我们的日常生活和学习中，现在勒索软件也逐步移动化了！
根据安全专家一年的跟踪分析发现Android平台下的勒索软件增加了140%。这个统计的时间段是从2015年4月到2016年4月这一年的时间内。并且在该时间段内，某些地区内的移动勒索软件占整个移动恶意软件的2成还多。可以明显的发现，这些移动平台下的勒索软件正遵循着与其前辈传统PC机的步伐，不断进化和演变过程中。

//END
After obtaining an instance of the Cipher class, the sample loops through all the files found on the SD card and encrypts them. This effect is similar to ransomware on the Windows platform: files that have been stored on the device are now inaccessible.
Mobile ransomware has adapted the very same tactics that made desktop ransomware such a potent threat, raking in millions of dollars for the persons responsible. How do we detect and block these threats? That is something we will discuss in our next blog post.
移动平台下的勒索软件模仿Windows平台下的勒索软件一样对发现的文件进行加密，不过这些文件是位于SD卡中。一旦加密成功，显然这些文件将变得不可用。
移动平台下的勒索软件更多的针对个人，目前其已经取得了成百上千万美元的不义之财：勒索赎金。

点评：针对勒索软件，建议备份备份再备份。不管是移动平台还是传统的PC平台。

4、勒索软件即服务(RaaS)呈爆炸式发展
{CHN}
标题：勒索软件即服务(RaaS)呈爆炸式发展

作者信息：2016年12月9日 By nana

//BEGIN
相信我，你也可以成为成功的网络罪犯！简单！低成本！一夜暴富！不需要花多年时间浸淫代码编写或软件开发技艺。只需要下载我们简单的勒索软件工具包，就能让您坐等钱财源源而来——享受在家办公的舒适与弹指坐听比特币落袋声的双重快乐。
上面是虚拟出来的《勒索软件宣言》，但事实情况也的确这样。

//END
最后，专家对是否支付赎金问题看法各异。
有人认为“绝对不能支付赎金”。很多时候，即便支付了赎金，文件还是不能解锁。看起来似乎只要赎金被支付了，犯罪分子就知道了这生意很好做，然后继续进行这种类型的攻击。
文件是否被解锁是没有保证的，而且之后再被攻击的可能性还会上升。而且，即便攻击者提供了解密密钥，他也有可能已经渗漏了数据，然后在深网上售卖。
其他人也同意支付赎金是个不怎么样的主意，但同时也认为，有时候乖乖交钱是唯一可行的办法了。支付赎金绝对是迫不得已情况下的最后选择。
从安全角度考虑，受害者绝对不应该支付，因为这只会鼓励下一次索要更大额赎金的攻击。但是，从公司角度考虑，如果不支付赎金业务就不能继续运营，那么公司只能面对现实。

点评：付不付钱，看来成为了勒索软件届的普世话题。

5、研究者发现恶意脚本检测沙箱新手段
标题：Sleeping VBS Really Wants To Sleep

作者信息：2016-12-10 20:23:20 UTC by Didier Stevens

//BEGIN
Diary reader Wayne Smith shared an interesting malicious document with us. Wayne also provided us with his own analysis: this malicious document sleeps and checks the time online before it activates its payload.
一个研究人员给Microsoft MVP Consumer Security微软消费者安全小组反馈了一个有趣的恶意代码文件，并附上了发现者自己的分析报告。该恶意代码最显著的特点是其必须休眠5分钟，然后才能进行破坏活动。

//END
Analysis of this obfuscated code reveals that it is a downloader with a particular property (for a maldoc): before downloading and executing the payload, this VBS code will sleep for 5 minutes, checking the elapsed time every minute by querying http://time.nist.gov:13.
By sleeping and checking the time online, this sample hopes to evade detection by sandboxes that do time acceleration without interfering with online time checking. This sample will sleep indefinitely when online time querying fails.
恶意代码本身代码进行了混淆和加密，解密后的代码显示该文档中嵌入了一个下载器，采用VBS写成。休眠5分钟是通过每隔一分钟网络查询时间的方式来进行的。一旦网络不通或者查询不到，将无休止休眠。通过休眠和在线检查时间，样本希望通过加速时间的方式来躲避沙箱的检测。

点评：还没看出有趣在哪里.不会是永远休眠这个选项吧？

6、麦当劳得来速点餐系统遭到黑客入侵
{CHN}
标题：麦当劳汽车餐厅语音点餐系统被黑客恶搞

作者信息：2016-12-10 00:02 By E安全

//BEGIN
E安全12月10日讯 现在的年轻人非常喜欢麦当劳。每天，有大量顾客点巨无霸。大多数人选择使用“得来速”（Drive-Thru）服务避开拥挤人群，而某些人会选择在家下单点餐。

//END
之前有报道称，广告屏幕和广告牌被黑，播放色情视频。但麦当劳Drive-Thru内部无线频率系统被黑？事件未发生之前，谁曾料到!

点评：还好现在是恶搞，就怕搞上瘾，搞歪了，就有点麻烦了。