每日安全简讯(20170203)

1、研究者警告求职信中含勒索软件情况增加
2、RIG EK传播勒索软件新变种CryptoShield
3、勒索软件Spora近期通过仿冒字体安装传播
4、安全厂商揭示勒索软件Petya第二阶段攻击
5、研究者剖析勒索软件Locky Bart工作原理
6、Schneider修复数据中心产品密码存储漏洞

【安天】搜集整理（来源：hrmorning、securityaffairs、securityweek、fortinet、securityweek、securityweek）

1、研究者警告求职信中含勒索软件情况增加
标题：Warning: Malware is showing up in job applicants’ files

作者信息：February 1, 2017 By Christian Schappel

//BEGIN
Be aware: There’s a new kind of malware computer attack targeting HR professionals.
来自安全公司Checkpoint的提醒：一种新型的勒索软件，正以求职信的形式向企业的人力资源部门袭来！表现形式一般是邮件附件。通常有2个附件。一个格式是PDF，一个是EXCEL格式。其中PDF格式没有任何危害，其目的是麻痹用户；真正的勒索软件就在第二个附件xls文件中。一旦被打开，就会提示用户启用宏。一旦宏被启用，那么用户的机器中的重要数据文件将会被加密，并索要1000美元的赎金。
当前该攻击主要针对德语国家，可以预计的是会很快传播到英语系国家。

//END
So how can HR pros protect themselves, as well as their companies’ data:
Ask IT for some tips on how to identify and separate malicious content from safe content.
If anything suspicious comes into your inbox, talk to an IT professional before opening it.
Don’t enable macros on Microsoft Office documents.
Upload any attachments from untrusted sources to a cloud-based server, like Google Docs. This will allow you to open the files online, rather than on your computer. This tends to be safer than opening files directly on your computer.
Make sure you’ve got the latest version of your operating system, and that your anti-virus/anti-malware software is up to date.
安全公司给企业的人力资源部门建议：
a 咨询本企业的IT部门，如何识别恶意邮件；
b 如果自己拿不准，最好先请教IT部门；
c 打开Office文档时，不要启用宏；
d 如果非要打开office文档，建议先可以上传到Google Docs云中，Google支持在线打开，这样即使有勒索的情况发生，也不会影响到本地；
e 经常升级操作系统的版本到最新，并安装合适的安全软件，并保持持续更新。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

2、RIG EK传播勒索软件新变种CryptoShield
标题：A new CryptoShield Ransomware being distributed via EITest campaign

作者信息：February 1, 2017  By Pierluigi Paganini

//BEGIN
Security researcher Kafeine discovered a new ransomware dubbed CryptoShield that is being distributed via EITest campaign through the RIG exploit kit.
安全公司ProofPoint security的研究人员发现了一个新的勒索软件，其命名为CryptoShield，它们通过RIG的漏洞利用包传播，该行动的代号为EITest.其实该勒索软件并不是一个全新的，而是 CryptoMix勒索软件的变种。黑客们通常会黑掉一些网站，然后EITest行动采用JavaScript脚本注入到网站中，一旦有用户访问这些被黑的网站，就会中招。
勒索软件不仅加密文件本身，还会采用ROT-13方法来加密文件名。比如test.jpg文件被加密后其文件名会变成grfg.wct.CRYPTOSHIELD，显然这也就是该勒索软件的名称的由来。

//END
It is important to keep up to date every program and the OS, exploit kit triggers vulnerabilities in installed software to infect your computer.
The hash for this varian of the ransomware is:
sha256: bb65f0bf3d827958ae447c80ba824e214601094d4dc860b9decc08caae7dd89c
该勒索软件利用的是一个漏洞利用包EK,因此建议用户及时更新和升级操作系统和应用程序到最新版本，因为EK会触发系统中的应用软件的漏洞，进而打开了进入用户机器的大门。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

3、勒索软件Spora近期通过仿冒字体安装传播
标题：Fake Chrome Font Update Attack Distributes Ransomware

作者信息：February 01, 2017 By Ionut Arghire

//BEGIN
A malware campaign targeting Chrome users with fake font update notifications is now distributing ransomware instead of ad fraud malware, researchers have discovered.
勒索软件Spora近期通过仿冒字体安装传播，其对象非常明确：Windows平台下的Chrome浏览器。一旦用户被引导其预制页面，黑客会故意在页面上显示一些异常字符，并提示用户需要安装Chrome的字体插件才能正常浏览，一旦用户运行，则会将勒索软件下载到本地。本来原来都是广告的，近期刚刚被勒索软件替代。该消息的来源是Proofpoint security 安全公司。

//END
Leveraging Windows CryptoAPI for encryption, the malware uses a mix of RSA and AES and a complex key generation operation that allows it to encrypt files without access to a command and control (C&C) server. What’s more, the encryption process was found to be strong enough to ensure that a decryption tool destined for one victim would not work for another.
勒索软件采用RSA和AES双重加密方式，同时采用了一种复杂的密码生成机制，以使得本地的加密不需要像其他勒索软件那样需要C&C服务器的参与。另外该加密方式的一大特点是对每个感染用户，其加密方式保证不同，这样即便能开发针对其的解密工具，但是该解密工具不会通用：也就是对一个用户适用，对另外一个用户就不会适用。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

4、安全厂商揭示勒索软件Petya第二阶段攻击
标题：Ransomware And The Boot Process

作者信息：Feb 01, 2017 By  Raul Alvarez

//BEGIN
Since its discovery in early 2016, we have tracked a number variations of Petya, a ransomware variant famous for multi-stage encryption that not only locks your computer, but also overwrites the Master Boot Record. Petya continues to persist, and in this blog we will take a deeper look at its more complex second stage of attack.
安全公司Fortinet的研究人员最近发现了勒索软件Petya的第二攻击波，其实该勒索软件从2016年的年初就开始流行，到目前为止也出现了多个变种，这个最新的变种呈现出多层加密的特性：不仅仅锁住了您的机器，而且还会重写机器的主引导扇区MBR。显然这会导致被感染的机器不能正常启动。就这一点来说，就与其他的我们常见的勒索软件大不相同。

//END
Wrap Up
Most ransomware still allows you to use the infected machine to pay the ransom. But Petya doesn’t give you that opportunity. You have to use a different computer to go online, pay the ransom, and get the decryption key. But be aware that if you pay the ransom, there is no guarantee that you will recover your infected system.
The userland version of ransomware is easier to analyze than an MBR version like Petya. It is interesting to note how different strategies and deployments of ransomware pose a different threat to different victims. The modification of MBR or other sectors in the hard drive requires elevated privilege. Which means that one way to effectively avoid infection with similar malware or ransomware is to lower your privilege level in your computer system. Our advice is to always login to your computer with a non-admin account.
Always follow best safety practices to avoid being infected, including regularly installing patches and updates, scheduled drive scanning with updated AV files, filtering your web and email traffic, and scanning links and attachments before clicking on them. And for ransomware, a consistent backup strategy will save you a lot of headaches. Stay safe.
一般来说，勒索软件至少会让用户的计算机能正常启动，这样好提示用户如何支付赎金。但是我们这里提到的勒索软件Petya却特立独行：被感染了就不能启动，逼迫受害者找另外的一台机器，给勒索者支付赎金，获取解密码后，才能解密机器，并正常启动，并访问被锁机器里的文件。
需要说明的是，即使您支付了赎金，也不能保证能正常恢复机器的使用。
显然修改MBR扇区，需要高级的权限才行，一般的程序都不能访问这个区域，更别说改写其中的内容了。
因此建议用户不要采用高级的账户，比如系统管理员登录计算机。一般平时的工作，只需要一般的权限即可。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

5、研究者剖析勒索软件Locky Bart工作原理
标题：Researchers Dissect Potent "Locky Bart" Ransomware

作者信息：February 01, 2017 By Ionut Arghire

//BEGIN
A closer look at the inner workings of the Locky Bart ransomware and its backend have provided security researchers with a better understanding of its features compared to those of its predecessors.
安全公司Malwarebytes Labs解密了最新发现的一种勒索软件Locky Bart的庐山真面目：其前后台的工作机制。

//END
“This research into Locky Bart ransomware gives a great view of the side of a ransomware operation that we typically do not get to see, the backend. The criminals who run these operations do so on an extremely professional level, and users should always take an extra step in protecting themselves from these types of attacks,” the security researchers note.
分析Locky Bart勒索软件，并直接与勒索者进行沟通，部分卸下了勒索者的神秘面纱，这在之前是很难想象的。这些勒索软件的后台支持显得相当专业。

点评：对付勒索软件，建议采用备份备份再备份的3B原则：Backup、Backup、Backup（Beifen、Beifen、Beifen）。

6、Schneider修复数据中心产品密码存储漏洞
标题：Schneider Data Center Monitoring Product Leaks Passwords

作者信息：February 01, 2017 By Eduard Kovacs

//BEGIN
Schneider Electric has released an update for its StruxureWare Data Center Expert software suite to address a high severity vulnerability related to how the product stores passwords.
施耐德电气给其数据中心产品StruxureWare发布了一个补丁程序，以修复其严重的安全漏洞。成功利用该漏洞可能导致其存储的产品的密码泄露。

//END
Schneider rolled out a firmware update to patch the XSS flaw in the homeLYnk controller, and provided mitigation advice for the Wonderware Historian security hole.
与此同时，施耐德电气还为其homeLYnk控制器发布了一个固件升级补丁，以修补其存在的XSS跨站漏洞，同时提供了Wonderware Historian安全建议。

//下载： SEVD-2016-343-01 - DataCenter Expert v2.pdf (412.89 KB, 下载次数: 17)

2017-2-3 22:33 上传

点击文件名下载附件

文件名：SEVD-2016-343-01 - DataCenter Expert v2.pdf
文件大小：422，799 bytes
MD5     : 7137CC6CD1C4AF7D7FC1F693BDE4C381

点评：补快！