事件回顾||邮件钓鱼中发现两种 Locky 勒索软件变种，影响超过 2300 万用户

九月已经来了，十一还会远吗？

今天是九月的第一个星期一，我们来回顾一下上周都发生了哪些安全事件？

最新邮件钓鱼中发现两种 Locky 勒索软件变种，影响超过 2300 万用户

臭名昭著的 Locky 勒索软件此前已销声匿迹一段时间，但最近，两家安全公司的研究人员发现了电子邮件中出现了全新的 Locky 勒索软件变体。AppRiver的研究人员发现了，这个名为 Lukitus 的行动在24小时中发送出了2300万封钓鱼邮件，这些邮件的特征是主题一栏的内容非常模糊，例如“文档”，“请打印”，“照片”，“扫描文件”之类，而在打开和下载 Zip 压缩文件的过程中，这些用户一旦解压，隐藏在二级目录下的 VBS 文件就会启动下载器，最新的Lukitus 就会对目标计算机进行加密。

而加密过程结束后，恶意软件会在受害者桌面上显示勒索的信息，指示受访者下载安装 Tor 浏览器，以便完成赎金的支付。

7.11亿电子邮件帐户数据恐被垃圾邮件程序 Onliner 利用

据悉，来自巴黎的安全研究人员发现有黑客获取7.11亿电子邮件帐户数据，垃圾邮件程序 Onliner 利用这些账户散播包含 Ursnif 木马的邮件内容。目前在 Have I Been Pwned上，此起事件可谓是迄今最大的邮件数据泄漏，远超此前一次 River City Media 的 3.93 亿邮件泄漏的规模。

研究人员在其博客中详细解释了他的发现过程，并表示其中运用的垃圾邮件程序应该是 2016 年就开始活跃的 Onliner。此前我们就知道 Onliner 窃取过大量软件和浏览器的数据，对银行金融行业具有一定威胁。而现在获取的 7.11 亿电子邮件帐户中的登录凭证中至少有 8000 万个仍然有效。当用户打开这次事件中的垃圾邮件时，其IP及其他信息会被发送带相关的服务器。

维基解密 站被 OurMine 黑了

黑客团体 OurMine 时常黑进企业平台及其 交 络，也因此广为人知。他们此前就曾侵入过 Facebook CEO 马克扎克伯格，推特 CEO Jack Dorsey，以及谷歌 CEO Sundar Pichai，HBO和索尼的 交 络账 中。而如今，据Twitter上的截图显示，维基解密官方似乎也被 OurMine 黑了，他们在 站上留下了自己的信息。

众所周知，维基解密是一个公开机密信息，向大众公开如Vault 7中的顶尖黑客机密文档信息的地方。目前还没有更详细的信息，我们并不清楚是否维基解密已经被黑客侵入，还是说该 站受到了DNS欺骗，重定向到了黑客控制的服务器上了？

十几万 Android 智能手机组成的僵尸 络：恶意 App 就来自谷歌官方应用商店

来自 Akamai、Cloudflare,、Flashpoint、谷歌、Oracle Dyn、RiskIQ、Team Cymru 等公司组成的研究团队最近发现一个全新的僵尸 络，由数万被黑的 Android 设备组成。该僵尸 络名为 WireX，主要感染的就是 Android 设备，而且这些手机感染的衣蛾程序主要来自谷歌 Play Store 官方应用商店。该僵尸 络足以用来发动大规模 DDoS 攻击。

这么多安全公司组成研究团队针对这样一个僵尸 络做研究还是比较罕见的。本月早前 WireX 曾用于发动小规模 DDoS 攻击，但下半个月攻击就开始升级了。WireX 峰值时期感染超过 12 万台 Android 智能设备；8 月 17 日，研究人员发现一次大规模 DDoS 攻击（主要是 HTTP GET 请求），超过 100 个国家的 7 万台设备参与了此次攻击。

调查过后，研究人员发现谷歌应用商店中，超过 300 款 App 包含恶意 WireX 代码，App 类别涵盖媒体、视频播放器、铃声、存储管理工具等。这些 App 安装后不会立即表现出恶意属性，以此躲避检测，等待 C&C 服务器下发的指令。下载这些 App 的用户主要位于俄罗斯、中国和其他亚洲国家。谷歌目前已经移除了这些 App，而且如果用户手机已经包含 Play Protection 特性，则会自动移除 WireX 应用。

黑客的七夕礼物：大量IoT设备Telnet密码列表遭泄露

最近一份包含几千条telnet密码的列表自7月11日起被贴到了Pastebin上，这些密码可以被黑客用来扩大僵尸 络。

来自New Sky Security的安全研究员Ankit Anubhav发现，这份列表中包含了IP地址、设备名称和telnet密码，列表中大部分的用户名密码组合都是”admin:admin”或者”root:root”等。这整份列表中包含143种密码组合，其中60种密码组合都来自于Mirai Telnet扫描器。

这简直就是给黑客们的七夕礼物，通过telnet，黑客可以轻松攻占主机，进而扩大僵尸 络，如果要进行DDoS攻击，其影响也会更大。

这份列表还有一些重复，实际上包含的IP地址有8233条。这些IP地址中大部分已经不再允许访问telnet端口，Gevers称，2,174个IP地址依然允许黑客通过telnet端口访问计算机，其中1,775台主机仍然可以用泄露的密码正常登陆。研究人员正在非常努力地尝试联系这些设备的拥有者还有所属的ISP。

值得一提的是，列表里仍可以访问的IP中，大部分(61%)都位于中国。

针对中国用户的木马开发套装，不用写代码就能打造勒索程序

赛门铁克最近发现一款木马开发套装（TDK），主要针对中国用户，界面就是中文的。

而且不需要会写代码，这款TDK就能让用户构建自己的Android勒索程序——勒索程序现如今RaaS式的发展方式的确令其传播变得愈加广泛了。据赛门铁克所说，中国的某些黑客论坛和 交 络信息服务平台都能看到该App的广告。任何人都可以免费下载该TDK，其界面易于使用，和普通Android App的界面差别不大，要构建勒索程序就需要在界面上选择定制项。

定制项包括：

感染后显示在锁屏页的信息

解锁设备的密钥

恶意程序图标

随机代码的定制数字运算

显示在被感染设备上的动画类型

在首次点击“创建”恶意程序后，TDK会请求用户订阅服务，用户可以和TDK开发者在线聊天，商议一次性支付的问题。用户订阅、完成支付过后就可以完成恶意程序的创建过程了。创建的恶意程序就采用Lockdroid的自动化流程，用SYSTEM_ALERT_WINDOW来锁定设备屏幕，该勒索程序能够锁定设备、修改PIN、加密用户数据，还能执行包括完全擦除数据等操作。

这份木马开发套件很容易修改成其他语言，因此专家推测很快会有其他语言的版本。