卡巴斯基实验室与荷兰警方联合行动,成功抓捕CoinVault勒索软件背后罪犯

今年9月14日(星期一),荷兰警方在荷兰阿默斯福特成功逮捕了两名年龄分别为18和22岁的年轻人。这两人涉嫌利用CoinVault勒索软件攻击了许多用户的电脑。自2014年6月起,该恶意软件将20多个国家的电脑用户作为攻击目标,锁住受害人电脑并索要恢复文件的赎金。大多数受害人分布在荷兰、德国、美国、法国和英国等国。 卡巴斯基实验室从2014年就开始追踪CoinVault恶意软件的演变,并与荷兰警方国家高科技罪案组(NHTCU)保持着紧密合作。该恶意软件样本的二进制代码中所用的荷兰语几乎没有出现任何错误。由于荷兰语是一种相对难学的语言,特别在书写中要想不出现错误更是难上加难,因此我们的研究专家从一开始就怀疑此恶意软件来自荷兰—事实证明他们是对的! 2014年11月,卡巴斯基实验室与荷兰警方合作推出了noransom.kaspersky.com-一种能用来恢复被CoinVault勒索软件加密的文件的工具。没有该工具的话,受害人只有两种选择,要么向犯罪分子支付赎金,要么就永远失去自己的重要文件。 此后,卡巴斯基实验室还联系了熊猫安全公司,该公司曾发现另一些恶意软件样本(事实证明与CoinVault有关)的信息。同时有关新发现勒索软件样本的全面分析报告也被提交给了荷兰警方。经过我们共同努力,终于成功抓捕了利用这一勒索软件实施犯罪行为的两名年轻人。 我们很高兴能看到这样的合作方法正在安全业内逐步建立。许多安全专家和反病毒公司通常只是自行开展调查,其中只有一小部分与执法机构合作。 荷兰警方承认,正是有了与多家安全公司的合作,才抓到了越来越多的罪犯。勒索软件”风潮”只是在最近才兴起,主要原因在于大多数用户并未将此类恶意软件视为严重威胁。但没有人能保证自己的电脑永远不会遭到勒索软件的攻击。 相比设法解密被盗文件或支付高昂赎金,预防自己的计算机免遭恶意软件侵扰要容易得多。总是让自己的反病毒解决方案保持最新版本,以及定期在未联网设备上做备份,如此即可高枕无忧。而且请牢记:你支付的赎金将”激励”网络犯罪分子继续从事这一犯罪行为。此外,即便你支付了赎金,也无法保证就一定能恢复被锁文件。  

今年9月14日(星期一),荷兰警方在荷兰阿默斯福特成功逮捕了两名年龄分别为18和22岁的年轻人。这两人涉嫌利用CoinVault勒索软件攻击了许多用户的电脑。自2014年6月起,该恶意软件将20多个国家的电脑用户作为攻击目标,锁住受害人电脑并索要恢复文件的赎金。大多数受害人分布在荷兰、德国、美国、法国和英国等国。

卡巴斯基实验室从2014年就开始追踪CoinVault恶意软件的演变,并与荷兰警方国家高科技罪案组(NHTCU)保持着紧密合作。该恶意软件样本的二进制代码中所用的荷兰语几乎没有出现任何错误。由于荷兰语是一种相对难学的语言,特别在书写中要想不出现错误更是难上加难,因此我们的研究专家从一开始就怀疑此恶意软件来自荷兰—事实证明他们是对的!

2014年11月,卡巴斯基实验室与荷兰警方合作推出了noransom.kaspersky.com-一种能用来恢复被CoinVault勒索软件加密的文件的工具。没有该工具的话,受害人只有两种选择,要么向犯罪分子支付赎金,要么就永远失去自己的重要文件。

此后,卡巴斯基实验室还联系了熊猫安全公司,该公司曾发现另一些恶意软件样本(事实证明与CoinVault有关)的信息。同时有关新发现勒索软件样本的全面分析报告也被提交给了荷兰警方。经过我们共同努力,终于成功抓捕了利用这一勒索软件实施犯罪行为的两名年轻人。

我们很高兴能看到这样的合作方法正在安全业内逐步建立。许多安全专家和反病毒公司通常只是自行开展调查,其中只有一小部分与执法机构合作。

荷兰警方承认,正是有了与多家安全公司的合作,才抓到了越来越多的罪犯。勒索软件”风潮”只是在最近才兴起,主要原因在于大多数用户并未将此类恶意软件视为严重威胁。但没有人能保证自己的电脑永远不会遭到勒索软件的攻击。

相比设法解密被盗文件或支付高昂赎金,预防自己的计算机免遭恶意软件侵扰要容易得多。总是让自己的反病毒解决方案保持最新版本,以及定期在未联网设备上做备份,如此即可高枕无忧。而且请牢记:你支付的赎金将”激励”网络犯罪分子继续从事这一犯罪行为。此外,即便你支付了赎金,也无法保证就一定能恢复被锁文件。

 

事实还是谎言:计算机病毒能否真的损坏电脑硬件?

事实上,病毒损害电脑硬件是信息安全领域流传最广的讹传之一。但同时,也是最不标准的一个。事物的两面性可能是这一讹传长久存在的原因。 在20世纪末同时也是电脑时代即将来临的时候,电脑用户之间时常流传着发生在自己好朋友身上有关电脑遭病毒感染的可怕故事。在这些故事中,病毒常常”神通广大”,不仅能造成阴极射线管显示器交错’错误’,还能致使电脑硬件部件”完全烧毁”。在其它的故事版本中,恶意软件会造成硬盘驱动器猛烈’震动’,最终导致整个硬盘损毁。或者超频后的软驱会导致转子迅速过热从而造成危险。 与此同时,反病毒软件开发人员不时会打破这些讹传。不可否认,有些故事在理论上的确可行,但各硬件内置的极度安全保护机制完全能够阻止此类错误的发生。正如安全专家所说的,对于此类故障的担忧完全是毫无必要且多余的,因为根本不可能发生。 一些电脑用户表面上似乎对这些解释表示满意,但内心里对这些” 讹传”仍然坚信不疑。他们始终认为任何事都有可能发生,电脑供应商只是掩盖了事实真相。 然而,生活中原本就充满各种乐趣和惊喜。举个例子,在1999年的时候,当时广为传播的Win95.CIH病毒曾感染了数千台计算机。该恶意软件会篡改保存在硬盘以及主板BIOS芯片上的数据。导致其中一些受影响电脑无法启动,原因是引导程序损坏。而要想消除该攻击带来的不良影响,用户必须更换BIOS芯片并重写数据。 但这是就是对电脑所造成的物理损伤呢?答案是否定的。在经过一系列的处理后,主板就能被修复并重新回到正常工作状态。但常规’家庭急救箱’无法解决这一问题,还需要特殊的设备。 如今,情况就更加复杂了。 首先,所有单独硬件都附带了可重写的微程序,有时候还不止一个。这一趋势竟然没有影响到这一过于智能化硬件的紧固程度,对此我感到很惊讶。 每一种微程序经过多年的演变,已然成为了一种相当复杂的软件,且因其设计可能会遭受黑客攻击。一旦攻击成功,产生的后果并不总能立即解决。 拿硬盘的改进固件举例。就当时的记录来看,在卡巴斯基实验室专家分析Equation网络间谍活动时,还对植入不同硬盘型号微程序的间谍软件模块进行探究。这些恶意软件被用来对受影响硬盘进行完全控制;而即便格式化也无法立即修复。 使用常规工具箱无法更改固件—固件自行负责更新工作。你完全可以想象,更改固件的难度有多高。当然,如果你正巧手上有专业设备,就有可能更改任何一种微程序。而在现实生活中,一个受影响的硬盘只能直接当垃圾丢掉–从成本角度看这也是最好的选择。 这是否就能认定是物理损坏呢?仍然存在争议。但有关基于硬件漏洞的案例数量却在逐年增加。 其次,难以界定哪些设施可以被定义为’计算机’。比如,目前的所有汽车从某种程度上讲都可以算作是一台计算机—而更重要的是–这是一台装在轮子上的联网计算机。正如我们在最近有关远程入侵Jeep Cherokee车的公开演示中发现的,目前许多汽车都容易遭受远程入侵和病毒感染。 因此,黑客入侵是由黑客实施的,而不是计算机病毒—经过数年的专研,对于黑客来说简直是小菜一碟。然而,通过黑客攻击让行驶中的汽车停下来并撞向路边电线杆并不会让我们感到惊讶。我猜这可以算是物理损坏。 那么我们又回到文章开头提出的问题,计算机病毒是否真的能损坏电脑硬件呢?这到底是事实还是谎言? 可以说是事实。但这完全取决于你对“损坏”、”病毒”和”电脑”等名词的定义。

提示