NSA 僱員在家中私藏機密檔案

一名曾為 NSA 下屬黑客團隊工作過的前僱員在上週承認非法將機密檔案帶回了家，導致後來這些檔案被俄羅斯黑客所竊取。

美國司法部在上週五的一份新聞稿中也表示，Nghia Hoang Pho 從 2010 到 2015 年擔任開發人員期間擅自竊取所在機構的最高機密檔案。

Pho 將竊取的機密文件和相關工具都儲存到了家中的計算機上，而該計算機上執行有 Kaspersky 的防毒軟體。

據有關部門稱，2015 年時俄羅斯黑客利用 Kaspersky 防毒軟體在 Pho 的計算機上竊取了儲存的 NSA 機密文件和黑客工具。

出於擔心 Kaspersky 與俄羅斯情報機構和間諜活動有牽連，美國國土安全部（DHS）甚至禁止在所有與政府有關的計算機上安裝 Kaspersky 軟體。

儘管沒有實質性證據，但美國 “華爾街日報” 在10月份發表的一篇文章中還是將矛頭直接指向了 Kaspersky。不過，Kaspersky 否認與俄羅斯間諜活動有牽連。

就在上個月，Kaspersky 聲稱他們執行在 Pho 計算機上的反病毒程式將儲存的 NSA 漏洞利用工具識別為了惡意軟體，並將其上傳到雲端以便研究人員進一步分析。

按照 Kaspersky 的說法，當他們的分析人員意識到防毒軟體上傳的不僅僅是惡意二進位制檔案時，他們立即就刪除了相關機密檔案，並設定特殊策略來防止軟體再次收集這些檔案。

Kaspersky CEO 進一步補充說：“如果俄羅斯政府來找我，並要求我或者我的員工做一些錯誤的事情，那麼我會把這項業務移出俄羅斯。”

另據報導，鑑於 Pho 的行為，他可能面臨 10 年的監禁。

原文連結：https://thehackernews.com/2017/12/nghia-hoang-pho-nsa.html

本文由看雪翻譯小組 BDomne 編譯

---

40美元就可以在暗網上買到一個勒索軟體

最近，一個名為Luc1F3R的黑客從上週四開始，在暗網上銷售一款名為“Halloware”的勒索軟體，售價僅為40美元。

目前正在暗網、一個Dark Web 論壇和其他兩個公共網際網路站點，和一個Youtube視訊等渠道推銷該勒索軟體。

只要40美元就可以買到該勒索軟體終生使用權。價格如此低廉，原因可能有三個：一、確實物美價廉，簡直令人難以置信；二、這是個騙局；三、其實這個勒索軟體沒那麼好。

溯源 Luc1F3R 的網站

研究人員成功溯源到Luc1F3R儲存Halloware相關檔案的網址，裡面包含勒索軟體感染受害者的惡意軟體列表。

hmavpncreck.exe這個檔案的雜湊值與Luc1F3R放在Halloware廣告中所包含的 NoDistribute相同，因此可以確認這個網站便是我們要找的網站。

研究人員進一步發現，這個網站同事還存有一個名為ran.py的檔案，看似為Halloware的原始碼，但是這個檔案被加密了。目前該檔案已經交給了專家去解密，以防有人購買該軟體，造成不良影響。

雖然Halloware只是一個簡單的勒索軟體，但是它的危險不容小覷。經測試，Halloware其中的幾個檔案可以把我們測試機器上的檔案成功加密。

這個勒索軟體使用硬編碼祕鑰AES-256進行加密，並偽裝成字串"(Lucifer)"加密檔案。例如，image.png檔案已經加密後，會顯示為(Lucifer)image.png。

加密完成後，Halloware會彈出一個恐怖小丑為背景的視窗，寫有勒索資訊，指引受害者到達Dark Web的支付網頁，並將受害者的桌面改為一個類似的圖片，而不是保留一個檔案在已感染的電腦上。購買者只需要改變兩張圖片，並新增一個定製的購買網址即可。

因為這個勒索軟體使用一個硬編碼AES祕鑰，並不會在遠端伺服器上儲存任何資訊，所以，Luc1F3R通過Halloware可能賺不到一分錢。

溯源 Luc1F3R

Luc1F3R 看起來像是一個網路犯罪的新手，因為他在youtube上傳的所有黑客指南都是關於一些基本的技巧或是簡單的惡意軟體的製作。

一些視訊甚至連結到了他的GitHub賬戶，其中有其他四個惡意軟體鏈：批次勒索軟體、windows鍵盤記錄、Linux 鍵盤記錄、批量偽造電子郵件發件人。

Hashes:

007c1f11afb195d77c176891d54b9cfd37c87b13dfe0ab5b6c368125e4459b8c
d5b58bdda4ece79fbc264fff7f32df584d7b0051a5493119d336252f4668c73c
c6d2e486109dc37f451dccce716e99e8a2653475d5605531d52756fc4fc88f09

加密目標檔案:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa.wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .mkv, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .rar, .zip, .7zip, .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd