英國500強律師事務所證照在暗網上洩露

洩露檔案主要包括公司賬戶的登入郵箱賬號和密碼

研究人員在暗網發現了來自英國頂級律師事務所的近120萬的電子郵件地址和證照的檔案。

週一，網路安全公司RepKnight釋出了一份詳細的研究白皮書。在洩露檔案中總共發現了1,159,687個電子郵件地址，其中80％的地址被連線到洩露的密碼。更糟糕的是，這些密碼竟然以明文形式儲存。

團隊在暗網和貼上網站上發現的資訊轉儲檔案，說明平均每個公司包含有2,000個被盜用的證照。而最大的律師事務所就有30,000個遭洩露的電子郵件地址。

根據RepKnight的說法，大多數證照並非直接從合法的公司竊取得來，而是從第三方資料洩露中整理出來的。但是，過去六個月裡有超過一半的資料轉儲檔案公佈在網上。

在LinkedIn等網站上使用的電子郵件和密碼組合，以及包括公司網路在內的其他域名，都可以被攻擊者用來逃避商業防禦。2012年LinkedIn遭遇的資料洩露事件，就造成1.17億個賬戶曝光。如果受害者不知道這個安全事件的話，並且沒有改變他們的憑據，那麼這些電子郵件和密碼組合仍然處於危險的情形中。

根據這些資料，攻擊人員可以使用合法證照滲透企業網路，而避免遭到檢測。因為可以從合法地址傳送惡意郵件，所以該資訊也可用於釣魚攻擊。

RepKnight網路安全分析師Patrick Martin表示：“我們目前發現的資料還僅僅只是代表了最簡單的資料 - 我們只是在企業電子郵件域進行搜尋。律師事務所面臨的一個更大的問題是有關客戶的資料洩露，客戶聯絡資訊或員工個人資訊（例如家庭地址，病歷和HR檔案）之類的高度敏感資訊。 這就是為什麼 - 每個公司除了保護他們的網路之外 - 還應該部署一個暗網監控解決方案，以便他們能夠在資訊洩漏時及時作出反應，以便在第一時間內著手解決。”

來源：zdnet

本文由 看雪翻譯小組 fyb波編譯

---

desuCrypt勒索軟體的兩個變種DEUSCRYPT和可解密的Insane

近期出現一個新的勒索軟體家族，其基本程式碼是在名為desuCrypt的開源勒索軟體基礎上上修改後的程式碼。這個家族目前有兩個變種正在活躍中，一個以.insane為其副檔名，另一個則以.DEUSCRYPT為其副檔名。

好訊息是，針對Insane版本已經發布了一個解密器，而針對Deuscrypt版本，Michael的解密器現在已經更新，也可以支援Deuscrypt變種了。

desuCrypt是如何加密一臺計算機的 ?

執行desuCrypt時，將顯示一個控制檯視窗，顯示加密過程的當前狀態。 此視窗將保持開啟狀態，直到勒索軟體完成加密計算機的任務。

根據ID-Ransomware的創始人Michael Gillespie的說法，至少desuCrypt的Insane變體是使用RC4加密來加密檔案的。此RC4金鑰使用嵌入的RSA-2048金鑰進一步加密，然後將加密後的RC4金鑰嵌入到每個加密檔案的末尾。

根據不同的變體，當對檔案進行加密時，勒索軟體會將.[rememberggg@tutanota.com].DEUSCRYPT或者.[insane@airmail.cc].insane這樣的字串作為副檔名追加到加密檔案的名稱上後面。例如，由Insane變體加密的檔案將被重新命名為4.png.[insane@airmail.cc].insane。

一旦所有檔案都被加密，它就會在桌面上放棄一個勒索資訊文字檔案。對於Insane變體來說該檔案被命名為“How_decrypt_files.txt”和而另一個變種就會命名為“note.txt”。這兩個文字檔案說明告訴受害人聯絡方式，給指定的電子郵件地址的進行付款指示。

現在還不知道贖金是多少，還有如果受害者支付，他們是否提供瞭解密器也是個疑問。我們不建議任何人支付這個勒索軟體的贖金，直到可以確定它們是否可以被免費解密為止。

解密Insane和Deuscrypt變種

Michael Gillespie已經給出瞭解密器，能夠為desuCrypt的兩個變體勒索軟體提供解密。解密器可以從以下連結下載。

InsaneCrypt (desuCrypt) Decryptor

為了使用解密器，受害者需要有同一個檔案的加密和非加密的形式，並且檔案必須大於10MB。這些檔案將被用來暴力列舉解密金鑰。一旦解密金鑰被恢復，解密器可以用來免費的恢復其餘的檔案。

如需使用解密器的任何幫助，您可以在desuCrypt Ransomware支援和幫助主題中詢問。

如何保護自己不受desuCrypt勒索軟體的威脅

為了保護自己免受勒索軟體的危害，擁有良好的計算習慣，使用安全軟體是非常重要的。首先，您應始終擁有可靠且經過測試的資料備份，以便防在緊急情況下恢復，如勒索軟體攻擊。

你還應該裝上安全軟體，此安全軟體可以通過行為檢測來打擊勒索軟體，而不僅僅是簽名檢測或啟發式檢測。例如， Emsisoft Anti-Malware 和 Malwarebytes Anti-Malware都包含行為檢測，可以防止許多勒索軟體感染和加密計算機。

最重要的是，確保你能養成以下安全習慣，在許多情況下，這是最重要的一步：

• 備份，備份，備份！
• 如果您不知道是誰傳送的，請不要開啟附件。
• 直到您確認實際寄給您附件的人身份後才開啟附件，
• 使用類似於VirusTotal等工具掃描附件。
• 確保所有的Windows更新一出來就安裝好！另外請確保您更新所有程式，尤其是Java，Flash和Adobe Reader。較舊的程式包含惡意軟體攻擊值通常利用的安全漏洞。因此，保持更新是非常重要的。
• 確保你使用了某種安裝了使用行為檢測或白名單技術的安全軟體。
• 使用複雜的密碼，不要在多個站點重複使用相同的密碼。

有關勒索軟體保護的完整指南，請訪問我們的《如何保護和加固計算機以防Ransomware》文章。

IOCs

雜湊：

Deuscrypt Variant: e27fc6bb3b7cc8cd88976130baa065879e4bd5f2f64a5af2d3a12447064bfa19 Insane Variant: e8a2963e1e36e31f1091394a55eba63b637e2f0884c7d96bad24da6362ebb43d 

相關檔案：

Insane variant: How_decrypt_files.txt Deuscrypt variant: note.txt 

相關電子郵件：

Insane: insane@airmail.cc Deuscrypt: rememberggg@tutanota.com 

DeusCrypt Ransom勒索資訊文字：

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail rememberggg@tutanota.com.You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. [id] 

瘋狂贖回註文：

Hello! If you want restore your files write on email - insane@airmail.cc

---

原文連結：https://www.bleepingcomputer.com/news/security/desucrypt-ransomware-in-the-wild-with-deuscrypt-and-decryptable-insane-variants/
本文由看雪翻譯小組 knowit 編譯