NSA 雇员在家中私藏机密文件

一名曾为 NSA 下属黑客团队工作过的前雇员在上周承认非法将机密文件带回了家，导致后来这些文件被俄罗斯黑客所窃取。

美国司法部在上周五的一份新闻稿中也表示，Nghia Hoang Pho 从 2010 到 2015 年担任开发人员期间擅自窃取所在机构的最高机密文件。

Pho 将窃取的机密文档和相关工具都保存到了家中的计算机上，而该计算机上运行有 Kaspersky 的杀毒软件。

据有关部门称，2015 年时俄罗斯黑客利用 Kaspersky 杀毒软件在 Pho 的计算机上窃取了保存的 NSA 机密文档和黑客工具。

出于担心 Kaspersky 与俄罗斯情报机构和间谍活动有牵连，美国国土安全部（DHS）甚至禁止在所有与政府有关的计算机上安装 Kaspersky 软件。

尽管没有实质性证据，但美国 “华尔街日报” 在10月份发表的一篇文章中还是将矛头直接指向了 Kaspersky。不过，Kaspersky 否认与俄罗斯间谍活动有牵连。

就在上个月，Kaspersky 声称他们运行在 Pho 计算机上的反病毒程序将保存的 NSA 漏洞利用工具识别为了恶意软件，并将其上传到云端以便研究人员进一步分析。

按照 Kaspersky 的说法，当他们的分析人员意识到杀毒软件上传的不仅仅是恶意二进制文件时，他们立即就删除了相关机密文件，并设置特殊策略来防止软件再次收集这些文件。

Kaspersky CEO 进一步补充说：“如果俄罗斯政府来找我，并要求我或者我的员工做一些错误的事情，那么我会把这项业务移出俄罗斯。”

另据报道，鉴于 Pho 的行为，他可能面临 10 年的监禁。

原文链接：https://thehackernews.com/2017/12/nghia-hoang-pho-nsa.html

本文由看雪翻译小组 BDomne 编译

40美元就可以在暗网上买到一个勒索软件

最近，一个名为Luc1F3R的黑客从上周四开始，在暗网上销售一款名为“Halloware”的勒索软件，售价仅为40美元。

目前正在暗网、一个Dark Web 论坛和其他两个公共互联网站点，和一个Youtube视频等渠道推销该勒索软件。

只要40美元就可以买到该勒索软件终生使用权。价格如此低廉，原因可能有三个：一、确实物美价廉，简直令人难以置信；二、这是个骗局；三、其实这个勒索软件没那么好。

溯源 Luc1F3R 的网站

研究人员成功溯源到Luc1F3R保存Halloware相关文件的网址，里面包含勒索软件感染受害者的恶意软件列表。

hmavpncreck.exe这个文件的哈希值与Luc1F3R放在Halloware广告中所包含的 NoDistribute相同，因此可以确认这个网站便是我们要找的网站。

研究人员进一步发现，这个网站同事还存有一个名为ran.py的文件，看似为Halloware的源代码，但是这个文件被加密了。目前该文件已经交给了专家去解密，以防有人购买该软件，造成不良影响。

虽然Halloware只是一个简单的勒索软件，但是它的危险不容小觑。经测试，Halloware其中的几个文件可以把我们测试机器上的文件成功加密。

这个勒索软件使用硬编码秘钥AES-256进行加密，并伪装成字符串"(Lucifer)"加密文件。例如，image.png文件已经加密后，会显示为(Lucifer)image.png。

加密完成后，Halloware会弹出一个恐怖小丑为背景的窗口，写有勒索信息，指引受害者到达Dark Web的支付网页，并将受害者的桌面改为一个类似的图片，而不是保留一个文件在已感染的电脑上。购买者只需要改变两张图片，并添加一个定制的购买网址即可。

因为这个勒索软件使用一个硬编码AES秘钥，并不会在远程服务器上保存任何信息，所以，Luc1F3R通过Halloware可能赚不到一分钱。

溯源 Luc1F3R

Luc1F3R 看起来像是一个网络犯罪的新手，因为他在youtube上传的所有黑客指南都是关于一些基本的技巧或是简单的恶意软件的制作。

一些视频甚至链接到了他的GitHub账户，其中有其他四个恶意软件链：批次勒索软件、windows键盘记录、Linux 键盘记录、批量伪造电子邮件发件人。

Hashes:

007c1f11afb195d77c176891d54b9cfd37c87b13dfe0ab5b6c368125e4459b8c
d5b58bdda4ece79fbc264fff7f32df584d7b0051a5493119d336252f4668c73c
c6d2e486109dc37f451dccce716e99e8a2653475d5605531d52756fc4fc88f09

加密目标文件:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa.wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .mkv, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .rar, .zip, .7zip, .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd

来源：bleepingcomputer
本文由看雪翻译小组 哆啦咪 编译

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)