英国500强律师事务所证书在暗网上泄露

泄露文件主要包括公司账户的登录邮箱账号和密码

研究人员在暗网发现了来自英国顶级律师事务所的近120万的电子邮件地址和证书的文件。

周一，网络安全公司RepKnight发布了一份详细的研究白皮书。在泄露文件中总共发现了1,159,687个电子邮件地址，其中80％的地址被连接到泄露的密码。更糟糕的是，这些密码竟然以明文形式存储。

团队在暗网和粘贴网站上发现的信息转储文件，说明平均每个公司包含有2,000个被盗用的证书。而最大的律师事务所就有30,000个遭泄露的电子邮件地址。

根据RepKnight的说法，大多数证书并非直接从合法的公司窃取得来，而是从第三方数据泄露中整理出来的。但是，过去六个月里有超过一半的数据转储文件公布在网上。

在LinkedIn等网站上使用的电子邮件和密码组合，以及包括公司网络在内的其他域名，都可以被攻击者用来逃避商业防御。2012年LinkedIn遭遇的数据泄露事件，就造成1.17亿个账户曝光。如果受害者不知道这个安全事件的话，并且没有改变他们的凭据，那么这些电子邮件和密码组合仍然处于危险的情形中。

根据这些数据，攻击人员可以使用合法证书渗透企业网络，而避免遭到检测。因为可以从合法地址发送恶意邮件，所以该信息也可用于钓鱼攻击。

RepKnight网络安全分析师Patrick Martin表示：“我们目前发现的数据还仅仅只是代表了最简单的数据 - 我们只是在企业电子邮件域进行搜索。律师事务所面临的一个更大的问题是有关客户的数据泄露，客户联系信息或员工个人信息（例如家庭地址，病历和HR文件）之类的高度敏感信息。这就是为什么 - 每个公司除了保护他们的网络之外 - 还应该部署一个暗网监控解决方案，以便他们能够在信息泄漏时及时作出反应，以便在第一时间内着手解决。”

来源：zdnet

本文由看雪翻译小组 fyb波编译

desuCrypt勒索软件的两个变种DEUSCRYPT和可解密的Insane

近期出现一个新的勒索软件家族，其基本代码是在名为desuCrypt的开源勒索软件基础上上修改后的代码。这个家族目前有两个变种正在活跃中，一个以.insane为其扩展名，另一个则以.DEUSCRYPT为其扩展名。

好消息是，针对Insane版本已经发布了一个解密器，而针对Deuscrypt版本，Michael的解密器现在已经更新，也可以支持Deuscrypt变种了。

desuCrypt是如何加密一台计算机的 ?

执行desuCrypt时，将显示一个控制台窗口，显示加密过程的当前状态。此窗口将保持打开状态，直到勒索软件完成加密计算机的任务。

根据ID-Ransomware的创始人Michael Gillespie的说法，至少desuCrypt的Insane变体是使用RC4加密来加密文件的。此RC4密钥使用嵌入的RSA-2048密钥进一步加密，然后将加密后的RC4密钥嵌入到每个加密文件的末尾。

根据不同的变体，当对文件进行加密时，勒索软件会将.[rememberggg@tutanota.com].DEUSCRYPT或者.[insane@airmail.cc].insane这样的字符串作为扩展名追加到加密文件的名称上后面。例如，由Insane变体加密的文件将被重命名为4.png.[insane@airmail.cc].insane。

一旦所有文件都被加密，它就会在桌面上放弃一个勒索信息文本文件。对于Insane变体来说该文件被命名为“How_decrypt_files.txt”和而另一个变种就会命名为“note.txt”。这两个文本文件说明告诉受害人联系方式，给指定的电子邮件地址的进行付款指示。

现在还不知道赎金是多少，还有如果受害者支付，他们是否提供了解密器也是个疑问。我们不建议任何人支付这个勒索软件的赎金，直到可以确定它们是否可以被免费解密为止。

解密Insane和Deuscrypt变种

Michael Gillespie已经给出了解密器，能够为desuCrypt的两个变体勒索软件提供解密。解密器可以从以下链接下载。

InsaneCrypt (desuCrypt) Decryptor

为了使用解密器，受害者需要有同一个文件的加密和非加密的形式，并且文件必须大于10MB。这些文件将被用来暴力枚举解密密钥。一旦解密密钥被恢复，解密器可以用来免费的恢复其余的文件。

如需使用解密器的任何帮助，您可以在desuCrypt Ransomware支持和帮助主题中询问。

如何保护自己不受desuCrypt勒索软件的威胁

为了保护自己免受勒索软件的危害，拥有良好的计算习惯，使用安全软件是非常重要的。首先，您应始终拥有可靠且经过测试的数据备份，以便防在紧急情况下恢复，如勒索软件攻击。

你还应该装上安全软件，此安全软件可以通过行为检测来打击勒索软件，而不仅仅是签名检测或启发式检测。例如， Emsisoft Anti-Malware 和 Malwarebytes Anti-Malware都包含行为检测，可以防止许多勒索软件感染和加密计算机。

最重要的是，确保你能养成以下安全习惯，在许多情况下，这是最重要的一步：

备份，备份，备份！
如果您不知道是谁发送的，请不要打开附件。
直到您确认实际寄给您附件的人身份后才打开附件，
使用类似于VirusTotal等工具扫描附件。
确保所有的Windows更新一出来就安装好！另外请确保您更新所有程序，尤其是Java，Flash和Adobe Reader。较旧的程序包含恶意软件攻击值通常利用的安全漏洞。因此，保持更新是非常重要的。
确保你使用了某种安装了使用行为检测或白名单技术的安全软件。
使用复杂的密码，不要在多个站点重复使用相同的密码。

有关勒索软件保护的完整指南，请访问我们的《如何保护和加固计算机以防Ransomware》文章。

IOCs

哈希：

Deuscrypt Variant: e27fc6bb3b7cc8cd88976130baa065879e4bd5f2f64a5af2d3a12447064bfa19 Insane Variant: e8a2963e1e36e31f1091394a55eba63b637e2f0884c7d96bad24da6362ebb43d