他来了!WannaRen勒索病毒作者主动提供解密密钥

耗子阅读(12)

 4月9日,“WannaRen”勒索病毒作者通过多方主动联系到火绒,并提供了相关解密密钥。经火绒工程师分析后,验证密钥有效,稍后我们也会发布针对该病毒的解密工具,欢迎关注火绒各官方平台随时获悉通知。被该病毒攻击加密文件的用户也可以随时联系我们获取帮助。

此外,我们也将在文末公布该密钥,分享给广大安全同行和专业团队,共同开发解密工具,帮助遭遇该病毒的用户解决问题,挽回损失。

文中“火绒工作室****@huorong.ltd”为用户私人邮箱

9日上午,一名火绒用户以解密为由,通过邮件尝试联系“WannaRen”勒索病毒作者获取更多信息。该作者在要求火绒用户支付比特币作为赎金未果后,竟主动提供病毒解密钥匙,并要求该火绒用户将密钥转发给火绒团队,制作“相应解密程序”。

从上述邮件可以看出,该病毒作者在使用英语进行交流后,又使用了中文进行沟通,再加上火绒此前披露该病毒使用易语言编写的情况来看,极有可能为国人所为。

至此,随着事件发酵,各媒体、安全厂商进行了大量的曝光和溯源调查,截止目前,该病毒作者提供的比特币钱包未收到任何赎金,而该作者也已经停止下发、传播“WannaRen”勒索病毒。

附1、WannaRen勒索病毒解密密钥

-----BEGIN RSA PRIVATE KEY-----

MIIEowIBAAKCAQEAxTC/Igjuybr1QbQ1RmD9YxpzVnJKIkgvYpBrBzhsczHQ8WeC

7ikmC5jTbum1eCxTFTxvtnONEy2qDbnSS5fbK/lxYExj6aDLKzQxXCOVSdSQCesW

g1i5AAdUC9S246sdS9VKxT0QL24I+SG+ixckBhcB+ww6z47ACegoH0aLDwvRvehZ

Ycc1qFr1lhRXQpHunrlg4WRphH5xBbszOI+dFRDOpprnbN56CHoLb0q1SzzV3ZFA

FF6Df68Pux1wMHwEXbULRHo5AIZJPJq8L9ThWVsj6v42jAjJQ8m8bRh0+Jz4Rohk

WwPgL+VFxDG2AiiCU5/yLNoQX0JM9VWBxy6Z3QIDAQABAoIBADi/KoH06CMNtn7O

CXbTepgGiKKcCVGMTHak8OgHCM6ty19tVnSLSvOTa2VDxIFs4AwAdHWhEzwtq/5/

N1GhxeUFx+balPYq28z3HC1T4CZ7EWiJStVJtxOXCEzPTkJ+f9PO8dGJHRtJIzPu

zhLg+fD2tg81GceZYRJ4yPMXLfWKA5DmGkRv/1Usq5zvMClLdrmw/q2rnCbRLdeE

EAzSAi9kqsnEaZKfCbXb/gby+bUwAgn7mxs+CJ611hzD/r2w9dgXkaUJYuKRRv+B

GlQHBRQ7hXogkIzeaGqmw8M3xko7xzADsytFYxt2Kthuww2YV4E6Q1Hl4bBW0q+g

w+jSolECgYEA0Tnns+LaqMd5KCQiyWlCodQ2DtOMOefhIrJbRhdAkAq6FtVICxkL

nIJL0gmo4T/zDaMr8vsn7Ck+wLjXUsYt1/EulLtVnuH76FU0PkjJqBdre5Gjf23/

YGHW7DJEoH3p/7DIgV4+wXPu6dD+8eECqwm1hLACOxkfZnOFZ1VGxeMCgYEA8UYH

jaA69ILlz0TzDzoRdTmam6RDqjsVO/bwaSChGphV0dicKue25iUUDj87a1yLU5Nq

t0Kt0w1FL/iile1Eu4fe4ryukPGw2jAZh/xq7i2RRSFLXim5an9AbBVQ55478AJa

sTaIOSoODgBspsBLShnXQRKEfwYPv2GthhcJLT8CgYAssRDERQ3uBYXkxCtGGJzq

Enllm1yVtelKTwzeIPNikVgErpRQAo6PZOmrOPMBAnb5j8RAh9OUR48m/ZTJEpoS

SWtoy8dTQ/RaQXECaOviYvZLk+V3v9hQDzYoh+hO2/aS7oE12RrQmeILwd/jbOvz

+wPyDuK7GvexG7YAR5/xfwKBgQCA8p6C0MnxeCv+dKk60BwYfKrm2AnZ5y3YGIgw

h2HS5uum9Y+xVpnnspVfb+f/3zwPdNAqFZb1HziFBOtQGbkMSPeUUqcxjBqq4d4j

UYKMvQnQ2pR/ROl1w4DYwyO0RlteUMPLxotTkehlD1ECZe9XMSxb+NubT9AGxtuI

uLMM3QKBgGl0mYCgCVHi4kJeBIgabGqbS2PuRr1uogAI7O2b/HQh5NAIaNEqJfUa

aTKS5WzQ6lJwhRLpA6Un38RDWHUGVnEmm8/vF50f74igTMgSddjPwpWEf3NPdu0Z

UIfJd1hd77BYLviBVYft1diwIK3ypPLzhRhsBSp7RL2L6w0/Y9rf

-----END RSA PRIVATE KEY-----

附2、火绒相关报道:

《WannaRen勒索病毒溯源新进展 或通过下载站大量传播》

https://www.huorong.cn/info/1586357607452.html

《确诊了!网传WannaRen勒索病毒样本实为解密工具》

https://www.huorong.cn/info/1586325928451.html

国务院:2020年4月4日举行全国性哀悼活动

耗子阅读(35)

中新社北京4月3日电 中国国务院办公厅4月3日在一则通知中指出,为表达全国各族人民对抗击新冠肺炎疫情斗争牺牲烈士和逝世同胞的深切哀悼,国务院决定,2020年4月4日举行全国性哀悼活动。在此期间,全国和驻外使领馆下半旗志哀,全国停止公共娱乐活动。4月4日10时起,全国人民默哀3分钟,汽车、火车、舰船鸣笛,防空警报鸣响。

国务院办公厅在通知中指出,按照国旗法规定当天应当升国旗的场所、机构和单位均应下半旗志哀。下半旗时,应当先将国旗升至杆顶,然后降至旗顶与杆顶之间的距离为旗杆全长的1/3处;降下时,应当先将国旗升至杆顶,然后再降下。

为响应此次号召,我们也跟上步伐,从4月3号晚上9点开始博客全站改灰色调,4月5日恢复。

新版斗鱼客户端看直播风扇猛转?因为斗鱼在用你的电脑挖矿

耗子阅读(34)

写在前面:这里的挖矿指的并不是挖掘比特币或者以太坊之类的,而是利用你的电脑作为节点分发直播流内容等。


近期斗鱼直播发布新版本客户端,使用斗鱼的新版本客户端观看直播内容时你的处理器风扇可能转速会明显增加。

出现这种情况的原因是斗鱼在新版客户端里增加挖矿模块,用来帮助斗鱼分发直播流内容降低内容分发网络压力。

而这个模块会利用你的处理器、内存以及网络带宽资源,在硬件使用率上升的同时你的风扇自然要加快转速降温。

不过斗鱼已经在客户端里标注说明提到上述内容,同时还会给在线的被挖矿用户提供部分奖励算是被挖矿的福利。

为什么这种也叫挖矿呢?

我们使用P2P协议下载内容时会贡献自己的上行带宽 ,  也就是从别人那里下载资源的同时别人也要借用你的带宽。

原本使用这种协议相对来说是比较单纯的,不过早些年迅雷推出水晶宝,让用户购买水晶宝挂机贡献上行带宽等。

作为回报迅雷会给用户按在线挂机时长和上行带宽利用率提供积分奖励,积分奖励可以用来兑换礼品或者现金等。

这种也被称作是挖矿,只是和比特币等虚拟货币挖矿略有区别,迅雷的目的是利用用户带宽来分发文件加快下载。

斗鱼此次推出的新版本使用的技术叫PCDN(P2P+CDN), 该技术也同样是利用用户电脑资源来帮助斗鱼分发内容。

斗鱼同样为用户提供奖励:

斗鱼此次更新客户端新增名为福袋的新功能,这个福袋实际上就是斗鱼为被挖矿的用户按在线市场提供奖励机制。

按斗鱼说明在19:00~24:00在线观看直播获得的奖励最高,因为这个时间段是直播观看高峰期带宽流量压力更大。

至于为什么使用用户电脑进行挖矿呢?原因是借助用户硬件和带宽资源,可以降低斗鱼直播自己购买流量的开支。

简单来说也就是可以省点钱,毕竟内容直播这类对于CDN流量/带宽的开支非常大 ,  斗鱼需要投入的资金也很多。

用户亦可选择关闭被挖矿:

此次斗鱼新增挖矿模块在说明方面还算是合理,毕竟不像玩物下载那样悄悄挖矿没有在显著位置对用户进行提醒

只是多数用户可能也不太理解这个新增的福袋具体是什么,如果知道是挖矿的话估计不少用户不同意斗鱼这么干。

默认情况下斗鱼客户端升级到最新版后就会开启挖矿模块,不过用户也可以在设置的高级选项里将挖矿模块关闭。

设置路径:斗鱼客户端/设置/高级/福袋入口 ,按斗鱼说明将福袋功能关闭就不会参与奖励 ,应该就是关闭挖矿。

如果你对福袋没兴趣的话那么可以在上述路径里关闭,如果你是笔记本电脑的话建议关闭防止电池电量消耗过快。

题外话:PCDN说好听点叫边缘计算说难听点就是挖矿  , 估计以后越来越多的软件会使用PCDN技术来降低费用。

PHP 7.4.4 发布

耗子阅读(58)

PHP 7.4.4 版本现已发布,具体更新内容如下:


Core

  • 修复了错误 #79329(get_headers() 在一个空字节后默默地截断)(CVE-2020-7066)
  • 修复了错误 #79244 (PHP 在解析 INI 文件时崩溃)
  • 修复了错误 #63206(restore_error_handler无法还原以前的错误掩码)

COM

  • 修复了错误 #66322(COMPersistHelper::SaveToFile 保存到错误的位置)
  • 修复了错误 #79242(COM错误常量与x86上的com_exception代码不匹配)
  • 修复了错误 #79247(Garbage 收集变量对象段错误)
  • 修复了错误 #79248(Traversing empty VT_ARRAY 引发 com_exception)
  • 修复了错误 #79299(com_print_typeinfo 打印重复的变量)
  • 修复了错误 #79332(php_istreams 永远不会 freed)
  • 修复了错误 #79333(com_print_typeinfo() 泄露内存)

CURL

  • 修复了错误 #79019(复制的 cURL handles 上载空文件)
  • 修复了错误 #79013 (在使用 curl posting curlFile 时,Content-Length missing)

DOM

  • 修复了错误 #77569(DomImplementation 中的 Write Access Violation)
  • 修复了错误 #79271(DOMDocumentType::$childNodes 为 NULL)

Enchant

  • 修复了错误 #79311(enchant_dict_suggest() 在大端架构上失败)

EXIF

  • 修复了错误 #79282 (Use-of-uninitialized-value in exif)(CVE-2020-7064)

Fileinfo

  • 修复了错误 #79283(libmagic 补丁中的 Segfault 包含缓冲区溢出)

PS:亲测 WordPress 更新之后后台直接 502 各位暂时先别更新

SpaceX成功发射第六批60颗星链卫星 总数达360颗

耗子阅读(77)

网易科技讯 3月18日消息,据国外媒体报道,美国东部时间3月18日上午8点16分,太空探索公司Space X旗下的猎鹰9号火箭从美国国家航空航天局肯尼迪航天中心的39A发射台顺利升空,成功将60颗Starlink星链互联网卫星送入轨道,这使得星链互联网在轨运行的卫星数量达到360颗。

据悉,此次是Space X公司成功发射第六批星链互联网卫星,这一任务被称为星链5号(Starlink 5),而公司于2019年首次发射星链卫星并未计入任务总数之中。

这次发射任务中所使用的猎鹰9号火箭一级助推器此前已经成功发射升空四次。Space X本计划在将星链卫星送入轨道之后,通过大西洋上的“我当然仍然爱你”号无人驾驶船再次回收一级助推器,遗憾的是本次回收未能成功。但这枚火箭依旧是连续五次成功进入太空。

SpaceX最初计划在美国东部时间上周日完成此次发射这项任务,但当倒计时计时器即将归零时,指挥人员最后传出“中止发射”的指令。Space X公司表示,电脑检测到引擎动力问题,使得Space X取消了此次火箭发射任务。(辰辰)

百度JS自动推送下线了

耗子阅读(74)

最近百度站长平台平台动作频出,先是下线了批量添加子站,最近又下线了JS自动推送。

从: https://zhang.ge/5069.html 得知JS推送从2015年10月上线到现在2020年3月,存活了5年不到,但比熊掌号好点。

很好,又少了一个拖慢网站加载的东西。

(PS:百度的Sitemap也是n久都不抓取,莫不也要下线了?)

我回来了

耗子阅读(74)

因为众所周知的原因,我从今年1月份开始着手重新备案的事情,一直拖着拖着到了今天上午终于审核通过了。

于是下午我开始重新设置域名解析,调整CDN,更新主题插件,弄到现在基本完工。

OK,写文章去。。。等下再弄个Api,哈哈

驱动精灵恶意投放后门程序 云控劫持流量、诱导推广

耗子阅读(217)

双十一期间,火绒对金山系部分软件仿冒其它安全软件,进行广告推广的行为开启拦截查杀。

随后,火绒接到不少用户反馈,称在已经卸载金山毒霸、驱动精灵等软件的情况下,火绒依然出现相关报毒。火绒工程师与用户沟通和远程查看分析后,发现是驱动精灵在卸载时故意留下一个名为“kbasesrv”的后门程序,包含广告模块被火绒报毒。

经过深入分析发现,驱动精灵在卸载时会投放”kbasesrv”后门程序,在用户电脑中执行软件推广、流量劫持、云控锁定浏览器首页等恶意行为。不仅如此,该后门程序还可云控在用户电脑中执行任意文件、拷贝或删除文件、结束进程、修改注册表、向指定窗体发送消息等,这就意味着用户电脑随时面临被远程执行任意操作的风险。

上述种种行为已经满足安全厂商对后门程序的定义,因此火绒对该程序进行查杀。未安装火绒的用户也可以选择火绒专杀工具彻底清除后门程序“kbasesrv”。(专杀地址见链接2)

kbasesrv”后门程序的投放方式除驱动精灵服务项、特殊版本的金山系软件安装包以外,最主要是在驱动精灵被用户卸载时投放。并且该程序部分云控指令会主动规避火绒等主流安全软件以及一些主要省会城市(北京、上海、深圳、广州)。

此外,因为”kbasesrv”后门程序组件与金山毒霸、猎豹浏览器、猎豹Wifi等众多金山系软件组件有重叠关系,如果金山向这些软件下发云控命令后,它们同样可以实施”kbasesrv”后门程序执行的恶意行为,所以火绒也会相应的对其进行拦截报毒。由于金山系软件用户量较大,导致该后门程序的影响也较为广泛。

事实上,数年前就有用户曝光过金山系软件相关的劫持行为(见链接3),我们也曾报道过金山利用病毒推广安装、仿冒其它安全软件推广广告等行为(报告见链接1、4)。火绒并非有意针对某个厂商,确实是这一系列程序行为触及到我们的原则和底线,不加以制止的话,受到损害的将是广大用户的权益。在火绒看来,如果这些软件厂商继续作恶,盘剥用户利益,火绒也将持续拦截、查杀这类危险程序。

在对“浏览器主页劫持”现象曝光后,近日人民日报再次对“弹窗广告”等损害用户体验的商业软件恶劣行为进行批评,指出相关平台厂商应该“优化行业生态、加强业界自律”。在此,火绒也呼吁广大厂商理性逐利,让用户不再受到恶意侵扰,享受应有的权益。

注:文中所述后门程序“kbasesrv”曾用名“主页安全防护”、“金山安全基础服务”。

本文转自:火绒安全,更多分析报告请查看原文:https://www.huorong.cn/info/1575563954398.html

PHP 7.4.0 正式发布

耗子阅读(365)

PHP 7.4.0发布了,此版本标志着PHP 7系列的第四次特性更新。

PHP 7.4.0进行了许多改进,并带来了一些新特性。

包括:

Typed Properties类型属性

类属性现在支持类型声明,以下示例将强制$User-> id只能分配int值,而$User-> name只能分配string值。

<?php
class User {
public int $id;
public string $name;
}
?>

Arrow Functions 箭头函数

箭头函数提供了用于定义具有隐式按值作用域绑定的函数的简写语法。

<?php
$factor = 10;
$nums = array_map(fn($n) => $n * $factor, [1, 2, 3, 4]);
// $nums = array(10, 20, 30, 40);
?>

将闭包传递给array_map或array_filter等函数时,它可以发挥极大的作用。

// A collection of Post objects $posts = [];
$ids = array_map(fn($post) => $post->id, $posts);

Limited Return Type Covariance and Argument Type Contravariance  有限返回类型协变与参数类型逆变

仅当使用自动加载时,才提供完全协变/逆变支持。在单个文件中,只能使用非循环类型引用,因为所有类在被引用之前都必须可用。

<?php
class A {}
class B extends A {}
class Producer {
public function method(): A {}
}
class ChildProducer extends Producer {
public function method(): B {}
}
?>

Unpacking Inside Arrays 打包内部数组

<?php
$parts = ['apple', 'pear'];
$fruits = ['banana', 'orange', ...$parts, 'watermelon'];
// ['banana', 'orange', 'apple', 'pear', 'watermelon'];
?>

Numeric Literal Separator  数值文字分隔符

数字文字可以在数字之间包含下划线。

<?php
6.674_083e-11; // float
299_792_458; // decimal
0xCAFE_F00D; // hexadecimal
0b0101_1111; // binary
?>

Weak References 弱引用

弱引用使程序员可以保留对对象的引用,不会阻止对象被销毁。

Allow Exceptions from __toString() 允许从__toString()抛出异常

现在允许从__toString()引发异常,以往这会导致致命错误,字符串转换中现有的可恢复致命错误已转换为 Error 异常。

Opcache Preloading  Opcache预加载

新增Opcache预加载支持。

此外还有一些弃用,以及从核心中删除一些扩展。

谷歌上架轻量化的 Google Go 搜索 APP 仅7MB

耗子阅读(374)

Google 的轻量级版本搜索应用程序 Google Go 面向全球 Android 用户推出。

今年年初,Google 将 Lens 功能加入到 Google Go 中,用户将智能手机相机对准现实世界的物体时,就能够获取相关信息。比如说当镜头对准公交时刻表,或银行表格时,该应用可以朗读文本、凸显单词。此外,用户还可以点击特定单词了解其定义或翻译文本。

作为 Go 系列的应用之一,Google Go 这款搜索 app 瞄准的主要用户基本都是来自新兴市场。不过可能是因为功能好用(比如说读出网页)、颇受欢迎的关系,Google 现在做出决定,要将这款软件正式向全球范围内的使用者开放了。

在安装之后,Google Go 在手机上只会占用 7MB 的空间,而且为了适应新兴市场相对没那么快的网络,它在使用时对网速的要求也没有那么高。另外在没连入网络的时候,app 也会记下你想搜的内容,等到有网时再帮你找来结果。

有需要的朋友,现在就可以在 Play 商店里下载这款软件,不过记得你手上的设备需要运行不低于 Lollipop 的系统喔。

Loading