如果你曾经访问过Dunlop Adhesives的DIY项目网站、危地马拉官方旅游网站，或是大量其他合法网站（在某些情况下合法），你可能会发现大量你本不需要的信息。这些网站都会将访问者重定位到一个恶意网站，该网站会尝试在用户设备上安装CryptXXX，这是一系列加密勒索，首次发现是在今年4月。

  从端点安全软件供应商 Invincea 研究人员的一份报告来看，这些网站很有可能是被一个叫做SoakSoak的僵尸网络或是类似的自动攻击侵入了，这种攻击会寻找脆WordPress插件和其他未安装修补程序的内容管理工具，借此下手。

SoakSoak是俄罗斯的一个域名，自出现以来已经攻击了数千个网站。2014年12月，在僵尸网络利用 WordPress RevSlider 插件攻击关联网站之后仅一天时间，谷歌就被迫关闭了超过11，000个域。

在最近一次攻击中，SoakSoak的植入代码可以将用户重定位到一个会安装Neutrino exploit kit的网站中，这是在地下交易市场上售卖的一种“商业”恶意软件注入工具。这次攻击似乎是从5月开始的，但是从那时起，恶意软件工具包和恶意软件都已经升级了。最新版本的开发组件企图绕开安全软件检查。

 端点安全软件供应商 Invincea的Pat Belcher 在自己的博客中写道，“一旦受害者被重定位到Neutrino exploit kit，该终端就会扫描用户是否使用安全软件（例如VMWare、Wireshark、 ESET、 Fiddler, 或者是 Flash播放器调试设备）。如果受害者主机中不存在这些程序，外壳命令程序就会打开，Wscript的windows程序就会从指挥控制服务器中下载恶意软件的有效荷载。”

CryptXXX像是其他加密勒索的变种产品，流程就是加密文件、将受害者指示到一个Tor.onion网站、让受害者支付赎金获得密钥。恶意软件会尝试挂载每一个可能的驱动器来搜索文件，寻找网络驱动器、外部设备和本地磁盘。攻击者提出的赎金一般数额巨大，有时候甚至超过价值500美金的比特币。

  Ars试图联系Dunlop和其他一些受影响网站，但是还没有收到任何答复，我们会不断跟进。就算这些组织正在努力和攻击者作斗争，其他网站也有可能迅速被攻占，因为还有大量网站没有修复站点加载项（比如WordPress 插件）。

文章原文链接:https://www.anquanke.com/post/id/84256