首页 >互联网 > 内容

微软警告使用PonyFinal勒索软件的攻击

互联网 2020-06-04 10:28:55

微软的安全团队今天发布了一份警告,警告全球的组织部署保护措施,以对抗一种新的勒索软件,这种软件在过去两个月里已经泛滥。

“PonyFinal是一个基于java的勒索软件,部署在人操纵的勒索软件攻击中,”微软在今天发布的一系列推文中说。

人肉操作勒索软件是勒索软件的一个分支。在由人操纵的勒索软件攻击中,黑客入侵企业网络并自行部署勒索软件。

这与过去常见的典型勒索软件攻击相反,比如通过电子邮件垃圾邮件或利用工具包分发的勒索软件,在这些攻击中,感染过程依赖于在启动有效载荷时欺骗用户。

微软表示,他们一直在跟踪PonyFinal勒索软件被部署的事件。

入侵点通常是公司系统管理服务器上的一个帐户,PonyFinal团伙使用猜弱密码的蛮力攻击来入侵该帐户。

一旦进入内部,微软表示,PonyFinal团队将部署一个Visual Basic脚本,该脚本运行一个PowerShell反向shell来转储和窃取本地数据。此外,勒索软件运营商还部署了“一个远程操作系统来绕过事件记录”。

一旦PonyFinal团伙牢牢控制了目标网络,他们就会扩散到其他本地系统并部署实际的PonyFinal勒索软件。

在大多数情况下,攻击者的目标是安装了Java运行时环境(JRE)的工作站,因为PonyFinal是用Java编写的。但微软表示,它也看到了团伙在运行勒索软件之前在系统上安装JRE的例子。

微软表示,用PonyFinal勒索软件加密的文件通常有一个附加的“。“enc”文件扩展名添加到每个加密文件的末尾。

赎金通知通常被命名为README_files。txt,通常是一个简单的文本文件,包含赎金支付指令——安德鲁·伊万诺夫提供的端口如下(PonyFinal指标妥协也可以在伊万诺夫的博客)。

勒索软件的加密方案被认为是安全的,没有已知的方法或免费的解密程序可以恢复加密的文件——至少在撰写本文时是这样。

Michael Gillespie和MalwareHunterTeam是勒索软件识别门户网站ID-Ransomware背后的两个人,他们表示,PonyFinal勒索软件在今年早些时候首次出现,受害者非常少——这证实了它被用于针对精心挑选的目标进行有针对性的攻击。

Emsisoft的恶意软件研究员吉莱斯皮表示,所有在ID-Ransomware网站上传用于识别的样本的用户,都来自印度、伊朗和美国,按流行程度排序。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。