Ifølge bleeping Computer, aktiviteten af TFlower, en ransomware, der bruger RDP og er fokuseret på virksomhedens netværk, er begyndt at tage fart.
Tmalware ankom i slutningen af juli og installeres i systemet efter et hackerangreb, der har til formål at få adgang til Remote Desktop-tjenesten.”Med de enorme betalinger, der optjenes af ransomware-udviklere, når de er rettet mod virksomheder og offentlige myndigheder, det er ikke overraskende at se ny ransomware udvikles for at drage fordel af denne stigning i høje løsesum. Sådan er det med TFlower ransomware ”, - rapport Bleeping Computer journalister.
I øjeblikket, TFlower distribueres til ofre som en chilli.exe-fil og krypterer data ved hjælp af AES-algoritmen i CBC-tilstand. Det er også i stand til at fjerne skyggekopier af Windows, deaktiver gendannelsesværktøjerne til Windows 10 og tving nedlukning af Outlook.exe-processen for at komme til dens filer.
Krypteringsprocessen for malware vises i konsollen; og efter at have startet denne opgave, det opretter forbindelse til kontrolcentret og opdaterer hans status. Søgning efter og konvertering af ofrets filer, TFlower omgår Windows-mappen og "Samples of music" (Beliggenhed – C:\Brugere Offentlig Offentlig musik Eksempel på musik).
Nybegynderen har ikke sin egen udvidelse til krypterede filer, han tilføjer kun *TFlower token og krypteringsnøglen til dem. Efter at have afsluttet sit arbejde, malware rapporterer dette til C&C server, og på den inficerede maskine vises meddelelser der beder om løsesum !_Varsel_!.txt – i alle mapper med ændrede filer og på skrivebordet.
For instruktioner om gendannelse af filer, ransomware tilbyder at kontakte dem via e-mail ved hjælp af @ protonmail.com eller @ tutanota.com.
Da TFlower debuterede, dets overherrer anklaget 15 bitcoins pr. dekrypteringsnøgle. Siden slutningen af august, de ophørte med at angive løsepengeens størrelse i deres meddelelser. Det er i øjeblikket umuligt at returnere filer uden at betale en løsesum: analytikere studerer ondsindet kode, men har endnu ikke opdaget sårbarheder i krypteringssystemet.
Internet-tilgængelige RDP-tjenester som en angrebsvektor er meget populære hos distributører af krypteringsprogrammer, der er målrettet mod virksomhedsmiljø. SamSam, Scarabey, Matrix, Dharma og Nemty dette år, brugte en lignende infektionsmetode.