Forskere siger om stigende aktivitet TFlower, en anden ransomware der bruger RDP

Ifølge bleeping Computer, aktiviteten af ​​TFlower, en ransomware, der bruger RDP og er fokuseret på virksomhedens netværk, er begyndt at tage fart.

Tmalware ankom i slutningen af ​​juli og installeres i systemet efter et hackerangreb, der har til formål at få adgang til Remote Desktop-tjenesten.

”Med de enorme betalinger, der optjenes af ransomware-udviklere, når de er rettet mod virksomheder og offentlige myndigheder, det er ikke overraskende at se ny ransomware udvikles for at drage fordel af denne stigning i høje løsesum. Sådan er det med TFlower ransomware ”, - rapport Bleeping Computer journalister.

I øjeblikket, TFlower distribueres til ofre som en chilli.exe-fil og krypterer data ved hjælp af AES-algoritmen i CBC-tilstand. Det er også i stand til at fjerne skyggekopier af Windows, deaktiver gendannelsesværktøjerne til Windows 10 og tving nedlukning af Outlook.exe-processen for at komme til dens filer.

Krypteringsprocessen for malware vises i konsollen; og efter at have startet denne opgave, det opretter forbindelse til kontrolcentret og opdaterer hans status. Søgning efter og konvertering af ofrets filer, TFlower omgår Windows-mappen og "Samples of music" (Beliggenhed – C:\Brugere Offentlig Offentlig musik Eksempel på musik).

Nybegynderen har ikke sin egen udvidelse til krypterede filer, han tilføjer kun *TFlower token og krypteringsnøglen til dem. Efter at have afsluttet sit arbejde, malware rapporterer dette til C&C server, og på den inficerede maskine vises meddelelser der beder om løsesum !_Varsel_!.txt – i alle mapper med ændrede filer og på skrivebordet.

For instruktioner om gendannelse af filer, ransomware tilbyder at kontakte dem via e-mail ved hjælp af @ protonmail.com eller @ tutanota.com.

Da TFlower debuterede, dets overherrer anklaget 15 bitcoins pr. dekrypteringsnøgle. Siden slutningen af ​​august, de ophørte med at angive løsepengeens størrelse i deres meddelelser. Det er i øjeblikket umuligt at returnere filer uden at betale en løsesum: analytikere studerer ondsindet kode, men har endnu ikke opdaget sårbarheder i krypteringssystemet.

Internet-tilgængelige RDP-tjenester som en angrebsvektor er meget populære hos distributører af krypteringsprogrammer, der er målrettet mod virksomhedsmiljø. SamSam, Scarabey, Matrix, Dharma og Nemty dette år, brugte en lignende infektionsmetode.

Polina Lisovskaya

Jeg har arbejdet som marketingchef i årevis nu og elsker at søge efter interessante emner for dig

Efterlad et Svar

Tilbage til toppen knap