Nach Bleeping-Computer, die Aktivität von TFlower, eine Ransomware, die RDP und konzentriert sich auf Unternehmensnetzwerke verwendet, hat damit begonnen, an Dynamik zu gewinnen.
TDie Malware kam Ende Juli an und installiert sich nach einem Hackerangriff, der darauf abzielte, Zugriff auf den Remotedesktopdienst zu erlangen, im System.„Mit den enormen Zahlungen, die Ransomware-Entwickler verdienen, wenn sie Unternehmen und Regierungsbehörden ins Visier nehmen, Es ist nicht verwunderlich, dass neue Ransomware entwickelt wird, um diesen Anstieg der hohen Lösegeldforderungen auszunutzen. Dies ist bei der TFlower-Ransomware der Fall.“, - Bericht Bleeping Computer-Journalisten.
Zur Zeit, TFlower wird als chilli.exe-Datei an die Opfer verteilt und verschlüsselt Daten mit dem AES-Algorithmus im CBC-Modus. Es ist auch in der Lage, Schattenkopien von Windows zu entfernen, Deaktivieren Sie die Wiederherstellungstools für Windows 10 und erzwingen Sie das Herunterfahren des Outlook.exe-Prozesses, um zu seinen Dateien zu gelangen.
Der Malware-Verschlüsselungsprozess wird in der Konsole angezeigt; und diese Aufgabe begonnen haben, es verbindet sich mit dem Kontrollzentrum und aktualisiert seinen Status. Durchsuchen und Konvertieren der Dateien des Opfers, TFlower umgeht den Windows-Ordner und die „Samples of Music“ (Standort – C:\BenutzerÖffentlichÖffentliche MusikBeispielmusik).
Der Rookie hat keine eigene Erweiterung für verschlüsselte Dateien, er fügt nur hinzu *tBlume Token und den Verschlüsselungsschlüssel zu ihnen. Nach Abschluss seiner Arbeit, die Malware meldet dies an den C&C-Server, und auf dem infizierten Rechner erscheinen Meldungen, die Lösegeld verlangen !_Notiz_!.TXT – in allen Ordnern mit geänderten Dateien und auf dem Desktop.
Für Anweisungen zum Wiederherstellen von Dateien, Ransomware bietet an, sie per E-Mail über @protonmail.com oder @tutanota.com zu kontaktieren.
Als TFlower debütierte, seine Oberherren angeklagt 15 Bitcoins pro Entschlüsselungsschlüssel. Seit Ende August, Sie hörten auf, die Höhe des Lösegelds in ihren Nachrichten anzugeben. Es ist derzeit unmöglich, Dateien zurückzugeben, ohne ein Lösegeld zu zahlen: Analysten untersuchen bösartigen Code, haben aber noch keine Schwachstellen im Verschlüsselungssystem entdeckt.
Über das Internet zugängliche RDP-Dienste als Angriffsvektor sind bei Anbietern von Verschlüsselungsprogrammen, die auf Unternehmensumgebungen abzielen, sehr beliebt. samsam, Scarabey, Matrix, Dharma und Nemty dieses Jahr, verwendet eine ähnliche Methode der Infektion.
