De acuerdo con Bleeping ordenador, la actividad de TFlower, un ransomware que utiliza RDP y se centra en las redes corporativas, ha comenzado a ganar impulso.
TEl malware que llegó a finales de julio y se instala en el sistema después de un ataque informático destinado para acceder al servicio de escritorio remoto.“Con los enormes pagos siendo ganado por los desarrolladores de ransomware, ya que se dirigen a empresas y agencias gubernamentales, no es sorprendente ver nuevo ransomware siendo desarrollado para tomar ventaja de este aumento de altos rescates. Tal es el caso con el ransomware TFlower”, - informe periodistas que pita informáticos.
Actualmente, TFlower se distribuye a las víctimas como un archivo chilli.exe y cifra los datos utilizando el algoritmo AES en modo CBC. También capaz de eliminar las instantáneas de las ventanas, desactivar las herramientas de recuperación para Windows 10 y la fuerza de cerrado el proceso Outlook.exe para llegar a sus archivos.
Las pantallas de malware proceso de cifrado en la consola; y después de haber comenzado esta tarea, se conecta con el centro de control y actualiza su estado. La búsqueda y la conversión de archivos de la víctima, TFlower no pasa por la carpeta de Windows y las “muestras de la música” (ubicación – do:\Usuarios Público Public Music Muestra de música).
El novato no tiene su propia extensión para archivos cifrados, que sólo se suma el *TFlower token y la clave de cifrado que se les. Después de completar sus trabajos, los informes de malware esto a la C&servidor de C, y en los mensajes de máquinas infectadas aparecerá pidiendo el rescate !_Aviso_!.TXT – en todas las carpetas con los archivos modificados y en el escritorio.
Para obtener instrucciones sobre la recuperación de archivos, ransomware ofrece a ponerse en contacto con ellos por correo electrónico utilizando @ protonmail.com o @ tutanota.com.
Cuando debutó TFlower, sus amos pagan 15 bitcoins por clave de descifrado. Desde finales de agosto, dejaron de indicar el tamaño del rescate en sus mensajes. En la actualidad es imposible devolver los archivos sin tener que pagar un rescate: Los analistas están estudiando código malicioso, pero aún no se han descubierto vulnerabilidades en el sistema de encriptación.
servicios de RDP con acceso a Internet como un vector de ataque son muy populares entre los distribuidores de programas de cifrado de orientación entorno corporativo. samsam, Scarabey, Matriz, Dharma y Nemty este año, utilizado un método similar de infección.
