Volgens Bleeping Computer, de activiteit van TFlower, een ransomware die RDP gebruikt en is gericht op bedrijfsnetwerken, is begonnen in een stroomversnelling.
TDe malware arriveerde eind juli en wordt in het systeem geïnstalleerd na een hackeraanval om toegang te krijgen tot de Remote Desktop-service.“Met de enorme betalingen die worden verdiend door ransomware-ontwikkelaars als ze zich richten op bedrijven en overheidsinstanties, het is niet verwonderlijk dat er nieuwe ransomware wordt ontwikkeld om te profiteren van deze golf van hoge losgelden. Dat is het geval met de TFlower ransomware”, - verslag doen van Bleeping Computer journalisten.
Momenteel, TFlower wordt gedistribueerd naar slachtoffers als een chili.exe-bestand en versleutelt gegevens met behulp van het AES-algoritme in CBC-modus. Het kan ook schaduwkopieën van Windows verwijderen, schakel de herstelhulpmiddelen voor Windows uit 10 en sluit het Outlook.exe-proces geforceerd af om bij de bestanden te komen.
Het malwarecoderingsproces wordt weergegeven in de console; en begonnen met deze taak, het maakt verbinding met het controlecentrum en werkt zijn status bij. Zoeken en converteren van de bestanden van het slachtoffer, TFlower omzeilt de Windows-map en de "Muziekvoorbeelden" (plaats – C:\GebruikersOpenbaarOpenbare muziekVoorbeeldmuziek).
De rookie heeft geen eigen extensie voor versleutelde bestanden, hij voegt alleen de . toe *tbloem token en de coderingssleutel ervoor. Na het voltooien van zijn werk, de malware meldt dit aan de C&C server, en op de geïnfecteerde machine verschijnen berichten waarin om losgeld wordt gevraagd !_Kennisgeving_!.tekst – in alle mappen met gewijzigde bestanden en op het bureaublad.
Voor instructies over het herstellen van bestanden, ransomware biedt aan om per e-mail contact met hen op te nemen via @protonmail.com of @tutanota.com.
Toen TFlower debuteerde, zijn opperheren beschuldigden 15 bitcoins per decoderingssleutel. Sinds eind augustus, ze stopten met het aangeven van de grootte van het losgeld in hun berichten. Het is momenteel onmogelijk om bestanden terug te sturen zonder losgeld te betalen: analisten bestuderen kwaadaardige code, maar heb nog geen kwetsbaarheden in het encryptiesysteem ontdekt.
Internet-toegankelijke RDP-services als aanvalsvector zijn erg populair bij distributeurs van encryptieprogramma's die gericht zijn op de bedrijfsomgeving. SamSam, Scarabee, Matrix, Dharma en Nemty dit jaar, een vergelijkbare infectiemethode gebruikt.
