De acordo com a Computer Bleeping, a actividade de TFlower, um ransomware que usa RDP e está focada em redes corporativas, começou a ganhar impulso.
Tele Malware chegou no final de julho e instala no sistema após um ataque de hackers que visa obter acesso ao serviço Remote Desktop.“Com os enormes pagamentos serem vencidos pelos desenvolvedores ransomware como eles têm como alvo empresas e agências governamentais, não é surpreendente ver novo ransomware sendo desenvolvidos para aproveitar essa onda de altos resgates. Tal é o caso com o ransomware TFlower”, - relatório jornalistas Bleeping computador.
atualmente, TFlower é distribuído para as vítimas como um arquivo chilli.exe e criptografa dados usando o algoritmo AES no modo CBC. É também capaz de remover as cópias de sombra do Windows, desativar as ferramentas de recuperação para Windows 10 e força de encerrar o processo de Outlook.exe para chegar a seus arquivos.
O processo de criptografia de malware exibe no console; e tendo iniciado esta tarefa, ele se conecta ao centro de controle e atualiza seu status. Busca e conversão de arquivos da vítima, TFlower ignora a pasta Windows e os “Amostras de música” (localização – C:\Users Public Public Music Amostra de Música).
O novato não tem sua própria extensão para arquivos criptografados, ele só adiciona o *TFlower token e a chave de criptografia para eles. Depois de completar o seu trabalho, os relatórios de malware isso para o C&servidor C, e nas mensagens de máquinas infectadas aparecem pedindo resgate !_Aviso prévio_!.TXT – em todas as pastas com arquivos modificados e no ambiente de trabalho.
Para obter instruções sobre a recuperação de arquivos, ransomware oferece para contatá-los por e-mail usando @ protonmail.com ou @ tutanota.com.
Quando TFlower estreou, seus senhores cobrado 15 bitcoins por chave de decodificação. Desde o final de agosto, eles deixaram de indicar o tamanho do resgate em suas mensagens. É actualmente impossível voltar arquivos sem pagar um resgate: analistas estão estudando código malicioso, mas ainda não descobriram vulnerabilidades no sistema de criptografia.
serviços RDP acessíveis pela Internet como um vetor de ataque são muito populares com os distribuidores de programas de criptografia alvo ambiente corporativo. Samsam, Scarabey, Matriz, Dharma e Nemty este ano, usado um método semelhante de infecção.
