Os pesquisadores dizem sobre a atividade crescente de TFlower, outra ransomware que usa RDP

De acordo com a Computer Bleeping, a actividade de TFlower, um ransomware que usa RDP e está focada em redes corporativas, começou a ganhar impulso.

Tele Malware chegou no final de julho e instala no sistema após um ataque de hackers que visa obter acesso ao serviço Remote Desktop.

“Com os enormes pagamentos serem vencidos pelos desenvolvedores ransomware como eles têm como alvo empresas e agências governamentais, não é surpreendente ver novo ransomware sendo desenvolvidos para aproveitar essa onda de altos resgates. Tal é o caso com o ransomware TFlower”, - relatório jornalistas Bleeping computador.

atualmente, TFlower é distribuído para as vítimas como um arquivo chilli.exe e criptografa dados usando o algoritmo AES no modo CBC. É também capaz de remover as cópias de sombra do Windows, desativar as ferramentas de recuperação para Windows 10 e força de encerrar o processo de Outlook.exe para chegar a seus arquivos.

O processo de criptografia de malware exibe no console; e tendo iniciado esta tarefa, ele se conecta ao centro de controle e atualiza seu status. Busca e conversão de arquivos da vítima, TFlower ignora a pasta Windows e os “Amostras de música” (localização – C:\Users Public Public Music Amostra de Música).

O novato não tem sua própria extensão para arquivos criptografados, ele só adiciona o *TFlower token e a chave de criptografia para eles. Depois de completar o seu trabalho, os relatórios de malware isso para o C&servidor C, e nas mensagens de máquinas infectadas aparecem pedindo resgate !_Aviso prévio_!.TXT – em todas as pastas com arquivos modificados e no ambiente de trabalho.

Para obter instruções sobre a recuperação de arquivos, ransomware oferece para contatá-los por e-mail usando @ protonmail.com ou @ tutanota.com.

Quando TFlower estreou, seus senhores cobrado 15 bitcoins por chave de decodificação. Desde o final de agosto, eles deixaram de indicar o tamanho do resgate em suas mensagens. É actualmente impossível voltar arquivos sem pagar um resgate: analistas estão estudando código malicioso, mas ainda não descobriram vulnerabilidades no sistema de criptografia.

serviços RDP acessíveis pela Internet como um vetor de ataque são muito populares com os distribuidores de programas de criptografia alvo ambiente corporativo. Samsam, Scarabey, Matriz, Dharma e Nemty este ano, usado um método semelhante de infecção.

Sobre Polina Lisovskaya

Trabalho como gerente de marketing há anos e adoro pesquisar tópicos interessantes para você

Além disso, verifique

Remover Hgsh Virus Ransomware (+Recuperação de arquivos)

Sobre Hgsh Hgsh é classificado por nossa equipe de pesquisa de malware como o gênero de vírus DJVU. …

Novo ladrão do PowerShortShell explora vulnerabilidade recente de MSHTML da Microsoft

Novo ladrão do PowerShortShell

Em novembro 24, 2021 SafeBreach Labs publicou uma pesquisa sobre um novo ator de ameaça iraniano usando …

Deixe uma resposta