PonyFinal勒索软件正在泛滥

2020-07-29 10:31段铁兴
计算机与网络 2020年11期
关键词:帐户赎金脚本

段铁兴

近日据国外媒体报道,微软安全团队发布了一份高危安全预警,警告全球各地的组织需要开始部署保护措施,以防止近期开始流行的新型勒索软件———PonyFinal。

微软在发布的一系列推文中表示,PonyFinal是一种基于Java的勒索软件,已开始被黑客们部署在人工勒索软件攻击中。据了解,人工勒索软件是勒索软件类别的一个子部分,在人为操作的勒索软件攻击中,黑客可以在破坏公司网络的同时,开始自行部署勒索软件。

这与过去出现的经典勒索软件攻击方式相反,例如传统的勒索软件是通过电子垃圾邮件或工具包来分发勒索软件,这些过程的感染主要依赖于欺骗用户启动有效负载。

但是,PonyFinal的运作方式并不是这样的,它的入侵点通常是公司系统管理服务器上的一个帐户,PonyFinal的黑客们使用猜测弱密码的暴力攻击来破坏该帐户。一旦黑客进入内部系统后,他们会部署Visual Basic脚本,该脚本会运行PowerShell反向外壳程序以转储和窃取本地数据。

此外,PonyFinal勒索软件还会部署远程操纵器系统以绕过事件日志记录。一旦PonyFinal的黑客们牢牢地掌握了目标网络,他们便会传播到其他本地系统并部署实际的PonyFinal勒索软件。

对此,微软表示,在大多数情况下PonyFinal的黑客们部署Visual Basic脚本,是由于PonyFinal是用Java语言编写,因此攻击者还会将目标锁定在安装了Java Runtime Environment(JRE)的工作站上。

微软还表示,使用PonyFinal勒索软件加密的文件通常会在每个加密文件的末尾添加一个.enc文件扩展名。而赎金记录通常名为README_files.txt,会包含赎金付款说明的简单文本文件。

目前,印度、伊朗和美国已经出现了该勒索软件的受害者。据悉,根据勒索軟件识别门户网站ID-Ransomware的2位专家Michael Gillespie和Malware Hunter Team的说法,PonyFinal勒索软件是于2020年初首次出现的。Emsisoft恶意软件研究员Gillespie表示,对所有在ID-Ransomware网站上传的样本进行识别分析后发现,目前主要受害者位于印度、伊朗和美国。

最后,微软表示,PonyFinal勒索软件应该是在冠状病毒(COVID-19)大流行期间反复针对医疗保健部门的几种人为操作的勒索软件毒株之一。微软发布的同类别勒索软件列表还包括RobbinHood,NetWalker,REvil(Sodinokibi),Paradise,RagnarLocker,MedusaLocker,LockBit和迷宫。

猜你喜欢
帐户赎金脚本
断开Windows10和微软帐户链接
谁取走了赎金
自动推送与网站匹配的脚本
失踪的赎金
Analysis of Strategies and Procedures Employed in Translating Literary and Non—literary Texts from the Perspective of Functionalist Theory
举一反三新编
欧洲成“基地”主要赞助商
捕风捉影新编
愚公移山
“天狼星”号获释,海盗得赎金后翻船