Com foco em ambientes corporativos, o novo ransomware TFlower infecta computadores via serviços de área de trabalho remota expostos.

O ransomware foi descoberto originalmente no início de agosto e pesquisadores detectaram um aumento no número de infecções nas últimas semanas.

O que é um ransomware?

Ransomware é um tipo de malware que restringe o acesso ao sistema ou a certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.
Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.

Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab, McAfee e a ESET.

Acesse o portal clicando aqui.

Novo ransomware TFlower infecta computadores via RDP

O ransomware está sendo instalado por hackers em computadores com acesso a redes corporativas através de serviços de área de trabalho remota expostos.

Com o acesso ao computador garantido, os hackers instalarão o ransomware e tentarão acessar os outros computadores na rede usando ferramentas como PowerShell Empire e PSExec.

Quando executado, o ransomware TFlower exibirá um console mostrando sua atividade durante o processo de criptografia dos arquivos no computador infectado:

 

Ele também entrará em contato com o servidor de comando e controle dos criminosos por trás do ataque para indicar que iniciou o processo de criptografia.

Em um dos casos, o servidor de comando e controle estava localizado em um site do WordPress comprometido e usando uma URL como esta:

https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=start

Depois desta etapa ele tentará apagar as cópias de sombra de volume e executar comandos para desabilitar o ambiente de recuperação do Windows:

vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {current} recoveryenabled no
bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures

Os arquivos criptografados pelo ransomware recebem a extensão “.tflower” e quando o processo de criptografia é concluído ele entra em contato novamente com o servidor de comando e controle para relatar seu status usando uma URL como esta abaixo:

https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=success [encrypted_file_count], retry [retried_file_count]

As vítimas do ataque encontrarão o pedido de resgate com o nome “!_Notice_!.txt” em diversos locais no computador infectado e na área de trabalho:

 

O pedido de resgate inclui endereços de email que a vítima deve usar para entrar em contato com os criminosos e recebam as instruções para pagamento do resgate.

Citar

A recomendação dos especialistas em segurança é que as vítimas não paguem o resgate, já que não há garantias de que os criminosos restaurarão os arquivos.

 

Fonte: baboopro