Novo ransomware TFlower infecta computadores via RDP
Com foco em ambientes corporativos, o novo ransomware TFlower infecta computadores via serviços de área de trabalho remota expostos.
O ransomware foi descoberto originalmente no início de agosto e pesquisadores detectaram um aumento no número de infecções nas últimas semanas.
O que é um ransomware?
Ransomware é um tipo de malware que restringe o acesso ao sistema ou a certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.
Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.
Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab, McAfee e a ESET.
Acesse o portal clicando aqui.
Novo ransomware TFlower infecta computadores via RDP
O ransomware está sendo instalado por hackers em computadores com acesso a redes corporativas através de serviços de área de trabalho remota expostos.
Com o acesso ao computador garantido, os hackers instalarão o ransomware e tentarão acessar os outros computadores na rede usando ferramentas como PowerShell Empire e PSExec.
Quando executado, o ransomware TFlower exibirá um console mostrando sua atividade durante o processo de criptografia dos arquivos no computador infectado:
Ele também entrará em contato com o servidor de comando e controle dos criminosos por trás do ataque para indicar que iniciou o processo de criptografia.
Em um dos casos, o servidor de comando e controle estava localizado em um site do WordPress comprometido e usando uma URL como esta:
https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=start
Depois desta etapa ele tentará apagar as cópias de sombra de volume e executar comandos para desabilitar o ambiente de recuperação do Windows:
vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {current} recoveryenabled no
bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures
Os arquivos criptografados pelo ransomware recebem a extensão “.tflower” e quando o processo de criptografia é concluído ele entra em contato novamente com o servidor de comando e controle para relatar seu status usando uma URL como esta abaixo:
As vítimas do ataque encontrarão o pedido de resgate com o nome “!_Notice_!.txt” em diversos locais no computador infectado e na área de trabalho:
O pedido de resgate inclui endereços de email que a vítima deve usar para entrar em contato com os criminosos e recebam as instruções para pagamento do resgate.
CitarA recomendação dos especialistas em segurança é que as vítimas não paguem o resgate, já que não há garantias de que os criminosos restaurarão os arquivos.
Fonte: baboopro
0 Comentários
Comentários Recomendados
Não há comentários para mostrar.
Crie uma conta ou entre para comentar
Você precisar ser um membro para fazer um comentário
Criar uma conta
Crie uma nova conta em nossa comunidade. É fácil!
Crie uma nova contaEntrar
Já tem uma conta? Faça o login.
Entrar Agora