By Zerothar
· 497 views
Com foco em ambientes corporativos, o novo ransomware TFlower infecta computadores via serviços de área de trabalho remota expostos.
O ransomware foi descoberto originalmente no início de agosto e pesquisadores detectaram um aumento no número de infecções nas últimas semanas.
O que é um ransomware?
Ransomware é um tipo de malware que restringe o acesso ao sistema ou a certos arquivos e cobra um valor de “resgate” para que o acesso possa ser restabelecido.
Exemplos conhecidos incluem o CryptoLocker, CryptoWall, CTBLocker, CoinVault e Bitcryptor.
Ferramentas para desbloquear arquivos criptografados por este tipo de ameaça também estão disponíveis no portal No More Ransom. O portal foi lançado pela Unidade de Crime de Alta Tecnologia da Polícia Holandesa, European Cybercrime Centre (EC3) da Europol e duas empresas de cibersegurança – a Kaspersky Lab, McAfee e a ESET.
Acesse o portal clicando aqui.
Novo ransomware TFlower infecta computadores via RDP
O ransomware está sendo instalado por hackers em computadores com acesso a redes corporativas através de serviços de área de trabalho remota expostos.
Com o acesso ao computador garantido, os hackers instalarão o ransomware e tentarão acessar os outros computadores na rede usando ferramentas como PowerShell Empire e PSExec.
Quando executado, o ransomware TFlower exibirá um console mostrando sua atividade durante o processo de criptografia dos arquivos no computador infectado:
Ele também entrará em contato com o servidor de comando e controle dos criminosos por trás do ataque para indicar que iniciou o processo de criptografia.
Em um dos casos, o servidor de comando e controle estava localizado em um site do WordPress comprometido e usando uma URL como esta:
https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=start
Depois desta etapa ele tentará apagar as cópias de sombra de volume e executar comandos para desabilitar o ambiente de recuperação do Windows:
vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {current} recoveryenabled no
bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures
Os arquivos criptografados pelo ransomware recebem a extensão “.tflower” e quando o processo de criptografia é concluído ele entra em contato novamente com o servidor de comando e controle para relatar seu status usando uma URL como esta abaixo:
As vítimas do ataque encontrarão o pedido de resgate com o nome “!_Notice_!.txt” em diversos locais no computador infectado e na área de trabalho:
O pedido de resgate inclui endereços de email que a vítima deve usar para entrar em contato com os criminosos e recebam as instruções para pagamento do resgate.
CitarA recomendação dos especialistas em segurança é que as vítimas não paguem o resgate, já que não há garantias de que os criminosos restaurarão os arquivos.
Fonte: baboopro
Recommended Comments