'锁定'赎金软件,感染Dridex,击中不幸
新的赎金味道,类似于其对臭名昭着的银行软件Dridex的攻击方式,正在导致一些用户造成严重破坏。
受害者通常通过电子邮件发送一个Microsoft Word文档,声明是一个需要宏的发票,或者是某些功能的小应用程序。
由于安全危险,Microsoft默认禁用Macros。遇到宏的用户如果文件包含一个,请参阅警告。
如果启用了宏,则文档将运行宏并将锁定下载到计算机,在星期二在博客文章中写下Palo Alto Networks。DRIDEX使用了相同的技术,该技术是窃取在线帐户凭据的银行特洛伊木马。
它涉嫌分配锁定的小组与Dridex后面的一个隶属于Dridex之一“由于类似的分布方式,重叠的文件名以及从这种特别激进的联盟的缺乏与锁定的初始出现,”Palo alto写道。
Ransomware已被证明是一个巨大的问题。恶意软件在计算机上加密文件,有时在整个网络上加密文件,攻击者要求支付键以获得解密密钥。
除非受影响的组织定期备份并且数据库,否则文件是不可恢复的,除非受赎金软件触摸的数据。
根据NBC新闻报道,本月早些时候,本月早些时候,好莱坞长老会医疗中心的计算机系统在赎金软件感染后关闭。袭击者要求9,000比特币,价值360万美元,可能是最大的赎金PS之一。
有迹象表明,锁定的操作员可能会上演大攻击。Palo Alto Networks表示,它检测到400,000次使用相同类型的宏下载器,称为Bartallex,将锁定存放到系统上。
有针对性的系统的超过一半的系统在美国,其他受影响国家的国家,包括加拿大和澳大利亚。
与其他勒索软件相反,锁定使用其命令和控制基础架构在文件加密之前在内存中进行密钥交换。这可能是一个潜在的弱点。
“这很有意思,因为大多数赎金软件在受害者主机上在本地生成随机加密密钥,然后将加密的副本传输到攻击者基础架构”,“Palo Alto写道。“这还提出了一种可操作的策略,用于通过中断相关的”命令和控制网络来缓解这一一代锁定。
kevin Beaumont的kevin beaumont(kevin beaumont)撰写了关于媒介的安全问题的说法,已加密的文件具有“.loply”扩展。
他包括在一个组织中被感染的谁弄清楚谁的指导。他写道,受害者的Active Directory账户应立即被锁定并关闭网络接入。
“你可能必须从头开始重建他们的电脑,”Beaumont写道。