(圖/路透)
駭客發動惡意勒索病毒的網路攻擊手法不斷翻新,除要求需支付高額贖金才提供解密金鑰之外,現在還變本加厲恐嚇受駭用戶若未在24小時內採取回覆,將進一步持續發動頻繁的電話騷擾與大規模癱瘓系統的DDoS攻擊,並揚言刪除所有文件。
據網路安全技術公司《賽門鐵克》釋出最新報告稱,近期在調查分析國外一間企業組織遭勒索軟體攻擊的事件,發現一款名為「Yanluowang」的新勒索病毒家族現蹤,透過免費合法的AdFind查詢工具(用於搜尋電腦及網域Active Directory的指令)作為前置作業的部署,藉此取得可提供勒索病毒所需的網路環境資源,並暗中偵察網域內的相關資訊。一旦鎖定目標並發動勒索病毒攻擊,就可從遠端操控取得包括:網域內的所有電腦名稱、WMI正在執行的處理程序清單等資訊。
此外,在植入「Yanluowang」勒索病毒進行檔案加密之前,還會先停用電腦的多項應用系統處理程序,包括:Windows系統內建的Microsoft Defender防毒軟體、Exchange Server、與SQL Server/MySQL資料庫及Veeam 資料備份系統等。被加密的文件資料會附上帶有「.yanluowang」的副檔名,最後向受駭企業組織發出README.txt的勒索訊息。
至於勒索金額與支付贖金的方式,並未有具體的說明,反而在勒索訊息中提到若受駭組織未在24小時內以電子郵件作出回應,或試圖自行解密、尋求執法機構與資料修復公司協助,將會採取更激烈的手段,如:持續用電話騷擾員工及合作廠商、不斷發動大規模癱瘓系統的DDos攻擊,甚至還會把組織內部網路的所有文件全都刪除。
賽門鐵克進一步指出,近期在網路現蹤的「Yanluowang」新勒索病毒,推估仍處於開發階段。由於駭客利用合法的工具作為前置作業部署,呼籲企業組織務必要提高警覺防範任何可疑的活動狀況。
你可能也想看