天创培训:您身边的信息安全培训专家!
开班计划
CISP-PTE渗透测试工程师5月周末直播班开班通知
主讲老师   张老师、王老师等
开课时间   5月
培训方式   网络课程
授课天次   培训+考试
上课时间   5月
课程介绍 在线报名
2020年4月CISP直播班
主讲老师   张老师、王老师等
开课时间   4月
培训方式   网络课程
授课天次   培训5天+考试半天
上课时间   4月
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

FBI就Prolock勒索软件解密失败发布安全通告

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2020-05-21  关键词:FBI,Prolock勒索软件

勒索软件行业的多家公司认为,新冠病毒大流行是关注本已不堪重负的医疗行业的绝佳机会。ProLock是对列表的另一个威胁。

联邦调查局‌本月初发出闪光警报提醒组织新威胁的演员,在美国说,它的目标包括实体在以下领域:医疗、政府、金融、零售。

Decryptor故障

联邦调查局不鼓励向任何勒索软件行为人的要求屈服。这样做只会增加他们继续进行这种攻击的信心。

使用ProLock,解密器不能正常工作,数据将丢失。大于64MB的文件在解密过程中可能会损坏。

对于超过100MB的文件,每1KB可能会丢失1个字节的完整性,可能需要进行额外的工作才能使解密器正常工作。这个问题会增加组织的停机时间,即使他们同意参与者的要求。

这款恶意软件于2019年末以PwndLocker的名字出现,但因其针对企业和地方政府,并根据泄露网络的规模调整赎金要求而闻名。

在修复了一个允许免费解密的漏洞之后,PwndLocker在3月份以ProLocker的身份出现,它的活动开始升级。

进入网络

作为网络安全公司Group-IB‌在最近的一份报告中指出,ProLock与QakBot合作银行木马获取访问受害者的网络;这可能促成了勒索软件的提升。

该木马不安装这个勒索软件家族,但运行一套脚本,让其运营商在受害网络,使他们可以映射它和横向移动。有效负载从名为WinMgr的BMP或JPG文件中提取,并加载到内存中。

FBI,Prolock勒索软件

和其他勒索软件运营商一样,ProLock花了一些时间在受害者网络上寻找高价值的系统和重要数据来窃取。使用Rclone(用于与各种云存储服务同步的命令行工具)提取信息。

加密后的赎金要求伴随着威胁,受害者的数据将被发布在公共网站和社交媒体上,除非收到解密付款。

其他方法包括配置错误的远程桌面协议(RDP)。对于具有单因素身份验证的网络,参与者使用窃取的登录。

一旦进入,ProLock操作人员就会确保他们在不付费的情况下不留下任何恢复文件的选项。如果找到备份和卷影副本,则删除或加密它们。

 

FBI,Prolock勒索软件

赎金要求在17.5万美元到66万美元之间,ProLock是一个严重的威胁,就像其他更臭名昭著的勒索软件家族,如Maze, Sodinokibi, Ryuk,或LockerGoga,它们被认为是勒索软件行业的最高收入者。

(来源:Ionut Ilascu)



推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000