天创培训:您身边的信息安全培训专家!
行业动态
FBI就Prolock勒索软件解密失败发布安全通告

勒索软件行业的多家公司认为,新冠病毒大流行是关注本已不堪重负的医疗行业的绝佳机会。ProLock是对列表的另一个威胁。

联邦调查局‌本月初发出闪光警报提醒组织新威胁的演员,在美国说,它的目标包括实体在以下领域:医疗、政府、金融、零售。

Decryptor故障

联邦调查局不鼓励向任何勒索软件行为人的要求屈服。这样做只会增加他们继续进行这种攻击的信心。

使用ProLock,解密器不能正常工作,数据将丢失。大于64MB的文件在解密过程中可能会损坏。

对于超过100MB的文件,每1KB可能会丢失1个字节的完整性,可能需要进行额外的工作才能使解密器正常工作。这个问题会增加组织的停机时间,即使他们同意参与者的要求。

这款恶意软件于2019年末以PwndLocker的名字出现,但因其针对企业和地方政府,并根据泄露网络的规模调整赎金要求而闻名。

在修复了一个允许免费解密的漏洞之后,PwndLocker在3月份以ProLocker的身份出现,它的活动开始升级。

进入网络

作为网络安全公司Group-IB‌在最近的一份报告中指出,ProLock与QakBot合作银行木马获取访问受害者的网络;这可能促成了勒索软件的提升。

该木马不安装这个勒索软件家族,但运行一套脚本,让其运营商在受害网络,使他们可以映射它和横向移动。有效负载从名为WinMgr的BMP或JPG文件中提取,并加载到内存中。

FBI,Prolock勒索软件

和其他勒索软件运营商一样,ProLock花了一些时间在受害者网络上寻找高价值的系统和重要数据来窃取。使用Rclone(用于与各种云存储服务同步的命令行工具)提取信息。

加密后的赎金要求伴随着威胁,受害者的数据将被发布在公共网站和社交媒体上,除非收到解密付款。

其他方法包括配置错误的远程桌面协议(RDP)。对于具有单因素身份验证的网络,参与者使用窃取的登录。

一旦进入,ProLock操作人员就会确保他们在不付费的情况下不留下任何恢复文件的选项。如果找到备份和卷影副本,则删除或加密它们。

 

FBI,Prolock勒索软件

赎金要求在17.5万美元到66万美元之间,ProLock是一个严重的威胁,就像其他更臭名昭著的勒索软件家族,如Maze, Sodinokibi, Ryuk,或LockerGoga,它们被认为是勒索软件行业的最高收入者。

(来源:Ionut Ilascu)