微软警告:警惕新型勒索软件 PonyFinal,已现身印度、伊朗和美国
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
今日,微软安全团队发布安全公告警告称,全球组织机构都应当部署新型勒索软件防御措施。该勒索软件被称为 PonyFinal,已现身两个多月。
微软发布多条推文指出,“PonyFinal 是一款基于 Java 的勒索软件,被部署于人为操纵 (human-operated) 的勒索软件攻击中。”人为操纵勒索软件是勒索软件的一个子类,在这种攻击活动中黑客攻陷企业网络并自己部署勒索软件。相比之下,在之前出现的典型勒索软件活动中,如通过垃圾邮件或exploit包分发的勒索软件,感染进程依赖于诱骗用户启动 payload。
PonyFinal 运作原理
微软表示,它正在追踪部署了 PonyFinal 勒索软件的事件。入侵点通常是公司的系统管理服务器上的账户,PonyFinal 使用猜测密码的暴力攻击方式攻陷该账户。
一旦进入受陷账户,微软指出,PonyFinal 团伙部署运行 PowerShell 逆向shell 的 Visual Basic 脚本来转储并窃取本地数据。另外,该勒索软件的操纵人员还部署“远程操纵系统绕过事件日志”。
PonyFinal 团伙在目标网络立足后,会传播到其它本地系统并部署真正的 PonyFinal 勒索软件。在多数情况下,攻击者攻击的是安装 Java 运行时环境 (JRE) 的工作站,原因是 PonyFinal 用 Java 语言编写而成。不过微软指出还发现犯罪团伙在运行勒索软件前在系统上安装 JRE 的实例。
微软指出,被 PonyFinal 勒索软件加密后,每个加密后的文件末尾都有 “.enc” 文件扩展。勒索金留言通常是 README_files.txt,内容一般是包含勒索金指令的简单文本文件。
该勒索软件的加密方式被认为是安全的,且目前不存在能够恢复加密文件的方法或免费解密器。
受害者遍布印度、伊朗和美国
勒索软件识别门户网站 ID-Ransomware 的两名创始人 Michael Gillespie 和 MalwareHunterTeam 指出,PonyFinal 勒索软件在今年早些时候现身,当时受害者较少,这证实之前它被用于仔细遴选的目标攻击活动中。
Emsisoft 公司的恶意软件研究员 Gillespie 表示,在 ID-Ransomware 网站上上传样本的用户按流行度划分位于印度、伊朗和美国。
微软指出,PonyFinal 在新冠肺炎疫情期间曾多次攻击医疗行业,执行类似攻击活动的勒索软件还包括 RobbinHood、NetWalker、Maze、REvil (Sodinokibi)、Paradise、RagnarLocker、MedusaLocker 和LockBit。
推荐阅读
因未交赎金,世界航天巨头机密文档遭勒索软件公开
DHS称美国某天然气管道运营商遭勒索软件攻击
原文链接
https://www.zdnet.com/article/microsoft-warns-about-attacks-with-the-ponyfinal-ransomware/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~
微软警告:警惕新型勒索软件 PonyFinal,已现身印度、伊朗和美国相关推荐
- 伊朗称以色列和美国可能是加油站网络攻击的幕后黑手、新型勒索软件或成为最大的新兴风险|11月1日全球网络安全热点
安全资讯报告 美国TrickBot恶意软件开发者或将面临60年监禁 一名据信是TrickBot恶意软件开发团队成员的俄罗斯国民已被引渡到美国,目前面临可能使他入狱60年的指控. 起诉书称,38岁的Vl ...
- 如何看exe文件源代码_杀进程、删文件...看新型勒索软件RobbinHood如何干掉杀毒软件...
网络安全公司Sophos于近日发文称,该公司旗下研究安全团队日前发现了一种此前从未被公开披露过的勒索软件,并将其命名为"RobbinHood". 文章指出,这种新型勒索软件不仅能够 ...
- 新型勒索软件PYSA浅析
新型勒索软件PYSA浅析 什么是勒索软件PYSA PYSA勒索软件是Mespinoza勒索软件的变种.PYSA代表"Protect Your System Amigo",于2019 ...
- 又来了!针对VMware ESXi的新型勒索软件出现
近日,一种名为"Cheers"的新型勒索软件悄然出现在网络犯罪领域.Cheers是一种基于Linux 的勒索软件,主要针对 VMware ESXi平台,目前已有多家使用VMware ...
- 安天发布措施紧急应对新型勒索软件“wannacry”
安天安全研究与应急处理中心(Antiy CERT)发现,北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪, ...
- 勒索软件可能已被“终极”解决
本文讲的是勒索软件可能已被"终极"解决,Crypto Drop尝试寻找文件被加密的蛛丝马迹 来自福罗里达州立大学和维拉诺瓦大学的研究人员认为可以通过监控其对目标文件的操作来制止恶意 ...
- 新型勒索软件WannaRen风险通告
新型勒索软件WannaRen风险通告 360-CERT [360CERT](javascript:void(0)
- 【更新】解密工具 /密钥公开|新型勒索软件WannaRen风险通告
[更新]解密工具 /密钥公开|新型勒索软件WannaRen风险通告 360-CERT [360CERT](javascript:void(0)
- 黑客入侵微软邮件服务器部署勒索软件、惠普更新打印机漏洞|12月2日全球网络安全热点
安全资讯报告 黑客因通过SIM卡劫持窃取数百万美元的加密货币而被判入狱 美国司法部(DoJ)表示,与名为The Community的国际黑客组织有关联的第六名成员因涉及数百万美元的SIM交换阴谋而被判 ...
最新文章
- 【Data】数据结构之C++程序设计(1)
- 软件外包故事 - 加入团队战斗
- netcore读取json文件_.Net Core如何读取Json配置文件
- 汇编语言 利用栈 将数据逆序存放
- 图像融合亮度一致_博文精选 | 基于深度学习的低光照图像增强方法总结
- myeclipse导入项目报错Target runtime Apache Tomcat v8.0 is not defined
- 开源云操作系统:找到适合自己的应用模式
- 单表mysql分页查询语句怎么写_MySQL单表百万数据记录分页性能优化技巧
- 更换yum源-阿里yum源
- 干货:大米云LAMP使用说明
- k620显卡 unreal_Modo三维建模系统_搜维尔[SouVR.com]—专业虚拟现实、增强现实、智能智造产品和解决方案超市...
- 最重要的事只有一件读后感
- 【集合论】关系闭包 ( 关系闭包求法 | 关系图求闭包 | 关系矩阵求闭包 | 闭包运算与关系性质 | 闭包复合运算 )
- Java多线程学习(吐血超详细总结)
- 完美解决pytorch多线程问题:Cannot re-initialize CUDA in forked subprocess. To use CUDA with multiprocessing
- easyexcel一个单元格导出多张图片等
- “双月”数据集的生成
- 做软件测试适合女生吗?女生软件测试的利弊?
- python 小于号和大于号同时使用
- 萤光云服务器,你值得拥有
热门文章
- update关联其他表批量更新数据-跨数据库-跨服务器Update时关联表条件更新
- 【CentOS 7Shell编程4】,shell中的case判断#180208
- 38..Node.js工具模块---底层的网络通信--Net模块
- PHP memcached memcache 扩展安装
- 当机器人具有自我知觉,并能自适应环境,真的不可怕吗?
- EXT ajax简单实例
- OVS-vsctl的帮助文件的中文版
- ListView使用BaseAdapter与ListView的优化
- [导入]获取表单所有元素的类型或者属性或者是value
- 怎么用bat关闭远程协助计算机,Windows批处理请求远程协助