引言
研究人员发现了一种名为Yanluowang的勒索软件家族,该勒索软件被用于针对大型企业发起攻击。攻击者在部署Yanluowang勒索软件之后,将停止管理程序虚拟机,结束由前驱工具(包括 SQL 和 Veeam)收集的所有进程,加密文件并附加 .yanluowang 扩展名。
简况
研究人员首先在受害者组织网络上发现了AdFind的可疑使用,AdFind是一种合法的命令行 Active Directory 查询工具,经常被勒索软件攻击者用作侦察工具,并为攻击者提供通过Active Directory进行横向移动所需的资源。几天后,攻击者试图部署Yanluowang勒索软件。
在部署Yanluowang勒索软件之前,攻击者会执行以下操作准备环境:
创建一个 .txt 文件,其中包含要在命令行中检查的远程机器数
使用 Windows Management Instrumentation (WMI) 获取在 .txt 文件中列出的远程计算机上运行的进程列表
将所有进程和远程机器名称记录到 processes.txt
随后部署Yanluowang勒索软件并执行以下操作:
停止运行的所有管理程序虚拟机
结束 processes.txt 中列出的进程,包括 SQL 和备份解决方案 Veeam
加密受感染计算机上的文件,并为每个文件附加 .yanluowang 扩展名
在受感染的计算机上放置名为 README.txt 的赎金记录
Yanluowang发出的赎金通知警告受害者不要联系执法部门或勒索软件谈判公司。如果受害者不遵守规则,勒索软件运营商表示他们将对受害者进行分布式拒绝服务 (DDoS) 攻击,并将致电受害者的员工和业务合作伙伴。犯罪分子还威胁要在几周内重复攻击并删除受害者的数据。Yanluowang发出的赎金通知如下:
总结
尽管Yanluowang恶意软件目前仍在开发中,但鉴于勒索软件是全球组织面临的最大威胁之一,Yanluowang仍然是非常危险的恶意软件。
