TFlower — еще один вымогатель, использующий RDP - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Все инфопродукты и приватная информация бесплатно
Старый 19.09.2019, 09:10   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 1,865
Member ID: 35426

Репутация: 21
Репутация: 21
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Топикстартер (автор темы) По умолчанию TFlower — еще один вымогатель, использующий RDP

Согласно сообщению Bleeping Computer, активность шифровальщика TFlower, ориентированного на корпоративные сети, начала набирать обороты. Зловред объявился в конце июля и устанавливается в систему после хакерской атаки, нацеленной на получение доступа к службе удаленного рабочего стола.

В настоящее время TFlower раздается жертвам в виде файла chilli.exe и шифрует данные, используя алгоритм AES в режиме CBC. Он также умеет удалять теневые копии Windows, отключать средства восстановления Windows 10 и принудительно завершать процесс Outlook.exe, чтобы добраться до его файлов.

Процесс шифрования зловред отображает в консоли; а приступив к выполнению этой задачи, он соединяется с центром управления и обновляет свой статус. Отыскивая и преобразуя файлы жертвы, TFlower обходит стороной папки Windows и «Образцы музыки» (расположение — C:UsersPublicPublic MusicSample Music).

Своего расширения для зашифрованных файлов у новобранца нет, он лишь добавляет в них маркер *tflower и ключ шифрования. Закончив свою работу, зловред рапортует об этом на C&C-сервер, а на зараженной машине появляются сообщения с требованием выкупа !_Notice_!.txt — во всех папках с измененными файлами и на рабочем столе. Для получения инструкций по восстановлению файлов вымогатели предлагают связаться с ними по электронной почте, используя адрес @protonmail.com или @tutanota.com.

Когда TFlower дебютировал, его повелители взимали 15 биткойнов за ключ расшифровки. С конца августа они перестали указывать размер выкупа в своих сообщениях. Вернуть файлы без уплаты выкупа в настоящее время невозможно: аналитики изучают вредоносный код, но уязвимостей в системе шифрования пока не обнаружили.

Доступные из Интернета RDP-службы как вектор атаки весьма популярны у распространителей программ-шифровальщиков, нацеленных на корпоративное окружение. Подобный способ заражения использовали SamSam, Scarabey,*Matrix, Dharma, а в этом году — Nemty.

Источник: https://threatpost.ru/tflower-ransom...ervices/34129/
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вымогатель Nemty атакует RDP-соединения Proxy-Base-News Новости IT 0 29.08.2019 02:40
Найден вымогатель, шифрующий файлы дистанционно Proxy-Base-News Новости IT 0 17.04.2019 21:30
Вымогатель, распространявший Reveton, получил 6 лет тюрьмы Proxy-Base-News Новости IT 0 12.04.2019 15:30
Вымогатель LockerGoga атакует химическую промышленность в США Proxy-Base-News Новости IT 0 26.03.2019 20:10
В США осужден хакер-вымогатель kronos Новости IT 6 11.12.2013 12:30




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.