按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

Microsoft對新型勒索病毒PonyFinal提出警告,應立即部署防護措施

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-29
  • 點閱次數:785
Microsoft對新型勒索病毒PonyFinal提出警告,應立即部署防護措施 TWCERT/CC

Microsoft針對近兩個月氾濫之勒索病毒PonyFinal,提出嚴正警告,企業及組織都應立即部署相關防護措施,避免成為新型勒索病毒的受害者。

根據Microsoft的安全團隊於Twitter中一系列的貼文,近兩個月內,有一款名為PonyFinal的基於Java之新Human-Operated勒索病毒逐漸氾濫。此勒索病毒主要是倚靠人為攻擊者突破企業的網路,並且搜集企業系統及主機的資訊後,針對個別主機之架構或環境,進行最有效率的勒索病毒感染及配置。此種模式導致受害主機除了會遭受勒索之外,更可能有其他惡意程式或機敏資料外洩的威脅,並且透過長時間的隱藏和觀察,可在最佳的時間點感染受害主機後進行惡意行為。

為達到針對企業散播勒索病毒之目標,攻擊者會透過對目標企業伺服器以暴力破解方式,取得存取權限,並且於伺服器中部署一個Visual Basic腳本,運行後竊取其中的資料。此外,該病毒更部署了遠程控制系統(Remote Manipulator System),以避開系統日誌(Log)的紀錄,以及清除相關事件日誌,減少被追查的風險。而此勒索病毒由於是以Java進行編寫,因此會透過竊取的資訊或觀察等方式,針對有安裝Java Runtime Environment (JRE)的主機進行攻擊,然而,微軟卻也有偵測到鮮少的狀況下,會替目標主機安裝JRE後,再進行勒索病毒的部署和執行。

此攻擊會先藉由植入一包括兩個批次檔與一勒索病毒的MSI檔,並在特定日期及特定時間對目標檔案進行加密。首先透過第一個批次檔UVNC_Install.bat產生工作排程來執行第二個批次檔RunTask.bat。此檔案會進一步執行PonyFinal勒索軟體,並將加密檔案加入.enc的副檔名,並且會產生一名為README_files.txt的文字檔案,裡面主要是說明如何支付贖金及相關訊息,要求受害者支付300比特幣。一旦攻擊者收到款項後,會立即傳送金鑰給受害者進行解密。並且由於該勒索病毒較為新興且使用足夠強的加密方式,截至截稿為止,都尚未有針對PonyFinal的解密程式可解除勒索病毒的威脅。

勒索軟體識別網站ID-Ransomware表示,PonyFinal最早是於2020年初首次被發現,截至目前的受害者不多,代表攻擊者應是有慎選攻擊目標後,才進行後續惡意行為。並且根據上傳PonyFinal樣本使用者的分析,顯示目前主要受害者的地理位置均位於印度、伊朗以及美國。

回頁首