注意力!新发现的勒索病毒横扫大牌企业,利用烟洛网作为加密后缀,对知名企业大肆攻击。基于它的扩展在受感染的系统上添加加密文件。调查显示,在检测到涉及合法AdFind命令行ActiveDirectory查询工具的可疑活动后,最近在调查涉及知名组织的事件时发现了它。受害者警告不要寻求帮助在研究人员发现AdFind的可疑使用后几天内,攻击者还试图在受感染组织的系统中部署他们的YanlowangRansomware有效负载。在部署到受感染的设备之前,勒索软件操作员会启动一个恶意工具,该工具会执行以下操作:创建一个包含远程计算机数量的.txt文件,以使用WindowsManagementInstrumentation(WMI)签入命令行远程运行的进程列表.txt文件中列出的计算机将所有进程和远程机器名称记录到processes.txt赛门铁克表示它还会记录所有进程和远程机器名称。然后在部署之后,Yanlowang会停止hypervisor,结束前驱工具(包括SQL和Veeam)获取的所有进程,加密文件并附加.yanlowang扩展名。在加密系统中,Yanlowang还放置了一个名为README.txt的勒索字条,警告受害者不要联系执法部门或任何勒索软件谈判公司。DDoS攻击的威胁赛门铁克研究人员补充说:“如果攻击者的规则被破坏,他们将对受害者发起分布式拒绝服务(DDoS)攻击,并致电员工和业务合作伙伴。犯罪分子还威胁要在几周内重复攻击”“并删除受害者的数据,这是大多数勒索团伙用来迫使受害者支付赎金的常用策略。”低估了。勒索软件是全球组织面临的最大威胁之一,而yanluowang仍然是一种危险的恶意软件。根据NCCGroup的最新数据,勒索软件攻击的数量在2021年第一季度和第二季度之间激增了288%。
