微软警告:PonyFinal勒索软件泛滥印度、伊朗和美国都已中招抵御最近几个月流行的新型勒索软件——PonyFinal。据悉,微软在一系列推文中表示,PonyFinal是一种基于Java的勒索软件,已经开始被黑客部署在人为的勒索软件攻击中。人工勒索软件是勒索软件类别的一个子部分,其中黑客可以在破坏公司网络的同时开始自行部署勒索软件。这与过去出现的经典勒索软件攻击形成对比,例如通过电子邮件垃圾邮件或工具包进行的传统勒索软件分发,其中感染主要依赖于诱骗用户启动有效载荷。然而,这不是PonyFinal的工作方式。入侵点通常是公司系统管理服务器上的帐户,PonyFinal的黑客使用暴力破解猜测弱密码来破坏帐户。一旦黑客获得了对内部系统的访问权限,他们就会部署一个运行PowerShell反向shell的VisualBasic脚本来转储和窃取本地数据。此外,PonyFinal勒索软件部署了一个远程操纵器系统来绕过事件日志记录。一旦PonyFinal黑客牢牢控制了目标网络,他们就会扩散到其他本地系统并部署实际的PonyFinal勒索软件。对此,微软表示,在大多数情况下,PonyFinal黑客部署的是VisualBasic脚本,因为PonyFinal是用Java语言编写的,因此攻击者也会针对安装了JavaRuntimeEnvironment(JRE)的工作站。微软还表示,使用PonyFinal勒索软件加密的文件通常会在每个加密文件的末尾添加一个“.enc”文件扩展名。另一方面,赎金票据通常命名为README_files.txt,并将包含一个简单的文本文件,其中包含支付赎金的说明。目前,该勒索软件的一些已知受害者已经出现在印度、伊朗和美国。据勒索软件识别门户网站ID-Ransomware的两位专家MichaelGillespie和MalwareHunterTeam称,PonyFinal勒索软件于今年早些时候首次出现。随后,Emsisoft恶意软件研究人员Gillespie表示,在对ID-Ransomware网站上传的所有样本进行识别和分析后,发现主要受害者位于印度、伊朗和美国。最后,微软表示,PonyFinal勒索软件应该是在冠状病毒(COVID-19)大流行期间反复针对医疗保健行业的几种人为操作的勒索软件毒株之一。微软发布的同类别勒索软件还包括RobbinHood、NetWalker、Maze、REvil(Sodinokibi)、Paradise、RagnarLocker、MedusaLocker和LockBit。
