Согласно сообщению Bleeping Computer, активность шифровальщика TFlower, ориентированного на корпоративные сети, начала набирать обороты. Зловред объявился в конце июля и устанавливается в систему после хакерской атаки, нацеленной на получение доступа к службе удаленного рабочего стола.

В настоящее время TFlower раздается жертвам в виде файла chilli.exe и шифрует данные, используя алгоритм AES в режиме CBC. Он также умеет удалять теневые копии Windows, отключать средства восстановления Windows 10 и принудительно завершать процесс Outlook.exe, чтобы добраться до его файлов.

Процесс шифрования зловред отображает в консоли; а приступив к выполнению этой задачи, он соединяется с центром управления и обновляет свой статус. Отыскивая и преобразуя файлы жертвы, TFlower обходит стороной папки Windows и «Образцы музыки» (расположение — C:\Users\Public\Public Music\Sample Music).

Своего расширения для зашифрованных файлов у новобранца нет, он лишь добавляет в них маркер *tflower и ключ шифрования. Закончив свою работу, зловред рапортует об этом на C&C-сервер, а на зараженной машине появляются сообщения с требованием выкупа !_Notice_!.txt — во всех папках с измененными файлами и на рабочем столе. Для получения инструкций по восстановлению файлов вымогатели предлагают связаться с ними по электронной почте, используя адрес @protonmail.com или @tutanota.com.

Когда TFlower дебютировал, его повелители взимали 15 биткойнов за ключ расшифровки. С конца августа они перестали указывать размер выкупа в своих сообщениях. Вернуть файлы без уплаты выкупа в настоящее время невозможно: аналитики изучают вредоносный код, но уязвимостей в системе шифрования пока не обнаружили.

Доступные из Интернета RDP-службы как вектор атаки весьма популярны у распространителей программ-шифровальщиков, нацеленных на корпоративное окружение. Подобный способ заражения использовали SamSam, ScarabeyMatrix, Dharma, а в этом году — Nemty.

Категории: Аналитика, Вредоносные программы