Baltimore Still Reeling From Ransomware Attack

巴尔的摩市仍在处理5月7日发生的勒索软件攻击的后果。警方，消防和紧急服务不受恶意软件的影响，但几乎所有其他服务都被中断或下线以防止进一步的损害。恢复受影响的网络已被证明是一项具有挑战性的任务，在违规行为发生两周后，许多系统仍无法使用。事实上，巴尔的摩新任市长伯纳德"杰克杨"于5月17日发表声明称，部分恢复该城市的在线功能可能需要数周时间，而对于一些更为复杂的系统而言可能需要数月时间。声明还透露，领先的网络安全专家已经参与并正在与市政官员合作。

与此同时，居民和城市工作人员都在忙着寻找变通方法，而水费和其他城市费用如停车票不能在网上处理。由于网络问题，所有房地产购买也被搁置。城市和县城客户的滞纳金费用随后被暂停，同时5月20日实施了房地产交易的手工解决方案。

这不是巴尔的摩第一次成为勒索软件攻击的受害者。在2018年，该城市的911系统在攻击者利用由通信网络维护引起的防火墙改变后被取消。

文件使用RobbinHood Ransomware加密

巴尔的摩首席信息官弗兰克约翰逊证实，这些系统的破坏是由RobbinHood Ransomware的新变种引起的。在安全研究人员Vitaly Kremez设法对RobbingHood样本进行逆向工程之前，很少有关于这种特定勒索软件如何运作的细节 。根据他的调查结果，勒索软件无法通过渗透网络传播自己。相反，RobbinHood通过命令" cmd.exe / c net use * / DELETE / Y "断开计算机系统上的所有网络共享，这使得Kremez得出结论，勒索软件最有可能通过单独推送到每台受感染的计算机上域控制器或PsExec等框架。

此外，当RobbinHood Ransomware启动时，它会尝试关闭181个可能阻止加密目标文件类型的Windows进程。其中包括数据库，邮件服务器，防病毒程序，备份代理以及其他可能破坏恶意软件操作的软件。在加密过程中，机器上会删除包含勒索信息的几个不同文件。犯罪分子要求为每台受感染的计算机支付3比特币，或者为每个受影响的系统解密，价值约10万美元的13比特币。巴尔的摩官员表示，他们不会向犯罪分子付款。