Yanluowang Ransomware

信息安全研究人员发现了一种新的高度针对性的攻击行动，它部署了一种前所未有的勒索软件威胁。威胁行动的目标尚未披露，但被描述为一个著名的大型组织。这个威胁被命名为 Yanluowang Ransomware，以它用来标记它加密的文件的扩展名命名。它具有扩展的功能列表，但根据网络安全专家的调查结果，Yanluowang Ransomware 仍处于发展阶段，未来可能会变得更具威胁性。

准备环境

在勒索软件传送到受感染系统之前，攻击者会利用名为 AdFind 的合法命令行 Active Directory 查询工具。这种特殊的工具经常被网络犯罪分子滥用，作为在被破坏的网络中横向移动的一种方式。

燕洛网攻击的下一步是准备受感染计算机的环境。黑客部署了一个专门的工具来执行三个主要任务。首先，它创建一个文本文件，其中包含要通过命令行检查的远程机器的数量。然后，它使用合法的 Window Management Instrumentation (WMI) 来获取在文本文件中列出的系统上运行的所有进程的列表。最后，它将所有进程与远程机器的名称一起存储在“processes.txt”文件中。

烟洛网勒索软件的功能

勒索软件威胁具有此类威胁所期望的所有典型有害功能。它启动加密过程，使用强大的算法锁定受感染系统上的文件。每个锁定的文件都会在其原始名称后附加“.yanluowang”。但是，在开始加密之前，威胁会执行两个准备操作。如果所有管理程序虚拟机在受感染的计算机上运行，勒索软件威胁会终止这些虚拟机。然后查看“processes.txt”文件并终止其中列出的所有进程，包括 SQL 和备份和数据保护解决方案 Veeam。威胁执行的最后一步是向受害者提供带有说明的赎金。

赎金票据的详细信息

该说明显示，黑客并不满足于简单地锁定受害者的文件并勒索金钱以进行潜在的恢复。如果他们的要求没有得到满足，网络犯罪分子表示他们准备对受害者发起 DDoS（分布式拒绝服务）攻击，将开始呼叫该实体的员工和业务合作伙伴，最后，将在几周内进行另一次攻击删除所有受害者的数据。此外，烟洛网勒索软件说明声称已经收集了大量私人数据。