Baltimore Still Reeling From Ransomware Attack

巴爾的摩市仍在處理5月7日發生的勒索軟件攻擊的後果。警方，消防和緊急服務不受惡意軟件的影響，但幾乎所有其他服務都被中斷或下線以防止進一步的損害。恢復受影響的網絡已被證明是一項具有挑戰性的任務，在違規行為發生兩週後，許多系統仍無法使用。事實上，巴爾的摩新任市長伯納德"傑克楊"於5月17日發表聲明稱，部分恢復該城市的在線功能可能需要數週時間，而對於一些更為複雜的系統而言可能需要數月時間。聲明還透露，領先的網絡安全專家已經參與並正在與市政官員合作。

與此同時，居民和城市工作人員都在忙著尋找變通方法，而水費和其他城市費用如停車票不能在網上處理。由於網絡問題，所有房地產購買也被擱置。城市和縣城客戶的滯納金費用隨後被暫停，同時5月20日實施了房地產交易的手工解決方案。

這不是巴爾的摩第一次成為勒索軟件攻擊的受害者。在2018年，該城市的911系統在攻擊者利用由通信網絡維護引起的防火牆改變後被取消。

文件使用RobbinHood Ransomware加密

巴爾的摩首席信息官弗蘭克約翰遜證實，這些系統的破壞是由RobbinHood Ransomware的新變種引起的。在安全研究人員Vitaly Kremez設法對RobbingHood樣本進行逆向工程之前，很少有關於這種特定勒索軟件如何運作的細節 。根據他的調查結果，勒索軟件無法通過滲透網絡傳播自己。相反，RobbinHood通過命令" cmd.exe / c net use * / DELETE / Y "斷開計算機系統上的所有網絡共享，這使得Kremez得出結論，勒索軟件最有可能通過單獨推送到每台受感染的計算機上域控制器或PsExec等框架。

此外，當RobbinHood Ransomware啟動時，它會嘗試關閉181個可能阻止加密目標文件類型的Windows進程。其中包括數據庫，郵件服務器，防病毒程序，備份代理以及其他可能破壞惡意軟件操作的軟件。在加密過程中，機器上會刪除包含勒索信息的幾個不同文件。犯罪分子要求為每台受感染的計算機支付3比特幣，或者為每個受影響的系統解密，價值約10萬美元的13比特幣。巴爾的摩官員表示，他們不會向犯罪分子付款。