Yanluowang Ransomware

信息安全研究人員發現了一種新的高度針對性的攻擊行動，它部署了一種前所未有的勒索軟件威脅。威脅行動的目標尚未披露，但被描述為一個著名的大型組織。這個威脅被命名為 Yanluowang Ransomware，以它用來標記它加密的文件的擴展名命名。它具有擴展的功能列表，但根據網絡安全專家的調查結果，Yanluowang Ransomware 仍處於發展階段，未來可能會變得更具威脅性。

準備環境

在勒索軟件傳送到受感染系統之前，攻擊者利用名為 AdFind 的合法命令行 Active Directory 查詢工具。這種特殊的工具經常被網絡犯罪分子濫用，作為在被破壞的網絡中橫向移動的一種方式。

燕洛網攻擊的下一步是準備受感染計算機的環境。黑客部署了一個專門的工具來執行三個主要任務。首先，它創建一個文本文件，其中包含要通過命令行檢查的遠程機器的數量。然後，它使用合法的 Window Management Instrumentation (WMI) 來獲取在文本文件中列出的系統上運行的所有進程的列表。最後，它將所有進程與遠程機器的名稱一起存儲在“processes.txt”文件中。

煙洛網勒索軟件的功能

勒索軟件威脅具有此類威脅所期望的所有典型有害功能。它啟動加密過程，使用強大的算法鎖定受感染系統上的文件。每個鎖定的文件都會在其原始名稱後附加“.yanluowang”。但是，在開始加密之前，威脅會執行兩個準備操作。如果所有管理程序虛擬機在受感染的計算機上運行，勒索軟件威脅會終止這些虛擬機。然後查看“processes.txt”文件並終止其中列出的所有進程，包括 SQL 和備份和數據保護解決方案 Veeam。威脅執行的最後一步是向受害者提供帶有說明的贖金。

贖金票據的詳細信息

該說明顯示，黑客並不滿足於簡單地鎖定受害者的文件並勒索金錢以進行潛在的恢復。如果他們的要求沒有得到滿足，網絡犯罪分子表示他們準備對受害者發起 DDoS（分佈式拒絕服務）攻擊，將開始呼叫該實體的員工和業務合作夥伴，最後，將在幾週內進行另一次攻擊刪除所有受害者的數據。此外，煙洛網勒索軟件說明聲稱已經收集了大量私人數據。