段鐵興

近日據(jù)國(guó)外媒體報(bào)道，微軟安全團(tuán)隊(duì)發(fā)布了一份高危安全預(yù)警，警告全球各地的組織需要開始部署保護(hù)措施，以防止近期開始流行的新型勒索軟件———PonyFinal。

微軟在發(fā)布的一系列推文中表示，PonyFinal是一種基于Java的勒索軟件，已開始被黑客們部署在人工勒索軟件攻擊中。據(jù)了解，人工勒索軟件是勒索軟件類別的一個(gè)子部分，在人為操作的勒索軟件攻擊中，黑客可以在破壞公司網(wǎng)絡(luò)的同時(shí)，開始自行部署勒索軟件。

這與過去出現(xiàn)的經(jīng)典勒索軟件攻擊方式相反，例如傳統(tǒng)的勒索軟件是通過電子垃圾郵件或工具包來分發(fā)勒索軟件，這些過程的感染主要依賴于欺騙用戶啟動(dòng)有效負(fù)載。

但是，PonyFinal的運(yùn)作方式并不是這樣的，它的入侵點(diǎn)通常是公司系統(tǒng)管理服務(wù)器上的一個(gè)帳戶，PonyFinal的黑客們使用猜測(cè)弱密碼的暴力攻擊來破壞該帳戶。一旦黑客進(jìn)入內(nèi)部系統(tǒng)后，他們會(huì)部署Visual Basic腳本，該腳本會(huì)運(yùn)行PowerShell反向外殼程序以轉(zhuǎn)儲(chǔ)和竊取本地?cái)?shù)據(jù)。

此外，PonyFinal勒索軟件還會(huì)部署遠(yuǎn)程操縱器系統(tǒng)以繞過事件日志記錄。一旦PonyFinal的黑客們牢牢地掌握了目標(biāo)網(wǎng)絡(luò)，他們便會(huì)傳播到其他本地系統(tǒng)并部署實(shí)際的PonyFinal勒索軟件。

對(duì)此，微軟表示，在大多數(shù)情況下PonyFinal的黑客們部署Visual Basic腳本，是由于PonyFinal是用Java語(yǔ)言編寫，因此攻擊者還會(huì)將目標(biāo)鎖定在安裝了Java Runtime Environment（JRE）的工作站上。

微軟還表示，使用PonyFinal勒索軟件加密的文件通常會(huì)在每個(gè)加密文件的末尾添加一個(gè).enc文件擴(kuò)展名。而贖金記錄通常名為README_files.txt，會(huì)包含贖金付款說明的簡(jiǎn)單文本文件。

目前，印度、伊朗和美國(guó)已經(jīng)出現(xiàn)了該勒索軟件的受害者。據(jù)悉，根據(jù)勒索軟件識(shí)別門戶網(wǎng)站ID-Ransomware的2位專家Michael Gillespie和Malware Hunter Team的說法，PonyFinal勒索軟件是于2020年初首次出現(xiàn)的。Emsisoft惡意軟件研究員Gillespie表示，對(duì)所有在ID-Ransomware網(wǎng)站上傳的樣本進(jìn)行識(shí)別分析后發(fā)現(xiàn)，目前主要受害者位于印度、伊朗和美國(guó)。

最后，微軟表示，PonyFinal勒索軟件應(yīng)該是在冠狀病毒（COVID-19）大流行期間反復(fù)針對(duì)醫(yī)療保健部門的幾種人為操作的勒索軟件毒株之一。微軟發(fā)布的同類別勒索軟件列表還包括RobbinHood，NetWalker，REvil（Sodinokibi），Paradise，RagnarLocker，MedusaLocker，LockBit和迷宮。