PonyFinal勒索軟件正在泛濫

段鐵興

近日據國外媒體報道，微軟安全團隊發(fā)布了一份高危安全預警，警告全球各地的組織需要開始部署保護措施，以防止近期開始流行的新型勒索軟件———PonyFinal。

微軟在發(fā)布的一系列推文中表示，PonyFinal是一種基于Java的勒索軟件，已開始被黑客們部署在人工勒索軟件攻擊中。據了解，人工勒索軟件是勒索軟件類別的一個子部分，在人為操作的勒索軟件攻擊中，黑客可以在破壞公司網絡的同時，開始自行部署勒索軟件。

這與過去出現(xiàn)的經典勒索軟件攻擊方式相反，例如傳統(tǒng)的勒索軟件是通過電子垃圾郵件或工具包來分發(fā)勒索軟件，這些過程的感染主要依賴于欺騙用戶啟動有效負載。

但是，PonyFinal的運作方式并不是這樣的，它的入侵點通常是公司系統(tǒng)管理服務器上的一個帳戶，PonyFinal的黑客們使用猜測弱密碼的暴力攻擊來破壞該帳戶。一旦黑客進入內部系統(tǒng)后，他們會部署Visual Basic腳本，該腳本會運行PowerShell反向外殼程序以轉儲和竊取本地數據。

此外，PonyFinal勒索軟件還會部署遠程操縱器系統(tǒng)以繞過事件日志記錄。一旦PonyFinal的黑客們牢牢地掌握了目標網絡，他們便會傳播到其他本地系統(tǒng)并部署實際的PonyFinal勒索軟件。

對此，微軟表示，在大多數情況下PonyFinal的黑客們部署Visual Basic腳本，是由于PonyFinal是用Java語言編寫，因此攻擊者還會將目標鎖定在安裝了Java Runtime Environment（JRE）的工作站上。

微軟還表示，使用PonyFinal勒索軟件加密的文件通常會在每個加密文件的末尾添加一個.enc文件擴展名。而贖金記錄通常名為README_files.txt，會包含贖金付款說明的簡單文本文件。

目前，印度、伊朗和美國已經出現(xiàn)了該勒索軟件的受害者。據悉，根據勒索軟件識別門戶網站ID-Ransomware的2位專家Michael Gillespie和Malware Hunter Team的說法，PonyFinal勒索軟件是于2020年初首次出現(xiàn)的。Emsisoft惡意軟件研究員Gillespie表示，對所有在ID-Ransomware網站上傳的樣本進行識別分析后發(fā)現(xiàn)，目前主要受害者位于印度、伊朗和美國。

最后，微軟表示，PonyFinal勒索軟件應該是在冠狀病毒（COVID-19）大流行期間反復針對醫(yī)療保健部門的幾種人為操作的勒索軟件毒株之一。微軟發(fā)布的同類別勒索軟件列表還包括RobbinHood，NetWalker，REvil（Sodinokibi），Paradise，RagnarLocker，MedusaLocker，LockBit和迷宮。