support

原文标题：TFlower Ransomware - The Latest Attack Targeting Businesses
原文作者： Lawrence Abrams
译文出自：云子可信官方论坛
译者：云子可信汉化组

tflower-header

最近有一款针对企业的最新勒索软件称为TFlower，在攻击者入侵企业公开的远程桌面服务后，将其安装在网络环境中。

勒索软件开发商可以针对企业和政府机构获得了巨额赎金。因此，利用这种高赎金的优势开发新的勒索软件就不足为奇了。

TFlower勒索软件就是这种情况，它是在今年八月初发布的。当时，它被认为是另一种通用勒索软件，但是已经执行了涉及该勒索软件的事件响应的消息人士告诉BleepingComputer，目前它的勒索形式开始有所发展。

通过RDP获得访问

TFlower正在通过暴露的远程桌面服务漏洞安装在公司网络环境中，从而导致远程桌面相关的服务被攻击者入侵。

一旦攻击者获得对计算机的访问权限，他们将感染本地计算机，或者可能尝试通过诸如PowerShell Empire，PSExec等工具遍历网络。

执行后，勒索软件将显示一个控制台，该控制台显示勒索软件在加密计算机时正在执行的活动。

tflower-console

然后，它重新连接到命令和控制服务器，以便进行状态检查，以确定它已开始加密计算机。在BleepingComputer看到的示例之一中，此C2位于被黑的wordpress网站上，并使用以下URL：

[url=https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=start]https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=start[/url]

然后它将尝试清除卷影副本并执行禁用Windows 10修复环境的命令。

1. <font style="background-color:white">vssadmin.exe <font color="rgb(198, 120, 221)">delete</font> shadows /all /quietbcdedit.exe /<font color="rgb(230, 192, 123)">set</font> {<font color="rgb(198, 120, 221)">default</font>} recoveryenabled nobcdedit.exe /<font color="rgb(230, 192, 123)">set</font> {<font color="rgb(198, 120, 221)">default</font>} bootstatuspolicy ignoreallfailuresbcdedit.exe /<font color="rgb(230, 192, 123)">set</font> {current} recoveryenabled nobcdedit.exe /<font color="rgb(230, 192, 123)">set</font> {current} bootstatuspolicy ignoreallfailures</font><div></div>

复制代码

它还会寻找并终止Outlook.exe进程以允许其数据文件打开进行加密。

outlook-termination

然后它将继续加密计算机上的数据，跳过Windows或Sample Music文件夹中的任何文件。

加密文件时，它不会添加扩展名，但会在* tflower 标记之前加上看起来像文件的加密加密密钥，如下所示。

加密的TFlower文件

完成对计算机的加密后，它将以以下形式将另一个状态更新发送给C2：

[url=https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=success%20[encrypted_file_count],%20retry%20[retried_file_count]]https://www.domain.com/wp-includes/wp-merge.php?name=[computer_name]&state=success%20[encrypted_file_count],%20retry%20[retried_file_count][/url]

受害者现在可以 在整个计算机和Windows桌面上找到名为！_Notice _ !. txt的赎金记录。该赎金记录将指示受害者联系flower.harris@protonmail.com或flower.harris@tutanota.com电子邮件 地址以获取付款说明。

TFlower赎金

目前还不知道赎金是多少，但预计不会少，而且这样的恶意程序一般很难破解，中招之后不少企业为了自身利益只能乖乖交钱。

目前还未提供良好的处理这个勒索恶意软件软件的方案，其实为了避免类似远程桌面漏洞为恶意软件造成可乘之机的情况发生，现在完全可以使用第三方软件来实现远程桌面，比如接下来为大家介绍的云子可信远程桌面软件

云子可信远程桌面软件

云子可信终端管理是老牌安全厂商、上市企业——北京启明星辰旗下的正规产品，产品上线前都会经过多项严格test，保证产品安全。同时云子可信远程桌面功能支持企业内网远程和异地外网远程；支持网页端远程和主控客户端远程两种远程桌面方式；可选择远程桌面的模式；远程会话帧率高达 60fps，为您提供最优质的远程桌面体验！

恶意软件预防救星云子可信

云子可信终端管理是启明星辰自主研发的一款安全管理类产品，提供公司内部终端安全管理服务，在企业 IT 终端资产统计、软件管理、上网行为管控、U 盘管控、恶意软件预防等方面提供一系列解决方案。

云子可信恶意软件预防三剑客，杀软检测功能、补丁更新功能和密码检测功能从三个角度牢牢捍卫企业安全防线。
杀毒软件检测功能，可以帮助管理员了解到全网计算机中常见杀毒软件的安装情况、新版本升级情况及病毒库更新情况，从而进行监测，保证计算机信息安全。

补丁更新功能可以帮助管理员了解全网计算机补丁更新的情况，同时可以为计算机批量开启 Windows 自动更新功能。
密码检测功能是指对 Windows 系统的登录密码进行检测，可以帮助管理员了解到全网计算机 Windows 系统登录密码的强度，对于存在弱密码和没有设置登录密码的计算机提供密码修改建议，巩固计算机安全防线。

现在注册云子可信，还可享受1个月500台终端免费试用，和云子可信一起对抗恶意软件，打响反击之战吧！

小达666

云子确定有这个功能 同时可以为计算机批量开启 Windows 自动更新功能。