勒索软件瞄准制造企业

研究人员称，一种新的勒索软件正在瞄准制造业，以及医疗保健、科技和教育领域。

由Proofpoint的研究人员发现的Defray，到目前为止只在两次攻击中被发现。

这种攻击是通过网络钓鱼邮件附带的Word文档传播的。每个活动只包含几个信息，而诱饵是专门为预定目标制作的。

支出有几个特点，包括:

• 目前，费用是通过电子邮件中的微软Word文档附件传播的
• 这些活动小到只有几条信息
• 这些诱饵是为吸引特定的潜在受害者而定制的
• 收件人是个人或分发列表，例如group@和websupport@
• 地理定位是在英国和美国
• 垂直定位因活动而异，且范围狭窄且有选择性。

携带勒索软件的Microsoft Word文档包含一个嵌入式OLE打包器外壳对象。当受害者打开文档时，恶意软件会被放入%TEMP%文件夹中，然后执行名为taskmgr.exe或explorer.exe的文件。

Defray包含一个硬编码列表，其中包含大约120个需要加密的文件扩展名，不过Proofpoint的安全研究人员表示，该恶意软件也会加密列表之外扩展名的文件(比如。link和。exe)。

研究人员说，勒索软件不会改变加密文件的扩展名。

该威胁通过HTTP(明文)和HTTPS与命令控制服务器通信，发送感染信息。

完成加密过程后，恶意软件禁用启动恢复并删除卷影子副本。在Windows 7上，Defray还将监视和终止正在运行的程序，如任务管理器和浏览器。

为了告知受害者文件发生了什么，勒索软件在“整个系统的许多文件夹”中创建了一个名为files .txt的勒索通知，并在桌面上创建了一个名为HELP.txt的文件(内容相同)。

“赎金通知[…]遵循了最近赎金要求相当高的趋势;在这个例子中，是5000美元。然而，攻击者确实提供了电子邮件地址，以便受害者可以协商较小的赎金或提出问题，甚至推荐BitMessage作为获得更及时响应的替代方案。与此同时，他们还建议组织保持离线备份，以防止未来的感染。”

到目前为止，该恶意软件仅在两次不同的攻击中被观察到，一次是在8月15日针对制造业和技术，另一次是在8月22日针对医疗保健和教育。

格雷戈里·黑尔是《工业安全与保安资源》(ISSSource.com)是一个新闻及资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com。ISSSource是CFE Media的内容合作伙伴。Chris Vavra编辑，CFE Media制作编辑，cvavra@cfemedia.com。

在线额外

参见下面链接的ISSSource的相关故事。

原创内容可在www.isssource.com。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。