微软SQL服务器遭黑客入侵,所有文件都被加密
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
微软SQL服务器遭到攻击,入侵者利用帐户凭据暴力攻击服务器,安装了CLR Shell、dropper和Trigona勒索软件,加密了所有文件并禁用了系统恢复和删除操作。勒索软件只接受门罗币加密货币,团伙多次发起攻击。
🎯
关键要点
- 微软SQL服务器因安全性差遭到攻击,入侵者利用易猜的帐户凭据进行暴力攻击。
- 攻击者安装了CLR Shell恶意软件,收集系统信息并更改帐户配置。
- CLR Shell可利用Windows辅助登录服务的漏洞进行特权升级,需启动勒索软件。
- 入侵者随后安装恶意软件dropper,启动Trigona勒索软件并配置其二进制文件。
- Trigona勒索软件禁用系统恢复和删除操作,要求赎金才能恢复系统。
- Trigona勒索软件仅接受门罗币作为赎金,且会加密所有文件,重命名为“._locked”。
- 勒索软件在加密文件中嵌入解密密钥、活动ID和受害者ID,并声称窃取敏感文件。
- 每个文件夹中会创建名为“how_to_decrypt”的赎金笔记,包含访问Trigona Tor网站的信息。
- 自2023年初以来,Trigona勒索软件团伙已发起至少190起攻击事件。
➡️
