美国联邦调查局本月提出警告,宣称最近出现的新勒索软件ProLock所提供的解密工具含有bug,它在解密时可能破坏大小超过64MB的文件,若是文件超过100MB,则可能遗失文件的完整性。
网络威胁情报企业Group-IB日前才公布了ProLock的细节,表示这是个今年3月才现身的勒索软件,主要锁定政府机构、金融机构、健康看护机构及零售业,而且要求的赎金通常高达6位数美元,最近一次知名的案例是成功攻陷了自动柜员机(ATM)制造商Diebold Nixdorf。
而FBI则说,他们在今年3月就接获美国许多组织的报告,表示被ProLock感染,涵盖健康看护组织、政府组织、金融机机及零售业等。
根据FBI与Group-IB的分析,ProLock主要的入侵渠道为木马程序QakBot,或是未善加保护的远程桌面访问(RDP)服务器,前则是通过网络钓鱼邮件以进驻目标对象的系统,再下载勒索软件,后者则是暴力破解RDP凭证,或是采用在黑市买来的凭证展开攻击。
此外,ProLock在加密文件之前会先汲取并复制文件,以在受害组织不肯付款时加以威胁。
由于ProLock都是相中大型组织,因此有不少组织选择支付赎金,然而,FBI却发现,黑客所提供的ProLock解密工具不是每次都能正常运行,在解密超过64MB的文件时可能破坏文件,必需要添加程序代码才行。
此外,FBI也强调,他们并不鼓励受害者支付赎金,因为这等于是鼓励黑客继续攻击其它受害者,助长勒索软件的普及,黑客还可能利用这些不法所得来赞助其它的非法活动,而且,就算支付了赎金,也无法保证文件就能成功恢复。