近日，信息安全領域的賽門鐵克公司在調查一個未命名的“大型組織”的攻擊時發現了一種新的且仍在開發的勒索軟件，以yanluowang作為加密擴展名，正在大肆攻擊知名企業。基于它的擴展在受威脅的系統上增加了加密文件。

調查顯示，它是最近在調查一起涉及高調組織的事件時發現的，該事件是在檢測到涉及合法AdFind命令行ActiveDirectory查詢工具的可疑活動后發現的。

[[429551]]

警告受害人不要求助

在研究人員發現可疑的AdFind使用數天之內，攻擊者還試圖在被攻破的組織的系統中部署他們的Yanlowang Ransomware有效載荷。在部署到受威脅的設備上之前，Ransomware操作員會啟動一個惡意工具，用于執行以下操作：

• 創建一個.txt文件，其中包含要簽入命令行的遠程計算機數量
• 使用Windows管理工具(WMI)獲取在.txt文件中列出的遠程計算機上運行 的進程列表
• 將所有進程和遠程機器名稱記錄到processes.txt

賽門鐵克說，它還記錄所有進程和遠程機器名稱。然后在部署之后，Yanlowang將停止虛擬機管理程序，結束前體工具(包括SQL和Veeam)獲取的所有進程，加密文件并追加.yanlowang擴展名。在加密系統中，Yanlowang還拋出了一張名為README.txt的贖金通知，警告受害者不要向執法部門伸出援手，也不要向任何勒索軟件談判公司求助。

DDoS攻擊的威脅

賽門鐵克研究人員補充說：“如果攻擊者的規則遭到破壞，他們將對受害者進行分布式拒絕服務 (DDoS) 攻擊，并向員工和業務合作伙伴打電話。犯罪分子還威脅要在“幾周內”重復攻擊并刪除受害者的數據，這是大多數贖金團伙用來迫使受害者支付贖金的常見手段。”

“雖然yanluowang勒索軟件似乎仍在開發中，但絕對不能低估。贖金軟件是世界范圍內各組織面臨的最大威脅之一，yanluowang仍然是危險的惡意軟件。

根據NCC Group 的最新數據，勒索軟件攻擊的數量在 2021 年第一季度和第二季度之間激增了 288% 。