技術支援
文件
登錄
聯繫我們
駭客使用FARGO勒索軟體瞄準Microsoft SQL伺服器
奧班拉·奧佩耶米
實施期間: 2022年10月 4 日 - TuxCare專家團隊
根據AhbLab安全應急回應中心(ASEC)研究人員的說法,Microsoft SQL伺服器正在成為FARGO勒索軟體的目標。
MS-SQL 伺服器被視為存儲互聯網服務和應用程式數據的資料庫管理系統。
FARGO被認為是最著名的勒索軟體部落之一,它與GlobeImposter一起專注於MS-SQL伺服器,過去被稱為“Mallox”,因為它曾經將“.mallox”擴展名附加到加密檔中。
在感染和執行FARGO期間,研究人員確定勒索軟體感染始於受感染計算機上的MS-SQL進程,該進程使用cmd.exe和powershell.exe下載.NET檔。然後,有效負載獲取其他惡意軟體,包括儲物櫃,並生成並執行 BAT 檔,從而終止特定進程和服務。
之後,勒索軟體有效負載將自身注入AppLaunch.exe,一個合法的Windows進程。它嘗試刪除名為Raccine的開源勒索軟體疫苗的註冊表項。惡意軟體執行恢復停用命令並終止與資料庫相關的進程,以使其內容可用於加密。
FARGO 勒索軟體從加密中排除了一些軟體和目錄。此措施的目的是防止受感染的系統變得完全無法使用。加密中不包括幾個Microsoft Windows系統目錄,啟動檔,Tor瀏覽器,Internet Explorer,使用者自定義和設置,調試日誌檔或縮略圖資料庫。
加密過程完成後,鎖定的檔將重命名為“.Fargo3“擴展名,惡意軟體會生成贖金記錄(”恢復檔.txt“)。
作為一項安全措施,MS SQL伺服器管理員現在必須確保他們使用強大且唯一的密碼來保護他們的系統,重要的是他們通過安裝安全漏洞的最新修復程式來使伺服器保持最新狀態。
這篇文章的來源包括 BleepingComputer上的一篇文章。
