近日，微軟安全團(tuán)隊發(fā)布了一份高危安全預(yù)警，警告全球各地的組織都需要開始部署保護(hù)措施，以防止這兩個月來開始流行的新型勒索軟件—PonyFinal。

據(jù)悉，微軟在發(fā)布的一系列推文中表示， PonyFinal是一種基于Java的勒索軟件，已開始被黑客們部署在人工勒索軟件攻擊中。據(jù)了解，人工勒索軟件是勒索軟件類別的一個子部分，在人為操作的勒索軟件攻擊中，黑客可以在破壞公司網(wǎng)絡(luò)的同時開始自行部署勒索軟件。

這與過去出現(xiàn)的經(jīng)典勒索軟件攻擊方式相反，例如傳統(tǒng)的勒索軟件是通過電子垃圾郵件或工具包來分發(fā)勒索軟件，這些過程的感染主要依賴于欺騙用戶啟動有效負(fù)載。

但是，PonyFinal的運(yùn)作方式并不是這樣的，它的入侵點通常是公司系統(tǒng)管理服務(wù)器上的一個帳戶，PonyFinal的黑客們使用猜測弱密碼的暴力攻擊來破壞該帳戶。一旦黑客進(jìn)入內(nèi)部系統(tǒng)后，他們會部署Visual Basic腳本，該腳本會運(yùn)行PowerShell反向外殼程序以轉(zhuǎn)儲和竊取本地數(shù)據(jù)。

此外，PonyFinal勒索軟件還會部署遠(yuǎn)程操縱器系統(tǒng)以繞過事件日志記錄。一旦PonyFinal的黑客們牢牢地掌握了目標(biāo)網(wǎng)絡(luò)，他們便會傳播到其他本地系統(tǒng)并部署實際的PonyFinal勒索軟件。

對此，微軟表示，在大多數(shù)情況下PonyFinal的黑客們部署Visual Basic腳本，是由于PonyFinal是用Java語言編寫，因此攻擊者還會將目標(biāo)鎖定在安裝了Java Runtime Environment（JRE）的工作站上。

微軟還表示，使用PonyFinal勒索軟件加密的文件通常會在每個加密文件的末尾添加一個“ .enc”文件擴(kuò)展名。而贖金記錄通常名為README_files.txt，會包含贖金付款說明的簡單文本文件。

目前，印度、伊朗和美國已經(jīng)出現(xiàn)了該勒索軟件的部分已知受害者。據(jù)悉，根據(jù)勒索軟件識別門戶網(wǎng)站ID- Ransomware 的兩位專家Michael Gillespie和MalwareHunterTeam的說法，PonyFinal勒索軟件是于今年初首次出現(xiàn)的。隨后，Emsisoft惡意軟件研究員Gillespie表示，對所有在ID-Ransomware網(wǎng)站上傳的樣本進(jìn)行識別分析后發(fā)現(xiàn)，目前主要受害者位于印度、伊朗和美國。

微軟表示，PonyFinal勒索軟件應(yīng)該是在冠狀病毒（COVID-19）大流行期間反復(fù)針對醫(yī)療保健部門的幾種人為操作的勒索軟件毒株之一。微軟發(fā)布的同類別勒索軟件列表還包括RobbinHood、NetWalker、迷宮、REvil（Sodinokibi）、Paradise、RagnarLocker、MedusaLocker和LockBit。