新的 FARGO 勒索软件分发针对易受攻击的 Microsoft SQL 服务器

安全分析团队最近的一份报告 AhnLab 安全应急响应中心 (ASEC) 揭示了一项新的网络犯罪活动，该活动分发针对易受攻击的 Microsoft SQL 服务器的 FARGO 勒索软件。

“与 GlobeImposter 一起，FARGO 是针对易受攻击的 MS-SQL 服务器的著名勒索软件之一，”ASEC 说。 “过去，它也被称为 Mallox，因为它使用文件扩展名 .mallox。”

MS-SQL 服务器指 微软的关系数据库管理系统，用于存储和检索其他软件应用程序和互联网服务的数据。 有了这个，对其造成问题可能对企业来说意味着大问题。 

据 ASEC 称，感染发生在 MS-SQL 进程通过 cmd.exe 和 powershell.exe 下载 .NET 文件时。 然后，此文件会下载并加载其他恶意软件，从而生成和执行终止特定进程和服务的 BAT 文件。

“勒索软件的行为首先是被注入到一个普通的 Windows 程序 AppLaunch.exe 中，”ASEC 解释说。 “它试图删除某个路径上的注册表项，并执行恢复停用命令，并关闭某些进程。”

研究人员表示，勒索软件会加密文件，但会排除其中一些文件，包括路径和扩展名，以使系统部分可访问。 “特征方面是它不会感染具有与 Globeimposter 相关的文件扩展名的文件，并且此排除列表不仅包括 .FARGO .FARGO2 和 .FARGO3 的相同类型的扩展名，还包括 .FARGO4，这被认为是勒索软件的未来版本，”ASEC 补充道。

在此之后， 网络罪犯 将使用 .Fargo3 扩展名（例如 OriginalFileName.FileExtension.Fargo3）重命名加密文件，而恶意软件生成的赎金记录将使用文件名“RECOVERY FILES.txt”显示。 在消息中，如果受害者使用第三方软件自行解决，他们将看到永久删除系统文件的威胁。 此外，网络犯罪分子表示，如果受害者拒绝支付赎金，他们将在公共领域发布数据。

除了未修补的漏洞外，ASEC 解释说，由于帐户凭据薄弱，MS-SQL 和 MySQL 服务器等数据库服务器通常是暴力攻击和字典攻击的目标。 对此，分析团队表示，只需解决问题并在保护密码时格外小心，就可以防止这种情况发生。 “MS-SQL 服务器的管理员应该为他们的账户使用难以猜测的密码，并定期更改密码，以保护数据库服务器免受暴力攻击和字典攻击，并更新到最新的补丁以防止漏洞攻击，”ASEC 建议。