新的 FARGO 勒索軟件分發針對易受攻擊的 Microsoft SQL 服務器

安全分析團隊最近的一份報告 AhnLab 安全應急響應中心 (ASEC) 揭示了一項新的網絡犯罪活動，該活動分發針對易受攻擊的 Microsoft SQL 服務器的 FARGO 勒索軟件。

“與 GlobeImposter 一起，FARGO 是針對易受攻擊的 MS-SQL 服務器的著名勒索軟件之一，”ASEC 說。 “過去，它也被稱為 Mallox，因為它使用文件擴展名 .mallox。”

MS-SQL 服務器指 Microsoft微軟的關係數據庫管理系統，用於存儲和檢索其他軟件應用程序和互聯網服務的數據。 有了這個，對其造成問題可能對企業來說意味著大問題。 

據 ASEC 稱，感染髮生在 MS-SQL 進程通過 cmd.exe 和 powershell.exe 下載 .NET 文件時。 然後，此文件會下載並加載其他惡意軟件，從而生成和執行終止特定進程和服務的 BAT 文件。

“勒索軟件的行為首先是被注入到一個普通的 Windows 程序 AppLaunch.exe 中，”ASEC 解釋說。 “它試圖刪除某個路徑上的註冊表項，並執行恢復停用命令，並關閉某些進程。”

研究人員表示，勒索軟件會加密文件，但會排除其中一些文件，包括路徑和擴展名，以使系統部分可訪問。 “特徵方面是它不會感染具有與 Globeimposter 相關的文件擴展名的文件，並且此排除列表不僅包括 .FARGO .FARGO2 和 .FARGO3 的相同類型的擴展名，還包括 .FARGO4，這被認為是勒索軟件的未來版本，”ASEC 補充道。

在此之後， 網絡罪犯 將使用 .Fargo3 擴展名（例如 OriginalFileName.FileExtension.Fargo3）重命名加密文件，而惡意軟件生成的贖金記錄將使用文件名“RECOVERY FILES.txt”顯示。 在消息中，如果受害者使用第三方軟件自行解決，他們將看到永久刪除系統文件的威脅。 此外，網絡犯罪分子表示，如果受害者拒絕支付贖金，他們將在公共領域發布數據。

除了未修補的漏洞外，ASEC 解釋說，由於帳戶憑據薄弱，MS-SQL 和 MySQL 服務器等數據庫服務器通常是暴力攻擊和字典攻擊的目標。 對此，分析團隊表示，只需解決問題並在保護密碼時格外小心，就可以防止這種情況發生。 “MS-SQL 服務器的管理員應該為他們的賬戶使用難以猜測的密碼，並定期更改密碼，以保護數據庫服務器免受暴力攻擊和字典攻擊，並更新到最新的補丁以防止漏洞攻擊，”ASEC 建議。