根據資安外媒Privacy Affairs,在入侵宏碁印度(Acer India)僅三天後,駭客組織 Desorden表示已經入侵宏碁台灣總部的伺服器,在伺服器上發現儲存了有關其員工和產品資訊的數據,並同時聲稱也已在宏碁馬來西亞和印尼網路上發現了漏洞,就此次入侵事件駭客組織Desorden Group以email聯繫了Privacy Affairs,並表示他們並沒有竊取所有數據,只下載了與宏碁員工有關的詳細資訊。這次網路攻擊主要是想證明,宏碁的全球網路系統很容易就被入侵,另外Desorden聲稱在入侵後,立即通知了宏碁的管理層,隨後宏碁也將受入侵影響的伺服器下線。
據了解,在資料外洩的樣本中顯示了最近在10月14 日的數據,表明所謂的駭攻應該是發生在14日左右的某個時間,被盜的資料包括登錄資訊,位於台灣的伺服器和內部管理面板的密碼等。
這次新的駭客攻擊事件是在上一次Desorden攻擊了宏碁印度之後三天發生的, Desorden 表示經濟動機(financially motivated )是其駭攻原因之一,但目前仍不清楚駭客實際要求多少贖金。
Key Points:
*繼今年3月宏基遭REvil勒索軟體加密並被勒索天價14億台幣後,現被爆其印度子公司被名為”Desorden Group”的駭客組織盜取了60GB的數據
*宏基印度子公司在2012年亦曾遭駭,被盜20,000個用戶憑證
最近有駭客在一個論壇上宣傳出售宏碁超過 60 GB 的數據後,台灣電腦品牌大廠宏碁的一位發言人今天證實,該公司遭遇了今年第二次網攻事件,一個名為 Desorden Group 的駭客組織在RAID論壇 (RAID是過去幾年駭客用來勒索公司和出售被盜數據使用的論壇)上表示,它從宏碁印度(Acer India)伺服器中竊取了超過 60GB 的檔案和數據,其中包括屬於宏碁印度零售商和分銷商的客戶、公司和財務數據以及登錄的詳細資訊。作為證據,Desorden Group 還提供了一段視頻,其中展示了被盜檔案和數據庫、10,000 名客戶的記錄以及 3,000 家印度宏碁分銷商和零售商的被盜憑證。這是繼REvil在3月份的勒索攻擊之後,這家電腦巨頭的系統今年第二次遭到入侵。
宏碁發言人企業傳訊部的 Steven Chung在一封電子郵件中證實了駭攻,並聲明如下:
我們最近檢測到對我們在印度當地售後服務系統的孤立攻擊(isolated attack)。一經發現,我們立即啟動了安全協議並對我們的系統進行了全面掃描。我們正在通知印度所有可能受影響的客戶。該事件已報告給當地執法部門和印度Cert,對我們的運營和業務連續性沒有重大影響。
Desorden Group最近也曾發動過攻擊,在9月23日,Desorden 在嘉里物流馬來西亞分公司ABX Express的伺服器偷取了200GB數據,1500 萬條客戶記錄被盜,數據洩露還涉及ABX Express合作夥伴(Lazada、Shopee 等)
日本科技巨頭Olympus證實,它在周末遭到網攻,迫使其關閉了在美國、加拿大和拉丁美洲(Americas)的 IT 系統。Olympus在其網站上的一份聲明中表示:
*於 10 月 10 日在美洲的 IT 系統檢測到可疑活動,並正在努力解決此問題
*Olympus已暫停受影響的系統;事件對其他地區沒有已知的影響
Olympus沒有透露在潛在的網路安全事件期間,客戶或公司數據是否被存取或被盜,表示調查仍在進行中,也會陸續提供有關此事件的更新。這與Olympus上個月在其歐洲、中東和非洲(EMEA)的IT系統遭到網路攻擊後發表的聲明幾乎相同。上個月,儘管Olympus沒有分享任何關於攻擊者身份的資訊,但據知情人士透露,Olympus的EMEA的IT系統是從勒索軟體攻擊中恢復過來,在受感染的系統上留下了來自 BlackMatter勒索軟體組織的勒索信。
Olympus沒有透露有關襲擊其美洲 IT 系統的攻擊性質的詳細資訊,但眾所周知,勒索軟體組織會在周末和假期進行攻擊以延遲檢測。FBI 和 CISA在 8 月發布的聯合諮詢中表示,他們“觀察到在美國的假期和周末(辦公室通常關閉時)發生的極具影響力的勒索軟體攻擊有所增加。
資安公司Egnyte表示,在短短一個月內像Olympus這樣的科技巨頭的第二次網路攻擊是一個重要的警示:任何大型跨國公司都不應認為自己可以避免於勒索軟體攻擊。
根據資安外媒的ZDNet報導,香港的Fimmick(日崚)成為最新受REvil勒索軟體攻擊的受害者!Fimmick在香港、日本、台灣及中國各地設有辦公室,其客戶包括麥當勞、可口可樂、Shell、華碩等多家知名企業,現時 Fimmick的網站呈現「維護中」的狀態。
根據英國資安公司 X Cyber Group 的執行長Matt Lane 表示,在美國時間的周2,發現 REvil 入侵了 Fimmick 的數據庫,據指Fimmick的數據庫中有來自多個全球品牌的數據,操作REvil勒索軟體的駭客在其揭秘網站Happy Blog中,上傳盜來的數據目錄,名單上有 Cetaphil、麥當勞、可口可樂、Adidas和 Kate Spade、 Acuvue等企業。
對於勒索軟體攻擊者而言,行銷公司具有極高程度的吸引力,由於與其他企業有緊密合作,擁有很多大公司的重要數據,能觸發更多可攻擊的目標,就像攻擊服務提供商一樣,或會觸發骨牌效應,令其他使用受害者服務的企業同受波及,攻擊這兩類公司可讓勒索軟體組織獲得更大的收益。
資安公司 Recorded Future的勒索軟體專家Allan Liska 表示,留意到行銷公司相較容易受到攻擊,尤其是網路釣魚攻擊,因為他們經常接觸不同類型的客戶,並會收到大量帶有附件的電子郵件,而這正正是勒索軟體組織最喜歡的初始接觸受害者的方法,去年至少有其他三間行銷公司(Wieden+Kennedy、MBA Group 和 Empirical Research Partners)受到勒索軟體的攻擊,但Liska 又指,被攻擊的行銷公司的實際數量可能還要更多,但與學校或醫院不同,當行銷公司受到勒索軟體攻擊時,它很少成為頭條新聞。 McAfee 在最近發布的深度威脅研究報告Ransomware’s Increasing Prevalence中指出,REvil勒索軟體是占2021年第二季勒索軟體攻擊的檢測量第1名,總檢測量為73%,第2和3名攻擊最兇的勒索軟體分別是RansomEXX和Ryuk。
REvil以向受害者索取高昂贖金而臭名昭著,當中遭勒索的企業包括:
*日月光集團旗下子Asteelflash Group曾遭勒索2400萬美元
*Acer曾遭勒索5千萬美元
*廣達曾遭勒索5千萬美元
*美國JBS Food承認支付1100 萬美元
*Kaseya被REvil勒索7千萬美元
有關REvil勒索軟體的入侵指標(Indicator of compromise -IOCs):
SHA 1: 29f16c046a344e0d0adfea80d5d7958d6b6b8cfa
SHA1: 9586ebc83a1b6949e08820b46faf72ee5b132bca
SHA1 :45404b862e70a7a1b4db6c73d374b8ac19ddf772
SHA1: 446771415864f4916df33aad1aa7e42fa104adee
SHA 256: ea1872b2835128e3cb49a0bc27e4727ca33c4e6eba1e80422db19b505f965bc4
SHA 256 : d6762eff16452434ac1acc127f082906cc1ae5b0ff026d0d4fe725711db47763
SHA 256:
796800face046765bd79f267c56a6c93ee2800b76d7f38ad96e5acb92599fcd4
SHA 256:
3d375d0ead2b63168de86ca2649360d9dcff75b3e0ffa2cf1e50816ec92b3b7d
MD5:395249d3e6dae1caff6b5b2e1f75bacd
MD5: ab3229656f73505a3c53f7d2e95efd0e
MD5: 96a157e4c0bef22e0cea1299f88d4745
號稱史上加密速度最快的勒索軟體LockBit2.0又來襲,新北市某上市工程公司遭其毒手, 10月6日竣盟科技在LockBit2.0的揭秘網站上,發現某工程公司的資料,據了解,LockBit2.0在10月3日發布有關該公司的受害者頁面,並聲稱會在10月9日公開盜來的數據,但目前仍沒看到任何疑似外洩的檔案作為攻擊的證據,也不知道LockBit2.0獲取了多少數據和要求的勒索贖金額,另外,目前也尚不清楚LockBit2.0是如何入侵該公司以及安全漏洞是何時發生,該公司在近期發布之重大訊息中並也沒有包含任何資安事件。
與其他操作勒索軟體組織一樣,LockBit 2.0 實施了把勒索軟體當成一種服務販售的運作方式,也就是勒索軟體即服務(Ransomware-as-a-Service;RaaS),同時也會招募會員(Affiliate)並維護會員的網路。 LockBit勒索軟體自2019年9月始一直活躍,直到2021 年 6 月宣布推出LockBit 2.0 RaaS計劃。LockBit對外表示,會員只需要對核心伺服器建立存取,其餘的工作全由LockBit 2.0一手包辦。
另外,根據外媒的報導,LockBit2.0最近的受害者名單包括以色列航空與國防公司 EMIT Aviation Consulting Ltd、 Riviana、Wormington & Bollinger、Anaasia Group、Vlastuin Group、SCIS Air Security、Peabody Properties、DATA SPEED SRL、Island Independent Buying Group、Day Lewis、Buffington Law Firm 和全球其他數十家公司,可見LockBit2.0發動攻擊的趨勢沒有下滑,仍異常的活躍,
8月初IT顧問公司Accenture和8月底泰國的曼谷航空也成為LockBit2.0的受害者,澳洲網路安全中心 (ACSC) 在今年8 月警告稱 ,從 7月開始它們觀察到LockBit2.0在當地的製造、零售、營建等產業發起了一連串的入侵活動,攻擊數量持續上升。9月初,發現台灣某製造業大廠中了LockBit2.0,今在一個月內又發現我國企業遭同一勒索軟體入侵,可見LockBit2.0值得我們高度關注。
竣盟科技建議針對勒索軟體的應對措施:
*由於您的所有文件都是使用軍用級加密算法進行加密的,而且密鑰在犯罪者手上,因此基於原始數據復原(指解密),這是個無解的困境。
*向犯罪者支付贖金或試圖與之聯繫有很大的風險。因為在付款後,對方有可能會就此停止聯繫,甚至解密器可能無法工作,或其本身帶來了更多威脅。
*千萬不要使用號稱功能強大的反惡意軟體,這種軟體聲稱可以完全消除系統中的有害威脅。但使用之後,您可能失去的更多。
*針對勒索病毒的危害,正確的應對措施是平日的多重備份機制與定時的還原演練。
*除了基本的防火牆外,還要積極佈署具備篩選功能的代理伺服器、閘道過濾、電子郵件閘道防護,以及終端電腦的弱點更新、防毒碼更新等安全防護佈署。
*佈署威脅偵測機制,如 SIEM、HIDS、封包檢測及進階誘捕系統等產品,可以早期發現,並防止威脅擴散。
對於重要的交易系統,可以佈署執行程序限制方案,防止惡意程式的執行。
*透過教育訓練與各種攻擊演練,加強終端用戶的資安防護意識。
有關LockBit2.0勒索軟體的入侵指標(Indicator of compromise -IOCs):
LockBit2.0 Tor Domains:
hxxp://lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion
hxxp://lockbitsap2oaqhcun3syvbqt6n5nzt7fqosc6jdlmsfleu3ka4k2did[.]onion
hxxp://lockbitsup4yezcd5enk5unncx3zcy7kw6wllyqmiyhvanjj352jayid[.]onion
SHA256: 66b4a0681cae02c302a9b6f1d611ac2df8c519d6024abdb506b4b166b93f636a
SHA 256: 36e33eb5280c23cbb57067f18514905e42f949250f95a5554f944180fcd5fe36
MD5: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446
MD5: 0dd0cb0eda6374e48e6cc403151ac5ba
SHA 1:c96924053567407dc917d0abb9ed89fd7f99d574
SHA256: f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31b860e569a720a5446
SHA 256:6d15cf3f757f4df04b425252041b1d679b084d82bf62bf12bebc82a9d7db621f
SHA 256: dae5fbdaa53b4f08876e567cf661346475ff4ae39063744ca033537d6393639a
SHA 256: ce162d2d3649a13a48510e79ef0046f9a194f9609c5ee0ee340766abe1d1b565
SHA 256: c667c916b44a9d4e4dd06b446984f3177e7317f5f9cff91033d580d0cc617eaa
SHA 256: 7e97f617ef7adbb2f1675871402203c245a0570ec35d92603f8f0c9e6347c04a
9 月 29 日,日本JVC KENWOOD透露其歐洲公司受到網路攻擊,伺服器經未授權存取。據新聞稿,JVC KENWOOD在9月22日發現集團在歐洲的一些銷售公司出現無法收發電子郵件的問題,經調查,發現伺服器遭被外部存取,影響了JVC KENWOOD集團旗下荷蘭、比利時和英國的公司。據信,員工和業務合作夥伴的電話號碼和電子郵件地址等個人資料恐遭外洩。JVCKenwood 是一家總部位於日本的跨國電子公司,擁有 16,956 名員工,2021 年的收入為 24.5 億美元。該公司以其 JVC、Kenwood 和 Victor 品牌而聞名,這些品牌生產汽車和家庭音頻設備、醫療保健和無線電設備等。
今天,據外媒BleepingComputer的報導,一位消息人士分享了這次針對 JVC KENWOOD攻擊中來自CONTI 勒索軟體的勒索信。另外在一次談判中,操作Conti的駭客告訴JVC KENWOOD,他們已竊取了 1.5 TB 的檔案,並要求 700 萬美元贖金,以換取不公佈數據並提供解密工具。同時,攻擊者分享了一份 JVCKenwood 員工的掃描護照PDF檔案作為證明,但自提供證明以來,JVCKenwood 代表沒有進一步聯繫,表明該公司可能不會支付贖金。
據日本媒體Security Next報導,JVC KENWOOD對於受影響的系統,啟動了一個新的臨時系統並恢復了操作。
據信Conti勒索軟體是由 TrickBot的駭客組織運營,通常在網路被TrickBot、BazarBackdoor 和 Anchor 木馬入侵後安裝。過去曾遭Conti入侵的公司有研華、愛爾蘭衛生健康署、蘇格蘭環境保護局、新西蘭五間醫院等。八月初,Conti的會員(Affiliate)因分到的贖金太少,心生不滿的在地下駭客論壇XSS上載了Conti勒索軟體培訓會員及用於攻擊的手冊,使執法部門和研究人員能深入了解他們的策略,但也沒有影響Conti的攻擊。在上週,美國FBI、CISA 和 NSA 共同發佈針對Conti勒索軟體的攻擊持續激增的警報。
研究人員發現俄羅斯國家級駭客 Turla是一系列新的入侵活動的幕後黑手,該攻擊活動使用以前未被記錄過的新型後門程式來入侵美國、德國和阿富汗的系統。根據Cisco Talos的研究,俄羅斯的APT 駭客組織Turla (又名Snake、Venomous Bear、Uroburos和WhiteBear) Turla至少自2004年以來就一直活躍。多年來,該組織以美國、烏克蘭或阿拉伯國家為目標,開發並維護了一套龐大的攻擊工具,如Crutch或Kazuar。
這一系列新的入侵活動利用一個隱蔽的second-chance後門” TinyTurla”來維持被感染的設備的存取權限。在這裡”second-chance “意指可作為第二次入侵的使用,據了解Tiny Turla後門很難被清除,即使被感染的機器清除了主要的惡意軟體,攻擊者也能繼續保持對系統的存取,同時還可以用作第二階段的dropper,用其他惡意軟體感染系統。此外,TinyTurla 可以上傳和執行檔案或將敏感數據從受感染的機器傳輸到遠端伺服器,同時每五秒請求一次C2伺服器以獲取最新的命令。
TinyTurla的入侵活動涉及使用.BAT 檔案來部署惡意軟體,但確切的入侵途徑尚不清楚,另外研究人員發現,這個新穎的後門——偽裝成一個無害但虛假的微軟 Windows 時間服務(“ w32time.dll ”),能夠上傳、執行或竊取檔案,被編排以註冊自身與攻擊者控制的伺服器建立通信,以接收進一步的指令,範圍從下載和執行任意進程到將命令的結果上傳回伺服器。
由於TinyTurla的功能有限且編碼高效,反惡意軟體工具很難檢測到它是惡意軟體。這也就解釋了為什麼儘管攻擊者從2020年就開始部署它,但是一直沒有被發現。
有關TinyTurla的入侵指標Indicators of compromise (IOCs):
SHA256:
030cbd1a51f8583ccfc3fa38a28a5550dc1c84c05d6c0f5eb887d13dedf1da01
SHA1: 02c37ccdfccfe03560a4bf069f46e8ae3a5d2348
MD5:
028878c4b6ab475ed0be97eca6f92af9
惡意後門可竊取Windows domains的敏感數據
微軟的報告稱, Nobelium 正在使用一種新開發的後門,該後門能夠從受感染的Active Directory 同盟服務(Active Directory Federated Services,AD FS)伺服器中竊取敏感數據。
Nobelium駭客組織是去年針對 SolarWinds 的 Orion 軟體的大規模供應鏈攻擊的幕後黑手。從那以後,微軟持續追踪Nobelium攻擊的活動,其中包括在 5 月份冒充美國國際開發署 (US Agency for International Development ; USAID) 的電子郵件活動。最近,微軟威脅情報中心 (MSTIC) 表示,Nobelium組織使用名為 FoggyWeb 的新型惡意軟體,用於盜竊憑證來獲得對 AD FS 伺服器的管理員級別的存取權限。微軟表示早於2021 年 4 月,已發現FoggyWeb後門的蹤跡,並已通知了觀察到成為目標或受到威脅的客戶。
FoggyWeb 是一種針對性強的後門,允許濫用SAML token,並為參與者定義的 URI 配置 HTTP 偵聽器,以攔截發送到與自定義 URI 模式匹配的AD FS 伺服器的 GET/POST 請求,從而從受感染的 AD FS伺服器中遠端竊取敏感數據。它還可以從C2伺服器接收其他惡意命令,並在受害者的伺服器上執行它們。微軟說,Nobelium利用FoggyWeb後門遠端滲透受感染的 AD FS 伺服器中的配置數據庫、解密的Token-Signing 憑證和Token-Decryption憑證,以及下載和執行其他組件。
微軟提供有關FoggyWeb的入侵指標Indicators of compromise (IOCs):
儘管在幾週前Conti勒索軟體遭會員爆料並公開其攻擊和培訓的技術手冊,但 Conti 的攻擊並沒有放緩,在9月22 日,美國網路安全暨基礎安全局(CISA)、聯邦調查局(FBI)和國家安全局(NSA)共同發佈針對Conti勒索軟體的攻擊持續激增的警報,這三個美國聯邦機構稱,已觀察到Conti 勒索軟體對美國和其他國家的組織發動了 400 多次的攻擊,敦促企業 IT管理員審查其組織的網路安全狀況,並立即實施聯合警告中概述的行動,以抵禦 Conti 勒索軟體。
為了保護企業系統免受 Conti 勒索軟體的侵害,CISA、FBI 和NSA建議實施公告中描述的緩解措施,其中包括要求多因素身份驗證 (MFA)、實施網路分段以及保持操作系統和軟體是最新的版本。
根據這三個美國聯邦機構,操作Conti 的攻擊者常利用合法的遠端監控和管理軟體以及遠端桌面軟體作為後門來維持受害者網路的持久性。攻擊者使用受害者網路上已有的工具——並根據需要再添加額外的工具,如 Windows Sysinternals 和 Mimikatz——來獲取用戶的hashes和明文憑證,這使攻擊者能夠提升網域內的權限並執行其他後滲透攻擊和橫向移動。在一些被觀察到的案例,攻擊者還使用 TrickBot 惡意軟體來執行後滲透攻擊任務。
Conti 勒索軟體一個勒索軟體即服務 (RaaS),於 2019 年 12 月底首次出現,並通過 TrickBot 感染進行傳播,據信Conti由一個名為Wizard Spider的俄羅斯網路犯罪組織控制。自 2020 年 8 月以來,Conti在暗網啓動了其揭秘網站Conti News ,以揚言發佈盜取得來的機敏數據來威脅受害者,一般來說,在一個典型的Conti 勒索軟體攻擊中,操作Conti的駭客會竊取檔案、加密伺服器和工作站,並要求支付贖金。
另外,Conti 與臭名昭著的 Ryuk 勒索軟體共享其大部分程式碼,在 Ryuk 的攻擊活動於 2020 年 7 月開始放緩後,與TrickBot相關的駭客改用部署Conti勒索軟體進行攻擊,因此Conti被視為是Ryuk的接班人。
以下為聯合警告中提供的緩解措施:
*使用多重身份驗證。
*實施網路分段和過濾流量。
*掃描漏洞並保持軟體更新。
*刪除不必要的應用程式並控管好應用
*實施使用端點和檢測回應工具。
*限制對網路資源的存取,尤其是限制 RDP。
*保護用戶帳戶
*如果受感染,請使用勒索軟體回應清單(Ransomware Response Checklist)
首見Hive勒索軟體入侵台灣,在Hive的揭秘網站Hive leaks上發現國內某知名上市鋼鐵公司已被Hive列入受害者名單,Hive也同時發佈了其相關資料,目前仍無法確認Hive在這塲攻擊中是加密少量或是全部伺服器,是否已取得價值性及機密性高的檔案等,但據相信該上市公司是在9月4日遭Hive加密,Hive直到9月19日公布鋼鐵企業的資料。
一般來說,勒索軟體組織公佈受害者的資料是用作威脅對方與其談判,然而目前Hive仍未公開對此台灣企業的勒索金額,Hive是一個相對較新的勒索軟體,於今年6月能首次浮出水面,在短短3個月已出現至少30個受害公司,FBI於8月發佈Flash Alert,警告Hive鎖定醫療保健和無法因應勒索軟體攻擊的企業而來,根據FBI警報,Hive勒索軟體使用多種機制來入侵企業網路、加密數據和外洩數據,包括使用帶有惡意附件的釣魚郵件獲取存取權限和利用遠端桌面協議在網路中橫向移動。8月15日,美國西維吉尼亞州及俄亥俄州的連鎖醫療系統Memorial Healthcare System為了恢復八百台伺服器、三千多台個人設備並以防止200,000名患者的資料外洩,Memorial Health System總裁 Scott Cantley在8月18日,承認支付贖金以換取解密金鑰。在9 月初,美國密蘇里洲(Missouri)的Delta Medical Center醫療中心的一台伺服器上的機密患者數據遭Hive竊取並於 9 月 9 日發布患者姓名、社會安全號碼(Social Security Numbers)和醫療資訊等,是值得醫療機構關注的勒索軟體。
另外,在9月19日與台灣某上市鋼鐵業者同樣被Hive公布資料的受害者,還包含一個在美國西雅圖名為FareStart的非營利性組織,該組織主要為弱勢群體提供餐飲業職業培訓;另一個則是位於威斯康辛州的賭場名為Ho-Chunk Gaming,可見Hive在攻擊產業的趨勢開始有所不同。
有關Hive勒索軟體的入侵指標(Indicator of compromise -IOCs):
Hive Tor Domain:
http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion
Winlo.exe
MD5 b5045d802394f4560280a7404af69263
SHA256 321d0c4f1bbb44c53cd02186107a18b7a44c840a9a5f0a78bdac06868136b72c
File Path Observed C:\Windows\SysWOW64\winlo.exe
Description Drops 7zG.exe
7zG.exe
MD5 04FB3AE7F05C8BC333125972BA907398
Description This is a legitimate 7zip, version 19.0.0
Drops Winlo_dump_64_SCY.exe
Winlo_dump_64_SCY.exe
MD5 BEE9BA70F36FF250B31A6FDF7FA8AFEB
Description Encrypts files with *.key.* extension
Drops HOW_TO_DECRYPT.txt
HOW_TO_DECRYPT.txt
Description
Stops and disables Windows Defender
Deletes all Windows Defender definitions
Removes context menu for Windows Defender
Stops the following services and disables them from restart
LanmanWorkstation
SamSs
SDRSVC
SstpSVc
UI0Detect
Vmicvss
Vmss
VSS
Wbengine
Unistoresvc
Attempts to delete Volume Shadow Copies (vssadmin and wmic)
Deletes Windows Event Logs -> System, Security, Application
and powershell
Uses notepad++ to create key file
Changes bootup to ignore errors and not attempt recovery
Drops PowerShell script
根據FBI警報,