ProLock勒索软件

2020年8月24日, 国内信息网络安全公司江民报道，研究人员监测到ProLock可以通过多种方式来获取目标网络的访问权，其中还涉及到一些第三方漏洞的利用。而且根据研究人员透露的信息，有一些ProLock受害者是通过QakBot银行木马所执行的脚本感染的。QakBot是ProLock的初始感染手段之一，除此之外还有利用网络钓鱼邮件和存在错误配置的RDP服务器等。研究人员表明，最早的ProLock入侵行为是通过远程桌面协议（RDP）连接来实现的。ProLock攻击者还会利用初始攻击所获得的访问权限来进行一些网络侦察活动，并在开始勒索软件攻击之前窃取一些用户敏感数据。在监测过程中，研究人员对目标系统中存储的四个与勒索软件相关的文件进行了分析，这些文件是从一个远程服务器下载下来的，相关的IP地址已经作为入侵威胁指标发布在了SophosLabs的GitHub库中。ProLock恶意软件依赖于Windows Batch脚本，Windows计划任务（schtasks.exe）和PowerShell来发动其攻击。该勒索软件链由run.bat脚本文件作为起始，它会创建一个Windows任务并使用WinMgr.xml来配置任务，然后执行clean.bat脚本。当该脚本由计划任务执行之后，clean.bat将会执行一个Base64编码的 PowerShell脚本，并从一个名叫WinMgr.bmp的图片文件中提取出ProLock的可执行文件，然后将其加载进内存中并执行。