微软警告：警惕新型勒索软件 PonyFinal，已现身印度、伊朗和美国

微软发布多条推文指出，“PonyFinal 是一款基于 Java 的勒索软件，被部署于人为操纵 (human-operated) 的勒索软件攻击中。”人为操纵勒索软件是勒索软件的一个子类，在这种攻击活动中黑客攻陷企业网络并自己部署勒索软件。相比之下，在之前出现的典型勒索软件活动中，如通过垃圾邮件或exploit包分发的勒索软件，感染进程依赖于诱骗用户启动 payload。

微软表示，它正在追踪部署了 PonyFinal 勒索软件的事件。入侵点通常是公司的系统管理服务器上的账户，PonyFinal 使用猜测密码的暴力攻击方式攻陷该账户。

一旦进入受陷账户，微软指出，PonyFinal 团伙部署运行 PowerShell 逆向shell 的 Visual Basic 脚本来转储并窃取本地数据。另外，该勒索软件的操纵人员还部署“远程操纵系统绕过事件日志”。

PonyFinal 团伙在目标网络立足后，会传播到其它本地系统并部署真正的 PonyFinal 勒索软件。在多数情况下，攻击者攻击的是安装 Java 运行时环境 (JRE) 的工作站，原因是 PonyFinal 用 Java 语言编写而成。不过微软指出还发现犯罪团伙在运行勒索软件前在系统上安装 JRE 的实例。

微软指出，被 PonyFinal 勒索软件加密后，每个加密后的文件末尾都有 “.enc” 文件扩展。勒索金留言通常是 README_files.txt，内容一般是包含勒索金指令的简单文本文件。

该勒索软件的加密方式被认为是安全的，且目前不存在能够恢复加密文件的方法或免费解密器。

勒索软件识别门户网站 ID-Ransomware 的两名创始人 Michael Gillespie 和 MalwareHunterTeam 指出，PonyFinal 勒索软件在今年早些时候现身，当时受害者较少，这证实之前它被用于仔细遴选的目标攻击活动中。

Emsisoft 公司的恶意软件研究员 Gillespie 表示，在 ID-Ransomware 网站上上传样本的用户按流行度划分位于印度、伊朗和美国。

微软指出，PonyFinal 在新冠肺炎疫情期间曾多次攻击医疗行业，执行类似攻击活动的勒索软件还包括 RobbinHood、NetWalker、Maze、REvil (Sodinokibi)、Paradise、RagnarLocker、MedusaLocker 和LockBit。