欧洲能源巨头遭勒索，，，用1000万欧元换10TB数据？？？？？？？

作者：Sandra1432 2020-04-15

克日，，，攻击者使用Ragnar Locker勒索软件袭击了葡萄牙跨国能源公司EDP（Energias de Portugal），，，并且索要1580的比特币赎金（折合约1090万美元/990万欧元）。。。。。对此，，，EDP尚未作出回复。。。。。

EDP集团是欧洲能源行业（自然气和电力）最大的运营商之一，，，也是天下第四大风能生产商。。。。。该公司在全球四个大洲的19个国家/地区拥有营业，，，拥有凌驾11500名员工，，，并为凌驾1100万客户提供能源。。。。。

攻击者扬言“撕票”10TB的窃密数据

在这次攻击历程中，，，Ragnar Locker勒索软件的幕后黑手声称已经获取了公司10TB的敏感数据文件，，，若是EDP不支付赎金，，，那么他们将在果真泄露这些数据。。。。。

据Ragnar的泄密网站说到：

我们已经下载了EDP组织效劳器10TB的私密信息。。。。。作为证据，，，我们提供了一些你方企业网络中下载的文件截屏！现在这个帖子只是暂时，，，可是若是你们不支付赎金，，，这也会成为永世性的页面！我们将在各大着名报社、媒体、博客果真这些文件资料，，，并且见告你们的客户、相助同伴和竞争敌手，，，以是这些文件是神秘照旧果真完全取决于你们！

Ragnar 网站的威胁通知

其中，，，攻击者泄露了部分文件来忠言EDP，，，包括一个edpradmin2.kdb的文件，，，这是KeePass密码治理数据库。。。。。当点开这个泄露文件的链接，，，会直接导出EDP员工的登录名、密码、帐户、URLS以及注释。。。。。

MalwareHunter团队发明了这次勒索软件的攻击样本，，，并找到赎金纪录和Tor付款页面，，，攻击者在其中详细形貌相识密历程和勒索金额。。。。。

凭证EDP加密系统上的赎金纪录，，，攻击者能够窃取有关账单、条约、生意、客户和相助同伴的神秘信息。。。。。

赎金说明说：“并确保，，，若是您不付款，，，所有文件和文档将被宣布给所有人审查，，，并且我们将通过直接链接通知所有客户和相助同伴有关这次走漏的信息。。。。。”

图片来自推特

以是若是你们不想名声受损，，，最好尽快按要求支付赎金。。。。。

攻击者在即时窗口中讥笑EDP

Ragnar Locker勒索软件背后的使用者还在通过“客服窗口”和EDP举行实时谈天，，，要求他们检查公司网站关于这个泄密威胁的通知，，，并询问公司是否愿意看到企业私人信息泛起在快讯、手艺博客和股市网站上。。。。。

他们还增补道“时不待人”，，，还忠言EDP不要实验使用除Ragnar Locker以外的解密器来破解文件，，，不然将有数据破损和丧失的危害。。。。。

攻击者还奚落EDP若是在系统加密两天后联系他们，，，能够享受优惠价钱。。。。。可是，，，他们也要等着，，，勒索软件的即时谈天也不会全天候在线。。。。。

阻止发文，，，EDP公司对此尚未置评。。。。。

Ragnar Locker加密历程

Ragnar Locker勒索软件在2019年12月尾首次被发明，，，专门针对托管效劳提供商（MSP）的常用软件，，，来入侵网络窃取数据文件。。。。。

MSP清静公司Huntress Labs的首席执行官Kyle Hanslovan在2月说到，，，他的公司发明Ragnar Locker通过MSP软件ConnectWise举行了安排。。。。。

经由侦探和安排前阶段，，，攻击者构建针对性强的勒索软件可执行文件，，，该可执行文件为加密文件添加了特定的扩展名，，，具有嵌入式RSA-2048密钥，，，并加入自界说勒索票据。。。。。

Ragnar Locker具有多次的赎金纪录，，，赎金纪录包括受害者的公司名称、Tor站点的链接以及包括受害者已宣布数据的数据走漏站点，，，赎金规模从20万美元到约莫60万美元不等。。。。。

SentinelLabs对这种勒索病毒举行剖析，，，认真人Vitali Kremez提及，，，Ragnar Locker首次启动时将检查设置的Windows语言首选项，，，若是将它们设置为前苏联国家之一，，，则会终止该历程并且差池盘算机举行加密。。。。。若是受害者通过了此检查，，，则勒索软件将阻止上一节中所述的种种Windows效劳。。。。。

现在已经准备好对盘算机举行加密，，，Ragnar Locker将最先对盘算机上的文件举行加密。。。。。

加密文件时，，，它将跳过以下文件夹、文件名和扩展名中的文件：

kernel32.dll

Windows

Windows.old

Tor browser

Internet Explorer

Google

Opera

Opera Software

Mozilla

Mozilla Firefox

$Recycle.Bin

ProgramData

All Users

autorun.inf

boot.ini

bootfont.bin

bootsect.bak

bootmgr

bootmgr.efi

bootmgfw.efi

desktop.ini

iconcache.db

ntldr

ntuser.dat

ntuser.dat.log

ntuser.ini

thumbs.db

.sys

.dll

.lnk

.msi

.drv

.exe

关于每个加密文件，，，文件名后都会添加一个预设置的扩展名，，，如.ragnar_22015ABC 。。。。。如下所示，，，“ RAGNAR”文件标记也将添加到每个加密文件的末尾。。。。。

加密文件标记

最后，，，将建设一个名为.RGNR_ [extension] .txt的赎金票据，，，其中包括有关受害者文件爆发了什么情形、赎金金额、比特币支付地点、与攻击者举行通讯的TOX谈天ID等信息，，，若是TOX则用备份的电子邮件地点。。。。。

Ragnar Locker勒索票据

现在针对Ragnar Locker勒索软件加密文件尚无法解密，，，后续本文将一连跟进。。。。。

（转载来自：FreeBuf.com）

快速链接

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

工业互联网清静专题