勒索軟件攻擊滲透到各行各業(yè)，影像行業(yè)也不例外。

近日，日本影像科技巨頭柯尼卡美能達(dá)企業(yè)服務(wù)近一周。該勒索事件發(fā)生在7月底，影像了商業(yè)技術(shù)巨頭柯尼卡美能達(dá)企業(yè)服務(wù)近一周。

柯尼卡美能達(dá)是日本跨國(guó)商業(yè)技術(shù)巨頭，擁有近44000名員工，2019年的收入超過(guò)90億美元。企業(yè)提供大規(guī)模的服務(wù)和多種產(chǎn)品，從打印解決方案，醫(yī)療技術(shù)到為企業(yè)提供托管等IT服務(wù)。

始于網(wǎng)站停機(jī)機(jī)

2020年7月30日，有客戶反饋柯尼卡美能達(dá)產(chǎn)品供應(yīng)與支持網(wǎng)站無(wú)法訪問(wèn)，并呈現(xiàn)以下信息：

柯尼卡美能達(dá)“ MyKMBS”客戶門戶暫時(shí)不可用。我們正在努力解決此問(wèn)題，對(duì)于指出給您帶來(lái)的任何不便，我們深表遺憾意。如果您亟需服務(wù)幫助，請(qǐng)致電1-800- 456-5664(美國(guó))或1-800-263-4410(加拿大)致電我們的全球客戶服務(wù)。

網(wǎng)站關(guān)閉了近一周，客戶也并不清楚網(wǎng)站無(wú)法訪問(wèn)的具體原因。某些柯尼卡美能達(dá)打印機(jī)還顯示“服務(wù)通知失敗”錯(cuò)誤，該組織也及時(shí)更新了網(wǎng)站停止訪問(wèn)的消息。

遭遇RansomEXX勒索

隨后，網(wǎng)上傳出黑客勒索柯尼卡美能達(dá)使用的退款金票據(jù)的副本。如下圖所示，該退款金記錄稱為“!KONICA_MINOLTA_README !!。txt，”公司設(shè)備都被加密了，文件也加上了“ .K0N1M1N0”的擴(kuò)展后綴。

RansomEXX是一種新型勒索軟件，因攻擊了德克薩斯州交通運(yùn)輸部的網(wǎng)絡(luò)在今年6月首次被發(fā)現(xiàn)。和其他勒索軟件一樣，以企業(yè)為目標(biāo)，但是和其他通過(guò)網(wǎng)絡(luò)釣魚和惡意軟件分發(fā)的勒索軟件不同的是，RansomEXX需要人為糾正。執(zhí)行攻擊后，勒索軟件將打開一個(gè)控制臺(tái)，該控制臺(tái)在攻擊者運(yùn)行時(shí)向其顯示信息。

黑客入侵企業(yè)網(wǎng)絡(luò)潛藏，并通過(guò)時(shí)間的流逝，再傳播到其他設(shè)備以獲取管理員位置。一旦獲得管理員權(quán)限并訪問(wèn)Windows域控制器，他們便可以在網(wǎng)絡(luò)上部署勒索軟件并提供所有設(shè)備進(jìn)行加密。

Ransom X在整個(gè)加密過(guò)程中插入的命令，這些命令包括：

• 清除Windows事件日志
• 刪除NTFS日記
• 補(bǔ)充系統(tǒng)還原
• 局部Windows恢復(fù)環(huán)境
• 刪除Windows備份目錄
• 清除本地驅(qū)動(dòng)器上的可用空間。