Descripción

  • El vector de infección inicial para este malware parece ser mediante los servicios de escritorio remoto (RDP), y otros vectores que pueden incluir spam de correo electrónico y archivos adjuntos maliciosos.

    El malware inicialmente se podrá en contacto con un servidor de comando y control para indicar su disponibilidad para cifrar los contenidos en el sistema destino. Encriptara los archivos y los marcara insertando la cadena “tflower” al inicio del archivo sin cambiar el nombre. Luego actualizara el servidos C2 y dejara el mensaje de rescate.

Remendaciones

  • Actualizar software y sistemas operativos con los últimos parches de seguridad.
  • Realizar respaldos de información periódicos separados.
  • Restringir los permisos de los usuarios para la instalación de software.
  • Aplicar el principio del mínimo privilegio a todos los sistemas y servicios.
  • Configurar firewalls para bloquear el acceso a direcciones IP maliciosas conocidas.

Solución

Ir al contenido