簡介 :

Pay2Key 藉由遠端桌面協定(Remote Desktop Protocol，RDP) 感染目標，並以 AES 以及 RSA 加密演算法對目標進行加密。據 Check Point 研究員分析， Pay2Key 與其他現有的勒索軟體並無關聯，因此認為這是一個全新的勒索軟體。攻擊者可以在一小時內將 Pay2Key 散佈至整個企業網路，其散佈過程迅速且企圖對目標造成最大化傷害的目的，以其策略、技術或程序而言，未來或會被不法人士擴大發展並使用。

攻擊手法 :

攻擊者可能在開始攻擊目標前，先通過 RDP 手動訪問目標組織網路上的某一台電腦，並且在此電腦上複製及創建了多個文件，包括：

Cobalt.Client.exe – Pay2Key 勒索軟件

Config.ini – 一個配置文件，用於指定 “Server” 和 “Port”

ConnectPC.exe – Pivot/Proxy Server

在受感染電腦上創建這些文件後，攻擊者開始執行 ConnectPC.exe 文件，然後複製或下載 PsExec 作為實用程式，並使用它對目標組織網路中的其他電腦，以遠端方式執行勒索軟體。

為了令程式正常運行，Pay2Key 會要求將前述配置文件 (Config.ini) 放在同一工作路徑下。因此，攻擊者需要將 Config.ini 和 Cobalt.Client.exe 一起放入受感染目標。從目前已收集的例證分析，Pay2Key 的執行路徑為：C:\Windows\Temp[organization-name]tmp\Cobalt.Client.exe

如需詳細資料，歡迎 Mail 索取