勒索软件攻击出现新的逼迫手法，结合档案加密、DDoS和电话恐吓进行施压

骇客在发动勒索软件攻击时，为了增加受害者付赎金的意愿，可说是花招百出，从原本让电脑档案无法使用、机密资料外泄，如今骇客同时结合了DDoS攻击，以及拨打电话制造压力等方式，让受害组织就范乖乖付钱。例如，赛门铁克最近揭露名为Yanluowang（閰罗王）的勒索软件，一旦电脑遭到这个勒索软件感染，使用会看到恐吓讯息，当中强调若是不依照指示，骇客扬言会持续发动DDoS攻击，并打电话骚扰员工与合作伙伴。

赛门铁克发现这个勒索软件的来源，是针对一家大型组织的勒索软件攻击事故调查时取得，研究人员发现，Yanluowang似乎仍在开发阶段，但在经过分析之后，他们认为这是新的勒索软件家族，并提供入侵指标（IoC）让企业能进行防范。

虽然赛门铁克没有揭露使用Yanluowang的骇客身份，但根据这个勒索软件的名称，是来自中国民间传说中管理地狱的閰罗王，攻击者有可能是中国的骇客。

对方扬言若不依照指示洽谈付赎金的事宜，将会透过DDoS攻击与电话骚扰，迫使受害组织照办

值得留意的是，在Yanluowang留下的勒索讯息里，攻击者并未提及要如何支付赎金，而是要求受害组织限时于24小时向他们联系，并恐吓受害者切勿试图自行解密，或是寻求执法单位与资料复原公司的协助。而且，假如骇客认为被受害者愚弄，或是他们设下的规则被破坏，将会拒绝和受害者沟通，并且持续发动DDoS攻击，以及不断拨打骚扰电话给受害组织的员工和合作伙伴，最后删除组织内部网络的所有资料。

在勒索讯息的内容中，骇客特别提及一般员工要向CEO或是IT部门通报此事，这样的意图，有可能是要透过员工对组织形成压力；而对于CEO与高阶主管，攻击者则是要胁必须在24小时之内以电子邮件进行联系，他们亦扬言会根据受害组织第一封来信，来决定发动DDoS攻击、拨打骚扰电话，以及删除资料的时间。

攻击者滥用AD查询工具进行侦察

对于上述的勒索软件攻击事件，研究人员指出，他们先是看到疑似攻击者滥用名为AdFind的工具，并在这个可疑活动的几天之后，攻击者试图部署勒索软件Yanluowang。

AdFind是一款Active Directory（AD）命令列查询工具，由Joe Richards制作并提供免费下载。而攻击者可能会将它用于侦察受害组织的网络环境，并且透过此工具在AD进行横向移动。

在勒索软件被部署到目标电脑后，攻击者执行了前置作业──包含记录受害电脑的编号，并使用WMI取得正在执行的处理程序清单等工作。接着，Yanluowang勒索软件会停用所有的虚拟机器，并终止特定的处理程序，包含SQL Server，以及Veeam等资料备份的解决方案，再行加密档案，并附加.yanluowang的副档名。最后，骇客留下档案名称为README.txt的勒索讯息。

攻击者终止备份系统的运作，目的是避免受害者直接经由备份还原资料，但为何要停止SQL Server运作？赛门铁克没有说明。

在勒索软件Yanluowang的攻击行动里，骇客会在执行档案加密之前，先停用电脑可能会执行的多项应用系统处理程序，其中包含了SQL Server和MySQL数据库，还有Exchange Server，以及Windows内建的防毒软件Microsoft Defender等。

虽然赛门铁克并未进一步透露是否还有其他的组织受害，但在这起攻击行动中，骇客运用合法工具进行前置作业，而使得组织想要试图及早发现攻击的征兆，也变得更加困难。