勒索軟件感染已經(jīng)使一家美國(guó)網(wǎng)絡(luò)托管提供商的運(yùn)營(yíng)癱瘓了近八天，該公司的一些不滿(mǎn)的客戶(hù)今天告訴ZDNet。

受影響的是A2 Hosting(虛擬專(zhuān)用服務(wù)器(VPS)和WordPress托管服務(wù)的提供商)擁有的所有基于Windows的服務(wù)器。

客戶(hù)虧本

感染于4月23日上周發(fā)生，導(dǎo)致長(zhǎng)達(dá)一周的停機(jī)時(shí)間，A2工作人員一直在努力解決，導(dǎo)致無(wú)休止的投訴和急切的懇求，要求客戶(hù)在停機(jī)的每一天都在浪費(fèi)金錢(qián)。

自4月29日以來(lái)沒(méi)有狀態(tài)更新...沒(méi)有響應(yīng)支持通知單...沒(méi)有支持在線(xiàn)聊天... 194小時(shí)的停機(jī)時(shí)間并且從A2進(jìn)行的零通信開(kāi)始并且沒(méi)有真正的ETA來(lái)恢復(fù)數(shù)據(jù)訪(fǎng)問(wèn)權(quán)。快來(lái)A2，這真的是您想要的公眾形象嗎?pic.twitter.com/3PlnkNZvvR

— Ideal Technologies(@IdealMSP)2019年5月1日

A2的一位客戶(hù)今天在一次在線(xiàn)對(duì)話(huà)中對(duì)ZDNet表示：“一家托管公司在八天之內(nèi)就破壞了我的業(yè)務(wù)和所有辛勤工作，而托管公司顯然沒(méi)有強(qiáng)大的安全性。”

他說(shuō)：“在過(guò)去八天里，我失去了我的Google [搜索]排名，這花了我一年的時(shí)間，而最終增長(zhǎng)的客戶(hù)群被毀了。”

“自從遭到黑客入侵以來(lái)，A2一直沒(méi)有提供有關(guān)我的網(wǎng)站和數(shù)據(jù)庫(kù)的零信息。我的意思是零，零，zilch。我不得不等待一個(gè)小時(shí)的電話(huà)支持，被告知我們了解您的無(wú)奈，但我們不能您是一個(gè)ETA。他們有這個(gè)荒謬的更新頁(yè)面，其中沒(méi)有任何實(shí)質(zhì)內(nèi)容發(fā)布。”

這些投訴類(lèi)似地通過(guò)在社交媒體幾十其他客戶(hù)的回蕩，過(guò)去一周[ 1，2，3，4，5，6，7，8，9，10 ]。

GLOBEIMPOSTER 2.0最有可能被懷疑

根據(jù)目前可用的信息，勒索軟件感染似乎已經(jīng)通過(guò)其位于新加坡的數(shù)據(jù)中心潛入A2的網(wǎng)絡(luò)，并隨后傳播到其他Windows Server實(shí)例，這也影響了該公司在美國(guó)的運(yùn)營(yíng)。

在A2關(guān)閉所有Windows服務(wù)器以避免勒索軟件傳播到更多系統(tǒng)之前，一些客戶(hù)報(bào)告說(shuō)看到了加密文件并使用.lock擴(kuò)展名重命名。

從A2，什么都沒(méi)有。但是我很確定發(fā)生了什么。我正在與一個(gè)客戶(hù)開(kāi)會(huì)，我們看到(是的，我已經(jīng)見(jiàn)證了)我所有的文件(來(lái)自ftp區(qū)域)都重命名為.lock，并且一條消息指出該區(qū)域已受到攻擊和加密。

-Marcos Romero?(@mcfromero)2019年4月24日

根據(jù).lock文件擴(kuò)展名和感染日期，勒索軟件似乎是GlobeImposter 2.0勒索軟件菌株的一個(gè)版本，過(guò)去幾周來(lái)，勒索軟件的操作者非?；钴S，惡意軟件分析師兼Bleeping Computer創(chuàng)始人Lawrence Abrams告訴ZDNet。今天。

GlobeImposter是一種已知通過(guò)RDP安裝的勒索軟件，也可能是A2 在攻擊后禁止RDP訪(fǎng)問(wèn)其服務(wù)器的原因。

服務(wù)器還原進(jìn)展緩慢

自事件發(fā)生以來(lái)，該公司一直無(wú)法到達(dá)，由于沒(méi)有直接的通信線(xiàn)路，所有嘗試以A2發(fā)言人身份驗(yàn)證勒索軟件攻擊的嘗試均告失敗。該公司沒(méi)有列出媒體成員的電子郵件，現(xiàn)場(chǎng)聊天窗口小部件將用戶(hù)重定向到狀態(tài)頁(yè)面，并且所有列出電話(huà)號(hào)碼的電話(huà)最終都被擱置了數(shù)十分鐘，僅被詢(xún)問(wèn)提交支持票。

盡管如此，該公司仍在努力還原某些服務(wù)(似乎是從其自己的備份中還原)，盡管速度不夠快，因?yàn)榧词乖诒局?，仍有?shù)十位客戶(hù)抱怨訪(fǎng)問(wèn)服務(wù)器時(shí)遇到問(wèn)題。

一個(gè)狀態(tài)頁(yè)面顯示，Windows服務(wù)器的順利運(yùn)行，美國(guó)和歐盟的客戶(hù)，但該公司在新加坡的數(shù)據(jù)中心仍然下來(lái)計(jì)數(shù)。但是一旦公司完成恢復(fù)服務(wù)，它也將不得不回答客戶(hù)有關(guān)可能的數(shù)據(jù)盜竊的問(wèn)題，因?yàn)橐恍┛蛻?hù)現(xiàn)在擔(dān)心攻擊者可能在運(yùn)行勒索軟件之前竊取了他們的一些敏感數(shù)據(jù)。

一位仍在等待重新獲得其網(wǎng)站數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限的A2客戶(hù)今天告訴我們：“如果ZDNet可以傳遞給讀者任何消息，則需要定期備份。” “永遠(yuǎn)不會(huì)太遲，直到為時(shí)已晚。我永遠(yuǎn)不會(huì)再備份。”

A2的勒索軟件事件只??是一系列勒索軟件攻擊中的最新事件，在過(guò)去三個(gè)月中似乎又重新煥發(fā)了生命。在過(guò)去的三個(gè)月中，勒索軟件攻擊似乎在2018年最后一個(gè)季度消失了。

過(guò)去的事件包括勒索軟件事件，涉及鋁供應(yīng)商N(yùn)orsk Hydro，網(wǎng)絡(luò)安全公司Verint，英國(guó)警察聯(lián)合會(huì)，多功能車(chē)制造商Aebi Schmidt，亞利桑那飲料，工程公司Altran，克利夫蘭國(guó)際機(jī)場(chǎng)以及化工生產(chǎn)商Hexion和Momentive。