无文件，代码注入勒索软件开始进行轮次

　　好像WannaCrypt还不够糟糕!我们现在有另一个Ransomare威胁以SOREBRECT的形式处理。安全软件公司趋势科技公司几个月前发现了SOREBRECT，它发现它已经感染了中东地区的组织系统和网络。

　　无文件勒索软件

　　SOREBRECT是一种无文件恶意软件，它使用非传统加密技术注入恶意代码。它利用Windos中的PsExec实用程序强制代码注入，专注于保持隐身。

　　使SOREBRECT致命的原因在于它的自毁程序最终将其变为文件较少的威胁。勒索软件在终止其主二进制文件之前将代码注入合法的系统进程(执行加密例程)。为了确保安全研究人员不跟踪其活动，SOREBRECT删除受感染系统的日志和其他工件，包括其时间戳(即apppat / shimcache和prefetch)。

　　根据趋势科技的说法，发现时，SOREBRECT的分布较低，主要集中在科威特和黎巴嫩等中东国家。，现在它已经扩散到加拿大，中国，克罗地亚，意大利，日本，墨西哥，俄罗斯，台湾和美国

　　包括制造业，技术和电信在内的行业都在勒索软件的雷达上，并且具有独特的编码功能; 人们担心SOREBRECT会传播到世界其他地方，甚至在网络犯罪地下，可以作为一种服务进行兜售。

　　SOREBRECT如何感染PC

　　SOREBRECT滥用PsExec(一种合法的Windos命令行实用程序，允许系统管理员在远程系统上执行命令或运行可执行文件)来执行命令或在远程系统上运行可执行文件。

　　趋势科技说，

　　“滥用PsExec安装SOREBRECT表示管理员凭据已被泄露，或者远程机器被暴露或暴力破坏”。它将其代码注入Windos的svchost.exe进程，而主二进制文件则自毁。组合是有效的一旦部署的勒索软件二进制文件完成执行和自我终止，注入的svchost.exe-一个合法的Windos服务托管系统进程 - 恢复有效负载的执行(文件加密)

　　，它使用evtutil.exe删除系统的事件日志，并使用vssadmin删除卷影副本，以便无法跟踪它。

　　SOREBRECT还可以加密网络

　　SOREBRECT可以通过本地网络感染连接到受感染PC的其他计算机上的文件。它扫描网络以进行资产发现并枚举其他人可以通过网络轻松访问的开放共享文件夹，内容或外围设备(即打印机)。

　　要保持受保护，请限制用户写入权限并限制PsExec的权限。保持文件备份是必须的。保持系统和网络的更新，因为它可以大大降低风险。