Windows Server托管提供商在勒索软件攻击后一周仍然停机

导读 勒索软件感染已经使一家美国网络托管提供商的运营瘫痪了近八天,该公司的一些不满的客户今天告诉ZDNet。受影响的是A2 Hosting(虚拟专用服

勒索软件感染已经使一家美国网络托管提供商的运营瘫痪了近八天,该公司的一些不满的客户今天告诉ZDNet。

受影响的是A2 Hosting(虚拟专用服务器(VPS)和WordPress托管服务的提供商)拥有的所有基于Windows的服务器。

客户亏本

感染于4月23日上周发生,导致长达一周的停机时间,A2工作人员一直在努力解决,导致无休止的投诉和急切的恳求,要求客户在停机的每一天都在浪费金钱。

自4月29日以来没有状态更新...没有响应支持通知单...没有支持在线聊天... 194小时的停机时间并且从A2进行的零通信开始并且没有真正的ETA来恢复数据访问权。快来A2,这真的是您想要的公众形象吗?pic.twitter.com/3PlnkNZvvR

— Ideal Technologies(@IdealMSP)2019年5月1日

A2的一位客户今天在一次在线对话中对ZDNet表示:“一家托管公司在八天之内就破坏了我的业务和所有辛勤工作,而托管公司显然没有强大的安全性。”

他说:“在过去八天里,我失去了我的Google [搜索]排名,这花了我一年的时间,而最终增长的客户群被毁了。”

“自从遭到黑客入侵以来,A2一直没有提供有关我的网站和数据库的零信息。我的意思是零,零,zilch。我不得不等待一个小时的电话支持,被告知我们了解您的无奈,但我们不能您是一个ETA。他们有这个荒谬的更新页面,其中没有任何实质内容发布。”

这些投诉类似地通过在社交媒体几十其他客户的回荡,过去一周[ 1,2,3,4,5,6,7,8,9,10 ]。

GLOBEIMPOSTER 2.0最有可能被怀疑

根据目前可用的信息,勒索软件感染似乎已经通过其位于新加坡的数据中心潜入A2的网络,并随后传播到其他Windows Server实例,这也影响了该公司在美国的运营。

在A2关闭所有Windows服务器以避免勒索软件传播到更多系统之前,一些客户报告说看到了加密文件并使用.lock扩展名重命名。

从A2,什么都没有。但是我很确定发生了什么。我正在与一个客户开会,我们看到(是的,我已经见证了)我所有的文件(来自ftp区域)都重命名为.lock,并且一条消息指出该区域已受到攻击和加密。

-Marcos Romeroⓟ(@mcfromero)2019年4月24日

根据.lock文件扩展名和感染日期,勒索软件似乎是GlobeImposter 2.0勒索软件菌株的一个版本,过去几周来,勒索软件的操作者非常活跃,恶意软件分析师兼Bleeping Computer创始人Lawrence Abrams告诉ZDNet。今天。

GlobeImposter是一种已知通过RDP安装的勒索软件,也可能是A2 在攻击后禁止RDP访问其服务器的原因。

服务器还原进展缓慢

自事件发生以来,该公司一直无法到达,由于没有直接的通信线路,所有尝试以A2发言人身份验证勒索软件攻击的尝试均告失败。该公司没有列出媒体成员的电子邮件,现场聊天窗口小部件将用户重定向到状态页面,并且所有列出电话号码的电话最终都被搁置了数十分钟,仅被询问提交支持票。

尽管如此,该公司仍在努力还原某些服务(似乎是从其自己的备份中还原),尽管速度不够快,因为即使在本周,仍有数十位客户抱怨访问服务器时遇到问题。

一个状态页面显示,Windows服务器的顺利运行,美国和欧盟的客户,但该公司在新加坡的数据中心仍然下来计数。但是一旦公司完成恢复服务,它也将不得不回答客户有关可能的数据盗窃的问题,因为一些客户现在担心攻击者可能在运行勒索软件之前窃取了他们的一些敏感数据。

一位仍在等待重新获得其网站数据访问权限的A2客户今天告诉我们:“如果ZDNet可以传递给读者任何消息,则需要定期备份。” “永远不会太迟,直到为时已晚。我永远不会再备份。”

A2的勒索软件事件只​​是一系列勒索软件攻击中的最新事件,在过去三个月中似乎又重新焕发了生命。在过去的三个月中,勒索软件攻击似乎在2018年最后一个季度消失了。

过去的事件包括勒索软件事件,涉及铝供应商Norsk Hydro,网络安全公司Verint,英国警察联合会,多功能车制造商Aebi Schmidt,亚利桑那饮料,工程公司Altran,克利夫兰国际机场以及化工生产商Hexion和Momentive。