Proofpoint的研究人员发现了Defray 勒索软件，一种用于针对教育和医疗保健组织的有针对性的新型勒索软件。

本月早些时候，Proofpoint的研究人员发现了针对教育和医疗机构的有针对性的勒索软件运动。根据用于第一次观察到的攻击的命令和控制（C＆C）服务器主机名，在活动中使用的勒索软件被称为Defray，

勒索软件正在电子邮件中通过Microsoft Word文档附件传播。

研究人员在8月15日和8月22日观察到两次针对性攻击，并且都是针对具体组织设计的。

8月22日的攻击主要针对医疗保健和教育，涉及包含嵌入式可执行文件（特别是OLE包装器shell对象）的Microsoft Word文档的消息。该附件在右上方设有英国医院标志，并且来自医院信息管理与技术总监。

8月15日的攻击针对制造和技术纵向，攻击者使用带有“订单/报价”主题的消息和包含嵌入式可执行文件（也是OLE包装器外壳对象）的Microsoft Word文档。

附件使用了引用英国水族馆的诱惑，据称是来自水族馆的代表。Defray 勒索软件背后的攻击者要求5000美元，但研究人员强调，赎金票据包含几个电子邮件地址，大概是网络犯罪分子Igor Glushkov，允许受害者“谈判一个较小的赎金或提问”。

Defray 勒索软件针对硬编码的文件类型列表，但不会更改文件扩展名。加密完成后，Defray 勒索软件可能会通过禁用启动恢复和删除卷影副本来对系统造成其他一般的破坏。在Windows 7上，它使用GUI来监视和杀死运行的程序，例如任务管理器和浏览器。

专家猜测威胁可能会被私下使用，为此，不太可能，Defray 勒索软件将继续在有限的针对性攻击中继续使用。

“Defray 勒索软件在小型有针对性的攻击中使用有点不寻常。虽然我们开始看到更频繁地针对勒索软件攻击的趋势，但它仍然比大规模的“喷雾和祈祷”活动更不常见。Defray也可能不是出售，作为一种服务或像许多勒索软件毒株一样的许可应用程序。相反，似乎Defray可能是为了个人使用特定的威胁行为者，使其继续分布在较小的针对性攻击中更有可能“Proofpoint总结。

原文链接:http://securityaffairs.co/wordpress/62371/malware/defray-ransomware-targeted-attacks.html  翻译来自安全周