BitPaymer勒索软件感染，迫使阿拉斯加镇使用了一周的打字机

周一，安克雷奇大都会统计区的一个自治区Matanuska-Susitna（Mat-Su）的官员表示，他们仍未从上周7月24日发生的勒索软件感染中恢复过来。

勒索软件感染使Borough的政府网络陷入瘫痪，导致IT人员关闭了大量受影响的IT系统。

“最后一个周二，7月24日，自治市镇首先将服务器断开连接，然后将自治区与互联网，电话和电子邮件断开连接，因为它认识到这是在网络攻击下，”Mat-Su公共事务总监Patty Sullivan说。 。

“从那时起，基础设施正在稳步重建，计算机被清理和退回，电子邮件，电话和互联网连接也将恢复。”

Mat-Su计划清理和重建650台PC和服务器

有关官员称，他们计划清理并重新安装650台台式电脑和服务器，这些台式电脑和服务器位于被认为受影响的Mat-Su网络部分。

“正在建造一个新的，干净的网络，”沙利文上周五表示。到周一，Mat-Su官员设法清理并返回为员工工作站提供服务。

电话服务器周日晚上重建，一些Mat-Su手机周一开始重新上线。官员周一表示，Mat-Su电子邮件服务器仍在重建中。沙利文表示，在过去的一周，周末，20家不同的代理商和私营部门供应商协助政府重建其IT基础设施。

支付卡数据被认为是安全的，因为它与第三方提供商一起存储，而不是在Borough的服务器上。Mat-Su官员表示，他们没有看到任何证据表明攻击者泄露了用户个人数据，这种情况通常不会发生在勒索软件攻击中。

Mat-Su官方网站从未受到影响，官员通过他们的Facebook页面向公众通报受影响/工作的公共服务。Mat-Su门锁刷卡系统也对其数据进行了加密，但无论如何都继续工作。

“没有计算机和文件，自治市镇的员工表现得非常积极，”沙利文上周表示。“他们从壁橱里重新招募打字机，并在73个不同的建筑物中用手写收据和图书馆顾客名单和垃圾填埋费。”

Mat-Su被“多管齐下，多向导的攻击”击中

Mat-Su IT总监Eric Wyatt上周三会见了联邦调查局特工，以隔离和识别“病毒”并收集“将有助于联邦调查局确定起诉罪犯的工作”的信息。

怀亚特称病毒为“多管齐下，多向导的攻击”。他还将其描述为“不是单一病毒，而是病毒的多个方面，包括特洛伊木马，Cryptolocker，定时炸弹和死人的转换。” 怀亚特还表示，“病毒”也在搜查并试图破坏该行政区的备份，他说，它失败了。

“这是一次非常阴险，组织严密的攻击，”怀亚特说。“这不是他妈妈地下室的孩子。”

在昨天发布的PDF报告中，Wyatt最终将“病毒”识别为BitPaymer勒索软件。这种勒索软件菌株于2017年7月首次被发现，并于2017年8月首次成为新闻头条，当时它袭击了一系列苏格兰医院。

从2018年1月开始的ESET报告声称勒索软件 - 也称为FriedEx-包含的证据将其与运行臭名昭着的Necurs垃圾邮件僵尸网络和Dridex银行木马的同一个犯罪集团联系起来。

自5月以来，BitPaymer在Mat-Su网络上处于休眠状态

“这次袭击似乎早在5月3日就已在我们的网络中处于休眠和/或未被发现状态”怀亚特在报告中说。

怀亚特表示，他们的McAfee防病毒软件安装在7月17日开始收集BitPaymer勒索软件的“木马”部分。

“这只出现在Windows 7机器上，”怀亚特说。“迈克菲当时正在检测和删除特洛伊木马，但仍然错过了所有其他组件。”

“我们开发了一个脚本，用于删除McAfee从所有计算机上留下的已发现组件，并计划在7月23日星期一晚上启动它。我们还过期所有用户密码以强制更改密码并更改所有管理员和服务帐户的密码， “怀亚特说。

“这一攻击行动似乎会触发病毒启动加密锁定器组件。此触发器可能已经自动化，死人交换机，或者可能有人手动监视活动并执行其命令和控制（C2） ）发动攻击。“

怀亚特表示，勒索软件随后加密了所有500台Mat-Su桌面工作站和150台Mat-Su服务器中的120台。此时，Wyatt将Mat-Su网络脱机，通知了FBI，并启动了网络重建操作。怀亚特没有说他们是否为任何受感染的系统支付了赎金，但他说有些数据是从备份中恢复的。

Mat-Su自治市是受害者＃210

帮助Mat-Su IT工作人员的调查人员告诉Wyatt，直到今天，并没有那么多组织受到这种威胁的打击。他们说Mat-Su Borough是210号受害者。

怀亚特还在报告中说，Mat-Su政府并不是唯一一个受影响的人，透露阿拉斯加州瓦尔迪兹市也正在处理类似的攻击，这似乎也是BitPaymer的感染。根据Valdez市官员于7月28日在Facebook上发表的一份声明，他承认处理了“计算机病毒”，尽管他们没有指出这是一种勒索软件感染，但结果却是如此。

怀亚特还表示，“据报道，周五阿拉斯加州和美国各地的其他多个地点也受到了打击。” Bleeping Computer无法在上周发布任何其他类似的有关BitPaymer或其他类似模式的勒索软件感染的类似公共领域报告。

费尔班克斯北极星自治市也承认上周三发生勒索软件事件，但这似乎是无关的，因为它发生在四月，入侵点是负责EMS救护车计费的第三方。