勒索软件持续开采常见企业软件的漏洞以威胁企业。安全厂商近日发现名为Hello/WickrMe的勒索软件不断变种，而持续开采SharePoint一个旧漏洞蔓延。

安全厂商Pondurance于一月发现Hello勒索软件开采SharePoint漏洞的行动后，趋势科技近日发现这只勒索软件迄今仍然持续在网络上活动，除了勒索消息档用了.hello的新文件扩展名，也添加WickrMe的用户账号。这是因为黑客要求受害者使用Wickr通信软件与之联系赎付金事宜，因此新版本Hello又被称为WickrMe。

Hello/WickrMe开采的是微软协同平台SharePoint的CVE-2019-0604。事实上2019年该漏洞就遭不知名黑客开采。这项漏洞去年被美国网络安全暨基础架构安全局列为2016年到2019年间，最常遭到黑客开采的十大安全漏洞之一。微软已在当时就修补了这项漏洞。

趋势科技侦测到这次黑客利用Cobalt Strike渗透工具，攻击未修补CVE-2019-0604安全漏洞的SharePoint服务器，而且如同两年前一样，黑客植入名为China Chopper的webshell程序，后者属于一种后门程序，最后植入的恶意程序为Hello/WickrMe。

图片来源／趋势科技

目前，勒索软件是直接黑入SharePoint服务器植入，还是经由initial access broker黑客服务访问SharePoint不得而知。因为Cobalt Strike beacon可在网上免费取得，故无法追溯出Hello/WickrMe黑客。

一旦Hello/WickrMe进入SharePoint服务器，即会以RSA算法加密文件，产生.hello文件扩展名的勒索消息。但同时它还能删除备份、关闭终止行程以干扰防范机制。它能加密Office、.pdf、.7z等10多种格式文件，以及MySQL、Microsoft SQL、Oracle、PostgreSQL、Veeam等数据库。

一如所有勒索软件，趋势科技也呼吁用户更新及构建多层次安全防护、不要随意点击不明连接、并做好不同格式的备份。