新的DEARCRY勒索软件针对Microsoft Exchange Server

交换勒索软件

一种名为“ DEARCRY”的新勒索软件针对的是Microsoft Exchange服务器,一名受害者表示它们是通过ProxyLogon漏洞感染的。

自从微软本月初透露威胁者使用新的零日ProxyLogon漏洞破坏了Microsoft Exchange服务器以来,人们就一直在担心威胁者会使用它来部署勒索软件。

从3月9日开始,似乎有一个黑客组织现在将目标锁定为Exchange服务器,并使用新的“ DearCry”勒索软件对其进行加密。尽管一名受害者表示被ProxyLogon漏洞利用后已安装,但尚未确认。

DearCry勒索软件

根据勒索软件标识站点ID-Ransomware的创建者Michael Gillespie的说法 ,从3月9日开始,用户开始向其系统提交新的勒索票据和加密的文件类型。

在查看了提交内容之后,Gillespie发现用户几乎从Microsoft Exchange服务器提交了所有提交的内容。

3月9日,一名受害者在BleepingComputer论坛上创建了一个论坛主题,他们在该论坛中说,他们的Microsoft Exchange Server已使用ProxyLogon漏洞进行了入侵,其中DearCry勒索软件为有效载荷。

在BleepingComputer论坛上发布有关DearCry的信息
在BleepingComputer论坛上发布有关DearCry的信息

MalwareHunterTeam 能找到关于VirusTotal [三个样品1,  2,  3 ],所有这些都是MingW平台编译的可执行文件。BleepingComputer分析的一个包含以下PDB路径:

C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb

根据Advanced Intel的 Vitali Kremez的说法,启动后,DearCry勒索软件将尝试关闭名为“ msupdate”的Windows服务。不知道此服务是什么,但它似乎不是合法的Windows服务。

关闭msupdate服务的代码
关闭msupdate服务的代码

勒索软件现在将开始对计算机上的文件进行加密。加密文件时,它将在文件名后附加.CRYPT扩展名,如下所示。

DearCry加密文件
DearCry加密文件

Gillespie告诉BleepingComputer,勒索软件使用AES-256 + RSA-2048加密文件并添加“ DEARCRY!”字样。每个加密文件开头的字符串。

加密文件中的DEARCRY文件标记
加密文件中的DEARCRY文件标记

加密计算机后,勒索软件将在Windows桌面上创建一个简单的勒索便笺,名为“ readme.txt”。该赎金记录包含两个威胁行为者的电子邮件地址和一个唯一的哈希,Gillespie指出这是RSA公钥的MD4哈希。

DearCry赎金记录
DearCry赎金记录

不幸的是,勒索软件似乎没有任何可以使受害者免费恢复其文件的弱点。

立即修补!

虽然不是100%确认通过Microsoft Exchange ProxyLogon漏洞安装了DearCry,但很有可能它是基于现有信息的。

根据网络安全公司Palo Alto Networks与BleepingComputer共享的新数据,在过去三天内对数以万计的Microsoft Exchange服务器进行了修补。

不幸的是,Palo Alto Networks指出,仍然有大约80,000台较旧的服务器无法直接应用最新的安全更新。

Palo Alto Networks的Cortex首席技术官Matt Kraning说:“对于任何系统,我从未见过如此高的安全补丁程序率,远没有像Microsoft Exchange这样广泛部署的系统。” “不过,我们仍然敦促运行所有版本Exchange的组织在修补系统补丁之前就假设它们已经受到威胁,因为我们知道,攻击者在3月2日微软发布补丁之前,至少要在两个月内利用这些零日漏洞。 ”

强烈建议所有组织尽快应用补丁。

不仅保护您的邮箱不被盗,而且现在还可以防止对其进行加密。

*编译:Domino

*来自:bleepingcomputer