Cybersec NewsЗловредни кодовеКибератакиУязивмости, експлойти, ъпдейти

Криптовирус атакува Microsoft Exchange с експлойти на ProxyLogon

След като стана известно, че хакери са използвали zero-day уязвимости, за да компрометират Microsoft Exchange сървъри, ежедневно научаваме за нови експлоатации.

Предупрежденията на изследователите по киберсигурност, че хакът ще отвори вратата за атаки с криптовируси, се сбъдна: Засечен е нов рансъмуер, наречен „DearCry“, който атакува Microsoft Exchange с експлойти на ProxyLogon.

Атаката се разпространява

До момента киберспециалистите са открили жертви на криптовируса в САЩ, Люксембург, Индонезия, Ирландия, Индия и Германия.

Детекторите на доставчиците на антивирусен софтуер са засекли множество разновидности на DearCry:

  • Ransomware/Win.DoejoCrypt [AhnLab]
  • Win32/Filecoder.DearCry.A [ESET]
  • Trojan-Ransom.DearCry.B [GDATA]
  • Ransom-DearCry [McAfee]
  • Ransom:Win32/DoejoCrypt.A [Microsoft]
  • DearCry [Rising]
  • Ransom/W32.DearCry [TACHYON]
  • Win32.DEARCRY [TrendMicro]
  • Ransomware.Dearcry [Webroot]

Как DearCry криптира компютрите

Проба от рансъмуера, анализирана от BleepingComputer, включва следния PDB път: C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb

Когато бъде стартиран, DearCry създава Windows услуга с име „msupdate“, която започва да криптира файлове със следните разширения:

.TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .C .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS

Криптираните файлове получават допълнително разширение .CRYPT:

Файлове, криптирани от DearCry
Файлове, криптирани от DearCry

Рансъмуерът използва AES-256 за криптиране на файловете и публичен ключ RSA-2048 за криптиране на AES. Също така добавя „DEARCRY!“ низ в началото на всеки заключен файл:

Криптиран файл, маркиран от DearCry
Криптиран файл, маркиран от DearCry

След като приключи с криптирането на компютъра, рансъмуерът създава бележка за откуп с име „readme.txt“ на работния плот на Windows:

Бележка за откуп от DearCry
Бележка за откуп от DearCry

Пачнахте ли Microsoft Exchange сървърите си

Фирмата за киберсигурност Palo Alto Networks съобщава, че десетки хиляди Microsoft Exchange сървъри са ъпдейтнати в рамките на няколко дни. Съществуват обаче около 80 хил. по-стари сървъра, които не могат директно да приложат последните актуализации на защитата.

Прочетете още: Над 61% от всички Microsoft Exchange Server не са пачнати срещу активно експлоатирана уязвимост

Организациите, които използват Exchange, трябва да имат едно на ум, че може да са били компрометирани, преди да закърпят системите си. Все пак знаем, че хакерите са експлоатирали zero-day уязвимостите „in the wild“ в продължение на поне два месеца преди Microsoft да пусне корекциите на 2 март 2021 г.

Препоръки

Приложете корекциите незабавно и създайте офлайн резервни копия на своите Exchange сървъри. Не само за да защитите пощенските си кутии от кражба, но и за да предотвратите тяхното криптиране.

Не неглижирайте и възможността в инфраструктурата ви вече да „живее“ недоброжелател – разгледайте и приложете стъпките, които Microsoft препоръчва за смекчаване на последиците:

Покажи още
Back to top button