Threat Database Ransomware DearCryランサムウェア

DearCryランサムウェア

サイバー犯罪者は、MicrosoftのExchangeサーバーで発見された4つのゼロデイ脆弱性を悪用して、侵害されたターゲットにDearCryと呼ばれる新しいランサムウェアの脅威を投下し始めました。新しい脅威の名前は、数年前にマイクロソフトのさまざまな脆弱性を悪用して世界中の何千人もの犠牲者に感染 した悪名高いWannaCryランサムウェアへのオマージュのようです。

DearCryの悪意のあるキャンペーンは、ProxyLogonの脆弱性を介したMicrosoft Exchange Serverの侵害に依存して、標的のデバイスへの不正アクセスを取得します。 Infosecの研究者は、一般に公開され、ハッカーがDearCryを展開するために使用する7000近くのWebシェルをすでに発見しています。脅威の根底にあるコードを分析すると、約80の異なるファイルタイプを追跡していることがわかります。

.TIF、.TIFF、.PDF、.XLS、.XLSX、.XLTM、.PS、.PPS、.PPT、.PPTX、.DOC、.DOCX、.LOG、.MSG、.RTF、.TEX、.TXT 、.CAD、.WPS、.EML、.INI、.CSS、.HTM、.HTML、.XHTML、.JS、.JSP、.PHP、.KEYCHAIN、.PEM、.SQL、.APK、.APP、。 BAT、.CGI、.ASPX、.CER、.CFM、.C、.CPP、.GO、.CONFIG、.PL、.PY、.DWG、.XML、.JPG、.BMP、.PNG、.EXE、 .DLL、.CAD、.AVI、.H、.CSV、.DAT、.ISO、.PST、.PGD、.7Z、.RAR、.ZIP、.ZIPX、.TAR、.PDB、.BIN、.DB 、.MDB、.MDF、.BAK、.LOG、.EDB、.STM、.DBF、.ORA、.GPG、.EDB、.MFS。

セットに含まれるすべてのファイルは、AES-256とRSA-2048の組み合わせで暗号化され、アクセス不能と使用不能の両方になります。脅威は文字列「DEARCRY!」を注入します'.CRYPT'が新しい拡張子として元のファイル名に追加される間、ファイルヘッダーに追加されます。 DearCryは、暗号化ルーチンを開始する前に、システムに接続されているすべての論理ドライブを列挙します。ただし、CD-ROMドライブは除きます。

被害者への指示が記載された身代金メモは非常に短く、攻撃者が通信チャネルとして残した2つの電子メールアドレス以外に意味のある詳細が欠けています。被害者は、「konedieyp@airmail.com」または「wewonken@memail.com」のいずれかにメッセージを送信して連絡を開始することになっています。メッセージには、身代金メモ内にある特定のハッシュ文字列を含める必要があります。

マイクロソフトは、DearCryランサムウェアに関する公式の警告を発行し、オンプレミスのExchange Serverのお客様に、最近リリースされたExchangeServerのセキュリティ更新プログラムでシステムを更新するようにアドバイスしています。

トレンド

最も見られました

読み込んでいます...