DearCry 랜섬웨어

사이버 범죄자들은 Microsoft의 Exchange 서버에서 발견 된 네 가지 제로 데이 취약점을 악용하여 DearCry라는 새로운 랜섬웨어 위협을 손상된 대상에 떨어 뜨리기 시작했습니다. 새로운 위협의 이름은 2 년 전 다양한 Microsoft 취약성을 악용하여 전 세계 수천 명의 피해자를 감염시킨 악명 높은 WannaCry 랜섬웨어에 대한 경의로 보입니다.

DearCry 악성 캠페인은 대상 장치에 대한 불법 액세스를 얻기 위해 ProxyLogon 취약점을 통한 Microsoft Exchange Server 손상에 의존합니다. Infosec 연구원은 이미 대중에게 노출되고 해커가 DearCry를 배포하는 데 사용하는 7000 개에 가까운 웹쉘을 발견했습니다. 위협의 기본 코드를 분석 한 결과 약 80 개의 서로 다른 파일 유형을 추적하는 것으로 나타났습니다.

.TIF, .TIFF, .PDF, .XLS, .XLSX, .XLTM, .PS, .PPS, .PPT, .PPTX, .DOC, .DOCX, .LOG, .MSG, .RTF, .TEX, .TXT , .CAD, .WPS, .EML, .INI, .CSS, .HTM, .HTML, .XHTML, .JS, .JSP, .PHP, .KEYCHAIN, .PEM, .SQL, .APK, .APP,. BAT, .CGI, .ASPX, .CER, .CFM, .C, .CPP, .GO, .CONFIG, .PL, .PY, .DWG, .XML, .JPG, .BMP, .PNG, .EXE, .DLL, .CAD, .AVI, .H, .CSV, .DAT, .ISO, .PST, .PGD, .7Z, .RAR, .ZIP, .ZIPX, .TAR, .PDB, .BIN, .DB , .MDB, .MDF, .BAK, .LOG, .EDB, .STM, .DBF, .ORA, .GPG, .EDB, .MFS.

세트에 포함 된 모든 파일은 AES-256 및 RSA-2048의 조합으로 암호화되며 액세스 및 사용할 수 없게 렌더링됩니다. 위협은 문자열 'DEARCRY!'를 삽입합니다. 파일 헤더에 '.CRYPT'가 새 확장자로 원래 파일 이름에 추가됩니다. DearCry는 CD-ROM 드라이브를 제외하고 암호화 루틴을 시작하기 전에 시스템에 연결된 모든 논리 드라이브를 열거합니다.

피해자를위한 지시 사항이 담긴 몸값 메모는 매우 짧으며 공격자가 통신 채널로 남기는 두 개의 이메일 주소 외에는 의미있는 세부 정보가 없습니다. 피해자는 'konedieyp@airmail.com'또는 'wewonken@memail.com'으로 메시지를 보내 연락을 시작해야합니다. 메시지에는 랜섬 노트에있는 특정 해시 문자열이 포함되어야합니다.

Microsoft는 DearCry 랜섬웨어에 대한 공식 경고를 발표하고 온-프레미스 Exchange Server 고객에게 최근 출시 된 Exchange Server 보안 업데이트로 시스템을 업데이트하도록 권고했습니다.