DearCry Ransomware

Киберпреступники начали использовать четыре уязвимости нулевого дня, обнаруженные в серверах Microsoft Exchange, для защиты скомпрометированных целей новой угрозой вымогателя под названием DearCry. Название новой угрозы, похоже, является данью печально известной программы-вымогателя WannaCry, которая пару лет назад заразила тысячи жертв по всему миру, использовав другой набор уязвимостей Microsoft.

Вредоносная кампания DearCry основана на взломе Microsoft Exchange Server через уязвимости ProxyLogon для получения незаконного доступа к целевым устройствам. Исследователи Infosec уже обнаружили около 7000 веб-шеллов, которые открыты для общественности и используются хакерами для развертывания DearCry. Анализ кода, лежащего в основе угрозы, показывает, что она распространяется примерно на 80 различных типов файлов:

.TIF, .TIFF, .PDF, .XLS, .XLSX, .XLTM, .PS, .PPS, .PPT, .PPTX, .DOC, .DOCX, .LOG, .MSG, .RTF, .TEX, .TXT , .CAD, .WPS, .EML, .INI, .CSS, .HTM, .HTML, .XHTML, .JS, .JSP, .PHP, .KEYCHAIN, .PEM, .SQL, .APK, .APP,. BAT, .CGI, .ASPX, .CER, .CFM, .C, .CPP, .GO, .CONFIG, .PL, .PY, .DWG, .XML, .JPG, .BMP, .PNG, .EXE, .DLL, .CAD, .AVI, .H, .CSV, .DAT, .ISO, .PST, .PGD, .7Z, .RAR, .ZIP, .ZIPX, .TAR, .PDB, .BIN, .DB , .MDB, .MDF, .BAK, .LOG, .EDB, .STM, .DBF, .ORA, .GPG, .EDB, .MFS.

Все файлы, попадающие в этот набор, будут зашифрованы комбинацией AES-256 и RSA-2048 и станут недоступными и непригодными для использования. Угроза введет строку «УВАЖАЕМЫЙ!» в заголовки файлов, а '.CRYPT' будет добавлен к исходным именам файлов как новое расширение. DearCry перечислит все логические диски, подключенные к системе, перед запуском процедуры шифрования, за исключением приводов CD-ROM.

Записка о выкупе с инструкциями для жертв чрезвычайно коротка и не содержит каких-либо значимых деталей, кроме двух адресов электронной почты, которые злоумышленники оставляют в качестве каналов связи. Жертвы должны инициировать контакт, отправив сообщение на адрес konedieyp@airmail.com или wewonken@memail.com. Сообщения должны включать конкретную строку хэша, найденную в записке с требованием выкупа.

Корпорация Майкрософт выпустила официальное предупреждение о программе-вымогателе DearCry и посоветовала локальным клиентам Exchange Server обновить свои системы с помощью недавно выпущенных обновлений безопасности Exchange Server.