DearCry 勒索软件

网络犯罪分子已开始利用在 Microsoft Exchange 服务器中发现的四个零日漏洞，将一种名为 DearCry 的新型勒索软件威胁投放到受感染目标上。新威胁的名称似乎是对臭名昭著的WannaCry 勒索软件的致敬，该软件几年前通过利用一组不同的 Microsoft 漏洞感染了全球数千名受害者。

DearCry 恶意活动依靠 Microsoft Exchange Server 通过 ProxyLogon 漏洞获得非法访问目标设备。信息安全研究人员已经发现了近 7000 个暴露给公众并被黑客用来部署 DearCry 的 webshell。对威胁底层代码的分析表明，它攻击了大约 80 种不同的文件类型：

.TIF、.TIFF、.PDF、.XLS、.XLSX、.XLTM、.PS、.PPS、.PPT、.PPTX、.DOC、.DOCX、.LOG、.MSG、.RTF、.TEX、.TXT 、.CAD、.WPS、.EML、.INI、.CSS、.HTM、.HTML、.XHTML、.JS、.JSP、.PHP、.KEYCHAIN、.PEM、.SQL、.APK、.APP、. BAT、.CGI、.ASPX、.CER、.CFM、.C、.CPP、.GO、.CONFIG、.PL、.PY、.DWG、.XML、.JPG、.BMP、.PNG、.EXE、 .DLL、.CAD、.AVI、.H、.CSV、.DAT、.ISO、.PST、.PGD、.7Z、.RAR、.ZIP、.ZIPX、.TAR、.PDB、.BIN、.DB 、.MDB、.MDF、.BAK、.LOG、.EDB、.STM、.DBF、.ORA、.GPG、.EDB、.MFS。

属于该集合的所有文件都将使用 AES-256 和 RSA-2048 的组合进行加密，并且将无法访问和无法使用。威胁将注入字符串"DEARCRY！"到文件头中，而".CRYPT"将作为新扩展名附加到原始文件名。 DearCry 将在启动其加密例程之前枚举连接到系统的所有逻辑驱动器，不包括任何 CD-ROM 驱动器。

带有受害者说明的赎金通知非常简短，除了攻击者留下作为通信渠道的两个电子邮件地址之外，没有任何有意义的细节。受害者应该通过向"konedieyp@airmail.com"或"wewonken@memail.com"发送消息来发起联系。消息必须包含在赎金票据中找到的特定哈希字符串。

Microsoft 已发布有关 DearCry 勒索软件的官方警告，并建议本地 Exchange Server 客户使用最近发布的 Exchange Server 安全更新更新他们的系统。