DearCry 勒索軟件

網絡犯罪分子已開始利用在 Microsoft Exchange 服務器中發現的四個零日漏洞，將一種名為 DearCry 的新型勒索軟件威脅投放到受感染目標上。新威脅的名稱似乎是對臭名昭著的WannaCry 勒索軟件的致敬，該軟件幾年前通過利用一組不同的 Microsoft 漏洞感染了全球數千名受害者。

DearCry 惡意活動依靠 Microsoft Exchange Server 通過 ProxyLogon 漏洞獲得非法訪問目標設備。信息安全研究人員已經發現了近 7000 個暴露給公眾並被黑客用來部署 DearCry 的 webshell。對威脅底層代碼的分析表明，它攻擊了大約 80 種不同的文件類型：

.TIF、.TIFF、.PDF、.XLS、.XLSX、.XLTM、.PS、.PPS、.PPT、.PPTX、.DOC、.DOCX、.LOG、.MSG、.RTF、.TEX、.TXT 、.CAD、.WPS、.EML、.INI、.CSS、.HTM、.HTML、.XHTML、.JS、.JSP、.PHP、.KEYCHAIN、.PEM、.SQL、.APK、.APP、. BAT、.CGI、.ASPX、.CER、.CFM、.C、.CPP、.GO、.CONFIG、.PL、.PY、.DWG、.XML、.JPG、.BMP、.PNG、.EXE、 .DLL、.CAD、.AVI、.H、.CSV、.DAT、.ISO、.PST、.PGD、.7Z、.RAR、.ZIP、.ZIPX、.TAR、.PDB、.BIN、.DB 、.MDB、.MDF、.BAK、.LOG、.EDB、.STM、.DBF、.ORA、.GPG、.EDB、.MFS。

屬於該集合的所有文件都將使用 AES-256 和 RSA-2048 的組合進行加密，並且將無法訪問和無法使用。威脅將注入字符串"DEARCRY！"到文件頭中，而".CRYPT"將作為新擴展名附加到原始文件名。 DearCry 將在啟動其加密例程之前枚舉連接到系統的所有邏輯驅動器，不包括任何 CD-ROM 驅動器。

帶有受害者說明的贖金通知非常簡短，除了攻擊者留下作為通信渠道的兩個電子郵件地址之外，沒有任何有意義的細節。受害者應該通過向"konedieyp@airmail.com"或"wewonken@memail.com"發送消息來發起聯繫。消息必須包含在贖金票據中找到的特定哈希字符串。

Microsoft 已發布有關 DearCry 勒索軟件的官方警告，並建議本地 Exchange Server 客戶使用最近發布的 Exchange Server 安全更新更新他們的系統。