Threat Database Ransomware DearCry Ransomware

DearCry Ransomware

Cyberkriminelle haben begonnen, die vier auf den Exchange-Servern von Microsoft entdeckten Zero-Day-Sicherheitslücken auszunutzen, um eine neue Ransomware-Bedrohung namens DearCry auf die gefährdeten Ziele zu werfen. Der Name der neuen Bedrohung scheint eine Hommage an die berüchtigte WannaCry-Ransomware zu sein, die vor einigen Jahren Tausende von Opfern auf der ganzen Welt infiziert hat, indem sie eine Reihe anderer Microsoft-Sicherheitslücken ausgenutzt hat.

Die böswillige DearCry-Kampagne basiert auf den Microsoft Exchange Server-Kompromissen über ProxyLogon-Sicherheitslücken, um illegalen Zugriff auf die Zielgeräte zu erhalten. Infosec-Forscher haben bereits fast 7000 Webshells entdeckt, die der Öffentlichkeit zugänglich sind und von den Hackern zur Bereitstellung von DearCry verwendet werden. Die Analyse des zugrunde liegenden Codes der Bedrohung zeigt, dass ungefähr 80 verschiedene Dateitypen verwendet werden:

.TIF, .TIFF, .PDF, .XLS, .XLSX, .XLTM, .PS, .PPS, .PPT, .PPTX, .DOC, .DOCX, .LOG, .MSG, .RTF, .TEX, .TXT , .CAD, .WPS, .EML, .INI, .CSS, .HTM, .HTML, .XHTML, .JS, .JSP, .PHP, .KEYCHAIN, .PEM, .SQL, .APK, .APP ,. BAT, .CGI, .ASPX, .CER, .CFM, .C, .CPP, .GO, .CONFIG, .PL, .PY, .DWG, .XML, .JPG, .BMP, .PNG, .EXE, .DLL, .CAD, .AVI, .H, .CSV, .DAT, .ISO, .PST, .PGD, .7Z, .RAR, .ZIP, .ZIPX, .TAR, .PDB, .BIN, .DB , .MDB, .MDF, .BAK, .LOG, .EDB, .STM, .DBF, .ORA, .GPG, .EDB, .MFS.

Alle Dateien, die in den Satz fallen, werden mit einer Kombination aus AES-256 und RSA-2048 verschlüsselt und sowohl unzugänglich als auch unbrauchbar gemacht. Die Bedrohung wird den String 'DEARCRY!' in die Dateikopfzeilen setzen, während '.CRYPT' als neue Erweiterung an die ursprünglichen Dateinamen angehängt wird. DearCry listet alle mit dem System verbundenen logischen Laufwerke auf, bevor die Verschlüsselungsroutine gestartet wird, mit Ausnahme aller CD-ROM-Laufwerke.

Der Lösegeldschein mit Anweisungen für die Opfer ist extrem kurz und enthält keine aussagekräftigen Details außerhalb von zwei E-Mail-Adressen, die die Angreifer als Kommunikationskanäle hinterlassen. Opfer sollen Kontakt aufnehmen, indem sie eine Nachricht an "konedieyp@airmail.com" oder "wewonken@memail.com" senden. Die Nachrichten müssen die spezifische Hash-Zeichenfolge enthalten, die in der Lösegeldnotiz enthalten ist.

Microsoft hat eine offizielle Warnung bezüglich der DearCry-Ransomware herausgegeben und lokalen Exchange Server-Kunden empfohlen, ihre Systeme mit den kürzlich veröffentlichten Exchange Server-Sicherheitsupdates zu aktualisieren.

Verbundener Beitrag

Im Trend

Am häufigsten gesehen

Wird geladen...