LockFile Ransomware kompromitterer Microsoft Exchange -servere

I løbet af de sidste par måneder har cyberkriminelle aktivt målrettet Microsoft Exchange -servere. Flere malware -skabere og ransomware -operatører misbruger de seneste sårbarheder for at overtage servere, der kan udnyttes, og derefter plante deres ondsindede apps på dem. En af de seneste sårbarheder, som skurke udnytter, er ProxyShell, og desværre har deres forsøg været vellykkede indtil nu. Banden bag LockFile Ransomware misbruger netop disse sårbarheder til at køre den farlige fil-kryptering Trojan.

ProxyShell -sårbarhederne viste sig først for et par måneder siden, og de blev officielt patched af Microsoft i maj. Der er dog stadig masser af upatchede Microsoft Exchange -servere, der er åbne for Internettet. Kriminelle bruger særlige værktøjer til at scanne Internettet og finde servere, der kører de forældede versioner, der stadig har ProxyShell -sårbarheder. En anden ransomware -familie, der skal gå efter Microsoft Exchange -servere for nylig, har været Epsilon Red Ransomware .

Hvordan plantes LockFile Ransomware?

Når angriberne udnytter en Microsoft Exchange Server med succes, planter de en tidligere ukendt webskal. Det gør dem i stand til at udføre fjernkommandoer og styre forskellige funktioner på de systemer, de går på kompromis med. Selvfølgelig er webskalens primære formål i dette tilfælde at sikre problemfri udførelse af LockFile Ransomware.

Når fil-locker kommer i gang, vil det hurtigt kryptere indholdet af værdifulde filer, der er gemt på maskinen. Truslen tilføjer udvidelsen '.lockfile' til filer, den beskadiger, og den taber også en løseseddel for at give offeret instruktioner. Meddelelsen indeholder typisk offerets navn- -LOCKFILE-README.hta. Meddelelsen inde afslører situationen for offeret og foreslår en betalt datagendannelsesindstilling. Kriminelle synes at være ivrige efter at få pengene, og de angiver to vigtige betingelser:

• Ofre, der betaler på 24 timer, får 50% rabat.
• Ofre, der ikke betaler inden for 48 timer, får deres filer permanent slettet.

Det er ikke klart, om angriberne bluffer eller ej. De råder deres ofre til at kontakte dem via e -mailen contact@contipauper.com eller via Tox -beskedklienten. Det er en dårlig idé at forsøge at samarbejde med de kriminelle. De giver dig ingen grund til at stole på dem, og det ville være meget let for dem at snyde dig ud af dine penge. Ofre for LockFile Ransomware bør bruge et antivirusværktøj til at afslutte malware og derefter gendanne deres filer via en sikkerhedskopi.