A LockFile Ransomware veszélyezteti a Microsoft Exchange kiszolgálókat

Az elmúlt hónapokban a kiberbűnözők aktívan céloztak a Microsoft Exchange szervereire. Több kártevő -készítő és ransomware -üzemeltető visszaél a közelmúlt sebezhetőségével, hogy átvegye a kihasználható szervereket, majd rájuk telepítse rosszindulatú alkalmazásait. A csalók egyik legújabb sebezhetősége a ProxyShell, és sajnos próbálkozásaik eddig sikeresek voltak. A LockFile Ransomware mögött álló banda visszaél ezekkel a sérülékenységekkel a veszélyes fájl-titkosító trójai futtatásához.

A ProxyShell sebezhetősége néhány hónappal ezelőtt jelent meg először, és májusban hivatalosan is javította őket a Microsoft. Mindazonáltal még mindig rengeteg nem javított Microsoft Exchange szerver van nyitva az internethez. A bűnözők speciális eszközöket használnak az internet átvizsgálására, és olyan kiszolgálók keresésére, amelyek az elavult verziókat futtatják, és amelyek továbbra is tartalmazzák a ProxyShell biztonsági réseket. Egy másik ransomware család, amely a Microsoft Exchange szervereit követi a közelmúltban, az Epsilon Red Ransomware .

Hogyan telepíthető a LockFile Ransomware?

Miután a támadók sikeresen kihasználják a Microsoft Exchange Server kiszolgálót, egy korábban ismeretlen webhéjat telepítenek. Lehetővé teszi számukra, hogy távoli parancsokat hajtsanak végre és különböző funkciókat vezessenek a kompromittált rendszereken. Természetesen ebben az esetben a webhéj elsődleges célja a LockFile Ransomware zökkenőmentes végrehajtásának biztosítása.

Amint a fájlzároló működésbe lép, gyorsan titkosítja a gépen tárolt értékes fájlok tartalmát. A fenyegetés hozzáfűzi a „.lockfile” kiterjesztést a sérült fájlokhoz, és egy váltságdíjat is ejt, hogy utasításokat adjon az áldozatnak. Az üzenet általában tartalmazza az áldozat nevét-<ÁLDOTT NÉV> -LOCKFILE-README.hta. A benne lévő üzenet feltárja a helyzetet az áldozat számára, és fizetős adat -helyreállítási lehetőséget javasol. A bűnözők alig várják a pénz megszerzését, és két fontos feltételt sorolnak fel:

• Azok az áldozatok, akik 24 órán belül fizetnek, 50% kedvezményt kapnak.
• Azok az áldozatok, akik 48 órán belül nem fizetnek, véglegesen törlik fájljaikat.

Nem világos, hogy a támadók blöffölnek -e vagy sem. Azt tanácsolják áldozataiknak, hogy vegyék fel velük a kapcsolatot a contact@contipauper.com e -mail címen vagy a Tox üzenetküldő ügyfélen keresztül. Rossz ötlet, ha megpróbálunk együttműködni a bűnözőkkel. Nem adnak okot arra, hogy bízzon bennük, és nagyon könnyű lenne becsapni a pénzéből. A LockFile Ransomware áldozatainak víruskereső eszközzel kell megszüntetniük a rosszindulatú programot, majd biztonsági mentéssel helyreállítaniuk fájljaikat.