LockFileランサムウェアがMicrosoftExchangeServerを危険にさらす
過去数か月にわたって、サイバー犯罪者はMicrosoftExchangeサーバーを積極的に標的にしてきました。複数のマルウェア作成者とランサムウェアオペレーターが最近の脆弱性を悪用して、悪用可能なサーバーを乗っ取り、悪意のあるアプリをそれらに植え付けています。詐欺師が悪用する最新の脆弱性の1つはProxyShellであり、残念ながら、これまでのところ、彼らの試みは成功しています。 LockFile Ransomwareの背後にいるギャングは、これらの正確な脆弱性を悪用して、危険なファイル暗号化トロイの木馬を実行しています。
ProxyShellの脆弱性は数か月前に最初に表面化し、5月にMicrosoftによって正式にパッチが適用されました。ただし、インターネットに公開されているパッチが適用されていないMicrosoftExchangeサーバーはまだたくさんあります。犯罪者は特別なツールを使用してWebをスキャンし、ProxyShellの脆弱性がまだ残っている古いバージョンを実行しているサーバーを見つけています。最近MicrosoftExchangeサーバーを追いかけるもう1つのランサムウェアファミリは、 Epsilon RedRansomwareです。
LockFileランサムウェアはどのように植えられていますか?
攻撃者がMicrosoftExchange Serverを悪用すると、これまで知られていなかったWebシェルが仕掛けられます。これにより、リモートコマンドを実行し、侵害したシステムのさまざまな機能を制御できます。もちろん、この場合、Webシェルの主な目的は、LockFileランサムウェアの円滑な実行を保証することです。
ファイルロッカーが機能すると、マシンに保存されている貴重なファイルの内容がすばやく暗号化されます。脅威は、損傷したファイルに「.lockfile」拡張子を追加し、被害者に指示を与えるために身代金メモをドロップします。メッセージには通常、被害者の名前(
- 24時間以内に支払う被害者は、50%の割引を受けられます。
- 48時間以内に支払いを怠った被害者は、ファイルが完全に削除されます。
攻撃者がブラフをしているのかどうかは明らかではありません。彼らは被害者に電子メールcontact@contipauper.comまたはToxメッセージングクライアントを介して連絡するようにアドバイスしています。犯罪者と協力しようとするのは悪い考えです。彼らはあなたに彼らを信頼する理由を与えません、そして彼らがあなたのお金からあなたを詐欺することは非常に簡単でしょう。 LockFile Ransomwareの被害者は、ウイルス対策ツールを使用してマルウェアを終了し、バックアップを通じてファイルを回復する必要があります。