„LockFile Ransomware“ pažeidžia „Microsoft Exchange“ serverius

Per pastaruosius kelis mėnesius kibernetiniai nusikaltėliai aktyviai taikėsi į „Microsoft Exchange“ serverius. Keli kenkėjiškų programų kūrėjai ir išpirkos programinės įrangos operatoriai piktnaudžiauja naujausiomis spragomis, norėdami perimti išnaudojamus serverius ir tada įdėti į juos savo kenkėjiškas programas. Vienas iš naujausių pažeidžiamumų, kuriuos išnaudoja sukčiai, yra „ProxyShell“ ir, deja, jų bandymai iki šiol buvo sėkmingi. Už „LockFile Ransomware“ priklausanti gauja piktnaudžiauja būtent šiais pažeidžiamumais, kad paleistų pavojingą failų šifravimo Trojos arklys.

„ProxyShell“ pažeidžiamumai pirmą kartą pasirodė prieš kelis mėnesius, o gegužę „Microsoft“ juos oficialiai pataisė. Tačiau vis dar yra daug nepataisytų „Microsoft Exchange“ serverių, kurie yra atviri internetui. Nusikaltėliai naudoja specialius įrankius žiniatinkliui nuskaityti ir rasti serverius, kuriuose veikia pasenusios versijos, kuriose vis dar yra „ProxyShell“ pažeidžiamumų. Kita „Ransomware“ šeima, kuri neseniai turėjo sekti „Microsoft Exchange“ serverius, buvo „Epsilon Red Ransomware“ .

Kaip pasodinti „LockFile Ransomware“?

Kai užpuolikai sėkmingai išnaudoja „Microsoft Exchange Server“, jie pasodina anksčiau nežinomą žiniatinklio apvalkalą. Tai leidžia jiems vykdyti nuotolines komandas ir valdyti įvairias jų pažeistų sistemų funkcijas. Žinoma, šiuo atveju pagrindinis žiniatinklio apvalkalo tikslas yra užtikrinti sklandų „LockFile Ransomware“ vykdymą.

Kai failų spintelė pradės veikti, ji greitai užšifruos mašinoje saugomų vertingų failų turinį. Grėsmė prideda „.lockfile“ plėtinį prie failų, kuriuos ji sugadina, taip pat numeta išpirkos raštą, kad nukentėjusysis gautų nurodymus. Į pranešimą paprastai įtraukiamas aukos vardas- -LOCKFILE-README.hta. Viduje esantis pranešimas atskleidžia aukai situaciją ir siūlo mokamą duomenų atkūrimo parinktį. Atrodo, kad nusikaltėliai trokšta gauti pinigų ir nurodo dvi svarbias sąlygas:

• Aukos, sumokėjusios per 24 valandas, gaus 50% nuolaidą.
• Nukentėjusiųjų, kurie nesumokės per 48 valandas, failai bus ištrinti visam laikui.

Neaišku, ar užpuolikai blefuoja, ar ne. Jie pataria savo aukoms susisiekti su jais elektroniniu paštu contact@contipauper.com arba per „Tox“ pranešimų klientą. Nebloga idėja bandyti bendradarbiauti su nusikaltėliais. Jie nesuteikia jums jokios priežasties jais pasitikėti, ir jiems būtų labai lengva apgauti jus iš jūsų pinigų. „LockFile Ransomware“ aukos turėtų naudoti antivirusinę priemonę, kad nutrauktų kenkėjišką programą ir atkurtų failus naudodami atsarginę kopiją.