LockFile Ransomware kompromitterer Microsoft Exchange -servere

I løpet av de siste månedene har nettkriminelle aktivt rettet seg mot Microsoft Exchange -servere. Flere malware -skapere og ransomware -operatører misbruker de siste sårbarhetene for å ta over serverer som kan utnyttes og deretter plante sine ondsinnede apper på dem. En av de siste sårbarhetene som skurkene utnytter er ProxyShell, og dessverre har forsøkene deres vært vellykkede så langt. Gjengen bak LockFile Ransomware misbruker disse eksakte sårbarhetene for å kjøre den farlige fil-kryptering Trojan.

ProxyShell -sårbarhetene dukket først opp for noen måneder siden, og de ble offisielt lappet av Microsoft i mai. Imidlertid er det fortsatt mange upatchede Microsoft Exchange -servere som er åpne for Internett. Kriminelle bruker spesialverktøy for å skanne Internett og finne servere som kjører de utdaterte versjonene som fortsatt har ProxyShell -sårbarhetene. En annen ransomware -familie å gå etter Microsoft Exchange -servere nylig har vært Epsilon Red Ransomware .

Hvordan plantes LockFile Ransomware?

Når angriperne utnytter en Microsoft Exchange Server vellykket, planter de et tidligere ukjent nettskall. Det gjør dem i stand til å utføre fjernkommandoer og kontrollere forskjellige funksjoner på systemene de kompromitterer. Selvfølgelig, i dette tilfellet, er hovedhensikten med nettskallet å sikre en jevn utførelse av LockFile Ransomware.

Når fillåsen kommer i gang, vil den raskt kryptere innholdet i verdifulle filer som er lagret på maskinen. Trusselen legger til utvidelsen '.lockfile' til filer den skader, og den slipper også en løsepenger for å gi offeret instruksjoner. Meldingen inneholder vanligvis navnet på offeret- -LOCKFILE-README.hta. Meldingen inne avslører situasjonen for offeret og foreslår et alternativt datagjenopprettingsalternativ. Kriminelle ser ut til å være ivrige etter å få pengene, og de lister opp to viktige betingelser:

• Ofre som betaler på 24 timer får 50% rabatt.
• Ofre som ikke betaler innen 48 timer, vil få filene sine slettet permanent.

Det er ikke klart om angriperne bløffer eller ikke. De råder sine ofre til å kontakte dem via e -posten contact@contipauper.com eller via Tox -meldingsklienten. Det er en dårlig idé å prøve å samarbeide med de kriminelle. De gir deg ingen grunn til å stole på dem, og det ville være veldig enkelt for dem å lure deg ut av pengene dine. Ofre for LockFile Ransomware bør bruke et antivirusverktøy for å avslutte skadelig programvare og deretter gjenopprette filene sine gjennom en sikkerhetskopi.