LockFile Ransomware naraża serwery Microsoft Exchange

W ciągu ostatnich kilku miesięcy cyberprzestępcy aktywnie atakowali serwery Microsoft Exchange. Wielu twórców złośliwego oprogramowania i operatorów ransomware wykorzystuje najnowsze luki w zabezpieczeniach, aby przejąć nadające się do wykorzystania serwery, a następnie umieszczać na nich swoje złośliwe aplikacje. Jedną z ostatnich luk w zabezpieczeniach, które wykorzystują oszuści, jest ProxyShell i niestety ich próby są jak dotąd udane. Gang stojący za LockFile Ransomware wykorzystuje te właśnie luki w zabezpieczeniach, aby uruchomić niebezpiecznego trojana szyfrującego pliki.

Luki ProxyShell pojawiły się po raz pierwszy kilka miesięcy temu i zostały oficjalnie załatane przez Microsoft w maju. Jednak nadal istnieje wiele niezałatanych serwerów Microsoft Exchange, które są otwarte na Internet. Przestępcy używają specjalnych narzędzi do skanowania sieci i znajdowania serwerów z przestarzałymi wersjami, które wciąż mają luki ProxyShell. Inną rodziną ransomware, która pojawiła się ostatnio po serwerach Microsoft Exchange, jest Epsilon Red Ransomware .

W jaki sposób sadzi się oprogramowanie ransomware LockFile?

Gdy atakujący pomyślnie wykorzysta serwer Microsoft Exchange, umieszcza wcześniej nieznaną powłokę sieciową. Umożliwia im wykonywanie zdalnych poleceń i kontrolowanie różnych funkcji w systemach, które narażają. Oczywiście w tym przypadku głównym celem powłoki internetowej jest zapewnienie płynnego działania ransomware LockFile.

Gdy szafka plików zacznie działać, szybko zaszyfruje zawartość cennych plików przechowywanych na komputerze. Zagrożenie dodaje rozszerzenie „.lockfile” do uszkodzonych plików, a także zostawia żądanie okupu, aby przekazać ofierze instrukcje. Wiadomość zazwyczaj zawiera imię ofiary - -LOCKFILE-README.hta. Wiadomość w środku ujawnia sytuację ofierze i proponuje płatną opcję odzyskiwania danych. Przestępcy wydają się być chętni do zdobycia pieniędzy i wymieniają dwa ważne warunki:

• Ofiary, które zapłacą w ciągu 24 godzin, otrzymają 50% zniżki.
• Ofiary, które nie zapłacą w ciągu 48 godzin, zostaną trwale usunięte.

Nie jest jasne, czy atakujący blefują, czy nie. Radzą swoim ofiarom, aby skontaktowały się z nimi za pośrednictwem poczty elektronicznej contact@contipauper.com lub za pośrednictwem komunikatora Tox. Próba współpracy z przestępcami to zły pomysł. Nie dają ci powodu, by im ufać i bardzo łatwo byłoby im wyłudzić pieniądze. Ofiary ransomware LockFile powinny użyć narzędzia antywirusowego, aby usunąć złośliwe oprogramowanie, a następnie odzyskać swoje pliki za pomocą kopii zapasowej.