Программа-вымогатель LockFile взламывает серверы Microsoft Exchange

Последние несколько месяцев киберпреступники активно атакуют серверы Microsoft Exchange. Множество создателей вредоносных программ и операторов программ-вымогателей злоупотребляют недавними уязвимостями, чтобы захватить уязвимые серверы, а затем установить на них свои вредоносные приложения. Одна из последних уязвимостей, которыми пользуются злоумышленники, - это ProxyShell, и, к сожалению, их попытки пока увенчались успехом. Банда LockFile Ransomware использует именно эти уязвимости для запуска опасного троянца для шифрования файлов.

Уязвимости ProxyShell впервые появились несколько месяцев назад, а в мае Microsoft официально исправила их. Однако до сих пор существует множество непропатченных серверов Microsoft Exchange, открытых для Интернета. Преступники используют специальные инструменты для сканирования Интернета и поиска серверов с устаревшими версиями, которые все еще имеют уязвимости ProxyShell. Еще одно семейство программ-вымогателей, недавно появившихся после серверов Microsoft Exchange, - это программа-вымогатель Epsilon Red .

Как распространяется программа-вымогатель LockFile?

Как только злоумышленники успешно используют Microsoft Exchange Server, они устанавливают ранее неизвестную веб-оболочку. Это позволяет им выполнять удаленные команды и управлять различными функциями в системах, которые они скомпрометируют. Конечно, в этом случае основная цель веб-оболочки - обеспечить бесперебойное выполнение программы-вымогателя LockFile.

Как только файловый шкафчик заработает, он быстро зашифрует содержимое ценных файлов, хранящихся на машине. Угроза добавляет расширение .lockfile к файлам, которые она повреждает, а также отправляет записку о выкупе, чтобы предоставить жертве инструкции. Сообщение обычно включает имя жертвы - -LOCKFILE-README.hta. Сообщение внутри раскрывает ситуацию жертве и предлагает платный вариант восстановления данных. Преступники, похоже, очень хотят получить деньги, и они перечисляют два важных условия:

• Жертвы, которые заплатят в течение 24 часов, получат скидку 50%.
• Жертвы, которые не заплатят в течение 48 часов, будут навсегда удалены.

Неясно, блефуют злоумышленники или нет. Они советуют своим жертвам связываться с ними по электронной почте contact@contipauper.com или через клиент обмена сообщениями Tox. Пытаться сотрудничать с преступниками - плохая идея. Они не дают вам повода доверять им, и им будет очень легко обмануть вас с вашими деньгами. Жертвы LockFile Ransomware должны использовать антивирусный инструмент, чтобы остановить вредоносное ПО, а затем восстановить свои файлы с помощью резервной копии.