LockFile Ransomware äventyrar Microsoft Exchange -servrar

Under de senaste månaderna har cyberkriminella aktivt riktat sig mot Microsoft Exchange -servrar. Flera malware -skapare och ransomware -operatörer missbrukar de senaste sårbarheterna för att ta över utnyttjbara servrar och sedan plantera sina skadliga appar på dem. En av de senaste sårbarheterna som skurkar utnyttjar är ProxyShell och tyvärr har deras försök varit framgångsrika hittills. Gänget bakom LockFile Ransomware missbrukar just dessa sårbarheter för att köra den farliga fil-kryptering Trojan.

ProxyShell -sårbarheterna dök upp första gången för några månader sedan, och de lappades officiellt av Microsoft i maj. Det finns dock fortfarande många ouppdaterade Microsoft Exchange -servrar som är öppna för Internet. Kriminella använder specialverktyg för att skanna webben och hitta servrar som kör de föråldrade versionerna som fortfarande har ProxyShell -sårbarheter. En annan ransomware -familj att gå efter Microsoft Exchange -servrar nyligen har varit Epsilon Red Ransomware .

Hur planteras LockFile Ransomware?

När angriparna väl har utnyttjat en Microsoft Exchange Server framgångsrikt planterar de ett tidigare okänt webbskal. Det gör det möjligt för dem att utföra fjärrkommandon och styra olika funktioner på de system de kompromissar. Naturligtvis, i det här fallet, är det huvudsakliga syftet med webbskalet att säkerställa en smidig körning av LockFile Ransomware.

När fillåset väl kommer att fungera kommer det snabbt att kryptera innehållet i värdefulla filer som lagras på maskinen. Hotet lägger till tillägget ".lockfile" till filer som det skadar, och det tappar också en lösenbrev för att ge offret instruktioner. Meddelandet innehåller vanligtvis offrets namn- -LOCKFILE-README.hta. Meddelandet inuti avslöjar situationen för offret och föreslår ett alternativ för återhämtning av data. Kriminella verkar vara ivriga att få pengarna, och de listar två viktiga villkor:

• Offer som betalar på 24 timmar får 50% rabatt.
• Offer som inte betalar inom 48 timmar kommer att ta bort sina filer permanent.

Det är inte klart om angriparna bluffar eller inte. De råder sina offer att kontakta dem via e -postadressen contact@contipauper.com eller via Tox -meddelandeklienten. Det är en dålig idé att försöka samarbeta med de kriminella. De ger dig ingen anledning att lita på dem, och det skulle vara väldigt lätt för dem att lura dig ur dina pengar. Offer för LockFile Ransomware bör använda ett antivirusverktyg för att avsluta skadlig programvara och sedan återställa sina filer genom en säkerhetskopia.