黑客使用DearCry勒索软件针对微软Exchange服务器击(2021.03.19)

在利用最近披露的ProxyLogon漏洞入侵微软Exchange服务器后，黑客们现在正在安装一款名为“DEARCRY”的新型勒索软件。据勒索软件识别网站ID-Ransomware的创建者Michael Gillespie称，从3月9日开始，用户开始向他的系统提交新的勒索通知和加密文件。在审查了提交的文件之后，Gillespie发现几乎所有的文件都是来自Microsoft Exchange服务器。据高级英特尔公司的Vitali Kremez称，当DearCry勒索软件启动后，将尝试关闭名为“ msupdate”的Windows服务。加密文件时，它将在文件名后附加.CRYPT扩展名。该勒索软件使用AES-256 + RSA-2048加密文件，并预写“DEARCRY！”字符串到每个加密文件的开头。加密计算机后，勒索软件将在Windows桌面上创建一个简单的勒索便笺，名为“ readme.txt”。完整报告可在www.bleepingcomputer.com下载。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理