DEARCRY通过ProxyLogon漏洞将Microsoft Exchange服务器作为目标

最新发现的勒索软件DEARCRY已发现是通过黑客攻击Microsoft Exchange服务器来分发的。

由于最近公开的ProxyLogon漏洞（四个漏洞CVE-2021-26855，CVE-2021-26857，CVE-2021-26858和CVE-2021-27065），这种黑客攻击是可能的。

通过利用这些漏洞，攻击者可以利用Web上的Outlook（OWA）在Microsoft Exchange服务器上执行远程执行。

12月9日，许多受害者开始未提交新的勒索软件，并且该系统的加密文件属于勒索软件识别站点ID-Ransomware的创建者Michael Gillespie。 Gillespie发现提交的几乎全部来自Microsoft Exchange服务器。

同样，在不同的论坛上，有一个话题，人们讨论Microsoft Exchange Server使用ProxyLogon漏洞受到了损害，而Dearcry勒索软件就是有效载荷。

今天，Microsoft证实了这一点，即通过声明的漏洞在Microsoft Exchange服务器上以人为打开的攻击安装了DEARCRY。

MalwareHunterTeam在VirusTotal上发现了三个勒索软件样本。这些都是用MingW可执行文件编译的。其中之一具有以下路径：

C：\ Users \ john \ Documents \ Visual Studio 2008 \ Projects \ EncryptFile -svcV2 \ Release \ EncryptFile.exe.pdb

Advanced Intel的Vitali Kremez表示，DEARCRY成功启动后，将尝试关闭窗口服务-“ msupdate”（这不是合法的窗口服务）。

之后，勒索软件会加密存储的文件，并以.CRYPT扩展名和DEARCRY附加文件名！每个加密文件开头的字符串。加密使用AES-256 + RSA + 2048加密算法完成。

之后，勒索软件将勒索便笺放到桌面上名为readme.txt的文件下。勒索票据包含要求赎金的消息，属于骗子的电子邮件地址和唯一的哈希（根据Gillespie的说法，这是RSA公钥的MD4哈希）。

目前，勒索软件没有任何可以使受害者免费恢复其文件的弱点。

好消息是，过去三天对成千上万的Microsoft Exchange服务器进行了修补。但是，Palo Alto Networks说，仍然有大约80，000台较旧的服务器无法直接应用最新的安全更新。

帕洛阿尔托网络（Palo Alto Networks）Cortex首席技术官Matt Kraning说：“我从未见过任何系统的安全补丁率如此之高，远没有像Microsoft Exchange那样广泛部署的系统。尽管如此，我们还是敦促运行所有版本Exchange的组织在修补系统补丁之前就假设它们已经受到威胁，因为我们知道，攻击者在Microsoft于3月2日发布补丁之前，至少在两个月内一直在利用这些零日漏洞。