不寻常的Deakcry Ransomware使用“罕见”的加密方法
据Sophos的研究人员称,迄今为止通过Proxylogon Microsoft Exchange Server漏洞暴露的有限的Ancycry Ransomware的分析,这是通过Proxylogon Microsoft Exchange服务器漏洞所发现的罕见加密攻击行为。
Mark Loman,Sophos工程技术办公室主任,审查了在一个公司的客户中的挫败网络攻击中获得的Deakcry样本,发现它相对较为不成熟,并且对其存在的可能性很少,因此可能是由新人来创建的。
然而,洛杉矶说,他的分析也发现了一种罕见的“混合”的加密方法,他说他在以前只见过Wannacry。
“都是第一次创建攻击文件的加密副本,我们调用”复制“加密的方法,然后覆盖原始文件以防止恢复,我们称之为”就地“加密,”洛桑说。““复制册制软件允许受害者可能会恢复一些数据。但是,在“适当的”加密中,不可能恢复通过取消删除工具。像Ryuk,Revil,Bitpaymer,Maze和Cl0p等臭名昭着的人工ransomwares,只使用'就地'加密。“
他说,亲爱的和崇拜者之间的相似之处在那里没有结束,添加到加密文件的名称和标题也很多很多。然而,这并不是足够的证据表明杜曼奇的创造者,提醒洛族,以及一些亲属的代码,方法和能力是物质的。例如,它不使用命令和控制(C2)服务器,具有嵌入式RSA加密密钥,不显示具有计时器的用户界面,显着且谢天地,不会向目标网络上的其他机器传播。
“我们发现了许多其他不寻常的嗜好特征,包括赎金软件演员一直为新受害者创造新二进制文件的事实。Loman说,目标有针对性的文件类型列表已经从受害者到受害者发展。“
“我们的分析进一步表明,代码与通常预期的赎金软件(如包装或混淆)也不会有那种反检测功能。这些和其他迹象表明,DeAlcry可能是一种原型,可能被赶紧用于抓住Microsoft Exchange Server漏洞所呈现的机会,或由不经验丰富的开发人员创建。“
Loman补充说,捍卫者应该采取紧急步骤来安装微软的补丁,以防止利用他们的上提交换器服务器,如果无法完全从互联网上断开连接,或者像鹰一样观察它们。这里可以在此处找到有关Sophos分析的Deakcry样本的更多信息。
迄今为止,只有少数组织才被讨论,伊斯科利遭到讨论,该组织于3月9日星期二第一次报告,然后在本周晚些时候被微软确认。它首先由ID Ransomware Creator Michael Gillespie发现了它,他们发现它从Exchange Servers提交到ID RansomWare系统。
截至3月11日星期四,有六种独特的攻击归属于澳大利亚,加拿大和美国的ID Ransomware报告给ID Ransomware,也可能有奥地利和丹麦的受害者。