不寻常的Deakcry Ransomware使用“罕见”的加密方法

据Sophos的研究人员称，迄今为止通过Proxylogon Microsoft Exchange Server漏洞暴露的有限的Ancycry Ransomware的分析，这是通过Proxylogon Microsoft Exchange服务器漏洞所发现的罕见加密攻击行为。

Mark Loman，Sophos工程技术办公室主任，审查了在一个公司的客户中的挫败网络攻击中获得的Deakcry样本，发现它相对较为不成熟，并且对其存在的可能性很少，因此可能是由新人来创建的。

然而，洛杉矶说，他的分析也发现了一种罕见的“混合”的加密方法，他说他在以前只见过Wannacry。

“都是第一次创建攻击文件的加密副本，我们调用”复制“加密的方法，然后覆盖原始文件以防止恢复，我们称之为”就地“加密，”洛桑说。““复制册制软件允许受害者可能会恢复一些数据。但是，在“适当的”加密中，不可能恢复通过取消删除工具。像Ryuk，Revil，Bitpaymer，Maze和Cl0p等臭名昭着的人工ransomwares，只使用'就地'加密。“

他说，亲爱的和崇拜者之间的相似之处在那里没有结束，添加到加密文件的名称和标题也很多很多。然而，这并不是足够的证据表明杜曼奇的创造者，提醒洛族，以及一些亲属的代码，方法和能力是物质的。例如，它不使用命令和控制（C2）服务器，具有嵌入式RSA加密密钥，不显示具有计时器的用户界面，显着且谢天地，不会向目标网络上的其他机器传播。

“我们发现了许多其他不寻常的嗜好特征，包括赎金软件演员一直为新受害者创造新二进制文件的事实。Loman说，目标有针对性的文件类型列表已经从受害者到受害者发展。“

“我们的分析进一步表明，代码与通常预期的赎金软件（如包装或混淆）也不会有那种反检测功能。这些和其他迹象表明，DeAlcry可能是一种原型，可能被赶紧用于抓住Microsoft Exchange Server漏洞所呈现的机会，或由不经验丰富的开发人员创建。“

Loman补充说，捍卫者应该采取紧急步骤来安装微软的补丁，以防止利用他们的上提交换器服务器，如果无法完全从互联网上断开连接，或者像鹰一样观察它们。这里可以在此处找到有关Sophos分析的Deakcry样本的更多信息。

迄今为止，只有少数组织才被讨论，伊斯科利遭到讨论，该组织于3月9日星期二第一次报告，然后在本周晚些时候被微软确认。它首先由ID Ransomware Creator Michael Gillespie发现了它，他们发现它从Exchange Servers提交到ID RansomWare系统。

截至3月11日星期四，有六种独特的攻击归属于澳大利亚，加拿大和美国的ID Ransomware报告给ID Ransomware，也可能有奥地利和丹麦的受害者。