新聞

鎖定 Exchange 伺服器的 DearCry 勒索軟體以「混合式」加密攻擊

2021 / 03 / 18
編輯部
鎖定 Exchange 伺服器的 DearCry 勒索軟體以「混合式」加密攻擊
在 3 月 2 日 Microsoft Exchange 漏洞被揭露以及緊急發布專用安全修補程式之後,安全研究人員已開始尋找除 Hafnium 以外利用這些錯誤進行攻擊的其他威脅。其中之一是 DearCry 勒索軟體。
 
Sophos 發布了對 DearCry 勒索軟體樣本的分析:《DearCry 攻擊鎖定 Exchange 伺服器的弱點》,該文概述了對該勒索軟體加密行為的一些新發現以及更多資訊。Sophos 勒索軟體專家工程技術辦公室主任 Mark Loman 在以下評論中總結了一些重點。 
 
Sophos 工程技術辦公室總監 Mark Loman 表示:「我們分析 DearCry 勒索軟體樣本之後發現了一種罕見的加密攻擊行為:一種 “混合式” 的方法。多年來,我發現唯一使用混合式方法的勒索軟體是 WannaCry,它是自動散播的,而不是像 DearCry 這樣的人工操作。兩者首先都會建立受攻擊檔案的加密副本,我們將其稱之為「複製」加密,然後再覆蓋原始檔案以防止復原,我們稱這種手法稱之為「就地」加密。「複製型」勒索軟體讓受害者有可能復原某些資料。但如果使用「就地」加密,就無法透過救援工具進行復原。惡名昭彰的勒索軟體如 Ryuk、REvil、BitPaymer、Maze、和 Clop,只使用「就地」加密。 
 
「DearCry 和 WannaCry 之間還有許多其他相似之處,包括名稱和新增到加密檔案中的標頭。但這不表示我們能將 DearCry 聯想到 WannaCry 的作者。DearCry 的程式碼、方法和功能與 WannaCry 有很大不同:它不使用命令和控制伺服器,具有嵌入式 RSA 加密金鑰,不顯示有計數器的使用者介面,並且最重要的是,不會將自己傳播到網路上的其他電腦。
 
「我們發現 DearCry 的其他一些不尋常的特徵,包括勒索軟體作者正針對新的目標建立新的二進位檔,而遭鎖定的檔案類型也不斷增加。我們的分析進一步表明,該程式碼並沒有我們通常在勒索軟體上會發現的反偵測功能,例如封包或模糊。綜合以上和其他跡象,表明 DearCry 可能是一個原型,只不過搶先利用 Microsoft Exchange Server 弱點曝光的這個機會,或者是由經驗不足的開發人員所開發的。
 
「安全人員應緊急安裝 Microsoft 的修補程式,以防止 Exchange Server 被惡意利用。如果無法做到這一點,則應斷開伺服器與網際網路的連線,或由威脅回應團隊進行密切監視。」

相關新聞: 微軟Microsoft Exchange Server存在安全漏洞,速更新!