نماد سایت اتاق خبر شبکه گستر

سرورهای آسیب‌پذیر Exchange هدف باج‌افزار DearCry

برخی منابع خبر داده‌اند مهاجمان با هک سرورهای آسیب‌پذیر MS Exchange اقدام به نفوذ به آنها و در ادامه توزیع باج‌افزار جدیدی با نام DearCry می‌کنند.

به گفته این منابع آسیب‌پذیری‌های بکار گرفته شده در جریان این حملات ProxyLogon است که 12 اسفند مایکروسافت (Microsoft, Corp) اقدام به عرضه اصلاحیه‌های اضطراری برای ترمیم آنها کرده بود.

در ادامه این مطلب که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده به چکیده‌ای از گزارش‌های منتشر در خصوص این حملات پرداخته شده است.

جمعه، 22 اسفند مایکروسافت نیز اجرای حملات باج‌افزاری بر ضد سرورهای آسیب‌پذیر Exchange را تایید کرد.

 

 

بر طبق گزارشی که سایت Bleeping Computer آن را منتشر کرده DearCry پس از رمزگذاری فایل اقدام به الصاق پسوند CRYPT به آن می‌کند.

 

 

در فرایند رمزگذاری DearCry از الگوریتم‌های AES-256 و RSA-2048 استفاده می‌شود. همچنین رشته DEARCRY! نیز به ابتدای هر فایل رمز شده افزوده می‌شود.

 

 

نام فایل اطلاعیه باج‌گیری (Ransom Note) این باج‌افزار readme.txt گزارش شده است. در فایل مذکور از قربانی خواسته می‌شود تا درهم‌ساز درج شده در فایل را به مهاجم ارسال کند. به نظر می‌رسد که کد درج شده درهم‌ساز MD4 کلید عمومی RSA قربانی است.

گفته می‌شود مبلغ اخاذی شده از یکی از قربانیان 16 هزار دلار بوده است.

انتظار می‌رود که بهره‌گیری از آسیب‌پذیری‌های ProxyLogon در MS Exchange مورد توجه مهاجمان بیشتری قرار گیرد. لذا توجه به نکات اشاره شده در اطلاعیه زیر به منظور ایمن ساختن سرورهای MS Exchange به تمامی سازمان‌ها توصیه می‌شود:

نشانه‌های آلودگی (IoC)

خروج از نسخه موبایل