Server Microsoft Exchange attaccati con l’exploit ProxyLogon

Hacker stanno installando un nuovo ransomware chiamato “DEARCRY” dopo aver violato i server di Microsoft Exchange utilizzando le vulnerabilità ProxyLogon scoperte recentemente..

Secondo  Michael Gillespie , il creatore del sito di identificazione ransomware  ID-Ransomware , a partire dal 9 marzo, molti utenti hanno cominciato a ricevere richieste di riscatto.

MalwareHunterTeam  è riuscito a trovare tre esempi di questo ransomware su VirusTotal [ 1 ,  2 ,  3 ], tutti eseguibili compilati da MingW:

C:\Users\john\Documents\Visual Studio 2008\Projects\EncryptFile -svcV2\Release\EncryptFile.exe.pdb

Una volta avviato, il ransomware DearCry creerà un servizio Windows denominato “msupdate” che viene avviato per eseguire la crittografia. Questo servizio di Windows viene successivamente rimosso al termine del processo di crittografia.

Il ransomware inizierà a crittografare i file sul computer se corrispondono alle seguenti estensioni:

.TIF .TIFF .PDF .XLS .XLSX .XLTM .PS .PPS .PPT .PPTX .DOC .DOCX .LOG .MSG .RTF .TEX .TXT .CAD .WPS .EML .INI .CSS .HTM .HTML  .XHTML .JS .JSP .PHP .KEYCHAIN .PEM .SQL .APK .APP .BAT .CGI .ASPX .CER .CFM .C .CPP .GO .CONFIG .PL .PY .DWG .XML .JPG .BMP .PNG .EXE .DLL .CAD .AVI .H.CSV .DAT .ISO .PST .PGD  .7Z .RAR .ZIP .ZIPX .TAR .PDB .BIN .DB .MDB .MDF .BAK .LOG .EDB .STM .DBF .ORA .GPG .EDB .MFS

PATCH!

Si consiglia vivamente a tutte le organizzazioni di applicare le patch il prima possibile e di creare backup offline dei propri server Exchange.