回到首頁
個人.家庭.數位化 - 數位之牆



產業動態 Sophos 對鎖定 Exchange 的勒索軟體的最新發現
Wordtech 本新聞稿發佈於2021/03/15,由發布之企業承擔內容之立場與責任,與本站無關

Sophos 今天發布了對 DearCry 勒索軟體樣本的分析:《DearCry 攻擊鎖定 Exchange 伺服器的弱點》,該文概述了對該勒索軟體加密行為的一些新發現以及更多資訊。Sophos 勒索軟體專家工程技術辦公室主任 Mark Loman 在以下評論中總結了一些重點。

 
■ 發布/輪播新聞稿 新聞稿直達14萬電子報訂戶刊登新聞稿:按此 想在你的Blog上輪播產業動態按此
 


Sophos 工程技術辦公室總監 Mark Loman 表示:「我們分析 DearCry 勒索軟體樣本之後發現了一種罕見的加密攻擊行為:一種 “混合式” 的方法。多年來,我發現唯一使用混合式方法的勒索軟體是 WannaCry,它是自動散播的,而不是像 DearCry 這樣的人工操作。兩者首先都會建立受攻擊檔案的加密副本,我們將其稱之為「複製」加密,然後再覆蓋原始檔案以防止復原,我們稱這種手法稱之為「就地」加密。「複製型」勒索軟體讓受害者有可能復原某些資料。但如果使用「就地」加密,就無法透過救援工具進行復原。惡名昭彰的勒索軟體如 Ryuk、REvil、BitPaymer、Maze、和 Clop,只使用「就地」加密。

「DearCry 和 WannaCry 之間還有許多其他相似之處,包括名稱和新增到加密檔案中的標頭。但這不表示我們能將 DearCry 聯想到 WannaCry 的作者。DearCry 的程式碼、方法和功能與 WannaCry 有很大不同:它不使用命令和控制伺服器,具有嵌入式 RSA 加密金鑰,不顯示有計數器的使用者介面,並且最重要的是,不會將自己傳播到網路上的其他電腦。

「我們發現 DearCry 的其他一些不尋常的特徵,包括勒索軟體作者正針對新的目標建立新的二進位檔,而遭鎖定的檔案類型也不斷增加。我們的分析進一步表明,該程式碼並沒有我們通常在勒索軟體上會發現的反偵測功能,例如封包或模糊。綜合以上和其他跡象,表明 DearCry 可能是一個原型,只不過搶先利用 Microsoft Exchange Server 弱點曝光的這個機會,或者是由經驗不足的開發人員所開發的。

「安全人員應緊急安裝 Microsoft 的修補程式,以防止 Exchange Server 被惡意利用。如果無法做到這一點,則應斷開伺服器與網際網路的連線,或由威脅回應團隊進行密切監視。」

Sophos Intercept X 和 Sophos Intercept X with EDR 可偵測並防禦 DearCry勒索軟體。

- 新聞稿有效日期,至2021/04/15為止


聯絡人 :MalicHuang
聯絡電話:+88627311307
電子郵件:malic@wordtech.com.tw

上一篇:訊連科技將於「2021智慧城市展 Smart City Expo」登場
下一篇:Dialog推出新款奈安培級 GreenPAK晶片,增添多通道輸入功能

 
搜尋本站


最新科技評論

訂閱制付費會員經營之道:我積攢一生的工作經驗 - 2020/12/06

共享經濟:以人民的名義爭奪流量入口 - 2017/06/18

影音網站的未來(三) PGC孵化IP,直播更接近長尾 - 2016/10/16

影音網站的未來(二)短影音適合往社交和工具發展 - 2016/10/09

影音網站的未來(一)長尾效應與頭部效應無法兼顧 - 2016/10/02

大部分O2O 模式違反網際網路經濟特性 - 2015/02/08

融資是怎麼回事(下)什麼人能拿到投資 - 2015/01/04

融資是怎麼回事(中)讀懂投資人的唇語 - 2014/12/21

融資是怎麼回事(上)融資是迭代的過程 - 2014/12/14

■ 訂閱每日更新產業動態
RSS
RSS

當月產業動態

Information

 

 

 




個人.家庭.數位化 - 數位之牆

欲引用本站圖文,請先取得授權。本站保留一切權利 ©Copyright 2008, DigitalWall.COM. All Rights Reserved.
Question ? Please mail to service@digitalwall.com

歡迎與本站連結!