由 dawei 据Sophos的研究人员称,迄今为止通过Proxylogon Microsoft Exchange Server漏洞暴露的有限的Ancycry Ransomware的分析,这是通过Proxylogon Microsoft Exchange服务器漏洞所发现的罕见加密攻击行为。
Mark Loman,Sophos工程技术办公室主任,审查了在一个公司的客户中的挫败网络攻击中获得的Deakcry样本,发现它相对较为不成熟,并且对其存在的可能性很少,因此可能是由新人来创建的。
然而,洛杉矶说,他的分析也发现了一种罕见的“混合”的加密方法,他说他在以前只见过Wannacry。
“都是第一次创建攻击文件的加密副本,我们调用”复制“加密的方法,然后覆盖原始文件以防止恢复,我们称之为”就地“加密,”洛桑说。““复制册制软件允许受害者可能会恢复一些数据。但是,在“适当的”加密中,不可能恢复通过取消删除工具。像Ryuk,Revil,Bitpaymer,Maze和Cl0p等臭名昭着的人工ransomwares,只使用'就地'加密。“
他说,亲爱的和崇拜者之间的相似之处在那里没有结束,添加到加密文件的名称和标题也很多很多。然而,这并不是足够的证据表明杜曼奇的创造者,提醒洛族,以及一些亲属的代码,方法和能力是物质的。例如,它不使用命令和控制(C2)服务器,具有嵌入式RSA加密密钥,不显示具有计时器的用户界面,显着且谢天地,不会向目标网络上的其他机器传播。