Le chiffrement du ransomware DearCry est basé sur un système cryptographique à clé publique. La clé de chiffrement publique est intégrée au binaire du ransomware, signifiant ainsi qu’elle n’a pas besoin de contacter le serveur command-and-control de l’attaquant pour chiffrer vos fichiers.
Les serveurs Exchange configurés pour autoriser uniquement l’accès à Internet aux services Exchange seront alors chiffrés. Sans la clé de déchiffrement (qui est en possession de l’attaquant), le déchiffrement ne sera pas possible.
Stoppez le ransomware DearCry
Sophos Intercept X détecte et bloque le ransomware DearCry avec CryptoGuard et les autres protections basées sur les signatures.
Si vous êtes affecté par DearCry, il est fort probable que des attaquants aient profité de la persistance établie par Hafnium. Vous devez à la fois bloquer le ransomware DearCry ET neutraliser les attaquants avant qu’ils ne puissent lancer d’autres attaques.
Protégez votre réseau contre de futures attaques
Dans le sillage d’Hafnium, plusieurs acteurs profitent désormais des problèmes survenus au niveau d’Exchange/ProxyLogon pour lancer toute une série d’attaques.
Toute personne utilisant des serveurs Microsoft Exchange sur-site doit installer d’urgence des correctifs et rechercher sur son réseau d’autres signes d’attaque.
Le simple fait d’installer ces correctifs ne signifient pas pour autant que vous soyez complètement protégé. Vous devrez également rechercher des indicateurs d’attaque et de compromission, car un adversaire a peut-être déjà exploité ces vulnérabilités.
Découvrez notre guide pour obtenir des conseils détaillés afin de savoir si vous avez été pris pour cible.
Contactez Sophos MTR pour obtenir de l’aide dans votre démarche d’identification et de neutralisation d’une potentielle activité adverse au sein de votre environnement.
Billet inspiré de DearCry ransomware: what it is and how to stop it, sur le Blog Sophos.