Mlock Ransomware
Киберпрестъпниците използват друг заплашителен зловреден софтуер, за да блокират потребителите от собствените им устройства. Заплахата от злонамерен софтуер се нарича Mlock Ransomware, е вариант от семейството на MeduseLocker Ransomware и е в състояние да направи голям списък от типове файлове напълно неизползваем чрез криптиране с комбинация от криптографски алгоритми.
След успешно заразяване нападателите използват схема за двойно изнудване, за да накарат жертвите си да платят откуп. Всъщност, освен че са заключили файловете на потребителя, хакерите твърдят, че са събрали чувствителна информация от компрометираната система, която ще бъде пусната на обществеността, ако техните искания не бъдат изпълнени.
Технически подробности
След като бъде внедрен в системата, Mlock ще сканира съхраняваните там файлове и ще криптира тези, които съответстват на неговия списък с целеви типове файлове. Всеки файл, заключен по този начин, ще бъде маркиран с добавяне на ".mlock5" към оригиналното му име. Заплахата може да избегне подправяне на няколко основни директории, за да не причини критични системни грешки, които могат да направят цялата система нестабилна. Когато приключи процеса на криптиране, Mlock Ransomware ще пусне бележка за откуп в системата. Съобщението ще бъде създадено на работния плот на устройството като HTML файл с име „HOW_TO_RECOVER_DATA.html“.
Изискванията на Mlock Ransomware
Според бележката Mlock използва както RSA, така и AES алгоритмите за криптиране, за да заключи файловете на жертвата. За да получат необходимия ключ за декриптиране и да спрат хакерите да пуснат или препродадат личните или корпоративните данни, които твърдят, че са събрали, се очаква жертвите да започнат комуникация и след това да платят откуп. Сумата, която ще трябва да платят, ще бъде по-висока, ако не се свържат с киберпрестъпниците в рамките на първите 72 часа след заразяването с Mlock Ransomware.
Основният комуникационен канал, споменат в бележката, е специален уебсайт, хостван в мрежата TOR. Въпреки това, за да достигнат до сайта, потребителите трябва да изтеглят конкретен браузър и да изпълнят няколко други стъпки. За да избегнат неприятностите, на жертвите също остават два имейл адреса – „restoreassistance@decorous.cyou“ и „restoreassistance@wholeness.business“. Като част от посланието си, потребителите имат право да изпращат до три криптирани файла, които нападателите обещават да отключат и върнат безплатно. Избраните файлове не трябва да съдържат никаква ценна информация.
Пълният текст на бележката на Mlock Ransomware е:
' ВАШИЯТ ЛИЧЕН ИДЕНТИФИКАЦИЯ:
/!\ ВАШАТА КОМПАНИЯ МРЕЖА Е ПРОНИКНА /!\
Всичките ви важни файлове са криптирани!Вашите файлове са в безопасност! Само модифицирани. (RSA+AES)
ВСЕКИ ОПИТ ЗА ВЪЗСТАНОВЯВАНЕ НА ВАШИТЕ ФАЙЛОВЕ СЪС СОФТУЕР НА ТРЕТИ СТРАНИ
ЩЕ ГО РАЗКАЗВА ПРАКТИЧНО.
НЕ ПРОМЕНЯЙ КРИПИРАНИ ФАЙЛОВЕ.
НЕ ПРЕИМЕНУЙТЕ КРИПИРАНИ ФАЙЛОВЕ.Никой софтуер, наличен в интернет, не може да ви помогне. Ние сме единствените, които можем
реши проблема си.Събрахме силно поверителни/лични данни. Тези данни в момента се съхраняват на
частен сървър. Този сървър ще бъде незабавно унищожен след плащането ви.
Ако решите да не плащате, ние ще предоставим вашите данни на обществеността или на препродавача.
Така че можете да очаквате вашите данни да бъдат публично достъпни в близко бъдеще.Ние търсим само пари и нашата цел не е да навредим на вашата репутация или да предотвратим
вашият бизнес да не работи.Можете да ни изпратите 2-3 неважни файла и ние ще ги дешифрираме безплатно
за да докажем, че можем да върнем вашите файлове.Свържете се с нас за цена и вземете софтуер за декриптиране.
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Имайте предвид, че този сървър е достъпен само чрез браузър Tor
Следвайте инструкциите, за да отворите връзката: Въведете адреса "hxxps://www.torproject.org" във вашия интернет браузър. Отваря сайта на Tor.
Натиснете „Изтегляне на Tor“, след това натиснете „Изтегляне на Tor Browser Bundle“, инсталирайте го и го стартирайте.
Сега имате браузър Tor. В браузъра Tor отворете qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Започнете чат и следвайте допълнителните инструкции.
Ако не можете да използвате горната връзка, използвайте имейла:
restoreassistance@decorous.cyou
restoreassistance@wholeness.businessЗа да се свържете с нас, създайте нов безплатен имейл акаунт на сайта: protonmail.com
АКО НЕ СЕ СВЪРЖЕТЕ С НАС ДО 72 ЧАСА, ЦЕНАТА ЩЕ Е ПО-ВИСОКА. '
