MTX Ransomware

До CagedTech през Ransomwareг

Превод на:

Семейството Dharma ransomware продължава да остава популярно сред киберпрестъпниците с нови варианти, които редовно се пускат в дивата природа. Един такъв скорошен пример е заплахата MTX Ransomware. Той работи по идентичен начин с типичните варианти на Дхарма, без да проявява големи отклонения.

Поведение на MTX Ransomware

След като бъде напълно установен в целевата компютърна система, MTX започва своето програмиране за криптиране, което е насочено към голям брой различни типове файлове. В резултат на действията на ransomware, засегнатите потребители ще бъдат възпрепятствани от достъп до техните документи, архиви, бази данни, PDF файлове, снимки, снимки и т.н., които са били съхранени на взломаното устройство.

Когато MTX заключи файл, той също така променя оригиналното име на този файл. Първо, заплахата добавя уникален низ, който действа като идентификатор, присвоен на конкретната жертва. След това се добавя имейл адрес под контрола на нападателите. В този случай имейлът е „mtx88@onionmail.org“. Накрая към името на криптирания файл се добавя ново файлово разширение - ".MTX".

Последната стъпка е да изпратите бележка за откуп с инструкции за жертвата. MTX всъщност пуска 2 различни съобщения, изискващи откуп на заразените системи. Единият ще бъде поставен в текстов файл с име 'info.txt'. Файлът ще бъде създаден на работния плот на системата. Другата бележка за откуп ще се покаже в изскачащ прозорец.

Преглед на бележката за откуп

Инструкциите от текстовия файл са изключително кратки и липсват повечето важни подробности, които обикновено се намират в такива бележки. На потребителите просто се казва да започнат контакт с киберпрестъпниците, като изпратят съобщение до „mtx88@onionmail.org“ или „mtx88@reddithub.com“.

Изскачащият прозорец доставя основното съобщение от хакерите. В него се посочва, че вторичният имейл адрес не трябва да се използва незабавно. Жертвите трябва първо да изпратят съобщение до основния имейл и да изчакат поне 12 часа, за да получат отговор там. Бележката също така предупреждава, че преименуването или опитът за декриптиране на заключените файлове, без да платят на хакерите, може да повреди данните по невнимание и да направи файловете неспасяеми.

Съобщението на MTX Ransomware, доставено чрез изскачащ прозорец:

ВАШИТЕ ФАЙЛОВЕ СА КРИПИРАНИ
1024

Не се притеснявайте, можете да върнете всичките си файлове!
Ако искате да ги възстановите, пишете на пощата: mtx88@onionmail.org ВАШИЯ ИД -
Ако не сте отговорили по пощата в рамките на 12 часа, пишете ни на друг имейл: mtx88@reddithub.com

ВНИМАНИЕ!

Препоръчваме ви да се свържете директно с нас, за да избегнете преплащане на агенти

Не преименувайте криптирани файлове.
Не се опитвайте да декриптирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Декриптирането на вашите файлове с помощта на трети страни може да доведе до повишаване на цената (те добавят своята такса към нашата) или да станете жертва на измама.

Инструкциите на MTX Ransomware в текстовия файл:

всичките ви данни са ни заключени
Искате ли да се върнете?
пишете на имейл mtx88@onionmail.org или mtx88@reddithub.com