Mount Locker Ransomware
Infosec vědci zjistili novou hrozbu ransomwaru, která je zbrojována proti obchodním organizacím. Tento malware, který se nazývá Mount Locker Ransomware, byl vybaven několika novými triky, kdy konečným cílem je vydírat peníze od svých obětí.
Ransomware Mount Locker vyžaduje miliony za dešifrování
Hackeři za Mount Locker Ransowmare se zaměřují především na podnikatelské subjekty. Porušují firemní síť svých obětí a nasazují hrozbu Mount Locker Ransomware. Jakmile jste uvnitř, Mount Locker Ransomware pokračuje v zamykání souborů uložených v počítači, stejně jako jakýchkoli připojených úložných zařízení s neprasknutelnou kombinací šifrovacích algoritmů. Před tím však Mount Locker Ransomware exfiltroval obrovské kousky dat oběti a hrozí, že jej začnou prosakovat na web pod kontrolou zločinců, pokud nebudou splněny jejich požadavky. V jednom případě shromáždil Mount Locker Ransomware asi 400 GB dat a následně byly nahrány na web o úniku dat, když se oběť rozhodla nezaplatit. To je pochopitelné, když vezmeme v úvahu, že hackeři chtěli v některých hlášených případech získat výkupné v hodnotě 2 milionů USD v bitcoinech.
Soubory šifrované ransomwarem Mount Locker nelze brutálně vynutit
Když se odborníci na kybernetickou bezpečnost podívali na základní kód Mount Locker Ransomware, zjistili, že tato hrozba využívá kombinaci šifrovacích algoritmů, které nelze obejít bez dešifrovacího kódu. Samotná data jsou šifrována pomocí algoritmu ChaCha20, jedné z nástupnických variant proudové šifry Salsa20. Na druhé straně se k šifrování dešifrovacího klíče ChaCha20 používá vložený veřejný klíč RSA-2048.
Mount Locker Ransomware upravuje původní název každého šifrovaného souboru připojením ' ReadManual ' následovaným řetězcem znaků představujícím jedinečné ID přidělené oběti. Výkupné s pokyny je zrušeno jako soubor s názvem „ RecoveryManual.html. „Mount Locker Ransomware naráží na registr, aby zajistil, že se výkupné zobrazí pokaždé, když kliknete na jeden ze šifrovaných souborů. Příkaz, který používá, je:
'HKCU \ Software \ Classes \ .C77BFF8C \ shell \ Open \ command \ @ = "explorer.exe RecoveryManual.html"
Oběti tohoto ransomwaru jsou požádány, aby navštívili web vytvořený hackery za Mount Locker, na který se lze dostat pouze prostřednictvím prohlížeče Tor. Samotná webová stránka obsahuje něco víc než chatovací funkci. Dotčeným uživatelům se nabízí možnost nechat si zdarma dešifrovat dva nebo tři soubory.
Celý text výkupné je:
„Vaše ID klienta:
-
/! \ SÍŤ VAŠE SPOLEČNOSTI JE ZABLOKOVÁNA /! \
Všechny vaše důležité soubory byly zašifrovány a zkopírovány na naše soukromé servery!
JAKÝKOLI POKUS OBNOVIT SVOJE SOUBORY SOFTWAREM TŘETÍCH STRAN, TO TO PERMANENTNĚ POŠKODÍ.
NESMĚŇUJTE Šifrované soubory.
NEPŘEJMENUJTE Šifrované soubory.
Ale zachovejte klid! Pro váš problém existuje řešení!
Za nějakou peněžní odměnu můžeme dešifrovat všechny vaše šifrované soubory.
Rovněž odstraníme všechna vaše soukromá data z našich serverů.
Abychom dokázali, že jsme schopni dešifrovat vaše soubory, nabízíme vám možnost dešifrovat 2–3 soubory zdarma.
Jaký je váš další krok? Kontaktujte nás! Kontaktujte nás ohledně ceny a získejte dešifrovací software.
-
* Upozorňujeme, že k otevření tohoto typu odkazů potřebujete nainstalovaný prohlížeč Tor.
Podle pokynů nainstalujte / spusťte Tor Browser:
1. Přejděte na Tor Project pomocí výchozího prohlížeče.
2. Klikněte na „Stáhnout Tor Browser“, vyberte verzi, která závisí na vašem operačním systému, obvykle je to Windows. Stáhněte a nainstalujte jej
3. Po instalaci uvidíte na ploše novou složku: „Tor Browser“. Otevřete tuto složku a spusťte odkaz „Spustit prohlížeč Tor“.
4. Pomocí prohlížeče Tor přejděte na
-
5. Pečlivě zkopírujte ID klienta z tohoto dokumentu a vložte jej do okna Autorizace na otevřené stránce. Klikněte na „OK“.
6. Poté se zobrazí speciální webová aplikace pro chat, která s námi bude komunikovat.
7. Pozn. Buďte prosím trpěliví - náš tým podpory někdy nemusí být v kontaktu s klávesnicí, ale oblékne vás co nejdříve! Čas jsou peníze! Kontaktujte nás co nejdříve.
Nebudeme vám dešifrovací klíč ukládat navždy! “
