Threat Database Ransomware MaMoCrypt Ransomware

MaMoCrypt Ransomware

Mens MaMoCrypt Ransomware viser lidt afvigelse fra, hvad der betragtes som den typiske opførsel for en sådan trussel på overfladen, afslører et nærmere kig på den underliggende kode nogle ret mærkelige detaljer. MaMoCrypt Ransomware er en crypto locker-trussel baseret på MZRevenge Ransomware . Det pakkes ved hjælp af ' mpress. ''

Når de er inde i den målrettede computer, fortsætter MaMoCrypt Ransomware med at slette Shadow Volume Copies, der er oprettet med Windows-sikkerhedskopieringstjenesten. Truslen vil også deaktivere både standard firewall og brugerkontokontrolfaciliteten. De virkelige unikke funktioner begynder dog med starten på krypteringsprocessen. MaMoCrypt Ransomware går efter filer placeret på en liste over 23 hardkodede placeringer. De inkluderer de fleste af mapperne i stien ' C: \ Brugere \% bruger% ', KØRER AZ, UDEN C, Steam-mappen under Programfiler og 'C: \ ProgramData \ Microsoft \ Windows \ Startmenu \.' MaMoCrypt Ransomware påvirker næsten alle filtyper, mere specifikt er truslen i stand til at kryptere i alt 339 specifikke filtypenavne.

Når det begynder krypteringsprocessen, genererer MaMoCrypt Ransomware to nøgler og en maske, der bruges til at oprette to krypteringsnøgler til hver fil efterfølgende. Dataene bliver først krypteret ved hjælp af AES-128 CBC-algoritmen, men derefter bliver de gennemført en anden kryptering, denne gang med Twofish-128 CFB. Hver 'låst' fil har filtypenavnet '.MZ173802', der føjes til sit originale filnavn. Løsepenge noten vil derefter blive droppet i rækkefølge i hver mappe, der indeholder krypterede filer. Navnet på tekstfilen, der indeholder instruktionerne fra hackerne, er 'Hvordan gendanner jeg mine filer (Readme) .txt.'

Heldigvis for ofre for MaMoCrypt Ransomware har forskerne frigivet et dekrypteringsværktøj, der burde være i stand til at gendanne de fleste af dataene. Der er dog to meget vigtige forbehold, der skal nævnes. På grund af trusselens unikke krypteringssystem afhænger dekrypteringsprocessen ekstremt af den resulterende rækkefølge, som filerne blev krypteret i. På grund af hackere, der ikke bemærker visse krypteringskonfigurationers fejl, vil filer, der er større end 4 GB, blive beskadiget af MaMoCrypt Ransomware permanent.

Trending

Mest sete

Indlæser...