Threat Database Ransomware Mount Locker Ransomware

Mount Locker Ransomware

En ny ransomware-trussel, der er våben mod forretningsorganisationer, er blevet opdaget af infosec-forskere. Kaldet Mount Locker Ransomware, dette stykke malware er udstyret med flere nye tricks, når det endelige mål er at afpresse penge fra dets ofre.

Mount Locker Ransomware kræver millioner af dekryptering

Hackerne bag Mount Locker Ransowmare retter sig primært mod forretningsenheder. De bryder deres ofres virksomhedsnetværk og implementerer Mount Locker Ransomware-truslen. Når de er inde, fortsætter Mount Locker Ransomware med at låse de filer, der er gemt på computeren, samt alle tilsluttede lagerenheder med en uknuselig kombination af krypteringsalgoritmer. Før det udfiltrerer Mount Locker Ransomware imidlertid enorme klumper af offerets data og truer med at begynde at lække det på et websted under kontrol af cyberkriminelle, medmindre deres krav er opfyldt. I et tilfælde var omkring 400 GB data indsamlet af Mount Locker Ransomware og blev efterfølgende uploadet til datalækwebstedet, da offeret besluttede ikke at betale. Dette er forståeligt, når man overvejer, at hackerne ønskede at modtage en løsesum på $ 2 millioner i Bitcoin i nogle rapporterede tilfælde.

De filer, der er krypteret af Mount Locker Ransomware, kan ikke tvinges til brutalitet

Da cybersikkerhedseksperter kiggede på den underliggende kode for Mount Locker Ransomware, afdækkede de, at truslen brugte en kombination af krypteringsalgoritmer, der ikke kunne omgåes uden at have dekrypteringskoden. Selve dataene er krypteret med ChaCha20-algoritmen, en af Salsa20-streamkrypteringens efterfølgende varianter. Til gengæld bruges en indlejret RSA-2048 offentlig nøgle til at kryptere ChaCha20-dekrypteringsnøglen.

Mount Locker Ransomware ændrer hver krypterede fils originale filnavn ved at tilføje ' ReadManual ' efterfulgt af en tegn 'streng, der repræsenterer det unikke ID tildelt offeret. Løsepenge noten med instruktioner slettes som en fil med navnet ' RecoveryManual.html. 'Mount Locker Ransomware ødelægger registreringsdatabasen for at sikre, at løsesumnoten vises hver gang der klikkes på en af de krypterede filer. Den kommando, den bruger, er:

'HKCU \ Software \ Classes \ .C77BFF8C \ shell \ Open \ command \ @ = "explorer.exe RecoveryManual.html'

Ofre for denne ransomware bliver bedt om at besøge et websted oprettet af hackerne bag Mount Locker, som kun kan nås via Tor-browseren. Hjemmesiden indeholder kun lidt mere end en chatfunktion. Berørte brugere tilbydes muligheden for at få to eller tre filer dekrypteret gratis.

Den samlede tekst på løsesumnoten er:

'Din klient-id:

-

/! \ DIN VIRKSOMHEDS NETVÆRK ER HACKET /! \

Alle dine vigtige filer er krypteret og kopieret til vores private servere!

Ethvert forsøg på at gendanne dine filer med tredjepartssoftware vil permanent korrigere det.

MODificER IKKE Krypterede filer.

OMDØB IKKE Krypterede filer.

Men bliv rolig! Der er en løsning på dit problem!

For nogle penge belønning kan vi dekryptere alle dine krypterede filer.

Vi sletter også alle dine private data fra vores servere.

For at bevise, at vi er i stand til at dekryptere dine filer, giver vi dig muligheden for at dekryptere 2-3 filer gratis.

Så hvad er dit næste skridt? Kontakt os! Kontakt os for pris og få dekrypteringssoftware.

-

* Bemærk, at du har brug for installeret Tor Browser for at åbne denne slags links.

Følg instruktionerne for at installere / køre Tor Browser:

1. Gå til Tor Project ved hjælp af din standardbrowser.

2. Klik på "Download Tor Browser", vælg version afhænger af dit operativsystem, normalt er det Windows. Download og installer det

3. Efter installationen vil du se en ny mappe på dit skrivebord: "Tor Browser". Åbn denne mappe, og kør linket "Start Tor Browser".

4. Brug Tor Browser til

-

5. Kopier forsigtigt dit klient-id fra dette dokument, og indsæt det i autorisationsvinduet på den åbnede side. Klik på 'OK'.

6. Derefter vil du se en speciel chat-webapplikation, der kan komme i kontakt med os.

7. NB! Vær tålmodig - nogle gange kan vores supportteam være væk fra tastaturet, men de vil bære dig så hurtigt som muligt! Tid er penge! Kontakt os hurtigst muligt.

Vi gemmer ikke din dekrypteringsnøgle for evigt! '

Trending

Mest sete

Indlæser...