Mount Locker Ransomware
Infoseci uurijad on avastanud uue lunavara ohu, mis on ettevõtlusorganisatsioonide vastu relvastatud. See pahavara nimega Mount Locker on varustatud mitme uue nipiga, kui lõppeesmärk on ohvritelt raha välja pressida.
Mount Lockeri lunavara nõuab dešifreerimiseks miljoneid
Mount Locker Ransowmare'i taga olevad häkkerid on suunatud peamiselt äriüksustele. Nad rikuvad oma ohvrite korporatiivvõrku ja rakendavad Mount Lockeri lunavara ohtu. Kui see on sisse lülitatud, jätkab Mount Locker lunavara arvutisse salvestatud failide, samuti kõigi ühendatud salvestusseadmete lukustamist krüptimisalgoritmide pakendamatu kombinatsiooniga. Enne seda aga Mount Locker Ransomware filtreerib ohvri andmeid tohutult ja ähvardab neid lekitada küberkurjategijate kontrolli all oleval veebisaidil, kui nende nõudmisi ei täideta. Ühel juhul oli Mount Locker Ransomware kogunud umbes 400 GB andmeid ja need laaditi hiljem üles andmete lekkimise veebisaidile, kui ohver otsustas maksmata jätta. See on mõistetav, kui arvestada, et häkkerid soovisid mõnel teatatud juhul saada Bitcoinis lunaraha 2 miljonit dollarit .
Mount Lockeri lunavara abil krüptitud faile ei saa jõhkralt sundida
Kui küberturvalisuse eksperdid heitsid pilgu Mount Lockeri lunavara aluseks olevale koodile, avastasid nad, et oht kasutab krüpteerimisalgoritmide kombinatsiooni, millest ei saa mööda ilma dekrüpteerimiskoodita. Andmed ise on krüptitud ChaCha20 algoritmiga, mis on üks Salsa20 voo šifri järeltulijatest. Omakorda kasutatakse ChaCha20 dekrüpteerimisvõtme krüptimiseks varjatud RSA-2048 avalikku võtit.
Mount Lockeri lunavara muudab iga krüpteeritud faili algset failinime, lisades ' ReadManual ', millele järgneb ohvrile määratud kordumatu ID tähemärkide string. Lunaraha koos juhistega visatakse failiks nimega ' RecoveryManual.html. "Mount Lockeri lunavara segab registriga, et tagada lunaraha märge kuvamine iga kord, kui mõnele krüptitud failist klikitakse. Kasutatav käsk on:
'HKCU \ Software \ Classes \ .C77BFF8C \ shell \ Open \ command \ @ = "explorer.exe RecoveryManual.html"
Selle lunavara ohvritel palutakse külastada Mount Lockeri taga olevate häkkerite loodud veebisaiti, kuhu pääseb ainult Tori brauseri kaudu. Veebisait ise sisaldab veidi rohkem kui vestlusfunktsiooni. Mõjutatud kasutajatele pakutakse võimalust lasta kaks või kolm faili tasuta dekrüpteerida.
Lunaraha kogu tekst on:
„Teie ClientId:
-
/! \ SINU ETTEVÕTTE VÕRK on häkkitud /! \
Kõik teie olulised failid on krüpteeritud ja kopeeritud meie privaatserveritesse!
KÕIK KOLMANDATE OSAPOOLTE TARKVARA JÄRGI FILISIDE TAASTAMISE KORRAL KORRASTAVAD SEDA PÜSIVALT.
ÄRGE MUUTA KIRJUTATUD FILISE.
ÄRA NIMETA KIRJUTATUD FILISE.
Kuid ole rahulik! Teie probleemile on lahendus!
Mõne rahalise tasu eest saame kõik teie krüpteeritud failid dekrüpteerida.
Samuti kustutame kõik teie isiklikud andmed meie serveritest.
Tõestamaks, et suudame teie faile dekrüpteerida, anname teile võimaluse 2-3 faili tasuta dekrüpteerida.
Mis sa siis järgmine samm oled? Võta meiega ühendust! Hinna saamiseks võtke meiega ühendust ja hankige dekrüptimistarkvara.
-
* Pange tähele, et selliste linkide avamiseks on vaja installida Tori brauser.
Tor Browseri installimiseks / käitamiseks järgige juhiseid:
1. Minge Tor Projecti, kasutades oma vaikebrauserit.
2. Klõpsake nuppu "Laadi brauser alla", valige versioon sõltub teie operatsioonisüsteemist, tavaliselt on see Windows. Laadige see alla ja installige
3. Pärast installimist näete töölaual uut kausta: "Tor Browser". Avage see kaust ja käivitage link "Start Tor Browser".
4. Avage Tori brauseri abil
-
5. Kopeerige oma kliendi ID ettevaatlikult sellest dokumendist ja kleepige see avatud lehe autoriseerimisaknasse. Klõpsake nuppu OK.
6. Pärast seda näete spetsiaalset vestlusveebirakendust, et meiega kokku leppida.
7. NB! Ole kannatlik - mõnikord võib meie tugimeeskond olla klaviatuurist eemal, kuid nad vastavad sulle niipea kui võimalik! Aeg on raha! Võtke meiega ühendust niipea kui võimalik.
Me ei salvesta teid igavesti dekrüpteerimisvõtit! "
