Mount Locker Ransomware
Infosec-tutkijat ovat havainneet uuden ransomware-uhkan, joka on aseistettu liike-elämän organisaatioita vastaan. Mount Locker Ransomware -nimeksi kutsuttu haittaohjelma on varustettu useilla uusilla temppuilla, kun lopullinen tavoite on kiristää rahaa uhreiltaan.
Mount Locker Ransomware vaatii miljoonia salauksen purkamista
Mount Locker Ransowmare -yrityksen takana olevat hakkerit kohdistavat ensisijaisesti yrityksiä. He rikkovat uhriensa yritysverkkoa ja käyttävät Mount Locker Ransomware -uhkaa. Sisällä Mount Locker Ransomware lukitsee tietokoneelle tallennetut tiedostot sekä kaikki liitetyt tallennuslaitteet salaamattomilla salausalgoritmeilla. Sitä ennen Mount Locker Ransomware kuitenkin suodattaa valtavat palat uhrin tiedoista ja uhkaa alkaa vuotaa niitä verkkosivustoille rikollisten valvonnassa, ellei heidän vaatimuksiaan noudateta. Yhdessä tapauksessa Mount Locker Ransomware oli kerännyt noin 400 Gt tietoa ja ladattu tietovuodon verkkosivustolle myöhemmin, kun uhri päätti olla maksamatta. Tämä on ymmärrettävää, kun otetaan huomioon, että hakkerit halusivat saada 2 miljoonan dollarin lunnaita Bitcoinissa joissakin ilmoitetuissa tapauksissa.
Mount Locker Ransomware salattuja tiedostoja ei voida pakottaa raa'asti
Kun kyberturvallisuusasiantuntijat tarkastelivat Mount Locker Ransomware -ohjelman taustakoodia, he paljastivat, että uhka käytti salausalgoritmien yhdistelmää, jota ei voitu ohittaa ilman salauksen koodia. Itse data on salattu ChaCha20-algoritmilla, joka on yksi Salsa20-stream-salauksen seuraajavaihtoehdoista. Puolestaan upotettua RSA-2048-julkista avainta käytetään ChaCha20-salauksen salausavaimen salaamiseen.
Mount Locker Ransomware muuttaa jokaisen salatun tiedoston alkuperäistä tiedostonimeä lisäämällä ' ReadManual ', jota seuraa uhrien yksilöllistä tunnusta edustava merkkijono. Lunnaita koskeva huomautus ohjeineen pudotetaan tiedostona nimeltä RecoveryManual.html. 'Mount Locker Ransomware mukautuu rekisteriin varmistaakseen, että lunnaita koskeva huomautus näytetään aina, kun jotakin salatusta tiedostosta napsautetaan. Sen käyttämä komento on:
'HKCU \ Software \ Classes \ .C77BFF8C \ shell \ Open \ command \ @ = "explorer.exe RecoveryManual.html"
Tämän lunnasohjelman uhreja pyydetään vierailemaan Mount Lockerin takana olevien hakkereiden luomalla verkkosivustolla, jonne pääsee vain Tor-selaimen kautta. Itse verkkosivusto sisältää vain chat-toimintoa. Vaikuttaneille käyttäjille tarjotaan mahdollisuus purkaa kaksi tai kolme tiedostoa ilmaiseksi.
Lunnaita koskevan huomautuksen koko teksti on:
'Asiakastunnuksesi:
-
/! \ YRITYKSESI VERKKO ON HAKATTU /! \
Kaikki tärkeät tiedostosi on salattu ja kopioitu yksityisille palvelimillemme!
KAIKKI YRITYKSET palauttaa tiedostosi kolmansien osapuolien ohjelmistolla korjaavat sen pysyvästi.
ÄLÄ MUOKKAA SALATTUJA TIEDOSTOJA.
ÄLÄ NIMENNA SALAATTUJA TIEDOSTOJA.
Mutta pysy rauhallisena! Ongelmaasi on olemassa ratkaisu!
Joidenkin rahapalkkioiden avulla voimme purkaa kaikki salatut tiedostosi.
Poistamme myös kaikki yksityiset tietosi palvelimiltamme.
Osoittaaksemme, että pystymme purkamaan tiedostosi, voimme antaa sinulle mahdollisuuden purkaa 2-3 tiedostoa ilmaiseksi.
Joten mitä olet seuraava askel? Ota meihin yhteyttä! Ota yhteyttä saadaksesi hinnan ja hanki salauksen purkuohjelmisto.
-
* Huomaa, että tällaisten linkkien avaamiseen tarvitaan asennettuna Tor-selain.
Asenna / suorita Tor Browser noudattamalla ohjeita:
1. Siirry Tor Projectiin oletusselaimellasi.
2. Napsauta "Lataa Tor-selain", valitse versio riippuu käyttöjärjestelmästäsi, yleensä se on Windows. Lataa ja asenna se
3. Asennuksen jälkeen näet työpöydällesi uuden kansion: "Tor Browser". Avaa tämä kansio ja suorita "Start Tor Browser" -linkki.
4. Siirry Tor-selaimen avulla kohtaan
-
5. Kopioi asiakastunnuksesi varovasti tästä asiakirjasta ja liitä se Valtuutus-ikkunaan avoimelle sivulle. Napsauta OK.
6. Sen jälkeen näet erityisen chat-verkkosovelluksen, joka pitää yhteyttä kanssamme.
7. Huom! Ole kärsivällinen - joskus tukitiimimme voi olla poissa näppäimistöltä, mutta he vastaavat sinulle mahdollisimman pian! Aika on rahaa! Ota yhteyttä mahdollisimman pian.
Emme tallenna sinulle salauksenavainta ikuisesti! '
