Ransomware Mount Locker
Istraživači infosec-a otkrili su novu prijetnju ransomware-om koja je oružana protiv poslovnih organizacija. Nazvan Ransomware Mount Locker, ovaj je zlonamjerni softver opremljen s nekoliko novih trikova kada je krajnji cilj iznuđivanje novca od svojih žrtava.
Ransomware Mount Locker zahtijeva milijune za dešifriranje
Hakeri iza Mount Lockera Ransowmare prvenstveno ciljaju poslovne subjekte. Probijaju korporativnu mrežu svojih žrtava i postavljaju prijetnju Mount Locker Ransomware. Kad uđe, Ransomware Mount Locker nastavlja zaključavati datoteke pohranjene na računalu, kao i sve povezane uređaje za pohranu s neugodnom kombinacijom algoritama šifriranja. Prije toga, međutim, Mount Locker Ransomware eksfiltrira ogromne dijelove podataka žrtve i prijeti da će ih početi procuriti na web mjestu pod nadzorom cyber kriminalaca, osim ako se njihovi zahtjevi ne ispune. U jednom je slučaju Ransomware Mount Locker prikupio oko 400 GB podataka koji su naknadno poslani na web mjesto za curenje podataka, kada je žrtva odlučila ne platiti. To je razumljivo kad se uzme u obzir da su hakeri u nekim prijavljenim slučajevima htjeli dobiti otkupninu od 2 milijuna dolara u Bitcoinima.
Datoteke koje je šifrirao Ransomware Mount Locker ne mogu se forsirati
Kada su stručnjaci za kibernetsku sigurnost pogledali temeljni kôd Mount Locker Ransomwarea, otkrili su da prijetnja koristi kombinaciju algoritama šifriranja koje se ne može zaobići bez koda za dešifriranje. Podaci su sami šifrirani algoritmom ChaCha20, jednom od inačica nasljednika Salsa20 stream šifre. Zauzvrat, ugrađeni javni ključ RSA-2048 koristi se za šifriranje ključa za dešifriranje ChaCha20.
Ransomware Mount Locker mijenja izvorno ime datoteke svake šifrirane datoteke dodavanjem ' ReadManual ' nakon čega slijedi niz karaktera koji predstavlja jedinstveni ID dodijeljen žrtvi. Napomena o otkupnini s uputama ispušta se kao datoteka pod nazivom ' RecoveryManual.html. 'Mount Locker Ransomware miješa Registry kako bi osigurao da se napomena o otkupnini prikazuje svaki put kad se klikne na jednu od šifriranih datoteka. Naredba koju koristi je:
'HKCU \ Software \ Classes \ .C77BFF8C \ shell \ Open \ command \ @ = "explorer.exe RecoveryManual.html'
Žrtve ovog ransomwarea mole da posjete web stranicu koju su stvorili hakeri iza Mount Lockera do koje se može doći samo putem preglednika Tor. Sama web stranica sadrži nešto više od funkcije chata. Korisnicima koji su pogođeni nudi se mogućnost da se dvije ili tri datoteke dešifriraju besplatno.
Puni tekst napomene o otkupnini je:
'Vaš klijentId:
-
/! \ MREŽA VAŠE TVRTKE HAKIRANA /! \
Sve vaše važne datoteke šifrirane su i kopirane na naše privatne poslužitelje!
BILO KOJI POKUŠAJ OBNOVE DATOTEKE S SOFTVEROM TREĆIH STRANA TRAJNO ĆE GA KORUPIRATI.
NE MIJENJATI ŠIFRIRANE DATOTEKE.
NE PREIMENUJTE ŠIFRIRANE DATOTEKE.
Ali ostanite mirni! Postoji rješenje za vaš problem!
Za neku novčanu nagradu možemo dešifrirati sve vaše šifrirane datoteke.
Također ćemo izbrisati sve vaše privatne podatke s naših poslužitelja.
Da bismo dokazali da smo u mogućnosti dešifrirati vaše datoteke, dajemo vam mogućnost dešifriranja 2-3 datoteke besplatno.
Pa što ste sljedeći korak? Kontaktirajte nas! Kontaktirajte nas za cijenu i nabavite softver za dešifriranje.
-
* Imajte na umu da vam je potreban instalirani Tor Browser da biste otvorili ovu vrstu veza.
Slijedite upute za instaliranje / pokretanje Tor preglednika:
1. Idite na Tor Project koristeći zadani preglednik.
2. Kliknite "Preuzmi preglednik Tor", odaberite verziju koja ovisi o vašem operativnom sustavu, obično je to Windows. Preuzmite i instalirajte ga
3. Nakon instalacije vidjet ćete novu mapu na radnoj površini: "Tor Browser". Otvorite ovu mapu i pokrenite vezu "Pokreni Tor Browser".
4. Korištenjem preglednika Tor idite na
-
5. Pažljivo kopirajte ID klijenta iz ovog dokumenta i zalijepite ga u prozor Autorizacija na otvorenoj stranici. Kliknite "U redu".
6. Nakon toga vidjet ćete posebnu web aplikaciju za chat kako biste komunicirali s nama.
7. Napomena! Molimo vas za strpljenje - ponekad se naš tim za podršku može udaljiti od tipkovnice, ali odgovorit će vam što je prije moguće! Vrijeme je novac! Obratite nam se što je prije moguće.
Nećemo vam zauvijek čuvati ključ za dešifriranje! '
