Mammon Ransomware

È stata osservata in natura una nuova variante appartenente alla famiglia Makop Ransomware. Denominata Mammon Ransomware dai ricercatori sulla sicurezza informatica, la minaccia agisce come un tipico ransomware. Il suo obiettivo è bloccare i file che si trovano sui sistemi informatici compromessi e quindi estorcere le vittime per guadagni monetari.

Proprio come altre varianti della famiglia Makop Ransomware, quando Mammon Ransomware crittografa un file, cambia drasticamente il nome originale di quel file. Gli utenti noteranno che quasi tutti i loro file ora avranno una stringa casuale di caratteri, seguita da un indirizzo e-mail e infine ".mammon" aggiunto ai loro nomi. L'email in questione è "mammon0503@tutanota.com". Dopo che la routine di crittografia ha terminato il suo lavoro, la minaccia procederà a fornire la sua richiesta di riscatto come file di testo "FILES ENCRYPTED.txt".

Secondo le istruzioni lasciate dagli hacker, gli utenti interessati dovranno pagare un riscatto utilizzando la criptovaluta Bitcoin. La somma esatta non viene menzionata, ma agli utenti viene detto che devono avviare una comunicazione per ricevere ulteriori dettagli sul pagamento. A tale scopo, nella richiesta di riscatto vengono forniti quattro diversi indirizzi e-mail: "mammon0503@tutanota.com", "mammon0503@protonmail.com", "samsung00700@tutanota.com" o "pecunia0318@goat.si". Due file con estensioni semplici, come .jpg, .xls, .doc hanno una dimensione inferiore a 1 MB, possono essere allegati all'e-mail e verranno presumibilmente decrittografati gratuitamente.

Il testo completo della nota di Mammon Ransomware è:

' ::: Saluti :::

Piccola FAQ:

.1.

D: Cosa sta succedendo?

A: I tuoi file sono stati crittografati e ora hanno l'estensione "mammon". La struttura del file non è stata danneggiata, abbiamo fatto tutto il possibile affinché ciò non potesse accadere.

.2.

D: Come recuperare i file?

A: Se desideri decrittografare i tuoi file dovrai pagare in bitcoin.

.3.

D: E le garanzie?

A: È solo un affare. Non ci preoccupiamo assolutamente di te e delle tue offerte, tranne che per ottenere vantaggi. Se non facciamo il nostro lavoro e le nostre responsabilità, nessuno collaborerà con noi. Non è nel nostro interesse.

Per verificare la possibilità di restituire file, puoi inviarci 2 file qualsiasi con estensioni SEMPLICI (jpg, xls, doc, ecc ... non database!) E di dimensioni ridotte (max 1 mb), li decifreremo e rispediremo a te. Questa è la nostra garanzia.

.4.

D: Come mettersi in contatto con te?

A: Puoi scriverci alla nostra casella di posta: mammon0503@tutanota.com o mammon0503@protonmail.com o samsung00700@tutanota.com o pecunia0318@goat.si

.5.

D: Come procederà il processo di decrittazione dopo il pagamento?

R: Dopo il pagamento ti invieremo il nostro programma decodificatore scanner e istruzioni dettagliate per l'uso. Con questo programma sarai in grado di decrittografare tutti i tuoi file crittografati.

.6.

D: Se non voglio pagare persone cattive come te?

R: Se non collaborerai con il nostro servizio, per noi non importa. Ma perderai tempo e dati, perché solo noi abbiamo la chiave privata. In pratica, il tempo è molto più prezioso del denaro.

::: ATTENZIONE :::

NON provare a modificare i file crittografati da solo!

Se proverai a utilizzare software di terze parti per ripristinare i tuoi dati o soluzioni antivirus, esegui un backup per tutti i file crittografati!

Eventuali modifiche ai file crittografati possono comportare il danneggiamento della chiave privata e, di conseguenza, la perdita di tutti i dati. '