MaMoCrypt Ransomware

Mentre MaMoCrypt Ransomware mostra poca deviazione da quello che è considerato il comportamento tipico per una tale minaccia in superficie, uno sguardo più da vicino al codice sottostante rivela alcuni dettagli piuttosto peculiari. Il MaMoCrypt Ransomware è una minaccia di crypto locker basata su MZRevenge Ransomware. Viene confezionato utilizzando ' mpress. '

Una volta all'interno del computer di destinazione, MaMoCrypt Ransomware procederà a eliminare le copie shadow del volume create dal servizio di backup predefinito di Windows. La minaccia disabiliterà anche il firewall predefinito e la funzione di controllo dell'account utente. Le vere caratteristiche uniche, tuttavia, iniziano con l'inizio del processo di crittografia. MaMoCrypt Ransomware cerca i file che si trovano in un elenco di 23 posizioni codificate. Includono la maggior parte delle cartelle nel percorso " C: \ Users \% user% ", DRIVES AZ, SENZA C, la cartella Steam che si trova in Programmi e "C: \ ProgramData \ Microsoft \ Windows \ Start Menu \." MaMoCrypt Ransomware colpisce quasi tutti i tipi di file, più specificamente, la minaccia è in grado di crittografare un totale di 339 estensioni di file specifiche.

Quando inizia il processo di crittografia, MaMoCrypt Ransomware genera due chiavi e una maschera utilizzata per creare successivamente due chiavi di crittografia per ogni file. I dati verranno prima crittografati utilizzando l'algoritmo CBC AES-128, ma poi verranno sottoposti a un'altra crittografia, questa volta con Twofish-128 CFB. Ogni file "bloccato" avrà l'estensione ".MZ173802" aggiunta al nome file originale. La richiesta di riscatto verrà quindi rilasciata in ordine sequenziale in ogni cartella contenente file crittografati. Il nome del file di testo contenente le istruzioni degli hacker è "Come faccio a recuperare i miei file (Leggimi) .txt".

Fortunatamente per le vittime del MaMoCrypt Ransomware, i ricercatori hanno rilasciato uno strumento di decrittazione che dovrebbe essere in grado di ripristinare la maggior parte dei dati. Tuttavia, ci sono due avvertenze molto importanti che devono essere menzionate. A causa del sistema di crittografia unico della minaccia, il processo di decrittografia dipende estremamente dall'ordine risultante in cui i file sono stati crittografati. A causa degli hacker che non riescono a notare alcuni errori di configurazione della crittografia, i file più grandi di 4 GB verranno danneggiati in modo permanente da MaMoCrypt Ransomware.