Mlock Ransomware
Nettkriminelle bruker en annen truende skadelig programvare for å låse brukere ute fra sine egne enheter. Skadevaretrusselen heter Mlock Ransomware, er en variant fra MeduseLocker Ransomware- familien, og er i stand til å gjøre en stor liste over filtyper fullstendig ubrukelig, via kryptering med en kombinasjon av kryptografiske algoritmer.
Etter en vellykket infeksjon bruker angriperne en dobbel utpressingsplan for å få ofrene til å betale løsepenger. Faktisk, bortsett fra å låse brukerens filer, hevder hackerne å ha samlet inn sensitiv informasjon fra det kompromitterte systemet som vil bli frigitt til offentligheten hvis deres krav ikke blir oppfylt.
Tekniske detaljer
Når den er distribuert på systemet, vil Mlock skanne filene som er lagret der og kryptere de som samsvarer med listen over målrettede filtyper. Hver fil som er låst på denne måten vil bli merket ved å ha '.mlock5' tilføyd det opprinnelige navnet. Trusselen kan unngå å tukle med flere viktige kataloger for ikke å forårsake kritiske systemfeil som kan gjøre hele systemet ustabilt. Når den er ferdig med krypteringsprosessen, vil Mlock Ransomware slippe en løsepengenota på systemet. Meldingen vil bli opprettet på enhetens skrivebord som en HTML-fil med navnet 'HOW_TO_RECOVER_DATA.html.'
Mlock Ransomwares krav
I følge notatet bruker Mlock både RSA- og AES-krypteringsalgoritmene for å låse offerets filer. For å motta den nødvendige dekrypteringsnøkkelen og stoppe hackerne fra å frigi eller videreselge de personlige eller bedriftsdata de hevder å ha samlet inn, forventes ofrene å starte kommunikasjon og deretter betale løsepenger. Beløpet de må betale kommer til å bli høyere hvis de ikke kontakter nettkriminelle innen de første 72 timene etter Mlock Ransomware-infeksjonen.
Hovedkommunikasjonskanalen nevnt i notatet er et dedikert nettsted som er vert på TOR-nettverket. Men for å komme til nettstedet, må brukere laste ned en bestemt nettleser og følge flere andre trinn. For å unngå bryet sitter ofrene også igjen med to e-postadresser - 'restoreassistance@decorous.cyou' og 'restoreassistance@wholeness.business'. Som en del av meldingen deres har brukere lov til å sende opptil tre krypterte filer som angriperne lover å låse opp og returnere gratis. De valgte filene må ikke inneholde verdifull informasjon.
Den fullstendige teksten til Mlock Ransomwares notat er:
' DIN PERSONLIGE ID:
/!\ BEDRIFTSNETTVERKET ER BLITT PENETRERT /!\
Alle viktige filer er kryptert!Filene dine er trygge! Kun modifisert. (RSA+AES)
EVENTUELLE FORSØK PÅ Å GJENOPPE FILENE DINE MED TREDJEPARTSPROGRAMVARE
VIL PERMANENT KORRUPTERE DET.
IKKE ENDRE KRYPTERT FILER.
IKKE GJENNOMFØR KRYPTERT FILER.Ingen programvare tilgjengelig på internett kan hjelpe deg. Vi er de eneste som kan
løse problemet ditt.Vi samlet inn svært konfidensielle/personlige data. Disse dataene er for øyeblikket lagret på
en privat server. Denne serveren blir umiddelbart ødelagt etter betalingen din.
Hvis du bestemmer deg for å ikke betale, vil vi frigi dataene dine til offentlig eller videreselger.
Så du kan forvente at dataene dine blir offentlig tilgjengelig i nær fremtid.Vi søker kun penger og vårt mål er ikke å skade omdømmet ditt eller forhindre
virksomheten din fra å kjøre.Du kan sende oss 2-3 ikke-viktige filer, og vi vil dekryptere dem gratis
for å bevise at vi er i stand til å gi tilbake filene dine.Kontakt oss for pris og få dekrypteringsprogramvare.
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Merk at denne serveren kun er tilgjengelig via Tor-nettleseren
Følg instruksjonene for å åpne lenken: Skriv inn adressen "hxxps://www.torproject.org" i nettleseren din. Den åpner Tor-siden.
Trykk "Last ned Tor", trykk deretter "Last ned Tor-nettleserbunt", installer og kjør den.
Nå har du Tor-nettleseren. Åpne qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion i Tor-nettleseren
Start en chat og følg de videre instruksjonene.
Hvis du ikke kan bruke lenken ovenfor, bruk e-posten:
restoreassistance@decorous.cyou
restoreassistance@wholeness.businessFor å kontakte oss må du opprette en ny gratis e-postkonto på nettstedet: protonmail.com
HVIS DU IKKE KONTAKTER OSS INNEN 72 TIMER, VIL PRISEN VÆRE HØYERE. '
