Threat Database Ransomware MaMoCrypt Ransomware

MaMoCrypt Ransomware

Hoewel de MaMoCrypt Ransomware weinig afwijkt van wat wordt beschouwd als het typische gedrag van een dergelijke dreiging aan de oppervlakte, onthult een nadere beschouwing van de onderliggende code enkele nogal eigenaardige details. De MaMoCrypt Ransomware is een crypto-locker-bedreiging gebaseerd op de MZRevenge Ransomware. Het is verpakt met behulp van ' mpress. '

Eenmaal binnen de beoogde computer, zal de MaMoCrypt Ransomware doorgaan met het verwijderen van de Shadow Volume Copies die zijn gemaakt door de standaard Windows-back-upservice. De dreiging schakelt ook zowel de standaardfirewall als de functie Gebruikersaccountbeheer uit. De echte unieke kenmerken beginnen echter met het begin van het coderingsproces. De MaMoCrypt Ransomware gaat achter bestanden aan in een lijst van 23 hardgecodeerde locaties. Ze bevatten de meeste mappen in het pad ' C: \ Users \% user% ', DRIVES AZ, ZONDER C, de Steam-map onder Program Files en 'C: \ ProgramData \ Microsoft \ Windows \ Start Menu \.' De MaMoCrypt Ransomware treft bijna alle bestandstypen, meer in het bijzonder kan de dreiging in totaal 339 specifieke bestandsextensies versleutelen.

Wanneer het coderingsproces begint, genereert de MaMoCrypt Ransomware twee sleutels en een masker dat wordt gebruikt om vervolgens twee coderingssleutels voor elk bestand te maken. De gegevens worden eerst versleuteld met behulp van het AES-128 CBC-algoritme, maar daarna worden ze opnieuw versleuteld, dit keer met Twofish-128 CFB. Elk 'vergrendeld' bestand krijgt de extensie '.MZ173802' toegevoegd aan de oorspronkelijke bestandsnaam. Het losgeldbriefje wordt vervolgens in opeenvolgende volgorde neergezet in elke map met gecodeerde bestanden. De naam van het tekstbestand met de instructies van de hackers is 'How Do I Recover My Files (Readme) .txt'.

Gelukkig voor slachtoffers van de MaMoCrypt Ransomware, hebben de onderzoekers een decoderingstool uitgebracht die de meeste gegevens zou moeten kunnen herstellen. Er zijn echter twee zeer belangrijke kanttekeningen die moeten worden vermeld. Vanwege het unieke coderingssysteem van de bedreiging, hangt het decoderingsproces in hoge mate af van de resulterende volgorde waarin de bestanden werden gecodeerd. Omdat hackers bepaalde fouten in de coderingsconfiguraties niet opmerken, zullen bestanden groter dan 4 GB permanent worden beschadigd door de MaMoCrypt Ransomware.

Trending

Meest bekeken

Bezig met laden...