Masscan-ransomware
Bedreigingsscorekaart
EnigmaSoft Threat-scorekaart
EnigmaSoft Threat Scorecards zijn beoordelingsrapporten voor verschillende malwarebedreigingen die zijn verzameld en geanalyseerd door ons onderzoeksteam. EnigmaSoft Threat Scorecards evalueren en rangschikken bedreigingen met behulp van verschillende statistieken, waaronder reële en potentiële risicofactoren, trends, frequentie, prevalentie en persistentie. EnigmaSoft Threat Scorecards worden regelmatig bijgewerkt op basis van onze onderzoeksgegevens en statistieken en zijn nuttig voor een breed scala aan computergebruikers, van eindgebruikers die oplossingen zoeken om malware van hun systemen te verwijderen tot beveiligingsexperts die bedreigingen analyseren.
EnigmaSoft Threat Scorecards geven een verscheidenheid aan nuttige informatie weer, waaronder:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Ernstniveau: het vastgestelde ernstniveau van een object, numeriek weergegeven, op basis van ons risicomodelleringsproces en onderzoek, zoals uitgelegd in onze dreigingsbeoordelingscriteria .
Geïnfecteerde computers: het aantal bevestigde en vermoedelijke gevallen van een bepaalde dreiging die is gedetecteerd op geïnfecteerde computers, zoals gerapporteerd door SpyHunter.
Zie ook Criteria voor dreigingsevaluatie .
| Popularity Rank: | 11,716 |
| Dreigingsniveau: | 100 % (Hoog) |
| Geïnfecteerde computers: | 20,017 |
| Eerst gezien: | March 28, 2021 |
| Laatst gezien: | November 17, 2025 |
| Beïnvloede besturingssystemen: | Windows |
De Masscan Ransomware is schadelijke software die is ontworpen om bestanden op een geïnfecteerd systeem te coderen en te vergrendelen en vervolgens losgeld te eisen voor de sleutels die nodig zijn om ze te ontgrendelen. De ransomware werd voor het eerst ontdekt in 2018 en is sindsdien in verband gebracht met verschillende cybercriminaliteitscampagnes. Het is een van de meest voorkomende vormen van cybercriminaliteit geworden vanwege het gemakkelijke geld dat het kan genereren voor de handlers. De Masscan Ransomware heeft drie bekende varianten, genaamd ' F ', ' G ' en ' R '.
De Masscan Ransomware verspreidt zich meestal via phishing-e-mails, beschadigde website-downloads en onbeveiligde netwerken. Zodra het met succes op een computer of netwerk is geïnstalleerd, zal de Masscan Ransomware een extreem krachtige coderingsmethode toepassen op de gegevens die het wil coderen en de .masscan-F-[victim_ID], .masscan-G-[victim_ID], .masscan-R-[victim_ID] bestandsextensies voor hen.
De Masscan Ransomware presenteert de losgeldbrief meestal aan zijn slachtoffers in een tekstbestand met de naam RECOVERY INFORMATION !!!.txt. Het bevat instructies voor het betalen van het losgeld en verschillende andere aanbevelingen. Om verder te voorkomen dat slachtoffers proberen hun gegevens te herstellen zonder het losgeld te betalen, zal de Masscan Ransomware de Shadow Volume Copies verwijderen en ook proberen de aangesloten flashdrives en het systeemnetwerk te versleutelen.
De slachtoffers van deze ransomware kunnen verschillende methoden gebruiken om er vanaf te komen.
Een van de meest effectieve manieren om ransomware te verwijderen, is door het gebruik van antimalwaretools. Slachtoffers van ransomware moeten echter onthouden dat ze niet het gevraagde losgeld moeten betalen, omdat het de zaak alleen maar kan verergeren in plaats van het probleem op te lossen.
De volgende losgeldbrief is degene die de slachtoffers van de Masscan Ransomware op hun desktops zullen zien:
kleine veelgestelde vragen:
.1.
Vraag: Wat is er aan de hand?
A: Uw bestanden zijn versleuteld en hebben nu de extensie ".masscan".
De bestandsstructuur was niet beschadigd, we hebben er alles aan gedaan om dit niet te laten gebeuren.
.2.
Vraag: Hoe bestanden te herstellen?
A: Als u uw bestanden wilt decoderen, moet u in bitcoins betalen.
.3.
Vraag: Hoe zit het met garanties?
A: Het is maar een bedrijf.
Wij geven absoluut niet om u en uw deals, behalve om voordelen te krijgen.
Als we ons werk en onze verplichtingen niet nakomen, zal niemand met ons samenwerken. Het is niet in ons belang.
Om de mogelijkheid om bestanden te retourneren te controleren,
u kunt ons 2 willekeurige bestanden sturen met de extensie .masscan
(jpg, xls, doc, etc…geen database!) en klein formaat (max 1 mb).
We zullen ze ontsleutelen en naar u terugsturen. Dit is onze garantie.
.4.
V: Hoe verloopt het decoderingsproces na betaling?
A: Na betaling sturen wij u ons decoderprogramma en gedetailleerde gebruiksinstructies.
Met dit programma kun je al je versleutelde bestanden ontsleutelen.
.5.
Vraag: Als ik slechte mensen zoals jij niet wil betalen?
A: Als u niet meewerkt aan onze service, maakt dat voor ons niet uit.
Maar u verliest uw tijd en gegevens, want alleen wij hebben de privésleutel.
In de praktijk is tijd veel waardevoller dan geld.
.6.
V: Wat gebeurt er als de decodering wordt opgegeven?
A: Als u de decodering opgeeft,
er is geen beloning voor ons werk en we zullen al uw gegevens tegen vergoeding verkopen op het dark web of in uw land,
inclusief financiële gegevens en gebruikersgegevens.
.7.
Vraag: Hoe contact met u opnemen?
A: U kunt ons schrijven naar onze mailbox: masscan@tutanota.com
Als er binnen 12 uur geen reactie is ontvangen, neem dan contact op met: masscan@onionmail.com (back-up e-mail)
:::PAS OP:::
1.Als u software van derden probeert te gebruiken voor het herstellen van uw gegevens of antivirusoplossingen.
maak een back-up van alle versleutelde bestanden!
2. Elke wijziging aan gecodeerde bestanden kan leiden tot corruptie van de privésleutel, wat resulteert in het verlies van alle gegevens!
3.Als u gecodeerde bestanden van de huidige computer verwijdert, kunt u ze mogelijk niet meer decoderen!
4.Uw sleutel wordt slechts zeven dagen bewaard, waarna deze nooit zal worden gedecodeerd!
In the letter include your personal ID! Send me this ID in your first email to me!'
Inhoudsopgave
Analyse rapport
Algemene informatie
| Family Name: | Masscan Ransomware |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
79f604e426d78256d936490e8fc009fe
SHA1:
cb9b807697b1944bc02086997627a901290e4d66
SHA256:
A0BFDC5A45B67D99C8EF90B71EA9D28E266F9F1F102EC20B9079CA5DA6750156
Bestandsgrootte:
280.06 KB, 280064 bytes
|
|
MD5:
401c35b4c2107264ffdb4f81c5d142bd
SHA1:
6ce669520de238729c3abd32754754c3ec1b1b1b
SHA256:
4824DF774B1DB8668978B41659906D7ABE495FF855BD2337D4961A6E33D5A813
Bestandsgrootte:
1.79 MB, 1789952 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have security information
- File has been packed
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
Show More
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| Naam | Waarde |
|---|---|
| Company Name | TODO: <公司名> |
| File Version |
|
| Legal Copyright | TODO: (C) <公司名>。 保留所有权利。 |
| Product Name | TODO: <产品名> |
| Product Version |
|
File Traits
- Default Version Info
- HighEntropy
- packed
- x86
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 1,266 |
|---|---|
| Potentially Malicious Blocks: | 189 |
| Whitelisted Blocks: | 771 |
| Unknown Blocks: | 306 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Bitcoinminer.FD
- FlyStudio.CA
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Anti Debug |
|
| User Data Access |
|
