Mlock Ransomware
Cybercriminelen gebruiken een andere bedreigende malware om gebruikers buiten te sluiten van hun eigen apparaten. De malwarebedreiging heet Mlock Ransomware, is een variant uit de MeduseLocker Ransomware- familie en is in staat om een grote lijst met bestandstypen volledig onbruikbaar te maken, via versleuteling met een combinatie van cryptografische algoritmen.
Na een succesvolle infectie gebruiken de aanvallers een dubbel afpersingsschema om hun slachtoffers losgeld te laten betalen. Afgezien van het vergrendelen van de bestanden van de gebruiker, beweren de hackers dat ze gevoelige informatie hebben verzameld van het gecompromitteerde systeem die voor het publiek zal worden vrijgegeven als niet aan hun eisen wordt voldaan.
Technische details
Eenmaal geïmplementeerd op het systeem, scant Mlock de bestanden die daar zijn opgeslagen en versleutelt de bestanden die overeenkomen met de lijst met gerichte bestandstypen. Elk bestand dat op deze manier is vergrendeld, wordt gemarkeerd door '.mlock5' toe te voegen aan de oorspronkelijke naam. De dreiging kan voorkomen dat er met verschillende essentiële mappen wordt geknoeid om geen kritieke systeemfouten te veroorzaken die het hele systeem onstabiel zouden kunnen maken. Wanneer het zijn coderingsproces heeft voltooid, zal de Mlock Ransomware een losgeldbrief op het systeem plaatsen. Het bericht wordt op het bureaublad van het apparaat gemaakt als een HTML-bestand met de naam 'HOW_TO_RECOVER_DATA.html'.
De eisen van Mlock Ransomware
Volgens de notitie gebruikt Mlock zowel de RSA- als de AES-coderingsalgoritmen om de bestanden van het slachtoffer te vergrendelen. Om de vereiste decoderingssleutel te ontvangen en te voorkomen dat hackers de persoonlijke of zakelijke gegevens die ze beweren te hebben verzameld vrijgeven of doorverkopen, wordt van de slachtoffers verwacht dat ze de communicatie starten en vervolgens losgeld betalen. Het bedrag dat ze moeten betalen zal hoger zijn als ze niet binnen de eerste 72 uur na de Mlock Ransomware-infectie contact opnemen met de cybercriminelen.
Het belangrijkste communicatiekanaal dat in de nota wordt genoemd, is een speciale website die wordt gehost op het TOR-netwerk. Om de site te bereiken, moeten gebruikers echter een specifieke browser downloaden en verschillende andere stappen volgen. Om het gedoe te vermijden, hebben slachtoffers ook twee e-mailadressen - 'restoreassistance@decorous.cyou' en 'restoreassistance@wholeness.business'. Als onderdeel van hun bericht mogen gebruikers maximaal drie versleutelde bestanden verzenden die de aanvallers beloven te ontgrendelen en gratis terug te sturen. De gekozen bestanden mogen geen waardevolle informatie bevatten.
De volledige tekst van de notitie van Mlock Ransomware is:
' UW PERSOONLIJKE ID:
/!\ UW BEDRIJFSNETWERK IS BINNENGEVALLEN /!\
Al uw belangrijke bestanden zijn versleuteld!Uw bestanden zijn veilig! Alleen gewijzigd. (RSA+AES)
ELKE POGING OM UW BESTANDEN TE HERSTELLEN MET SOFTWARE VAN DERDEN
ZAL HET PERMANENT BORSTELEN.
WIJZIG GEEN ENCRYPTE BESTANDEN.
WIJZIGEN GEEN ENCRYPTE BESTANDEN.Er is geen software beschikbaar op internet die u kan helpen. Wij zijn de enigen die dat kunnen
uw probleem oplossen.We hebben zeer vertrouwelijke/persoonlijke gegevens verzameld. Deze gegevens worden momenteel opgeslagen op:
een privéserver. Deze server wordt na uw betaling direct vernietigd.
Als u besluit niet te betalen, geven we uw gegevens vrij aan het publiek of aan de wederverkoper.
U kunt dus verwachten dat uw gegevens in de nabije toekomst openbaar beschikbaar zijn.We zoeken alleen geld en ons doel is niet om uw reputatie te schaden of te voorkomen
uw bedrijf uit de running.U kunt ons 2-3 niet-belangrijke bestanden sturen en wij zullen deze gratis decoderen
om te bewijzen dat we uw bestanden kunnen teruggeven.Neem contact met ons op voor de prijs en ontvang decoderingssoftware.
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Merk op dat deze server alleen beschikbaar is via de Tor-browser
Volg de instructies om de link te openen: Typ het adres "hxxps://www.torproject.org" in uw internetbrowser. Het opent de Tor-site.
Druk op "Download Tor", druk vervolgens op "Download Tor Browser Bundle", installeer en voer het uit.
Nu heb je Tor-browser. Open in de Tor-browser qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Start een chat en volg de verdere instructies.
Als u de bovenstaande link niet kunt gebruiken, gebruikt u de e-mail:
restoreassistance@decorous.cyou
restoreassistance@wholeness.businessOm contact met ons op te nemen, maakt u een nieuw gratis e-mailaccount aan op de site: protonmail.com
ALS U NIET BINNEN 72 UUR CONTACT MET ONS OPNEEMT, ZAL DE PRIJS HOGER ZIJN. '
