MTX Ransomware
De Dharma ransomware-familie blijft populair onder cybercriminelen en er worden regelmatig nieuwe varianten in het wild uitgebracht. Een zo'n recent voorbeeld is de MTX Ransomware-dreiging. Het werkt op dezelfde manier als de typische Dharma-varianten zonder grote afwijkingen te vertonen.
Het gedrag van MTX Ransomware
Eenmaal volledig geïnstalleerd op het beoogde computersysteem, initieert MTX zijn coderingsprogrammering die gericht is op een groot aantal verschillende bestandstypen. Als gevolg van de acties van de ransomware hebben de getroffen gebruikers geen toegang tot hun documenten, archieven, databases, pdf's, afbeeldingen, foto's, enz., die zijn opgeslagen op het gehackte apparaat.
Wanneer MTX een bestand vergrendelt, wijzigt het ook de oorspronkelijke naam van dat bestand. Ten eerste voegt de dreiging een unieke string toe die fungeert als de ID die aan het specifieke slachtoffer is toegewezen. Vervolgens wordt een e-mailadres toegevoegd dat beheerd wordt door de aanvallers. In dit geval is de e-mail 'mtx88@onionmail.org.' Ten slotte wordt een nieuwe bestandsextensie - '.MTX' toegevoegd aan de naam van het versleutelde bestand.
De laatste stap is het afleveren van een losgeldbrief met instructies voor het slachtoffer. MTX laat in feite 2 verschillende losgeld eisende berichten op de geïnfecteerde systemen vallen. Een daarvan wordt in een tekstbestand met de naam 'info.txt' geplaatst. Het bestand wordt aangemaakt op het bureaublad van het systeem. De andere losgeldnota wordt weergegeven in een pop-upvenster.
Overzicht van losgeldbrief
De instructies uit het tekstbestand zijn extreem kort en missen de meeste belangrijke details die gewoonlijk in dergelijke notities worden gevonden. Gebruikers wordt eenvoudigweg verteld om contact op te nemen met de cybercriminelen door een bericht te sturen naar 'mtx88@onionmail.org' of 'mtx88@reddithub.com'.
Het pop-upvenster levert de belangrijkste boodschap van de hackers. Er staat dat het secundaire e-mailadres niet onmiddellijk mag worden gebruikt. Slachtoffers worden verondersteld eerst de primaire e-mail te sturen en ten minste 12 uur te wachten om daar een antwoord te krijgen. De notitie waarschuwt ook dat het hernoemen of proberen te decoderen van de vergrendelde bestanden zonder de hackers te betalen, de gegevens per ongeluk kan beschadigen en de bestanden onherstelbaar kan maken.
Het bericht van MTX Ransomware afgeleverd via een pop-upvenster:
UW BESTANDEN ZIJN VERSLEUTELD
1024
Maak je geen zorgen, je kunt al je bestanden teruggeven!
Als je ze wilt herstellen, schrijf dan naar de mail: mtx88@onionmail.org UW ID -
Als u niet binnen 12 uur per e-mail hebt geantwoord, schrijf ons dan via een andere e-mail:mtx88@reddithub.com
AANDACHT!
We raden u aan rechtstreeks contact met ons op te nemen om te voorkomen dat agenten te veel betalen
Hernoem geen versleutelde bestanden.
Probeer uw gegevens niet te ontsleutelen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan leiden tot een hogere prijs (ze voegen hun vergoeding toe aan onze kosten) of u kunt het slachtoffer worden van oplichterij.
MTX Ransomware's instructies in het tekstbestand:
al uw gegevens zijn bij ons vergrendeld
Wil je terugkeren?
schrijf e-mail mtx88@onionmail.org of mtx88@reddithub.com
