Mount Locker Ransomware

Badacze infosec wykryli nowe zagrożenie ransomware przeciwko organizacjom biznesowym. Nazywany Mount Locker Ransomware, ten złośliwy program został wyposażony w kilka nowych sztuczek, których końcowym celem jest wyłudzenie pieniędzy od swoich ofiar.

Ransomware Mount Locker wymaga milionów do odszyfrowania

Hakerzy stojący za Mount Locker Ransowmare atakują przede wszystkim podmioty biznesowe. Włamują się do sieci korporacyjnej swoich ofiar i wdrażają zagrożenie Mount Locker Ransomware. Po wejściu do środka, Mount Locker Ransomware przechodzi do blokowania plików przechowywanych na komputerze, a także wszelkich podłączonych urządzeń pamięci masowej za pomocą niemożliwej do złamania kombinacji algorytmów szyfrowania. Jednak wcześniej Mount Locker Ransomware eksfiltruje ogromne fragmenty danych ofiary i grozi, że zacznie wyciekać je na stronę internetową kontrolowaną przez cyberprzestępców, chyba że ich żądania zostaną spełnione. W jednym przypadku około 400 GB danych zostało zebranych przez oprogramowanie Mount Locker Ransomware, które następnie zostało przesłane na stronę internetową z wyciekiem danych, gdy ofiara zdecydowała się nie płacić. Jest to zrozumiałe, biorąc pod uwagę, że w niektórych zgłoszonych przypadkach hakerzy chcieli otrzymać okup w wysokości 2 milionów dolarów w bitcoinach.

Pliki zaszyfrowane przez oprogramowanie Mount Locker Ransomware nie mogą być wymuszone brutalnie

Kiedy eksperci ds. Cyberbezpieczeństwa przyjrzeli się kodowi stanowiącemu podstawę oprogramowania Mount Locker Ransomware, odkryli, że zagrożenie wykorzystuje kombinację algorytmów szyfrujących, których nie można ominąć bez posiadania kodu deszyfrującego. Same dane są szyfrowane za pomocą algorytmu ChaCha20, jednego z kolejnych wariantów szyfru strumieniowego Salsa20. Z kolei wbudowany klucz publiczny RSA-2048 służy do szyfrowania klucza deszyfrującego ChaCha20.

Ransomware Mount Locker modyfikuje oryginalną nazwę każdego zaszyfrowanego pliku, dodając „ ReadManual ”, a po nim ciąg znaków przedstawiający unikalny identyfikator przypisany ofierze. Żądanie okupu wraz z instrukcjami jest umieszczane w pliku o nazwie „ RecoveryManual.html ” . „Oprogramowanie Mount Locker Ransomware manipuluje rejestrem, aby zapewnić wyświetlenie informacji o okupie za każdym razem, gdy kliknięty zostanie jeden z zaszyfrowanych plików. Polecenie, którego używa, to:

'HKCU \ Software \ Classes \ .C77BFF8C \ shell \ Open \ command \ @ = "explorer.exe RecoveryManual.html"

Ofiary tego ransomware są proszone o odwiedzenie strony internetowej utworzonej przez hakerów stojących za Mount Locker, do której można dotrzeć tylko przez przeglądarkę Tor. Sama strona zawiera niewiele więcej niż funkcję czatu. Użytkownicy, których dotyczy problem, mają możliwość bezpłatnego odszyfrowania dwóch lub trzech plików.

Pełny tekst żądania okupu to:

'Your ClientId:

-

/! \ SIEĆ TWOJEJ FIRMY ZOSTAŁA ZHAKOWANA /! \

Wszystkie twoje ważne pliki zostały zaszyfrowane i skopiowane na nasze prywatne serwery!

KAŻDA PRÓBA PRZYWRÓCENIA PLIKÓW ZA POMOCĄ OPROGRAMOWANIA INNYCH FIRM SPOWODUJE TRWAŁE USZKODZENIE.

NIE ZMIENIAJ ZASZYFROWANYCH PLIKÓW.

NIE ZMIENIAJ NAZWY ZASZYFROWANYCH PLIKÓW.

Tylko spokojnie! Jest rozwiązanie Twojego problemu!

Za pewną nagrodę pieniężną możemy odszyfrować wszystkie zaszyfrowane pliki.

Usuniemy również wszystkie Twoje prywatne dane z naszych serwerów.

Aby udowodnić, że jesteśmy w stanie odszyfrować Twoje pliki, dajemy Ci możliwość odszyfrowania 2-3 plików za darmo.

Więc jaki jest twój następny krok? Skontaktuj się z nami! Skontaktuj się z nami w sprawie ceny i uzyskaj oprogramowanie deszyfrujące.

-

* Pamiętaj, że aby otwierać tego rodzaju linki, musisz mieć zainstalowaną przeglądarkę Tor.

Postępuj zgodnie z instrukcjami, aby zainstalować / uruchomić przeglądarkę Tor:

1. Przejdź do Tor Project, używając domyślnej przeglądarki.

2. Kliknij „Pobierz przeglądarkę Tor”, wybierz wersję zależną od systemu operacyjnego, zwykle jest to Windows. Pobierz i zainstaluj

3. Po instalacji zobaczysz nowy folder na pulpicie: „Przeglądarka Tor”. Otwórz ten folder i uruchom łącze „Uruchom przeglądarkę Tor”.

4. Za pomocą przeglądarki Tor przejdź do

-

5. Ostrożnie skopiuj identyfikator klienta z tego dokumentu i wklej go w oknie Autoryzacji na otwartej stronie. Kliknij OK'.

6. Następnie zobaczysz specjalną aplikację internetową do komunikowania się z nami.

7. Uwaga! Prosimy o cierpliwość - czasami nasz zespół pomocy może być z dala od klawiatury, ale odpowie tak szybko, jak to możliwe! Czas to pieniądz! Skontaktuj się z nami jak najszybciej.

Nie będziemy przechowywać Twojego klucza deszyfrującego na zawsze!