Mount Locker Ransomware

Uma nova ameaça de ransomware sendo usada como arma contra organizações empresariais foi detectada por pesquisadores da Infosec. Chamado de Mount Locker Ransomware, esse malware foi equipado com vários novos truques quando o objetivo final é extorquir dinheiro de suas vítimas.

O Mount Locker Ransomware Exige Milhões para Descriptografar

Os hackers por trás do Mount Locker Ransowmare visam principalmente entidades comerciais. Eles violam a rede corporativa de suas vítimas e implantam a ameaça Mount Locker Ransomware. Uma vez dentro, o Mount Locker Ransomware bloqueia os arquivos armazenados no computador, bem como quaisquer dispositivos de armazenamento conectados com uma combinação indecifrável de algoritmos de criptografia. Antes disso, o Mount Locker Ransomware confisca grandes blocos de dados da vítima e ameaça começar a divulgá-los em um site sob o controle de criminosos cibernéticos, a menos que suas demandas sejam atendidas. Em um caso, cerca de 400 GB de dados foram coletados pelo Mount Locker Ransomware e carregados no site de vazamento de dados posteriormente, quando a vítima decidiu não pagar. Isso é compreensível quando se considera que os hackers queriam receber um resgate de $ 2 milhões em Bitcoin em alguns casos relatados.

Os Arquivos Criptografados pelo Mount Locker Ransomware não podem ser Submetidos à Força Bruta

Quando os especialistas em segurança cibernética deram uma olhada no código subjacente do Mount Locker Ransomware, eles descobriram que a ameaça estava usando uma combinação de algoritmos de criptografia que não podiam ser contornados sem o código de descriptografia. Os dados em si são criptografados com o algoritmo ChaCha20, uma das variantes sucessoras da cifra de fluxo Salsa20. Por sua vez, uma chave pública RSA-2048 incorporada é usada para criptografar a chave de descriptografia ChaCha20.

O Mount Locker Ransomware modifica o nome do arquivo original de cada arquivo criptografado, acrescentando ' ReadManual ' seguido por uma sequência de caracteres que representa o ID exclusivo atribuído à vítima. A nota de resgate com as instruções foi descartada como um arquivo chamado ' RecoveryManual.html. 'O Mount Locker Ransomware altera o Registro para garantir que a nota de resgate seja exibida toda vez que um dos arquivos criptografados for clicado. O comando que ele usa é:

'HKCU \ Software \ Classes \ .C77BFF8C \ shell \ Open \ command \ @ = "explorer.exe RecoveryManual.html'

As vítimas desse ransomware são convidadas a visitar um site criado pelos hackers por trás do Mount Locker, que só pode ser acessado por meio do navegador Tor. O próprio site contém pouco mais do que uma função de bate-papo. Os usuários afetados têm a oportunidade de ter dois ou três arquivos descriptografados gratuitamente.

O texto completo da nota de resgate é:

'Your ClientId:

-

/! \ A REDE DE SUA EMPRESA FOI HACKED /! \

Todos os seus arquivos importantes foram criptografados e copiados para nossos servidores privados!

QUALQUER TENTATIVA DE RESTAURAR SEUS ARQUIVOS COM SOFTWARE DE TERCEIROS O CORROMPERÁ PERMANENTEMENTE.

NÃO MODIFIQUE OS ARQUIVOS CRIPTOGRAFADOS.

NÃO RENOMEAR ARQUIVOS CRIPTOGRAFADOS.

Mas fique calmo! Existe uma solução para o seu problema!

Por alguma recompensa em dinheiro, podemos descriptografar todos os seus arquivos criptografados.

Além disso, excluiremos todos os seus dados privados de nossos servidores.

Para provar que somos capazes de descriptografar seus arquivos, oferecemos a você a capacidade de descriptografar 2 a 3 arquivos gratuitamente.

Então, qual é o próximo passo? Contate-Nos! Entre em contato conosco para obter o preço e obter o software de descriptografia.

-

* Observe que você precisa instalar o navegador Tor para abrir este tipo de links.

Siga as instruções para instalar / executar o navegador Tor:

1. Vá para o Projeto Tor usando seu navegador padrão.

2. Clique em "Baixar Navegador Tor", escolha a versão depende do seu sistema operacional, geralmente é Windows. Baixe e instale-o

3. Após a instalação, você verá uma nova pasta em sua área de trabalho: "Navegador Tor". Abra esta pasta e execute o link "Iniciar navegador Tor".

4. Usando o navegador Tor, vá para

-

5. Copie cuidadosamente o seu ID de cliente deste documento e cole-o na janela Autorização na página aberta. Clique OK'.

6. Depois disso, você verá um aplicativo de bate-papo especial da web para se comunicar conosco.

7. NB! Por favor, seja paciente - às vezes nossa equipe de suporte pode estar longe do teclado, mas eles responderão o mais rápido possível! Tempo é dinheiro! Contate-nos o mais breve possível.

Não vamos armazenar sua chave de descriptografia para sempre! '