Мамаи Рансомваре
Малвер праћен као Мамаи може да изазове значајну штету на уређајима које успешно инфицира. Када се изврши, одмах почиње да шифрује датотеке и додаје њихова имена датотека са екстензијом '.мамаи10'. На пример, датотека која је првобитно била названа '1.доц' би се након шифровања појавила као '1.доц.мамаи10'. Међутим, одређени број који се користи у новом проширењу може да варира у зависности од специфичне варијанте рансомваре-а. Још једна значајна чињеница је да је Мамаи Рансомваре варијанта која припада породици малвера МедусаЛоцкер .
Када је процес шифровања завршен, Мамаи је креирао поруку са захтевом за откупнину под називом 'Хов_то_бацк_филес.хтмл' и ставио је на радну површину заражене машине. Вреди напоменути да се на основу садржаја поруке о откупнини чини да је Мамаи Рансомваре првенствено усмерен на компаније, а не на појединачне кућне кориснике.
Мамаи Рансомваре оставља поруку са захтевима својим жртвама
У Мамаијевој поруци о откупнини, наводи се да је мрежа компаније жртве компромитована, а датотеке су шифроване помоћу РСА и АЕС криптографских алгоритама. Напомена упозорава на преименовање или модификовање шифрованих датотека или коришћење алата за дешифровање трећих страна, јер ће то довести до трајног губитка података. Поред тога, нападачи су очигледно ексфилтрирали поверљиве и личне податке жртве, што значи да актери претњи воде операцију двоструке изнуде.
Нападачи траже откуп од жртве, а ако одбију да плате, њихови подаци ће остати недоступни, а украдени садржај ће процурити или продати. У белешци се не наводи колика је откупнина, али се помиње да ће се, уколико жртва не успостави контакт са сајбер криминалцима у року од 72 сата, откупнина повећати. Штавише, белешка сугерише да жртва може да тестира дешифровање тако што ће нападачима послати две до три шифроване датотеке пре него што плати откуп.
Након инфекције рансомвером, дешифровање је обично немогуће без учешћа нападача. Међутим, жртве ће можда моћи да обнове своје податке без контактирања сајбер криминалаца ако је одређени рансомвер још увек у развоју или има озбиљне недостатке.
Упркос испуњавању захтева за откупнином, жртве често не добијају кључеве или алате за дешифровање. Стога изричито саветујемо да не плаћате откупнину јер опоравак података није загарантован, а плаћање такође подржава криминалне активности.
Озбиљно схватите безбедност својих уређаја и података
Да би побољшали безбедност својих уређаја и података и спречили нападе рансомвера, корисници би требало да усвоје свеобухватан приступ који укључује и техничке мере и најбоље праксе. Прво, требало би да осигурају да су сви њихови уређаји, укључујући рачунаре, мобилне уређаје и ИоТ уређаје, ажурирани најновијим софтвером и безбедносним закрпама. Ово помаже у спречавању рањивости које би нападачи могли да искористе.
Корисници треба да имплементирају јаке и јединствене лозинке за све своје онлајн налоге и уређаје и омогуће двофакторску аутентификацију где је то могуће. Ово спречава нападаче да добију неовлашћени приступ њиховим налозима и уређајима.
Од кључне је важности да увек будете опрезни када приступате прилозима е-поште или кликнете на везе из непознатих извора. То могу бити е-поруке за крађу идентитета дизајниране да их преваре да преузму рансомваре или други малвер.
Једна од најбољих мера против штете коју изазивају претње рансомвера је прављење редовних резервних копија свих важних датотека и података. Резервне копије треба да се чувају на безбедним, офлајн локацијама. Ово омогућава жртвама да поврате своје податке у случају напада рансомваре-а или друге катастрофе.
На крају, корисници би требало да се едукују о софтверу за рансомваре и другим претњама у вези са сајбер-безбедношћу и да усвоје проактиван начин размишљања према сајбер безбедности. Ово укључује праћење најновијих претњи, будност и спремност да одговорите на напад. Усвајањем ових мера, корисници могу повећати своју безбедност и спречити нападе рансомваре-а да изазову значајну штету њиховим уређајима и подацима.
Порука Мамаи Рансомваре-а која захтева откуп је:
'ВАШ ЛИЧНИ ИД:
/!\ У ВАШУ МРЕЖУ КОМПАНИЈЕ ЈЕ ПРОДРЕН /!\
Све ваше важне датотеке су шифроване!Ваше датотеке су безбедне! Само модификовано. (РСА+АЕС)
СВАКИ ПОКУШАЈ ВРАТАЊА ВАШИХ ДАТОТЕКА СОФТВЕРОМ ТРЕЋЕ СТРАНИ
ТРАЈНО ЋЕ ГА ПОкварити.
НЕМОЈТЕ МОДИФИКОВАТИ ШИФРОВАНЕ ДАТОТЕКЕ.
НЕ ПРЕИМЕВАЈТЕ ШИФИРАНЕ ДАТОТЕКЕ.Ниједан софтвер доступан на интернету не може вам помоћи. Ми смо једини у могућности
решите свој проблем.Прикупили смо веома поверљиве/личне податке. Ови подаци се тренутно чувају на
приватни сервер. Овај сервер ће бити одмах уништен након уплате.
Ако одлучите да не платите, ми ћемо објавити ваше податке јавности или продавцу.
Дакле, можете очекивати да ће ваши подаци бити јавно доступни у блиској будућности.Ми тражимо само новац и наш циљ није да нарушимо вашу репутацију или спречимо
ваш посао од покретања.Можете нам послати 2-3 неважне датотеке и ми ћемо их дешифровати бесплатно
да докажемо да можемо да вратимо ваше датотеке.Контактирајте нас за цену и набавите софтвер за дешифровање.
кд7пцафнцоскфку3ха6фцк4х6ср7тзвагзпцдцнитив3б6вараекв5ид.онион
Имајте на уму да је овај сервер доступан само преко Тор претраживача
Пратите упутства да бисте отворили везу:
Притисните „Преузми Тор“, затим притисните „Преузми Тор Бровсер Бундле“, инсталирајте и покрените га.
Сада имате Тор претраживач. У Тор претраживачу отворите кд7пцафнцоскфку3ха6фцк4х6ср7тзвагзпцдцнитив3б6вараекв5ид.онион
Започните ћаскање и пратите даља упутства.
Ако не можете да користите горњи линк, користите е-пошту:
итхелп01@децороус.циоу
итхелп01@вхоленесс.бусинессДа бисте нас контактирали, направите нови бесплатни налог е-поште на сајту: протонмаил.цом
АКО НАС НЕ КОНТАКТИРАТЕ У 72 САТА, ЦЕНА ЋЕ БИТИ ВИША.'
