多许可证折扣报价
威胁数据库 勒索软件 Mortar勒索软件

Mortar勒索软件

通过Mezo勒索软件
翻译为:

恶意软件仍然是企业和个人面临的最严峻的网络安全威胁之一。现代勒索软件攻击可在数小时内扰乱业务运营、造成严重的经济损失并泄露敏感信息。随着勒索软件团伙的手段日益复杂,维护强大的安全控制和主动防御对于保护宝贵数据和确保业务连续性至关重要。

Mortar勒索软件概览

Mortar勒索软件是一种由网络安全研究人员发现的文件加密恶意软件。该威胁主要针对企业环境,攻击者旨在最大限度地破坏运营,并加大对受害者的勒索压力。一旦部署到受感染的网络中,Mortar就会加密文件,并留下一个以受害者唯一标识符命名的勒索信息,格式为“README-[受害者ID].txt”。

这种勒索软件的一个显著特征是其文件重命名行为。在加密过程中,Mortar 会将一个唯一的受害者 ID 附加到每个受影响的文件上。例如,原本名为“1.png”的文件可能会变成“1.png.4RcrXfvVksS5ACA”,而像“2.pdf”这样的文档可能会变成“2.pdf.4RcrXfvVksS5ACA”。然后,该标识符会被用于勒索信的文件名中,从而将受害者与攻击直接关联起来。

加密过程和赎金要求

Mortar 勒索软件入侵网络后,会对包括文档、数据库、照片和其他重要商业文件在内的各种数据进行加密。勒索信声称攻击者使用了 AES-256 和 RSA-2048 加密算法来锁定受害者的信息。虽然此类说法在勒索软件运营者中很常见,但其最终目的仍然相同:在没有相应解密密钥的情况下,使数据无法访问。

勒索信告知受害者,恢复文件的唯一方法是从攻击者处购买解密工具。犯罪分子并未设定固定的赎金金额,而是引导受害者访问一个基于 Tor 网络的门户网站,并提供用户名和密码作为登录凭证。这种方式允许攻击者与受害者单独协商赎金,并可能根据受害组织的价值调整赎金要求。

加密文件可以恢复吗?

如果没有攻击者的解密机制,恢复被勒索软件加密的文件通常极其困难。在极少数情况下,网络安全研究人员会发现实现错误或加密漏洞,从而能够创建免费的解密器。然而,这种情况并不常见,遭受精心设计的勒索软件攻击的受害者往往面临有限的恢复选择。

支付赎金通常被认为是一项高风险的决定。网络犯罪分子在收到赎金后没有义务提供有效的解密工具。许多受害者都遇到过这种情况:赎金已支付,但恢复工具却从未交付,或者即使交付了,也无法成功恢复数据。因此,支付赎金可能会造成额外的经济损失,而且并不能保证文件能够恢复。

感染途径和攻击技术

Mortar 勒索软件可通过多种常用攻击手段感染受害者。网络钓鱼仍然是最常见的感染途径之一。攻击者会发送包含恶意附件的电子邮件,例如压缩文件、可执行文件或嵌入了有害宏的 Microsoft Office 文档。一旦打开这些文件,即可启动勒索软件的部署过程。

其他感染途径包括木马软件、虚假更新机制、恶意广告活动、不可信的下载门户网站以及通过非官方渠道分发的盗版应用程序。这些方法利用用户信任和安全控制措施的不足来获取系统访问权限。

在针对企业的定向入侵中,攻击者可能会采用更高级的技术。他们经常尝试通过暴力破解攻击弱凭据来入侵远程桌面协议 (RDP) 服务。他们也可能利用面向互联网的系统中未修补的漏洞来获得初始立足点,然后再横向移动到网络中的其他位置,并同时在多台设备上部署勒索软件。

应对迫击炮感染

一旦检测到 Mortar 勒索软件,立即采取遏制措施至关重要。从受感染系统中移除该勒索软件有助于防止进一步的加密活动,并降低对整个环境造成额外损害的风险。但是,恶意软件清除与数据恢复并非同一概念。清除恶意程序并不会自动恢复加密文件。

最可靠的恢复方法仍然是恢复攻击发生前创建的干净备份。备份应与生产系统分开存储,以防止勒索软件在攻击事件期间加密备份存储库。维护安全、隔离备份的组织通常更有能力从勒索软件攻击中恢复,而无需与网络犯罪分子接触。

构建强大的防御体系以抵御勒索软件

有效的勒索软件防护需要采用多层安全策略,结合技术、用户安全意识和主动维护。企业应定期更新操作系统、应用程序和网络设备,以消除攻击者常用的漏洞。强大的身份验证策略,特别是针对远程访问服务的身份验证策略,可以显著降低未经授权访问的风险。

同样重要的是制定稳健的备份策略。关键数据应复制到多个位置,包括离线或断开连接的存储设备,这些设备无法从受损系统访问。定期进行备份测试可确保在紧急情况下恢复程序能够正常运行。

关键安全措施包括:

  • 定期进行备份,并将备份存储在独立且受保护的位置。
  • 一旦有安全更新和补丁可用,立即应用。
  • 使用强度高、独一无二的密码并启用多因素身份验证。
  • 限制不必要的远程访问服务并监控登录尝试。
  • 培训员工识别钓鱼邮件和可疑附件。
  • 部署信誉良好的终端安全防护和网络监控解决方案。

组织还应遵循最小权限原则,仅授予用户履行其职责所需的访问权限。持续监控、安全审计和事件响应计划能够进一步增强抵御诸如 Mortar 等勒索软件攻击的能力。预防性控制措施、快速检测能力和可靠的备份系统相结合,仍然是抵御现代文件加密威胁最有效的防御手段。

结论

Mortar勒索软件对企业网络构成严重威胁,因为它能够加密重要数据、扰乱运营并迫使受害者支付赎金以进行解密。攻击者通过在加密文件后附加唯一标识符,并将受害者引导至专门的勒索门户网站,展现出一种结构化且目标明确的攻击方式。虽然恢复加密文件可能充满挑战,但重视网络安全实践、维护独立备份并主动解决漏洞的组织可以显著降低勒索软件事件的影响,并提升整体安全态势。

System Messages

The following system messages may be associated with Mortar勒索软件:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

趋势

LinkedIn协作邮件诈骗

网络钓鱼, 垃圾邮件
LinkedIn 合作诈骗背后的网络犯罪分子试图以看似专业的商业咨询为诱饵,引诱收件人上钩。这些邮件声称来自 Storex Trading Ltd. 的一位名叫“Jonathan Spriggs”的买家,他声称通过 LinkedIn 找到了收件人,并希望洽谈一笔涉及 12,000 件产品的大宗订单。 为了让邮件看起来更真实,诈骗分子会提及一份已签署的合同,并诱导收件人查看附件。邮件措辞经过精心设计,旨在营造一种合法性和紧迫感,从而增加用户在毫无戒心的情况下打开附件的可能性。 然而,整条信息都是欺诈性的,是旨在窃取登录凭证的网络钓鱼行动的一部分。 隐藏在PDF样式名称背后的恶意附件 攻击者不会将受害者引导至外部钓鱼网站,而是附加一个名为“LinkedIn_Buyer_Contract_33110.pdf.html”的恶意 HTML 文件。该文件名具有欺骗性,因为它乍一看就像一个无害的...

您的 Microsoft Outlook 电子邮件客户端已过时 电子邮件诈骗

网络钓鱼, 垃圾邮件
“您的 Microsoft Outlook 电子邮件客户端已过期”邮件是精心设计的钓鱼邮件,伪装成来自 Microsoft Outlook 的官方安全通知。这些邮件警告收件人其电子邮件客户端版本过旧,并声称如果不立即更新,可能会导致邮件、联系人、日历、会议和其他重要帐户数据丢失。 为了让信息看起来更具说服力,诈骗分子会在信息中添加一个“更新 Microsoft Outlook”按钮,声称点击后会安装最新版本的软件。但实际上,这个按钮与任何真正的软件更新过程都毫无关系。 这些电子邮件的主要目的是诱骗收件人访问欺诈网站,从而窃取他们的电子邮件凭据。 “更新”按钮背后的真正目的 点击提供的按钮会将用户重定向到一个托管在可疑第三方域名上的钓鱼网站,而不是微软官方网站。该欺诈页面旨在识别受害者的电子邮件服务提供商,并模仿其登录门户的外观。 例如,Gmail 用户可能会看到伪造的 Gmail...

Clicksafetychallenge.co.in

恶意网站, 广告软件, 浏览器劫持者
安全研究人员发现 Clicksafetychallenge.co.in 是一个恶意网页,旨在以虚假借口诱骗访问者启用浏览器通知。该网站利用伪造的验证码提示来操纵用户点击“允许”按钮。 页面显示了一个伪造的 reCAPTCHA 验证码组件,并附有“点击允许以确认您不是机器人”的提示信息。为了增加可信度,该界面模仿了合法的验证码系统,使用了常见的复选框元素和 reCAPTCHA...

最受关注

如何修复“打印机驱动程序不可用”错误

问题
29,802
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

问题
26,468
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...

Eporner.com

问题
21,421
互联网是一个广阔的空间,充满了实用的内容、娱乐和信息,但也存在一些阴暗的角落。无论您是在观看节目、下载应用程序,还是访问成人内容平台,保持警惕都至关重要。许多网站,尤其是那些依靠大量广告的网站,都可能带来严重的安全风险。其中一个令人担忧的网站是 Eporner.com——一个广受欢迎的成人内容中心,不仅以其视频而闻名,还因其激进的广告策略而闻名。 Eporner.com:你真正走进的是什么...
正在加载...