多許可證折扣報價
威脅數據庫 勒索軟體 Mortar勒索軟體

Mortar勒索軟體

勒索軟體Mezo
翻譯為:

惡意軟體仍然是企業和個人面臨的最嚴峻的網路安全威脅之一。現代勒索軟體攻擊可在數小時內擾亂業務運作、造成嚴重的經濟損失並洩露敏感資訊。隨著勒索軟體團伙的手段日益複雜,維護強大的安全控制和主動防禦對於保護寶貴資料和確保業務連續性至關重要。

Mortar勒索軟體概覽

Mortar勒索軟體是一種由網路安全研究人員發現的檔案加密惡意軟體。該威脅主要針對企業環境,攻擊者旨在最大限度地破壞運營,並增加對受害者的勒索壓力。一旦部署到受感染的網路中,Mortar就會加密文件,並留下一個以受害者唯一識別碼命名的勒索訊息,格式為「README-[受害者ID].txt」。

這種勒索軟體的一個顯著特徵是其檔案重命名行為。在加密過程中,Mortar 會將一個唯一的受害者 ID 附加到每個受影響的檔案上。例如,原本名為“1.png”的文件可能會變成“1.png.4RcrXfvVksS5ACA”,而像“2.pdf”這樣的文件可能會變成“2.pdf.4RcrXfvVksS5ACA”。然後,該識別碼會被用於勒索信的檔案名稱中,從而將受害者與攻擊直接關聯起來。

加密過程和贖金要求

Mortar 勒索軟體入侵網路後,會對包括文件、資料庫、照片和其他重要商業文件在內的各種資料進行加密。勒索信聲稱攻擊者使用了 AES-256 和 RSA-2048 加密演算法來鎖定受害者的資訊。雖然此類說法在勒索軟體業者中很常見,但其最終目的仍然相同:在沒有相應解密金鑰的情況下,使資料無法存取。

勒索信告知受害者,恢復檔案的唯一方法是從攻擊者購買解密工具。犯罪者並未設定固定的贖金金額,而是引導受害者造訪一個基於 Tor 網路的入口網站,並提供使用者名稱和密碼作為登入憑證。這種方式允許攻擊者與受害者單獨協商贖金,並可能根據受害組織的價值調整贖金要求。

加密檔案可以恢復嗎?

如果沒有攻擊者的解密機制,恢復被勒索軟體加密的檔案通常極為困難。在極少數情況下,網路安全研究人員會發現實現錯誤或加密漏洞,從而能夠創建免費的解密器。然而,這種情況並不常見,遭受精心設計的勒索軟體攻擊的受害者往往面臨有限的恢復選擇。

支付贖金通常被認為是一項高風險的決定。網路犯罪分子在收到贖金後沒有義務提供有效的解密工具。許多受害者都遇到過這種情況:贖金已支付,但恢復工具從未交付,或者即使交付了,也無法成功恢復資料。因此,支付贖金可能會造成額外的經濟損失,而且並不能保證文件能夠恢復。

感染途徑和攻擊技術

Mortar 勒索軟體可透過多種常用攻擊手段感染受害者。網路釣魚仍然是最常見的感染途徑之一。攻擊者會傳送包含惡意附件的電子郵件,例如壓縮檔案、執行檔或嵌入了有害巨集的 Microsoft Office 文件。一旦開啟這些文件,即可啟動勒索軟體的部署流程。

其他感染途徑包括木馬軟體、虛假更新機制、惡意廣告活動、不可信的下載入口網站以及透過非官方管道分發的盜版應用程式。這些方法利用使用者信任和安全控制措施的不足來取得系統存取權限。

在針對企業的定向入侵中,攻擊者可能會採用更高級的技術。他們經常嘗試透過暴力破解攻擊弱憑據來入侵遠端桌面協定 (RDP) 服務。他們也可能利用面向互聯網的系統中未修補的漏洞來獲得初始立足點,然後再橫向移動到網路中的其他位置,並同時在多台設備上部署勒索軟體。

應對迫擊砲感染

一旦偵測到 Mortar 勒索軟體,立即採取遏制措施至關重要。從受感染系統中移除該勒索軟體有助於防止進一步的加密活動,並降低對整個環境造成額外損害的風險。但是,惡意軟體清除與資料復原並非同一概念。清除惡意程式並不會自動恢復加密檔案。

最可靠的復原方法仍然是恢復攻擊發生前所建立的乾淨備份。備份應與生產系統分開存儲,以防止勒索軟體在攻擊事件期間加密備份儲存庫。維護安全、隔離備份的組織通常更有能力從勒索軟體攻擊中恢復,而無需與網路犯罪分子接觸。

建構強大的防禦體係以抵禦勒索軟體

有效的勒索軟體防護需要採用多層安全策略,結合技術、使用者安全意識和主動維護。企業應定期更新作業系統、應用程式和網路設備,以消除攻擊者常用的漏洞。強大的身份驗證策略,特別是針對遠端存取服務的身份驗證策略,可以顯著降低未經授權存取的風險。

同樣重要的是製定穩健的備份策略。關鍵資料應複製到多個位置,包括離線或斷開連接的儲存設備,這些設備無法從受損系統存取。定期進行備份測試可確保在緊急情況下恢復程序能夠正常運作。

關鍵安全措施包括:

  • 定期進行備份,並將備份儲存在獨立且受保護的位置。
  • 一旦有安全更新和補丁可用,立即應用。
  • 使用強度高、獨一無二的密碼並啟用多因素身份驗證。
  • 限制不必要的遠端存取服務並監控登入嘗試。
  • 訓練員工識別釣魚郵件和可疑附件。
  • 部署信譽良好的終端安全防護和網路監控解決方案。

組織還應遵循最小權限原則,僅授予使用者履行其職責所需的存取權限。持續監控、安全審計和事件回應計畫能夠進一步增強抵禦諸如 Mortar 等勒索軟體攻擊的能力。預防性控制措施、快速偵測能力和可靠的備份系統相結合,仍然是抵禦現代文件加密威脅最有效的防禦手段。

結論

Mortar勒索軟體對企業網路構成嚴重威脅,因為它能夠加密重要資料、擾亂營運並迫使受害者支付贖金以進行解密。攻擊者透過在加密檔案後附加唯一標識符,並將受害者引導至專門的勒索門戶網站,展現出一種結構化且目標明確的攻擊方式。雖然恢復加密檔案可能充滿挑戰,但重視網路安全實踐、維護獨立備份並主動解決漏洞的組織可以顯著降低勒索軟體事件的影響,並提升整體安全態勢。

System Messages

The following system messages may be associated with Mortar勒索軟體:

--------------------------------------------
| What happened to your files?
--------------------------------------------

We breached your corporate network and encrypted the data on your computers. The encrypted data includes documents, databases, photos and more - all were encrypted using a military grade encryption algorithms (AES-256 and RSA-2048). You cannot access those files right now. But don't worry!

You can still get those files back and be up and running again in no time.

---------------------------------------------
| How to contact us to get your files back?
---------------------------------------------

The only way to restore your files is by purchasing a decryption tool loaded with a private key we created specifically for your network.

Once run on an effected computer, the tool will decrypt all encrypted files - and you can resume day-to-day operations, preferably with better cyber security in mind. If you are interested in purchasing the decryption tool contact us at hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion.

!IMPORTANT!
TO RESTORE YOUR FILES CONTACT US VIA TOR BROWSER

WEBSITE: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
USERNAME: sid
PASSWORD: 4RcrXfvVksS5ACA

BACKUP LINK TO SUPPORT TEAM: hxxp://hpo7htcpddfanilknttsymttzfr4usxwjycjpazkleggnvry5bngszyd.onion
!!!!!!!!!!!

熱門

LinkedIn協作郵件詐騙

網路釣魚, 垃圾郵件
LinkedIn 合作詐騙背後的網路犯罪者試圖以看似專業的商業諮詢為誘餌,引誘收件人上鉤。這些郵件聲稱來自 Storex Trading Ltd. 的一位名叫「Jonathan Spriggs」的買家,他聲稱透過 LinkedIn 找到了收件人,並希望洽談一筆涉及 12,000 件產品的大宗訂單。 為了讓郵件看起來更真實,詐騙分子會提及一份已簽署的合同,並誘導收件人查看附件。郵件措辭經過精心設計,旨在營造一種合法性和緊迫感,從而增加用戶在毫無戒心的情況下打開附件的可能性。 然而,整個資訊都是欺詐性的,是旨在竊取登入憑證的網路釣魚行動的一部分。 隱藏在PDF樣式名稱背後的惡意附件 攻擊者不會將受害者引導至外部釣魚網站,而是附加一個名為「LinkedIn_Buyer_Contract_33110.pdf.html」的惡意 HTML 檔案。該檔案名稱具有欺騙性,因為它乍一看就像一個無害的...

您的 Microsoft Outlook 電子郵件用戶端已過時 電子郵件詐騙

網路釣魚, 垃圾郵件
「您的 Microsoft Outlook 電子郵件用戶端已過期」郵件是精心設計的釣魚郵件,偽裝成來自 Microsoft Outlook 的官方安全通知。這些郵件警告收件者其電子郵件用戶端版本過舊,並聲稱如果不立即更新,可能會導致郵件、聯絡人、日曆、會議和其他重要帳戶資料遺失。 為了讓資訊看起來更具說服力,詐騙分子會在資訊中加入一個「更新 Microsoft Outlook」按鈕,聲稱點擊後會安裝最新版本的軟體。但實際上,這個按鈕與任何真正的軟體更新過程都毫無關係。 這些電子郵件的主要目的是誘騙收件者造訪詐騙網站,從而竊取他們的電子郵件憑證。 「更新」按鈕背後的真正目的 點擊提供的按鈕會將使用者重新導向到一個託管在可疑第三方網域上的釣魚網站,而不是微軟官方網站。此詐騙頁面旨在識別受害者的電子郵件服務提供者,並模仿其登入入口網站的外觀。 例如,Gmail 使用者可能會看到偽造的...

Clicksafetychallenge.co.in

流氓網站, 廣告軟體, 瀏覽器劫持者
安全研究人員發現 Clicksafetychallenge.co.in 是一個惡意網頁,旨在以虛假藉口誘騙訪客啟用瀏覽器通知。該網站利用偽造的驗證碼提示來操縱用戶點擊「允許」按鈕。 頁面顯示了一個偽造的 reCAPTCHA 驗證碼元件,並附有「點擊允許以確認您不是機器人」的提示訊息。為了增加可信度,該介面模仿了合法的驗證碼系統,使用了常見的複選框元素和 reCAPTCHA...

最受關注

如何修復“打印機驅動程序不可用”錯誤

問題
29,802
打印機因拒絕在用戶最需要的時候完成工作而臭名昭著。幸運的是,如果您的打印機顯示“打印機驅動程序不可用”錯誤,那麼有幾個簡單的解決方案可以解決該問題。此特定錯誤可能是由損壞的驅動程序文件、過時的驅動程序或驅動程序不兼容引起的。雖然使用 Microsoft 的通用驅動程序可以避免該問題,但我們想向您介紹其他解決方案。 更新打印機的驅動程序...
Discord 在共享屏幕時顯示黑屏截图

Discord 在共享屏幕時顯示黑屏

問題
26,468
首次推出時,Discord 是一個面向遊戲社區的 VoIP 平台。然而,在接下來的幾年裡,它擴大了範圍,增加了許多新功能,並成為最大的社交平台之一,每月活躍用戶超過 1.4 億。目前,用戶可以發送私人即時消息、啟動 VoIP 和視頻通話、流式傳輸他們的計算機屏幕,並組織以特定興趣為中心的稱為服務器的社區。 毫無疑問,快速輕鬆地開始共享計算機屏幕的能力是吸引人們使用 Discord...

Eporner.com

問題
21,421
網路是一個廣闊的空間,充滿了有用的內容、娛樂和訊息,但它也有其陰暗的角落。無論您是在觀看節目、下載應用程式還是訪問成人內容平台,保持警惕都至關重要。許多網站,尤其是那些依賴大量廣告的網站,可能會帶來嚴重的安全風險。其中一個引起人們擔憂的網站是 Eporner.com,這是一個流行的成人內容中心,不僅因其影片而聞名,還因其激進的廣告行為而聞名。 Eporner.com:你真正走進的是什麼...
加載中...