Ransomware Mount Locker se junta ao jogo de resgate multimilionário

Views: 91
0 0
Read Time:1 Minute, 58 Second

Uma nova operação de ransomware chamada Mount Locker está em andamento roubando os arquivos das vítimas antes de criptografar e, em seguida, exigir resgates multimilionários.

A partir do final de julho de 2020, o Mount Locker começou a invadir redes corporativas e implantar seu ransomware.

A partir de notas de resgate compartilhadas com BleepingComputer pelas vítimas, a gangue Mount Locker está exigindo pagamentos multimilionários de resgate em alguns casos.

Antes de criptografar arquivos, o Mount Locker também roubará arquivos não criptografados e ameaçará as vítimas de que os dados serão publicados se um resgate não for pago.

Por exemplo, o Mount Locker disse a uma vítima que eles roubaram 400 GB de seus dados, e se eles não forem pagos, eles entrarão em contato com os concorrentes da vítima, a mídia, canais de TV e jornais.

Em última análise, a vítima não pagou, e seus dados foram publicados em um site de vazamento de dados de ransomware.

Este site de vazamento de dados lista atualmente quatro vítimas, com apenas uma tendo arquivos vazados.

O ransomware MountLocker

Foi apenas até recentemente que o MalwareHunterTeam descobriu uma amostra do Mount Locker, que nos permitiu obter um pouco mais de visão sobre como o ransomware opera.

Michael Gillespie, que analisou o ransomware, disse ao BleepingComputer que o Mount Locker usa o ChaCha20 para criptografar os arquivos e uma chave pública RSA-2048 incorporada para criptografar a chave de criptografia.

A partir de nossa análise, ao criptografar arquivos, o ransomware adicionará uma extensão no formato . ReadManual.ID. Por exemplo, 1.doc seria criptografado e renomeado para 1.doc. ReadManual.C77BFF8C, como mostrado na pasta criptografada abaixo.

O ransomware registrará a extensão no Registro de modo que, quando você clicar em um arquivo criptografado, ele carregará automaticamente a nota de resgate.

HKCU\Software\Classes\.C77BFF8C\shell\Open\command\ @="explorer.exe RecoveryManual.html"

A nota de resgate se chama RecoveryManual.html e contém instruções sobre como acessar o site do Tor para se comunicar com os operadores de ransomware.

O site do Tor é simplesmente um serviço de bate-papo, onde as vítimas podem negociar o resgate ou fazer perguntas.

Infelizmente, o ransomware é seguro e não há como recuperar seus arquivos gratuitamente.

Para aqueles que desejam receber suporte relacionado a este ransomware, você pode usar nosso tópico de suporte dedicado ao Mount Locker.

FONTE: BLEEPING COMPUTER

Previous post Fraquezas de segurança Bluetooth se acumulam, enquanto a correção permanece problemática
Next post A maioria dos trabalhadores não está interessada em mudar para um papel de segurança cibernética

Deixe um comentário