Uma nova operação de ransomware chamada Mount Locker está em andamento roubando os arquivos das vítimas antes de criptografar e, em seguida, exigir resgates multimilionários.
A partir do final de julho de 2020, o Mount Locker começou a invadir redes corporativas e implantar seu ransomware.
A partir de notas de resgate compartilhadas com BleepingComputer pelas vítimas, a gangue Mount Locker está exigindo pagamentos multimilionários de resgate em alguns casos.
Antes de criptografar arquivos, o Mount Locker também roubará arquivos não criptografados e ameaçará as vítimas de que os dados serão publicados se um resgate não for pago.
Por exemplo, o Mount Locker disse a uma vítima que eles roubaram 400 GB de seus dados, e se eles não forem pagos, eles entrarão em contato com os concorrentes da vítima, a mídia, canais de TV e jornais.
Em última análise, a vítima não pagou, e seus dados foram publicados em um site de vazamento de dados de ransomware.
Este site de vazamento de dados lista atualmente quatro vítimas, com apenas uma tendo arquivos vazados.
O ransomware MountLocker
Foi apenas até recentemente que o MalwareHunterTeam descobriu uma amostra do Mount Locker, que nos permitiu obter um pouco mais de visão sobre como o ransomware opera.
Michael Gillespie, que analisou o ransomware, disse ao BleepingComputer que o Mount Locker usa o ChaCha20 para criptografar os arquivos e uma chave pública RSA-2048 incorporada para criptografar a chave de criptografia.
A partir de nossa análise, ao criptografar arquivos, o ransomware adicionará uma extensão no formato . ReadManual.ID. Por exemplo, 1.doc seria criptografado e renomeado para 1.doc. ReadManual.C77BFF8C, como mostrado na pasta criptografada abaixo.
O ransomware registrará a extensão no Registro de modo que, quando você clicar em um arquivo criptografado, ele carregará automaticamente a nota de resgate.
HKCU\Software\Classes\.C77BFF8C\shell\Open\command\ @="explorer.exe RecoveryManual.html"
A nota de resgate se chama RecoveryManual.html e contém instruções sobre como acessar o site do Tor para se comunicar com os operadores de ransomware.
O site do Tor é simplesmente um serviço de bate-papo, onde as vítimas podem negociar o resgate ou fazer perguntas.
Infelizmente, o ransomware é seguro e não há como recuperar seus arquivos gratuitamente.
Para aqueles que desejam receber suporte relacionado a este ransomware, você pode usar nosso tópico de suporte dedicado ao Mount Locker.
FONTE: BLEEPING COMPUTER