欢迎光临
我们一直在努力

又一个百万美元级别的勒索软件:Mount Locker

一个名为Mount Locker的勒索软件正在开展工作,该勒索软件首先入侵并窃取受害者的文件,然后对这些文件进行加密,然后索要数百万美元的赎金。

大约从2020年7月底开始,Mount Locker开始侵入企业网络并部署他们的勒索软件。

根据受害人与BleepingComputer共享的赎金记录显示,Mount Locker团伙要求在某些情况下支付数百万美元的赎金。

在加密文件之前,Mount Locker还会包留未加密的文件,并威胁受害者,如果不支付赎金,就会公布他们的文件。

例如,Mount Locker告诉一名受害者,他们窃取了他们400G的数据,如果他们没有按要求支付赎金,他们会通知受害者的竞争对手、媒体、电视频道和报纸关注此事,并将数据公布到一个勒索软件数据泄露站点(用于提供泄露数据下载链接)。

该数据泄露网站目前列出了四名受害者,其中有一人的文件被泄露。

 

MountLocker勒索软件

直到最近,MalwareHunterTeam才捕捉到Mount Locker的样本,这让我们对该勒索软件的工作原理有了更深入的了解。

Michael Gillespie对勒索软件进行了分析,他告诉BleepingComputer, Mount Locker使用ChaCha20加密文件,并使用一个嵌入的RSA-2048公钥加密加密密钥。

根据我们的分析,当加密文件时,勒索软件会以.Readmanual.ID的格式添加扩展名。例如,1.doc将被加密并重新命名为1.doc.ReadManual.C77BFF8C,如下图所示。

然后勒索软件会在注册表中注册扩展名,这样当你点击加密文件时,它就会自动加载勒索信。注册表值如下:

HKCUSoftwareClasses.C77BFF8CshellOpencommand @="explorer.exe RecoveryManual.html"

赎金通知名为recoverymanul.html,包含如何访问Tor网站与勒索软件操作员联系的教程。

不幸的是,MalwareHunterTeam认为该勒索软件不存在漏洞,没有办法破解并免费恢复受害者的文件。

赞(0) 打赏
未经允许不得转载:中国宏阔黑客联盟|白帽黑客|网络渗透技术|网站安全|移动安全|通信安全 » 又一个百万美元级别的勒索软件:Mount Locker
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏