又一个百万美元级别的勒索软件:Mount Locker
一个名为Mount Locker的勒索软件正在开展工作,该勒索软件首先入侵并窃取受害者的文件,然后对这些文件进行加密,然后索要数百万美元的赎金。
大约从2020年7月底开始,Mount Locker开始侵入企业网络并部署他们的勒索软件。
根据受害人与BleepingComputer共享的赎金记录显示,Mount Locker团伙要求在某些情况下支付数百万美元的赎金。
在加密文件之前,Mount Locker还会包留未加密的文件,并威胁受害者,如果不支付赎金,就会公布他们的文件。
例如,Mount Locker告诉一名受害者,他们窃取了他们400G的数据,如果他们没有按要求支付赎金,他们会通知受害者的竞争对手、媒体、电视频道和报纸关注此事,并将数据公布到一个勒索软件数据泄露站点(用于提供泄露数据下载链接)。
该数据泄露网站目前列出了四名受害者,其中有一人的文件被泄露。
MountLocker勒索软件直到最近,MalwareHunterTeam才捕捉到Mount Locker的样本,这让我们对该勒索软件的工作原理有了更深入的了解。
Michael Gillespie对勒索软件进行了分析,他告诉BleepingComputer, Mount Locker使用ChaCha20加密文件,并使用一个嵌入的RSA-2048公钥加密加密密钥。
根据我们的分析,当加密文件时,勒索软件会以.的格式添加扩展名。例如,1.doc将被加密并重新命名为,如下图所示。
然后勒索软件会在注册表中注册扩展名,这样当你点击加密文件时,它就会自动加载勒索信。注册表值如下:
HKCU\\Software\\Classes\\.C77BFF8C\\shell\\Open\\command\\ @=\" \"
赎金通知名为,包含如何访问Tor网站与勒索软件操作员联系的教程。
不幸的是,MalwareHunterTeam认为该勒索软件不存在漏洞,没有办法破解并免费恢复受害者的文件。
欢迎登录安全客 -有思想的安全新媒体/加入交流群 获取更多最新资讯
原文链接:
【来源:安全客小安】
声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 邮箱地?/p>