Threat Database Ransomware MaMoCrypt Ransomware

MaMoCrypt Ransomware

Während die MaMoCrypt Ransomware nur geringe Abweichungen von dem typischen Verhalten für eine solche Bedrohung an der Oberfläche aufweist, zeigt ein genauerer Blick auf den zugrunde liegenden Code einige eher eigenartige Details. Die MaMoCrypt Ransomware ist eine Crypto Locker-Bedrohung, die auf der MZRevenge Ransomware basiert. Es wird mit 'mpress' verpackt.

Sobald sich die MaMoCrypt Ransomware auf dem Zielcomputer befindet, löscht sie die vom Standard-Windows-Sicherungsdienst erstellten Shadow Volume-Kopien. Die Bedrohung deaktiviert auch sowohl die Standard-Firewall als auch die Benutzerkontensteuerung. Die eigentlichen einzigartigen Funktionen beginnen jedoch mit dem Start des Verschlüsselungsprozesses. Die MaMoCrypt Ransomware sucht nach Dateien, die sich in einer Liste von 23 fest codierten Speicherorten befinden. Dazu gehören die meisten Ordner im Pfad " C: \ Benutzer \% Benutzer% ", DRIVES AZ, WITHOUT C, der Steam-Ordner unter "Programme" und "C: \ Programme \ Microsoft \ Windows \ Startmenü \". Die MaMoCrypt Ransomware betrifft nahezu alle Dateitypen. Insbesondere kann die Bedrohung insgesamt 339 spezifische Dateierweiterungen verschlüsseln.

Wenn der Verschlüsselungsprozess beginnt, generiert die MaMoCrypt Ransomware zwei Schlüssel und eine Maske, mit der anschließend zwei Verschlüsselungsschlüssel für jede Datei erstellt werden. Die Daten werden zuerst mit dem AES-128-CBC-Algorithmus verschlüsselt, dann aber erneut verschlüsselt, diesmal mit Twofish-128 CFB. An jede 'gesperrte' Datei wird die Erweiterung '.MZ173802' an ihren ursprünglichen Dateinamen angehängt. Der Lösegeldschein wird dann in aufeinanderfolgender Reihenfolge in jedem Ordner mit verschlüsselten Dateien abgelegt. Der Name der Textdatei mit den Anweisungen der Hacker lautet "Wie kann ich meine Dateien wiederherstellen (Readme).txt".

Zum Glück für die Opfer der MaMoCrypt Ransomware haben die Forscher ein Entschlüsselungstool veröffentlicht, mit dem die meisten Daten wiederhergestellt werden können. Es gibt jedoch zwei sehr wichtige Vorbehalte, die erwähnt werden müssen. Aufgrund des einzigartigen Verschlüsselungssystems der Bedrohung hängt der Entschlüsselungsprozess stark von der resultierenden Reihenfolge ab, in der die Dateien verschlüsselt wurden. Da Hacker die Fehler bestimmter Verschlüsselungskonfigurationen nicht bemerken, werden Dateien mit mehr als 4 GB durch die MaMoCrypt Ransomware dauerhaft beschädigt.

Im Trend

Am häufigsten gesehen

Wird geladen...