Mlock Ransomware
Cyberkriminelle verwenden eine andere bedrohliche Malware, um Benutzer von ihren eigenen Geräten auszuschließen. Die Malware-Bedrohung heißt Mlock Ransomware, ist eine Variante der MeduseLocker Ransomware- Familie und kann eine große Liste von Dateitypen durch Verschlüsselung mit einer Kombination kryptografischer Algorithmen vollständig unbrauchbar machen.
Nach einer erfolgreichen Infektion nutzen die Angreifer ein doppeltes Erpressungssystem, um ihre Opfer zur Zahlung eines Lösegelds zu bewegen. Abgesehen von der Sperrung der Dateien des Benutzers behaupten die Hacker tatsächlich, vertrauliche Informationen aus dem kompromittierten System gesammelt zu haben, die der Öffentlichkeit zugänglich gemacht werden, wenn ihre Forderungen nicht erfüllt werden.
Technische Details
Nach der Bereitstellung auf dem System scannt Mlock die dort gespeicherten Dateien und verschlüsselt diejenigen, die der Liste der Zieldateitypen entsprechen. Jede auf diese Weise gesperrte Datei wird durch das Anhängen von „.mlock5“ an ihren ursprünglichen Namen gekennzeichnet. Die Bedrohung kann verhindern, dass mehrere wichtige Verzeichnisse manipuliert werden, um keine kritischen Systemfehler zu verursachen, die das gesamte System instabil machen könnten. Wenn der Verschlüsselungsprozess abgeschlossen ist, hinterlässt die Mlock Ransomware eine Lösegeldforderung auf dem System. Die Nachricht wird auf dem Desktop des Geräts als HTML-Datei mit dem Namen „HOW_TO_RECOVER_DATA.html“ erstellt.
Die Forderungen von Mlock Ransomware
Laut der Notiz verwendet Mlock sowohl den RSA- als auch den AES-Verschlüsselungsalgorithmus, um die Dateien des Opfers zu sperren. Um den erforderlichen Entschlüsselungsschlüssel zu erhalten und die Hacker daran zu hindern, die persönlichen oder Unternehmensdaten, die sie angeblich gesammelt haben, freizugeben oder weiterzuverkaufen, wird von den Opfern erwartet, dass sie eine Kommunikation einleiten und dann ein Lösegeld zahlen. Der Betrag, den sie zahlen müssen, wird höher sein, wenn sie die Cyberkriminellen nicht innerhalb der ersten 72 Stunden nach der Mlock Ransomware-Infektion kontaktieren.
Der in der Notiz erwähnte Hauptkommunikationskanal ist eine spezielle Website, die im TOR-Netzwerk gehostet wird. Um die Website zu erreichen, müssen Benutzer jedoch einen bestimmten Browser herunterladen und mehrere andere Schritte ausführen. Um Ärger zu vermeiden, bleiben den Opfern auch zwei E-Mail-Adressen – „restoreassistance@decorous.cyou“ und „restoreassistance@wholeness.business“. Als Teil ihrer Nachricht dürfen Benutzer bis zu drei verschlüsselte Dateien senden, die die Angreifer entsperren und kostenlos zurücksenden. Die ausgewählten Dateien dürfen keine wertvollen Informationen enthalten.
Der vollständige Text der Notiz von Mlock Ransomware lautet:
' IHRE PERSÖNLICHE ID:
/!\ IHR UNTERNEHMENSNETZWERK WURDE DURCHDRUCKT /!\
Alle Ihre wichtigen Dateien wurden verschlüsselt!Ihre Dateien sind sicher! Nur modifiziert. (RSA+AES)
JEGLICHER VERSUCH, IHRE DATEIEN MIT SOFTWARE VON DRITTANBIETERN WIEDERHERZUSTELLEN
WIRD ES DAUERHAFT BESCHÄDIGEN.
ÄNDERN SIE KEINE VERSCHLÜSSELTEN DATEIEN.
VERSCHLÜSSELTE DATEIEN NICHT UMBENENNEN.Keine im Internet verfügbare Software kann Ihnen dabei helfen. Wir sind die Einzigen, die dazu in der Lage sind
löse dein Problem.Wir haben streng vertrauliche/persönliche Daten gesammelt. Diese Daten werden derzeit auf gespeichert
ein privater Server. Dieser Server wird sofort nach Ihrer Zahlung zerstört.
Wenn Sie sich entscheiden, nicht zu zahlen, geben wir Ihre Daten an die Öffentlichkeit oder Wiederverkäufer weiter.
Sie können also davon ausgehen, dass Ihre Daten in naher Zukunft öffentlich verfügbar sein werden.Wir streben nur nach Geld und unser Ziel ist es nicht, Ihren Ruf zu schädigen oder zu verhindern
Ihr Geschäft vom Laufen.Sie können uns 2-3 unwichtige Dateien schicken und wir werden sie kostenlos entschlüsseln
um zu beweisen, dass wir Ihre Dateien zurückgeben können.Kontaktieren Sie uns für den Preis und erhalten Sie eine Entschlüsselungssoftware.
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Beachten Sie, dass dieser Server nur über den Tor-Browser verfügbar ist
Folgen Sie den Anweisungen, um den Link zu öffnen: Geben Sie in Ihrem Internetbrowser die Adresse „hxxps://www.torproject.org“ ein. Es öffnet die Tor-Seite.
Klicken Sie auf „Download Tor“, dann auf „Download Tor Browser Bundle“, installieren und starten Sie es.
Jetzt haben Sie den Tor-Browser. Öffnen Sie im Tor-Browser qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
Starten Sie einen Chat und folgen Sie den weiteren Anweisungen.
Wenn Sie den obigen Link nicht verwenden können, verwenden Sie die E-Mail:
restoreassistance@decorous.cyou
restoreassistance@ganzheit.businessUm uns zu kontaktieren, erstellen Sie ein neues kostenloses E-Mail-Konto auf der Website: protonmail.com
WENN SIE UNS NICHT INNERHALB VON 72 STUNDEN KONTAKTIEREN, WIRD DER PREIS HÖHER. '
