MTX Ransomware

Die Dharma-Ransomware-Familie ist bei Cyberkriminellen nach wie vor beliebt, da regelmäßig neue Varianten in freier Wildbahn veröffentlicht werden. Ein solches aktuelles Beispiel ist die MTX-Ransomware-Bedrohung. Sie funktioniert identisch zu den typischen Dharma-Varianten, ohne größere Abweichungen aufzuweisen.

Verhalten von MTX Ransomware

Sobald es vollständig auf dem Zielcomputersystem eingerichtet ist, initiiert MTX seine Verschlüsselungsprogrammierung, die auf eine große Anzahl verschiedener Dateitypen abzielt. Infolge der Aktionen der Ransomware werden betroffene Benutzer daran gehindert, auf ihre Dokumente, Archive, Datenbanken, PDFs, Bilder, Fotos usw. zuzugreifen, die auf dem angegriffenen Gerät gespeichert waren.

Wenn MTX eine Datei sperrt, ändert es auch den ursprünglichen Namen dieser Datei. Zunächst fügt die Bedrohung eine eindeutige Zeichenfolge hinzu, die als ID dient, die dem jeweiligen Opfer zugewiesen wurde. Dann wird eine E-Mail-Adresse unter der Kontrolle der Angreifer angehängt. In diesem Fall lautet die E-Mail-Adresse „mtx88@onionmail.org“. Schließlich wird dem Namen der verschlüsselten Datei eine neue Dateierweiterung – „.MTX“ – hinzugefügt.

Der letzte Schritt besteht darin, eine Lösegeldforderung mit Anweisungen für das Opfer zuzustellen. MTX hinterlässt tatsächlich 2 verschiedene Lösegeld fordernde Nachrichten auf den infizierten Systemen. Einer wird in einer Textdatei namens „info.txt“ abgelegt. Die Datei wird auf dem Desktop des Systems erstellt. Die andere Lösegeldforderung wird in einem Popup-Fenster angezeigt.

Überblick über Lösegeldforderungen

Die Anweisungen aus der Textdatei sind extrem kurz und es fehlen die meisten wichtigen Details, die normalerweise in solchen Notizen zu finden sind. Benutzer werden einfach aufgefordert, Kontakt mit den Cyberkriminellen aufzunehmen, indem sie eine Nachricht an „mtx88@onionmail.org“ oder „mtx88@reddithub.com“ senden.

Das Popup-Fenster liefert die Hauptbotschaft der Hacker. Es besagt, dass die sekundäre E-Mail-Adresse nicht sofort verwendet werden sollte. Opfer sollen zuerst die primäre E-Mail-Adresse benachrichtigen und mindestens 12 Stunden warten, um dort eine Antwort zu erhalten. Der Hinweis warnt auch davor, dass das Umbenennen oder der Versuch, die gesperrten Dateien zu entschlüsseln, ohne die Hacker zu bezahlen, die Daten versehentlich beschädigen und die Dateien unwiederbringlich machen könnte.

Die Nachricht von MTX Ransomware wurde über ein Popup-Fenster übermittelt:

IHRE DATEIEN SIND VERSCHLÜSSELT
1024

Keine Sorge, Sie können alle Ihre Dateien zurückgeben!
Wenn Sie sie wiederherstellen möchten, schreiben Sie an die E-Mail: mtx88@onionmail.org IHRE ID -
Wenn Sie nicht innerhalb von 12 Stunden per E-Mail geantwortet haben, schreiben Sie uns eine andere E-Mail: mtx88@reddithub.com

AUFMERKSAMKEIT!

Wir empfehlen Ihnen, sich direkt mit uns in Verbindung zu setzen, um überbezahlte Agenten zu vermeiden

Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
Die Entschlüsselung Ihrer Dateien mit Hilfe von Drittanbietern kann zu erhöhten Kosten führen (sie fügen ihre Gebühr zu unserer hinzu) oder Sie können Opfer eines Betrugs werden.

Die Anweisungen von MTX Ransomware in der Textdatei:

Alle Ihre Daten wurden uns gesperrt
Sie möchten zurückkehren?
Schreiben Sie eine E-Mail an mtx88@onionmail.org oder mtx88@reddithub.com