Το Mamai Ransomware είναι μια νέα παραλλαγή MedusaLocker

Οι ερευνητές μας ανακάλυψαν το Mamai, έναν τύπο ransomware που ανήκει στην οικογένεια ransomware MedusaLocker. Μετά τη δοκιμή του κακόβουλου λογισμικού στο σύστημά μας, άρχισε να κρυπτογραφεί αρχεία και να προσθέτει την επέκταση ".mamai10" στα ονόματα των αρχείων τους. Ο συγκεκριμένος αριθμός στην επέκταση μπορεί να διαφέρει ανάλογα με την παραλλαγή του ransomware.

Μόλις ολοκληρώθηκε η διαδικασία κρυπτογράφησης, ο Mamai άφησε ένα μήνυμα λύτρων που ονομάζεται "How_to_back_files.html" στην επιφάνεια εργασίας. Αυτό το μήνυμα υποδεικνύει ότι το Mamai στοχεύει εταιρείες και όχι μεμονωμένους χρήστες. Το σημείωμα λύτρων αναφέρει ότι το δίκτυο της εταιρείας του θύματος έχει παραβιαστεί και τα αρχεία έχουν κρυπτογραφηθεί χρησιμοποιώντας αλγόριθμους RSA και AES. Η σημείωση προειδοποιεί για τη μετονομασία ή την τροποποίηση των κρυπτογραφημένων αρχείων, καθώς και τη χρήση εργαλείων αποκρυπτογράφησης τρίτων, καθώς κάτι τέτοιο θα είχε ως αποτέλεσμα μόνιμη απώλεια δεδομένων. Οι δράστες ισχυρίζονται ότι έχουν κλέψει τα εμπιστευτικά και προσωπικά δεδομένα των θυμάτων.

Για να ανακτήσουν την πρόσβαση στα κρυπτογραφημένα αρχεία, οι εισβολείς απαιτούν την πληρωμή λύτρων. Εάν το θύμα αρνηθεί να πληρώσει, τα δεδομένα του θα παραμείνουν απρόσιτα και τα κλεμμένα δεδομένα θα πωληθούν ή θα διαρρεύσουν. Το μέγεθος των λύτρων δεν προσδιορίζεται, αλλά η σημείωση προειδοποιεί ότι θα αυξηθεί εάν δεν υπάρξει επαφή με τους επιτιθέμενους εντός 72 ωρών. Το θύμα μπορεί να δοκιμάσει την αποκρυπτογράφηση στέλνοντας δύο έως τρία κρυπτογραφημένα αρχεία στους εισβολείς πριν πληρώσει τα λύτρα, σύμφωνα με τη σημείωση.

Το σημείωμα Mamai Ransom δεν αναφέρει συγκεκριμένα λύτρα

Το πλήρες κείμενο του σημειώματος λύτρων Mamai έχει ως εξής:

Η ΠΡΟΣΩΠΙΚΗ ΣΑΣ ΤΑΥΤΟΤΗΤΑ:

! ΤΟ ΕΤΑΙΡΙΚΟ ΔΙΚΤΥΟ ΣΑΣ ΕΧΕΙ ΔΙΕΙΣΧΥΘΕΙ!
Όλα τα σημαντικά αρχεία σας έχουν κρυπτογραφηθεί!

Τα αρχεία σας είναι ασφαλή! Μόνο τροποποιημένο. (RSA+AES)

ΟΠΟΙΑΔΗΠΟΤΕ ΠΡΟΣΠΑΘΕΙΑ ΑΠΟΚΑΤΑΣΤΑΣΗΣ ΤΩΝ ΑΡΧΕΙΩΝ ΣΑΣ ΜΕ ΛΟΓΙΣΜΙΚΟ ΤΡΙΤΩΝ
ΘΑ ΤΟ ΔΙΑΦΘΩΣΕΙ ΜΟΝΙΜΩΣ.
ΜΗΝ ΤΡΟΠΟΠΟΙΕΙΤΕ ΚΡΥπτογραφημένα ΑΡΧΕΙΑ.
ΜΗ ΜΕΤΟΝΟΜΑΣΙΑ ΚΡΥΠΤΟΓΡΑΦΗΜΕΝΩΝ ΑΡΧΕΙΩΝ.

Κανένα λογισμικό που διατίθεται στο διαδίκτυο δεν μπορεί να σας βοηθήσει. Είμαστε οι μόνοι που μπορούμε
λύσε το πρόβλημά σου.

Συγκεντρώσαμε άκρως εμπιστευτικά/προσωπικά δεδομένα. Αυτά τα δεδομένα αποθηκεύονται αυτήν τη στιγμή στο
έναν ιδιωτικό διακομιστή. Αυτός ο διακομιστής θα καταστραφεί αμέσως μετά την πληρωμή σας.
Εάν αποφασίσετε να μην πληρώσετε, θα δημοσιοποιήσουμε τα δεδομένα σας ή θα μεταπωλήσουμε.
Έτσι, μπορείτε να περιμένετε τα δεδομένα σας να είναι δημόσια διαθέσιμα στο εγγύς μέλλον..

Επιδιώκουμε μόνο χρήματα και στόχος μας δεν είναι να βλάψουμε τη φήμη σας ή να αποτρέψουμε
η επιχείρησή σας από τη λειτουργία.

Μπορείτε να μας στείλετε 2-3 μη σημαντικά αρχεία και θα τα αποκρυπτογραφήσουμε δωρεάν
για να αποδείξουμε ότι είμαστε σε θέση να δώσουμε πίσω τα αρχεία σας.

Επικοινωνήστε μαζί μας για τιμή και λάβετε λογισμικό αποκρυπτογράφησης.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.κρεμμύδι

• Σημειώστε ότι αυτός ο διακομιστής είναι διαθέσιμος μόνο μέσω του προγράμματος περιήγησης Tor

Ακολουθήστε τις οδηγίες για να ανοίξετε τον σύνδεσμο:

1. Πληκτρολογήστε τις διευθύνσεις "hxxps://www.torproject.org" στο πρόγραμμα περιήγησής σας στο Διαδίκτυο. Ανοίγει τον ιστότοπο Tor.
2. Πατήστε "Λήψη Tor", στη συνέχεια πατήστε "Λήψη δέσμης προγράμματος περιήγησης Tor", εγκαταστήστε το και εκτελέστε το.
3. Τώρα έχετε το πρόγραμμα περιήγησης Tor. Στο πρόγραμμα περιήγησης Tor ανοίξτε το qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
4. Ξεκινήστε μια συνομιλία και ακολουθήστε τις περαιτέρω οδηγίες.
   Εάν δεν μπορείτε να χρησιμοποιήσετε τον παραπάνω σύνδεσμο, χρησιμοποιήστε το email:
   ithelp01@decorous.cyou
   ithelp01@wholeness.business

• Για να επικοινωνήσετε μαζί μας, δημιουργήστε έναν νέο δωρεάν λογαριασμό email στον ιστότοπο: protonmail.com
  ΕΑΝ ΔΕΝ ΕΠΙΚΟΙΝΩΝΗΣΕΤΕ ΜΑΖΙ ΜΑΣ ΕΝΤΟΣ 72 ΩΡΩΝ, Η ΤΙΜΗ ΘΑ ΕΙΝΑΙ ΥΨΗΛΗ.

Πώς διανέμεται συνήθως το Ransomware Like Mamai;

Το ransomware όπως το Mamai μπορεί να διανεμηθεί με διάφορα μέσα, συμπεριλαμβανομένων των ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος, κακόβουλων συνημμένων, παραβιασμένων ιστοτόπων και κιτ εκμετάλλευσης. Τα μηνύματα ηλεκτρονικού "ψαρέματος" είναι η πιο κοινή μέθοδος διανομής, όπου οι εγκληματίες του κυβερνοχώρου στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου με νόμιμη εμφάνιση που εξαπατούν τους χρήστες να κάνουν κλικ σε κακόβουλους συνδέσμους ή να κάνουν λήψη μολυσμένων συνημμένων.

Τα κακόβουλα συνημμένα είναι μια άλλη δημοφιλής μέθοδος διανομής, όπου οι εγκληματίες του κυβερνοχώρου στέλνουν email με συνημμένα που περιέχουν το ransomware, μεταμφιεσμένα ως νόμιμα αρχεία ή έγγραφα. Οι παραβιασμένοι ιστότοποι και τα κιτ εκμετάλλευσης χρησιμοποιούνται επίσης για τη διανομή ransomware εκμεταλλευόμενοι ευπάθειες σε λογισμικό ή χρησιμοποιώντας λήψεις μέσω Drive.