Mamai Ransomware to nowy wariant MedusaLocker

ransomware

Nasi badacze odkryli Mamai, typ ransomware, który należy do rodziny ransomware MedusaLocker. Po przetestowaniu złośliwego oprogramowania w naszym systemie zaczęło ono szyfrować pliki i dodawać do ich nazw rozszerzenie „.mamai10”. Konkretna liczba w rozszerzeniu może się różnić w zależności od wariantu oprogramowania ransomware.

Po zakończeniu procesu szyfrowania Mamai umieściła na pulpicie wiadomość z żądaniem okupu o nazwie „How_to_back_files.html”. Ta wiadomość wskazuje, że celem Mamai są firmy, a nie indywidualni użytkownicy. Żądanie okupu stwierdza, że sieć firmowa ofiary została naruszona, a pliki zostały zaszyfrowane przy użyciu algorytmów RSA i AES. Uwaga ostrzega przed zmianą nazwy lub modyfikacją zaszyfrowanych plików, a także przed użyciem narzędzi deszyfrujących innych firm, ponieważ spowodowałoby to trwałą utratę danych. Atakujący twierdzą, że wykradli poufne i osobiste dane ofiar.

Aby odzyskać dostęp do zaszyfrowanych plików, atakujący żądają zapłaty okupu. Jeśli ofiara odmówi zapłaty, jej dane pozostaną niedostępne, a skradzione dane zostaną sprzedane lub wyciekną. Wysokość okupu nie jest określona, ale notatka ostrzega, że wzrośnie, jeśli w ciągu 72 godzin nie zostanie nawiązany kontakt z atakującymi. Ofiara może przetestować odszyfrowanie, wysyłając dwa do trzech zaszyfrowanych plików do atakujących przed zapłaceniem okupu, zgodnie z notatką.

Nota o okupie Mamai nie wspomina o żadnym konkretnym okupie

Pełny tekst żądania okupu Mamai wygląda następująco:

TWÓJ OSOBISTY IDENTYFIKATOR:

! SIEĆ TWOJEJ FIRMY ZOSTAŁA PENETROWANA!
Wszystkie ważne pliki zostały zaszyfrowane!

Twoje pliki są bezpieczne! Tylko zmodyfikowane. (RSA+AES)

WSZELKIE PRÓBY PRZYWRÓCENIA PLIKÓW ZA POMOCĄ OPROGRAMOWANIA OSÓB TRZECICH
BĘDZIE TO TRWAŁE USZKODZIĆ.
NIE MODYFIKUJ ZASZYFROWANYCH PLIKÓW.
NIE ZMIENIAJ NAZW ZASZYFROWANYCH PLIKÓW.

Żadne oprogramowanie dostępne w Internecie nie może ci pomóc. Jesteśmy jedynymi, którzy mogą
rozwiązać swój problem.

Zebraliśmy wysoce poufne/dane osobowe. Te dane są obecnie przechowywane na
prywatny serwer. Ten serwer zostanie natychmiast zniszczony po dokonaniu płatności.
Jeśli zdecydujesz się nie płacić, udostępnimy Twoje dane publicznie lub odsprzedawcy.
Możesz więc spodziewać się, że Twoje dane będą publicznie dostępne w najbliższej przyszłości.

Szukamy tylko pieniędzy, a naszym celem nie jest niszczenie Twojej reputacji ani zapobieganie
Twoja firma nie działa.

Możesz przesłać nam 2-3 nieistotne pliki, a my odszyfrujemy je za darmo
aby udowodnić, że jesteśmy w stanie zwrócić Twoje pliki.

Skontaktuj się z nami w sprawie ceny i uzyskaj oprogramowanie deszyfrujące.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

  • Pamiętaj, że ten serwer jest dostępny tylko przez przeglądarkę Tor

Postępuj zgodnie z instrukcjami, aby otworzyć link:

  1. Wpisz adres „hxxps://www.torproject.org” w przeglądarce internetowej. Otwiera stronę Tor.
  2. Naciśnij „Pobierz Tor”, a następnie „Pobierz pakiet Tor Browser”, zainstaluj i uruchom.
  3. Teraz masz przeglądarkę Tor. W przeglądarce Tor otwórz qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
  4. Rozpocznij czat i postępuj zgodnie z dalszymi instrukcjami.
    Jeśli nie możesz skorzystać z powyższego linku, skorzystaj z adresu e-mail:
    ithelp01@decorous.cyou
    ithelp01@wholeness.business

  • Aby się z nami skontaktować, utwórz nowe bezpłatne konto e-mail na stronie: protonmail.com
    JEŚLI NIE SKONTAKTUJESZ SIĘ Z NAMI W CIĄGU 72 GODZIN, CENA BĘDZIE WYŻSZA.

W jaki sposób zazwyczaj dystrybuowane jest oprogramowanie ransomware, takie jak Mamai?

Ransomware, takie jak Mamai, może być dystrybuowane za pomocą różnych środków, w tym e-maili phishingowych, złośliwych załączników, zainfekowanych stron internetowych i zestawów exploitów. E-maile phishingowe to najpowszechniejsza metoda dystrybucji, w ramach której cyberprzestępcy wysyłają wyglądające na legalne e-maile, które nakłaniają użytkowników do kliknięcia złośliwych łączy lub pobrania zainfekowanych załączników.

Złośliwe załączniki to kolejna popularna metoda dystrybucji, w ramach której cyberprzestępcy wysyłają e-maile z załącznikami zawierającymi ransomware, udającymi legalne pliki lub dokumenty. Zaatakowane strony internetowe i zestawy exploitów są również wykorzystywane do dystrybucji oprogramowania ransomware poprzez wykorzystywanie luk w oprogramowaniu lub pobieranie plików drive-by download.

March 9, 2023
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.