Mamai Ransomware — это новый вариант MedusaLocker

Наши исследователи обнаружили Mamai, тип программы-вымогателя, принадлежащей к семейству программ-вымогателей MedusaLocker. После тестирования вредоносной программы в нашей системе она начала шифровать файлы и добавлять к их именам расширение «.mamai10». Конкретный номер в расширении может варьироваться в зависимости от варианта программы-вымогателя.

Как только процесс шифрования был завершен, Мамай сбросил на рабочий стол сообщение с требованием выкупа под названием «How_to_back_files.html». Это сообщение указывает на то, что Mamai нацелен на компании, а не на отдельных пользователей. В записке о выкупе говорится, что сеть компании жертвы была взломана, а файлы были зашифрованы с использованием алгоритмов RSA и AES. В примечании предостерегают от переименования или изменения зашифрованных файлов, а также от использования сторонних инструментов дешифрования, поскольку это может привести к безвозвратной потере данных. Злоумышленники утверждают, что похитили конфиденциальные и личные данные жертв.

Чтобы восстановить доступ к зашифрованным файлам, злоумышленники требуют уплаты выкупа. Если жертва откажется платить, ее данные останутся недоступными, а украденные данные будут проданы или просочились. Размер выкупа не уточняется, но в примечании предупреждают, что он будет увеличиваться, если в течение 72 часов не будет установлен контакт со злоумышленниками. Согласно примечанию, жертва может протестировать расшифровку, отправив злоумышленникам от двух до трех зашифрованных файлов, прежде чем заплатить выкуп.

В записке о выкупе Мамая не упоминается конкретный выкуп

Полный текст записки Мамая о выкупе выглядит следующим образом:

ВАШ ЛИЧНЫЙ ID:

! СЕТЬ ВАШЕЙ КОМПАНИИ БЫЛА ВЗЛОМАНА!
Все ваши важные файлы были зашифрованы!

Ваши файлы в безопасности! Только модифицированный. (РСА+АЕС)

ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННЕГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
НАВСЕГДА РАЗРУШИТ ЕГО.
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

Никакое программное обеспечение, доступное в Интернете, не может вам помочь. Мы единственные, кто может
решить вашу проблему.

Мы собрали строго конфиденциальные/личные данные. Эти данные в настоящее время хранятся на
частный сервер. Этот сервер будет немедленно уничтожен после оплаты.
Если вы решите не платить, мы опубликуем ваши данные для всех или реселлера.
Таким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.

Мы ищем только деньги, и наша цель не в том, чтобы навредить вашей репутации или предотвратить
ваш бизнес от запуска.

Вы можете отправить нам 2-3 неважных файла и мы их бесплатно расшифруем
чтобы доказать, что мы можем вернуть ваши файлы.

Свяжитесь с нами, чтобы узнать цену и получить программное обеспечение для расшифровки.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

• Обратите внимание, что этот сервер доступен только через браузер Tor.

Следуйте инструкциям, чтобы открыть ссылку:

1. Введите адрес «hxxps://www.torproject.org» в своем интернет-браузере. Он открывает сайт Tor.
2. Нажмите «Скачать Tor», затем нажмите «Скачать Tor Browser Bundle», установите и запустите его.
3. Теперь у вас есть браузер Tor. В браузере Tor откройте qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion.
4. Начните чат и следуйте дальнейшим инструкциям.
   Если вы не можете использовать вышеуказанную ссылку, используйте электронную почту:
   ithelp01@decorous.cyou
   ithelp01@wholeness.business

• Чтобы связаться с нами, создайте новую бесплатную учетную запись электронной почты на сайте: protonmail.com
  ЕСЛИ ВЫ НЕ СВЯЖЕТЕСЬ С НАМИ В ТЕЧЕНИЕ 72 ЧАСОВ, ЦЕНА БУДЕТ ВЫШЕ.

Как обычно распространяется программа-вымогатель, такая как Mamai?

Программы-вымогатели, такие как Mamai, могут распространяться различными способами, включая фишинговые электронные письма, вредоносные вложения, взломанные веб-сайты и наборы эксплойтов. Фишинговые электронные письма являются наиболее распространенным методом распространения, когда киберпреступники рассылают электронные письма, выглядящие как законные, которые обманом заставляют пользователей переходить по вредоносным ссылкам или загружать зараженные вложения.

Вредоносные вложения — еще один популярный метод распространения, когда киберпреступники рассылают электронные письма с вложениями, содержащими программы-вымогатели, замаскированные под законные файлы или документы. Скомпрометированные веб-сайты и наборы эксплойтов также используются для распространения программ-вымогателей путем использования уязвимостей в программном обеспечении или загрузки с диска.