Mamai 勒索软件是一个新的 MedusaLocker 变种
我们的研究人员发现了 Mamai,这是一种属于 MedusaLocker 勒索软件家族的勒索软件。在我们的系统上测试恶意软件后,它开始加密文件并将扩展名“.mamai10”添加到文件名中。扩展中的具体数字可能因勒索软件的变体而异。
加密过程完成后,Mamai 将一条名为“How_to_back_files.html”的勒索信息投放到桌面上。此消息表明妈妈买的目标是公司而不是个人用户。赎金票据指出,受害者的公司网络已被破坏,文件已使用 RSA 和 AES 算法加密。该说明警告不要重命名或修改加密文件,以及使用第三方解密工具,因为这样做会导致永久性数据丢失。攻击者声称窃取了受害者的机密和个人数据。
为了重新获得对加密文件的访问权限,攻击者要求支付赎金。如果受害者拒绝付款,他们的数据将无法访问,被盗数据将被出售或泄露。赎金的数额没有具体说明,但该说明警告说,如果未在 72 小时内与攻击者取得联系,赎金数额将会增加。根据该说明,受害者可以在支付赎金之前通过向攻击者发送两到三个加密文件来测试解密。
Mamai 赎金票据未提及特定赎金
Mamai 勒索信的全文如下:
您的个人 ID:
!您的公司网络已被渗透!
您所有的重要文件都已加密!您的文件是安全的!仅修改。 (RSA+AES)
任何试图使用第三方软件恢复您的文件的行为
将永久损坏它。
不要修改加密文件。
不要重命名加密文件。互联网上没有可用的软件可以帮助您。我们是唯一能够做到的
解决你的问题。我们收集了高度机密/个人数据。这些数据目前存储在
私人服务器。此服务器将在您付款后立即销毁。
如果您决定不付款,我们会将您的数据公开或转售。
因此,您可以期待您的数据在不久的将来公开可用。我们只求钱,我们的目标不是损害您的声誉或阻止
您的业务免于运行。您可以向我们发送2-3个不重要的文件,我们将免费解密
以证明我们能够归还您的文件。联系我们了解价格并获取解密软件。
qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
- 请注意,此服务器仅可通过 Tor 浏览器使用
按照说明打开链接:
- 在您的 Internet 浏览器中输入地址“hxxps://www.torproject.org”。它打开 Tor 站点。
- 按“下载 Tor”,然后按“下载 Tor 浏览器包”,安装并运行它。
- 现在你有了 Tor 浏览器。在 Tor 浏览器中打开 qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
- 开始聊天并按照进一步的说明进行操作。
如果您不能使用上面的链接,请使用电子邮件:
ithelp01@decorous.cyou
ithelp01@wholeness.business
- 要联系我们,请在网站上创建一个新的免费电子邮件帐户:protonmail.com
如果您不在 72 小时内联系我们,价格将会更高。
像 Mamai 这样的勒索软件通常是如何分布的?
像 Mamai 这样的勒索软件可以通过多种方式传播,包括网络钓鱼电子邮件、恶意附件、受感染的网站和漏洞利用工具包。网络钓鱼电子邮件是最常见的分发方法,网络犯罪分子会发送看似合法的电子邮件,诱使用户点击恶意链接或下载受感染的附件。
恶意附件是另一种流行的分发方法,网络犯罪分子发送带有包含勒索软件附件的电子邮件,伪装成合法文件或文档。受感染的网站和漏洞利用工具包还用于通过利用软件中的漏洞或使用路过式下载来分发勒索软件。