freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Mount Locker现已加入百万级别勒索软件家族
2020-10-02 00:49:23

近期,一款名为Mount Locker的新型勒索软件一直处于极度活跃状态。跟其他勒索软件一样,Mount Locker会在对目标用户的文件进行加密之前,先窃取用户文件,然后再去跟目标用户索要数百万美元的赎金。

从2020年7月底开始,Mount Locker就已经开始针对各个大型企业网络进行渗透攻击,并部署勒索软件。

根据我们从目标用户那里获取到的勒索信息来看,Mount Locker在某些情况下,会直接向受害者索要数百万美金的数据赎金。

下图显示的就是其中一个案例,在这里Mount Locker竟然直接向目标用户索要两百万美金的数据赎金:

在对目标用户的文件进行加密之前,Mount Locker还会窃取未加密的文件信息,并威胁目标用户称,如果不按时按量支付数据赎金的话,这些数据就将会被公之于众。

比如说,Mount Locker会告诉目标用户,他们成功窃取了400GB数据,如果目标用户不支付赎金的话,他们就会联系目标用户在行业内的其他竞争者、新闻媒体、电视台和报纸等,然后将这些数据直接提供给他们。

最终,如果目标用户没有支付赎金,那么他们的数据将会被公开到一个勒索软件数据泄露网站上:

这个数据泄露网站目前列出了四个目标用户,但只公布了其中一家的泄露文件。

实际上,若不是MalwareHunterTeam近期发现了一个Mount Locker的样本,否则我们也没有机会去更加深入地了解Mount Locker勒索软件活动的详细信息。

研究人员Michael Gillespie在对该勒索软件进行了分析之后,并告知BleepingComputer,Mount Locker使用了ChaCha20来对目标用户的文件进行加密,并且使用了一个嵌入的RSA-2048公共密钥来对加密密钥进行加密。

从我们的分析结果来看,当Mount Locker在进行文件加密时,勒索软件将会添加一个.ReadManual.ID文件后缀。比如说,1.doc在被Mount Locker加密之后,将会被重命名为1.doc.ReadManual.C77BFF8C,被加密的文件夹内容具体如下图所示:

勒索软件接下来将会在目标设备的注册表中注册该文件扩展,这样一来,当目标用户点击一个被加密的文件之后,将会自动加载勒索信息:

HKCU\Software\Classes\.C77BFF8C\shell\Open\command\ @="explorer.exe RecoveryManual.html"

勒索信息文件名为RecoveryManual.html,其中包含了关于访问Tor站点来跟勒索软件攻击者取得联系的方式:

这个Tor网站其实就是一个聊天服务,在这里,目标用户可以跟攻击者针对数据赎金进行讨价还价,或询问其他一些信息。

不幸的是,这款勒索软件是安全的,因此我们目前还无法免费恢复目标用户被加密的文件。

本文作者:, 转载请注明来自FreeBuf.COM

# 勒索软件攻击 # 勒索软件分析
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑