Mammon ransomware

Se ha observado en la naturaleza una nueva variante perteneciente a la familia Makop Ransomware. Denominado Mammon Ransomware por los investigadores de ciberseguridad, la amenaza actúa como un ransomware típico. Su objetivo es bloquear los archivos ubicados en los sistemas informáticos comprometidos y luego extorsionar a las víctimas para obtener ganancias monetarias.

Al igual que otras variantes de la familia Makop Ransomware, cuando Mammon Ransomware cifra un archivo, cambia drásticamente el nombre original de ese archivo. Los usuarios notarán que casi todos sus archivos ahora tendrán una cadena aleatoria de caracteres, seguida de una dirección de correo electrónico y finalmente '.mammon' agregado a sus nombres. El correo electrónico en cuestión es 'mammon0503@tutanota.com'. Una vez que la rutina de cifrado haya terminado su trabajo, la amenaza procederá a entregar su nota de rescate como archivos de texto 'ARCHIVOS ENCRYPTED.txt'.

De acuerdo con las instrucciones dejadas por los piratas informáticos, los usuarios afectados deberán pagar un rescate utilizando la criptomoneda Bitcoin. No se menciona la suma exacta, pero se les dice a los usuarios que deben iniciar la comunicación para recibir detalles de pago adicionales. Para ese propósito, se proporcionan cuatro direcciones de correo electrónico diferentes en la nota de rescate: 'mammon0503@tutanota.com', 'mammon0503@protonmail.com', 'samsung00700@tutanota.com' o 'pecunia0318@goat.si'. Dos archivos con extensiones simples, como .jpg, .xls, .doc, tienen un tamaño inferior a 1 MB, se pueden adjuntar al correo electrónico y, supuestamente, se descifrarán de forma gratuita.

El texto completo de la nota de Mammon Ransomware es:

' ::: Saludos :::

Pequeñas preguntas frecuentes:

.1.

P: ¿Qué pasa?

R: Sus archivos se han cifrado y ahora tienen la extensión "mammon". La estructura del archivo no se dañó, hicimos todo lo posible para que esto no sucediera.

.2.

P: ¿Cómo recuperar archivos?

R: Si desea descifrar sus archivos, deberá pagar en bitcoins.

.3.

P: ¿Qué pasa con las garantías?

R: Es solo un negocio. No nos preocupamos en absoluto por usted y sus ofertas, excepto por obtener beneficios. Si no hacemos nuestro trabajo y responsabilidades, nadie cooperará con nosotros. No es de nuestro interés.

Para comprobar la capacidad de devolver archivos, puede enviarnos 2 archivos con extensiones SIMPLES (jpg, xls, doc, etc ... ¡no bases de datos!) Y tamaños bajos (máximo 1 mb), los descifraremos y devolveremos para ti. Esa es nuestra garantía.

.4.

P: ¿Cómo contactar contigo?

R: Puede escribirnos a nuestro buzón: mammon0503@tutanota.com o mammon0503@protonmail.com o samsung00700@tutanota.com o pecunia0318@goat.si

.5.

P: ¿Cómo procederá el proceso de descifrado después del pago?

R: Después del pago, le enviaremos nuestro programa de escáner-decodificador e instrucciones detalladas de uso. Con este programa podrás descifrar todos tus archivos cifrados.

.6.

P: ¿Si no quiero pagarle a gente mala como tú?

R: Si no coopera con nuestro servicio, para nosotros, no importa. Pero perderá su tiempo y sus datos, porque solo nosotros tenemos la clave privada. En la práctica, el tiempo es mucho más valioso que el dinero.

:::TENER CUIDADO:::

¡NO intente cambiar los archivos cifrados usted mismo!

Si intenta utilizar cualquier software de terceros para restaurar sus datos o soluciones antivirus, haga una copia de seguridad de todos los archivos cifrados.

Cualquier cambio en los archivos cifrados puede conllevar el daño de la clave privada y, como resultado, la pérdida de todos los datos. '