MaMoCrypt ransomware

Si bien MaMoCrypt Ransomware muestra una pequeña desviación de lo que se considera el comportamiento típico de una amenaza de este tipo en la superficie, una mirada más cercana al código subyacente revela algunos detalles bastante peculiares. MaMoCrypt Ransomware es una amenaza de bloqueo de cifrado basada en MZRevenge Ransomware. Está empaquetado usando ' mpress. '

Una vez dentro de la computadora de destino, MaMoCrypt Ransomware procederá a eliminar las instantáneas de volumen creadas por el servicio de respaldo predeterminado de Windows. La amenaza también desactivará tanto el firewall predeterminado como la función de Control de cuentas de usuario. Sin embargo, las características únicas reales comienzan con el inicio del proceso de cifrado. MaMoCrypt Ransomware persigue archivos ubicados en una lista de 23 ubicaciones codificadas. Incluyen la mayoría de las carpetas en la ruta ' C: \ Users \% user% ', DRIVES AZ, SIN C, la carpeta Steam ubicada en Archivos de programa y 'C: \ ProgramData \ Microsoft \ Windows \ Start Menu \.' MaMoCrypt Ransomware afecta a casi todos los tipos de archivo, más específicamente, la amenaza es capaz de cifrar un total de 339 extensiones de archivo específicas.

Cuando comienza el proceso de cifrado, MaMoCrypt Ransomware genera dos claves y una máscara que se emplean para crear dos claves de cifrado para cada archivo posteriormente. Los datos se cifrarán primero utilizando el algoritmo AES-128 CBC, pero luego se pasarán por otro cifrado, esta vez con Twofish-128 CFB. Cada archivo 'bloqueado' tendrá la extensión '.MZ173802' adjunta a su nombre de archivo original. La nota de rescate se colocará en orden secuencial en cada carpeta que contenga archivos cifrados. El nombre del archivo de texto que contiene las instrucciones de los piratas informáticos es "Cómo recupero mis archivos (Léame) .txt".

Afortunadamente para las víctimas de MaMoCrypt Ransomware, los investigadores han lanzado una herramienta de descifrado que debería ser capaz de restaurar la mayoría de los datos. Sin embargo, hay dos advertencias muy importantes que deben mencionarse. Debido al sistema de cifrado exclusivo de la amenaza, el proceso de descifrado depende en gran medida del orden resultante en el que se cifraron los archivos. Debido a que los piratas informáticos no notan los errores de ciertas configuraciones de cifrado, MaMoCrypt Ransomware dañará los archivos de más de 4 GB de forma permanente.