Mount Locker ransomware

Los investigadores de infosec han detectado una nueva amenaza de ransomware que se utiliza como arma contra las organizaciones empresariales. Llamado Mount Locker Ransomware, este malware ha sido equipado con varios trucos nuevos cuando el objetivo final es extorsionar a sus víctimas.

El ransomware Mount Locker exige millones para el descifrado

Los piratas informáticos detrás de Mount Locker Ransowmare se dirigen principalmente a entidades comerciales. Violan la red corporativa de sus víctimas e implementan la amenaza Mount Locker Ransomware. Una vez dentro, Mount Locker Ransomware procede a bloquear los archivos almacenados en la computadora, así como cualquier dispositivo de almacenamiento conectado con una combinación indescifrable de algoritmos de cifrado. Sin embargo, antes de eso, Mount Locker Ransomware exfiltra grandes cantidades de datos de la víctima y amenaza con comenzar a filtrarlos en un sitio web bajo el control de los ciberdelincuentes a menos que se cumplan sus demandas. En un caso, Mount Locker Ransomware había recopilado alrededor de 400 GB de datos y se subieron al sitio web de filtración de datos posteriormente, cuando la víctima decidió no pagar. Esto es comprensible si se considera que los piratas informáticos querían recibir un rescate de $ 2 millones en Bitcoin en algunos casos reportados.

Los archivos cifrados por Mount Locker Ransomware no pueden ser forzados

Cuando los expertos en ciberseguridad analizaron el código subyacente de Mount Locker Ransomware, descubrieron que la amenaza estaba utilizando una combinación de algoritmos de cifrado que no se podían omitir sin tener el código de descifrado. Los datos en sí están encriptados con el algoritmo ChaCha20, una de las variantes sucesoras del cifrado de flujo Salsa20. A su vez, se utiliza una clave pública RSA-2048 incorporada para cifrar la clave de descifrado ChaCha20.

Mount Locker Ransomware modifica el nombre de archivo original de cada archivo cifrado agregando ' ReadManual ' seguido de una cadena de caracteres que representa la identificación única asignada a la víctima. La nota de rescate con instrucciones se coloca como un archivo llamado ' RecoveryManual.html. 'El Mount Locker Ransomware manipula el Registro para garantizar que la nota de rescate se muestre cada vez que se hace clic en uno de los archivos cifrados. El comando que usa es:

'HKCU \ Software \ Classes \ .C77BFF8C \ shell \ Open \ command \ @ = "explorer.exe RecoveryManual.html'

Se pide a las víctimas de este ransomware que visiten un sitio web creado por los piratas informáticos detrás de Mount Locker al que solo se puede acceder a través del navegador Tor. El sitio web en sí contiene poco más que una función de chat. A los usuarios afectados se les ofrece la oportunidad de descifrar dos o tres archivos de forma gratuita.

El texto completo de la nota de rescate es:

Su ClientId:

-

/! \ LA RED DE SU EMPRESA HA SIDO HACKEADA /! \

¡Todos sus archivos importantes han sido encriptados y copiados en nuestros servidores privados!

CUALQUIER INTENTO DE RESTAURAR SUS ARCHIVOS CON SOFTWARE DE TERCEROS LO DAÑARÁ PERMANENTEMENTE.

NO MODIFIQUE LOS ARCHIVOS CIFRADOS.

NO CAMBIAR EL NOMBRE DE LOS ARCHIVOS CIFRADOS.

¡Pero mantén la calma! ¡Hay una solución para tu problema!

Por una recompensa de dinero, podemos descifrar todos sus archivos cifrados.

También eliminaremos todos sus datos privados de nuestros servidores.

Para demostrar que podemos descifrar sus archivos, le ofrecemos la posibilidad de descifrar 2-3 archivos de forma gratuita.

Entonces, ¿cuál es tu próximo paso? ¡Contáctenos! Contáctenos para conocer el precio y obtener el software de descifrado.

-

* Tenga en cuenta que necesita tener instalado Tor Browser para abrir este tipo de enlaces.

Siga las instrucciones para instalar / ejecutar Tor Browser:

1. Vaya a Tor Project usando su navegador predeterminado.

2. Haga clic en "Descargar Tor Browser", elija la versión depende de su sistema operativo, por lo general es Windows. Descárgalo e instálalo

3. Después de la instalación, verá una nueva carpeta en su escritorio: "Tor Browser". Abra esta carpeta y ejecute el enlace "Iniciar navegador Tor".

4. Con el navegador Tor, vaya a

-

5. Copie con cuidado su identificación de cliente de este documento y péguelo en la ventana de Autorización en la página abierta. Haga clic en Aceptar'.

6. Después de eso, verá una aplicación web de chat especial para comunicarse con nosotros.

7. ¡NB! Tenga paciencia, a veces nuestro equipo de soporte puede estar lejos del teclado, ¡pero le responderán lo antes posible! ¡El tiempo es dinero! Contáctanos lo antes posible.

¡No almacenaremos su clave de descifrado para siempre!