Ερευνητές ανακάλυψαν μία νέα επιχείρηση ransomware με την ονομασία “Mount Locker”, η οποία βρίσκεται σε εξέλιξη, με τους χάκερς που βρίσκονται πίσω από αυτή να κλέβουν τα αρχεία των θυμάτων τους πριν την κρυπτογράφηση και, στη συνέχεια, να απαιτούν λύτρα πολλών εκατομμυρίων δολαρίων.
Από τα τέλη Ιουλίου, η συμμορία του Mount Locker άρχισε να παραβιάζει εταιρικά δίκτυα και να αναπτύσσει το ransomware της σε αυτά. Από τα σημειώματα λύτρων που μοιράστηκαν τα θύματα στο BleepingComputer, φαίνεται ότι η συμμορία του Mount Locker ζητά από τα θύματά της να πληρώσουν λύτρα πολλών εκατομμυρίων δολαρίων σε ορισμένες περιπτώσεις.
Πριν από την κρυπτογράφηση αρχείων, το Mount Locker κλέβει μη κρυπτογραφημένα αρχεία και απειλεί τα θύματα ότι τα δεδομένα που περιλαμβάνονται μέσα σε αυτά θα διαρρεύσουν, σε περίπτωση που το θύμα αρνηθεί να καταβάλει τα απαιτούμενα λύτρα.
Για παράδειγμα, η συμμορία του Mount Locker είπε σε ένα θύμα ότι έκλεψε 400 GB δεδομένων, τα οποία θα διέρρεαν στους ανταγωνιστές του θύματος, τα μέσα ενημέρωσης, την τηλεόραση και τις εφημερίδες, αν το θύμα δεν πλήρωνε τα λύτρα. Τελικά, το θύμα δεν πλήρωσε, με αποτέλεσμα τα κλεμμένα δεδομένα του να διαρρεύσουν σε ένα ransomware site διαρροής δεδομένων. Αυτό το site επί του παρόντος αριθμεί τέσσερα θύματα, εκ των οποίων μόνο τα αρχεία του ενός έχουν διαρρεύσει.
Πρόσφατα το MalwareHunterTeam ανακάλυψε ένα δείγμα του Mount Locker, το οποίο έδωσε μία εικόνα σχετικά με το πώς λειτουργεί το ransomware.
Ο Michael Gillespie, ο οποίος ανέλυσε το ransomware, ανέφερε ότι το Mount Locker χρησιμοποιεί το ChaCha20, για την κρυπτογράφηση των αρχείων, και ένα ενσωματωμένο δημόσιο κλειδί RSA-2048, για την κρυπτογράφηση του κλειδιού κρυπτογράφησης. Κατά την κρυπτογράφηση αρχείων, το ransomware προσθέτει μια επέκταση στη μορφή .ReadManual.ID. Για παράδειγμα, το 1.doc κρυπτογραφείται και μετονομάζεται σε 1.doc.ReadManual.C77BFF8C.
Στη συνέχεια, το ransomware καταχωρεί την επέκταση στο Μητρώο, έτσι ώστε όταν το θύμα κάνει κλικ σε ένα κρυπτογραφημένο αρχείο, θα φορτώνει αυτόματα το σημείωμα λύτρων, το οποίο έχει την ονομασία RecoveryManual.html και περιέχει οδηγίες σχετικά με τον τρόπο πρόσβασης στο Tor site για επικοινωνία με τους χειριστές του ransomware.
