ΑρχικήsecurityΤο ransomware MountLocker μείωσε το μέγεθος του

Το ransomware MountLocker μείωσε το μέγεθος του

Το MountLocker ransomware έλαβε πρόσφατα μια ενημέρωση που μείωσε το μέγεθος του κατά το ήμισυ, αλλά διατηρεί μια αδυναμία που θα μπορούσε ενδεχομένως να επιτρέψει την εκμάθηση του τυχαίου κλειδιού που χρησιμοποιείται για την κρυπτογράφηση των αρχείων.

MountLocker ransomware

Αυτό το ransomware ξεκίνησε να κυκλοφορεί τον Ιούλιο του 2020 και στοχεύει εταιρικά δίκτυα. Οι χειριστές του κλέβουν δεδομένα πριν τα κρυπτογραφήσουν και απειλούν τα θύματα ότι θα διαρρεύσουν τα αρχεία τους, εκτός εάν ικανοποιηθούν τα αιτήματα τους για λύτρα τα οποία είναι συνήθως πολλών εκατομμυρίων δολαρίων.

Στο δεύτερο μισό του Νοεμβρίου, οι ερευνητές του κακόβουλου λογισμικού είδαν τη δεύτερη έκδοση του MountLocker στην αγορά με ενδείξεις ότι οι χειριστές του ετοιμάζονται για τη νέα φορολογική σεζόν.

Η έρευνα από τον Vitali Kremez, διευθύνοντα σύμβουλο της Advanced Intelligence (AdvIntel), δείχνει ότι οι προγραμματιστές του ransomware πρόσθεσαν κάποιες επεκτάσεις αρχείων (.tax, .tax2009, .tax2013, .tax2014) που σχετίζονται με το λογισμικό TurboTax για την προετοιμασία εγγράφων φορολογικής δήλωσης.

Σε μια τεχνική ανάλυση που δημοσιεύθηκε σήμερα, η Ομάδα Έρευνας και Πληροφοριών του BlackBerry σημειώνει ότι η νέα παραλλαγή του MountLocker έρχεται με μια συλλογή από timestamp από τις 6 Νοεμβρίου.

Οι προγραμματιστές του malware μείωσαν το μέγεθος της παραλλαγής του κακόβουλου λογισμικού από 64-bit σε 46 KB, το οποίο είναι περίπου 50% μικρότερο από την προηγούμενη έκδοση. Για να φτάσουν σε αυτό, αφαίρεσαν τη λίστα επεκτάσεων αρχείων με περισσότερες από 2.600 καταχωρήσεις που στοχεύονταν για κρυπτογράφηση.

Στοχεύει τώρα μια πολύ μικρότερη λίστα που αποκλείει τους εύκολα αντικαταστάσιμους τύπους αρχείων: .EXE, .DLL, .SYS, .MSI, .MUI, .INF, .CAT, .BAT, .CMD, .PS1, .VBS, .TTF, .FON, .LNK.

Ο νέος κώδικας είναι πολύ παρόμοιος με τον παλιό, η μεγαλύτερη αλλαγή είναι η διαδικασία διαγραφής σκιωδών αντιγράφων και τερματισμού διαδικασιών, η οποία γίνεται τώρα με το script PowerShell πριν από την κρυπτογράφηση των αρχείων.

Για την ακρίβεια, η εταιρεία BlackBerry λέει ότι το 70% του κώδικα στο νέο MountLocker είναι το ίδιο με την προηγούμενη έκδοση.

Πηγή: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS