Recién descubierto un Ransomware distractivo Mongolock se dirige a las bases de datos y elimina archivos junto con el cifrado de los archivos para exigir la cantidad de rescate.

En la actualidad, los atacantes de ransomware están aumentando dramáticamente y los atacantes están usando diferentes técnicas para cifrar los archivos y evadir la detección de software de seguridad con la máxima motivación para obtener ingresos.

A diferencia del ataque de ransomware tradicional, Mongolock Ransomware no solo encripta los archivos de la víctima comprometidos, sino que también elimina el archivo de la víctima en el disco local y hace una copia de seguridad de la base de datos para exigir un monto de rescate.

Durante la sesión de infección, una vez que se ejecuta el archivo, comprueba las carpetas del usuario y las ubicaciones específicas como Documentos, Escritorio, Recientes, Favoritos, Música y Video.

En este caso, Mongolock Ransomware usa ‘format.com’, un comando de Windows legítimo que formatea las carpetas y unidades para eliminar los archivos del sistema comprometidos.

Proceso de eliminación y eliminación de Mongolock ransomware

Una vez que el ransomware Mangolock lanzó con éxito la cosa ejecutó varios comandos para cada carpeta para realizar una operación de formato.

  • “C: \ Windows \ system32 \ cmd.exe” / c del C: \ Users \ Public \ Desktop \ * / F / Q
  • “C: \ Windows \ system32 \ cmd.exe” / c del C: \ Users \ User \ Videos \ * / F / Q
  • “C: \ Windows \ system32 \ cmd.exe” / c del D: \\ * / F / Q
  • “C: \ Windows \ system32 \ cmd.exe” / c formato D: / fs: ntfs / q / y
  • “C: \ Windows \ system32 \ cmd.exe” / c del C: \ Users \ User \ Desktop \ * / F / Q
  • “C: \ Windows \ system32 \ cmd.exe” / c del C: \ Users \ User \ Music \ * / F / Q
  • “C: \ Windows \ system32 \ cmd.exe” / c del C: \ Users \ User \ Favorites \ * / F / Q
  • “C: \ Windows \ system32 \ cmd.exe” / c del C: \ Users \ User \ Documents \ * / F / Q

Antes de realizar un proceso de formateo, el ransomware recopila y envía toda la información de las víctimas al atacante mediante el establecimiento de la conexión con el servidor Command & control.

Comando para eliminar archivos de escritorio
Comando para formatear la unidad de disco local

Según Quick heal Research, aunque hemos visto la conectividad del ransomware al servidor CnC, no hemos visto ninguna copia de seguridad de los datos en el servidor, por lo tanto, se recomienda a los usuarios que no paguen ningún rescate ya que los autores de malware no estarán capaz de restaurar los datos.

Una vez que el ransomware completa su operación, finalmente deja caer la nota de que el ransomware Contienela información detallada que dice «la base de datos de la víctima y los archivos se copian en su servidor seguro». »

El mensaje de advertencia dice que las víctimas deben pagar el bitcoin de 0.1 a la billetera que mencionan en las notas de ransomware y los datos respaldados se devolverán a la víctima dentro de las 24 horas una vez que el pago se realice desde el final de la víctima.

Fuente: gbhackers.com

 

Compartir