Mailto (NetWalker) Ransomware gefährdet Unternehmensnetzwerke

Eine weitere Ransomware-Infektion wurde in die Liste der Objekte aufgenommen, die auf Unternehmensnetzwerke abzielen. Der Name dieses Virus lautet Mailto (NetWalker) Ransomware. Es fordert hohe Lösegeldpreise, indem es die Netzwerke kompromittiert und alle angeschlossenen Windows-Geräte verschlüsselt.

MalwareHunterTeam hat ein Beispiel der Mailto (NetWalker) Ransomware freigegeben, die ausführbare Datei des Virus, die versucht, sich als die Sticky Password-Software auszugeben. Wenn Benutzer diese Datei ausführen, verwendet die Ransomware die eingebettete Konfiguration, die Optionen wie die Vorlage für Lösegeldnotizen, Dateinamen für Lösegeldnotizen, Länge der ID / Erweiterung, Dateien auf der Positivliste, Ordner und Erweiterungen usw. enthält.

Vitali Kremez stellte bei der Analyse der Ransomware fest, dass die Konfiguration im Vergleich zu anderen Ransomware-Infektionen so ausgefeilt ist. Während andere Viren dieses Typs eine Whitelist von Ordnern, Ordnern und Erweiterungen verwenden, die übersprungen werden, verwendet Mailto Ransomware eine viel längere Zeit als gewöhnlich. Im Folgenden finden Sie beispielsweise die Liste der Ordner, deren Verschlüsselung übersprungen wird.

* Informationen zum Systemvolumen

* windows.old

*: \ users \ * \ * temp

* msocache

*: \ winnt

* $ windows. ~ ws

* Perflogs

*Stiefel

*: \ windows

*: \ program file *

\ vmware

\\ * \ users \ * \ * temp

\\ * \ winnt nt

\\ * \ windows

* \ program file * \ vmwaree

* appdata * microsoft

* appdata * pakete

* Microsoft \ Provisioning

* DVD-Hersteller

*Internet Explorer

* Mozilla

* Alte Firefox-Daten

* \ program file * \ windows media *

* \ program file * \ windows portable *

*Windows Defender

* \ program file * \ windows nt

* \ program file * \ windows photo *

* \ program file * \ windows side *

* \ program file * \ windowspowershell

* \ program file * \ cuas *

* \ program file * \ microsoft games

* \ program file * \ common files \ system em

* \ program file * \ common files \ * freigegeben

* \ program file * \ common files \ reference ass *

* \ windows \ cache *

* Temporäres Internet *

*Media Player

*: \ users \ * \ appdata \ * \ microsoft

\\ * \ users \ * \ appdata \ * \ microsoft

Während der Dateiverschlüsselung hängt die Mailto-Ransomware die Dateinamen nach dem Muster .mailto [{mail1}]. {Id} an. Beispielsweise wird eine Datei 1.jpg zu 1.jpg.mailto [[email protected]] 77d8b.

Die Ransomware erstellt in einer Datei, deren Name das Format ID-Readme.txt hat, eine Notiz, die Lösegeld verlangt. Dieser Lösegeldschein enthält Informationen zur Dateiverschlüsselung sowie zwei E-Mail-Adressen, die für die Zahlung des Betrags und der Anweisungen verwendet werden.

Die Ransomware wird noch analysiert, um festzustellen, ob der Verschlüsselungsalgorithmus zum kostenlosen Entschlüsseln der Dateien Schwachstellen aufweist.

Mailto und Netwatcher sind gleich

Die Mailto-Ransomware wird auch als Netwatcher-Ransomware bezeichnet. Der Name Mailto basiert auf der Erweiterung, mit der die Ransomware den Dateinamen der verschlüsselten Dateien anfügt. Während der andere, der Netwatcher ist, der Name ist, unter dem die Gauner dahinter das Entschlüsselungswerkzeug / die Entschlüsselungssoftware in der Lösegeldnotiz aufrufen.