Mailto (NetWalker) Ransomware compromete las redes empresariales
Otra infección de ransomware añadida en la lista de los particulares que se dirige a las redes empresariales. El nombre de este virus es Mailto (NetWalker) Ransomware. Pide altos precios de rescate comprometiendo sus redes y encriptando todos los dispositivos Windows conectados.
MalwareHunterTeam compartió una muestra del Mailto (NetWalker) Ransomware, el ejecutable del virus intenta suplantar el software Sticky Password. Cuando los usuarios ejecutan este archivo, el ransomware usa la configuración integrada que incluye las opciones como la plantilla de la nota de rescate, los nombres de los archivos de la nota de rescate, la longitud de Id / extensión, los archivos de la lista blanca, las carpetas y extensiones, etc.
Al analizar el ransomware, Vitali Kremez descubre que la configuración es tan sofisticada en comparación con otras infecciones por ransomware. Mientras que otros virus de este tipo utilizan una lista blanca de carpetas, carpetas y extensiones que se omitirán, el ransomware Mailto utiliza mucho más tiempo de lo habitual. Como, por ejemplo, a continuación se muestra la lista de las carpetas que se omitirán para que no se cifren.
*Información del Volumen del Sistema
* windows.old
*: \ users \ * \ * temp
* msocache
*: \ winnt
* $ windows. ~ ws
* perflogs
*bota
*: \ windows
*:\Archivo de programa*
\ vmware
\\ * \ users \ * \ * temp
\\ * \ winnt nt
\\ * \ windows
* \ archivo de programa * \ vmwaree
* appdata * microsoft
* paquetes * appdata
* microsoft \ provisioning
* dvd maker
*Explorador de Internet
* Mozilla
* Datos antiguos de Firefox
* \ archivo de programa * \ windows media *
* \ archivo de programa * \ windows portable *
* defensor de windows
* \ archivo de programa * \ windows nt
* \ archivo de programa * \ foto de Windows *
* \ archivo de programa * \ lado de Windows *
* \ archivo de programa * \ windowspowershell
* \ archivo de programa * \ cuas *
* \ archivo de programa * \ juegos de microsoft
* \ archivo de programa * \ archivos comunes \ system em
* \ archivo de programa * \ archivos comunes \ * compartido
* \ archivo de programa * \ archivos comunes \ referencia culo *
* \ windows \ cache *
* internet temporal *
*reproductor multimedia
*: \ users \ * \ appdata \ * \ microsoft
\\ * \ users \ * \ appdata \ * \ microsoft
Durante el cifrado de los archivos, el ransomware Mailto agregará los nombres de archivo utilizando un patrón .mailto [{mail1}]. {Id}. Por ejemplo, un archivo 1.jpg se convierte en 1.jpg.mailto [[email protected]] 77d8b.
El ransomware creará una nota exigente de rescate en un archivo cuyo nombre es el formato de ID-Readme.txt. Esta nota de rescate proporciona la información sobre el cifrado de archivos y proporciona dos direcciones de correo electrónico que se utilizarán para el pago de la cantidad y las instrucciones.
El ransomware aún se está analizando para saber si hay alguna debilidad en el algoritmo de cifrado utilizado para descifrar los archivos de forma gratuita.
Mailto y Netwatcher, ambos son iguales
El ransomware Mailto también se llama ransomware Netwatcher. El nombre Mailto se basa en la extensión que utiliza el ransomware para agregar el nombre de archivo de los archivos cifrados. Mientras que el otro es Netwatcher es el nombre con el que los delincuentes detrás de él llaman a la herramienta / software de descifrado dentro de la nota de rescate.