Mailto (NetWalker) Ransomware compromet les réseaux d’entreprise
Une autre infection de ransomware ajoutée dans la liste des particuliers qui cible les réseaux d’entreprise. Le nom de ce virus est Mailto (NetWalker) Ransomware. Il demande des prix de rançon élevés en compromettant leurs réseaux et en chiffrant tous les appareils Windows connectés.
MalwareHunterTeam a partagé un échantillon du Mailto (NetWalker) Ransomware, l’exécutable du virus tente d’usurper l’identité du logiciel Sticky Password. Lorsque les utilisateurs exécutent ce fichier, le ransomware utilise la configuration intégrée qui incluait les options telles que le modèle de note de rançon, les noms de fichier de note de rançon, la longueur de l’ID / extension, les fichiers, dossiers et extensions figurant sur la liste blanche, etc.
Vitali Kremez lors de l’analyse du ransomware trouve que la configuration est si sophistiquée par rapport aux autres infections de ransomware. Alors que d’autres virus de ce type utilisent une liste blanche de dossiers, dossiers et extensions qui seront ignorés, le rançongiciel Mailto utilise beaucoup plus longtemps que d’habitude. Comme par exemple, ci-dessous est la liste des dossiers qui ne seront pas cryptés.
*Information de volume du system
* windows.old
*: \ utilisateurs \ * \ * temp
* msocache
*: \ winnt
* $ windows. ~ ws
* perflogs
*démarrage
*:\les fenêtres
*: \ fichier programme *
\ vmware
\\ * \ users \ * \ * temp
\\ * \ winnt nt
\\*\les fenêtres
* \ fichier de programme * \ vmwaree
* appdata * microsoft
* appdata * packages
* microsoft \ provisioning
* fabricant de dvd
*Internet Explorer
* Mozilla
* Anciennes données Firefox
* \ fichier programme * \ windows media *
* \ fichier de programme * \ windows portable *
*Windows Defender
* \ fichier de programme * \ windows nt
* \ fichier de programme * \ photo Windows *
* \ fichier programme * \ côté windows *
* \ fichier de programme * \ windowspowershell
* \ fichier de programme * \ cuas *
* \ fichier programme * \ jeux microsoft
* \ fichier de programme * \ fichiers communs \ em système
* \ fichier programme * \ fichiers communs \ * partagé
* \ fichier de programme * \ fichiers communs \ ass de référence *
* \ windows \ cache *
* internet temporaire *
*lecteur multimédia
*: \ utilisateurs \ * \ appdata \ * \ microsoft
\\ * \ users \ * \ appdata \ * \ microsoft
Pendant le cryptage des fichiers, le rançongiciel Mailto ajoutera les noms de fichiers en utilisant un modèle .mailto [{mail1}]. {Id}. Par exemple, un fichier 1.jpg devient 1.jpg.mailto [[email protected]] 77d8b.
Le ransomware créera une note demandant une rançon dans un fichier dont le nom est au format ID-Readme.txt. Cette note de rançon fournit des informations sur le cryptage des fichiers et fournit deux adresses e-mail à utiliser pour le paiement du montant et des instructions.
Le ransomware est toujours en cours d’analyse pour savoir s’il existe une faiblesse dans l’algorithme de cryptage utilisé pour décrypter les fichiers gratuitement.
Mailto et Netwatcher sont identiques
Le rançongiciel Mailto est également appelé rançongiciel Netwatcher. Le nom Mailto est basé sur l’extension que le ransomware utilise pour ajouter le nom de fichier des fichiers cryptés. Alors que l’autre qui est Netwatcher est le nom par lequel les escrocs derrière lui appellent l’outil / logiciel de décryptage dans la note de rançon.