Mailto (NetWalker) Ransomware compromette le reti aziendali

Un’ulteriore infezione da ransomware aggiunta all’elenco del particolare che colpisce le reti aziendali. Il nome di questo virus è Mailto (NetWalker) Ransomware. Richiede alti prezzi di riscatto compromettendo le loro reti e crittografando tutti i dispositivi Windows collegati.

MalwareHunterTeam ha condiviso un esempio del Mailto (NetWalker) Ransomware, l’eseguibile del virus tenta di impersonare il software Sticky Password. Quando gli utenti eseguono questo file, il ransomware utilizza la configurazione incorporata che includeva opzioni come il modello di riscatto, i nomi dei file di riscatto, la lunghezza dell’ID / estensione, i file elencati in bianco, le cartelle e le estensioni e così via.

Vitali Kremez dopo aver analizzato il ransomware rileva che la configurazione è così sofisticata rispetto ad altre infezioni da ransomware. Mentre altri virus di questo tipo utilizzano una whitelist di cartelle, cartelle ed estensioni che verranno ignorate, Mailto ransomware utilizza un tempo molto più lungo del solito. Come ad esempio, di seguito è riportato l’elenco delle cartelle che verranno ignorate dalla crittografia.

* informazioni sul volume del sistema

* windows.old

*: \ Users \ * \ * Temp

* MSOCache

*: \ Winnt

* $ Windows. ~ ws

* PerfLogs

*stivale

*:\finestre

*: \ programma *

\ vmware

\\ * \ users \ * \ * Temp

\\ * \ winnt nt

\\*\finestre

* \ program file * \ vmwaree

* * Appdata Microsoft

* * Appdata pacchetti

* Microsoft \ provisioning

* creatore di dvd

*Internet Explorer

* Mozilla

* Vecchi dati di Firefox

* \ programma * * windows media *

* \ program file * \ windows portable *

* Windows Defender

* \ programma * * windows nt

* \ programma * * windows foto *

* \ program file * \ windows side *

* \ program file * \ windowspowershell

* \ program file * \ cuas *

* \ program file * \ microsoft games

* \ program file * \ common files \ system em

* \ programma * * file comuni \ * condivisi

* \ programma * * file comuni \ riferimento as *

* \ Windows \ Cache *

* internet temporaneo *

*media Player

*: \ Users \ * \ appdata \ * \ Microsoft

\\ * \ users \ * \ appdata \ * \ Microsoft

Durante la crittografia dei file, il ransomware Mailto aggiungerà i nomi dei file usando uno schema .mailto [{mail1}]. {Id}. Ad esempio, un file 1.jpg diventa 1.jpg.mailto [[email protected]] 77d8b.

Il ransomware creerà una richiesta di riscatto in un file il cui nome è il formato di ID-Readme.txt. Questa nota di riscatto fornisce le informazioni sulla crittografia dei file e fornisce due indirizzi e-mail che devono essere utilizzati per il pagamento dell’importo e delle istruzioni.

Il ransomware è ancora in fase di analisi per sapere se c’è qualche debolezza nell’algoritmo di crittografia da utilizzare per decrittografare i file gratuitamente.

Mailto e Netwatcher-entrambi sono uguali

Il ransomware Mailto è anche chiamato ransomware Netwatcher. Il nome Mailto si basa sull’estensione utilizzata dal ransomware per aggiungere il nome file dei file crittografati. Mentre l’altro che è Netwatcher è quello che il nome con cui i truffatori dietro di esso richiede lo strumento / software di decodifica all’interno della nota di riscatto.